An toàn bảo mật thông tin và các phương thức xác thực môn An toàn thông tin | Trường Đại học Thủy Lợi

lOMoAR cPSD| 58412604 Câu1
Sử dụng Kerberos: phương thức mã hoá và xác thực trong AD của
Kerberos là giao thức chuyên dùng để xác thực yêu cầu giữa những máy chủ trên mạng internet.
Các hệ điều hành hiện nay như Windows, Linux, FreeBSD, Mac OS đều sẽ hỗ trợ cài đặt
Kerberos. Nó cung cấp khả năng xác thực người dùng và dịch vụ theo cách an toàn và bảo mật
thông qua một hệ thống khóa đối xứng.
Kerberos sử dụng mã hóa đối xứng, tức là cùng một khóa được sử dụng để mã hóa và giải mã thông tin.
Khóa bí mật: Được sinh ra từ mật khẩu của người dùng. Khóa này chỉ được biết bởi người dùng và KDC.
AES: Kerberos thường sử dụng thuật toán AES (Advanced Encryption Standard) để mã hóa và
bảo vệ thông tin xác thực.
Chống tấn công phát lại (Replay Attack): Mỗi vé Kerberos có thời gian hiệu lực, do đó ngay cả
khi vé bị đánh cắp, nó cũng chỉ có thể sử dụng trong một khoảng thời gian ngắn.
Giả sử một nhân viên làm việc tại công ty X và nhân viên cần đăng nhập vào máy tính trong
mạng công ty để truy cập vào một máy chủ tệp chia sẻ, sử dụng môi trường Active Directory với
Kerberos để quản lý xác thực.
Tên người dùng: nhanvien123 Mật khẩu: matkhau
Máy chủ tệp chia sẻ: fileserver.companyx.com
Bước 1: Bạn đăng nhập vào hệ thống với tài khoản nhanvien123.
Máy tính của bạn tạo một khóa bí mật từ mật khẩu của bạn và gửi yêu cầu đến KDC để xin vé TGT.
Bước 2: KDC xác thực thông tin đăng nhập và cấp một vé TGT cho bạn.
Vé TGT này có thời hạn (ví dụ: 8 giờ), nghĩa là bạn không cần phải nhập lại mật khẩu cho đến khi hết thời gian này.
Bước 3: Bạn muốn truy cập máy chủ tệp fileserver.companyx.com. lOMoAR cPSD| 58412604
Máy tính của bạn sử dụng TGT để yêu cầu KDC cấp một vé dịch vụ để truy cập fileserver.companyx.com.
Bước 4: KDC cấp vé dịch vụ cho fileserver.companyx.com.
Máy tính của bạn gửi vé dịch vụ đến máy chủ tệp, và sau khi xác thực vé, máy chủ tệp cho phép bạn truy cập tệp tin
công nghệ Window Sử dụng Secure Remote Password (SRP): là một
giao thức để xác thực đối với các truy cập từ xa
Secure Remote Password (SRP) là một giao thức xác thực dựa trên mật khẩu, được thiết
kế để bảo mật thông tin đăng nhập khi người dùng truy cập từ xa vào các dịch vụ hoặc hệ thống.
SRP được sử dụng rộng rãi trong các hệ thống yêu cầu tính bảo mật cao, chẳng hạn như ngân
hàng trực tuyến, VPN, và các ứng dụng thương mại điện tử. Điều đặc biệt về SRP là nó không
yêu cầu mật khẩu thực tế phải được gửi qua mạng, giúp ngăn ngừa các cuộc tấn công kiểu
"đánh cắp mật khẩu" hoặc "phát lại". Ví dụ
Bạn đăng nhập vào tài khoản ngân hàng trực tuyến bằng mật khẩu Matkhau123.
Ứng dụng của bạn tính toán một giá trị từ mật khẩu và gửi yêu cầu đăng nhập (đã mã hóa) đến máy chủ ngân hàng.
Máy chủ ngân hàng sử dụng giá trị đã lưu (verifier) để kiểm tra xem bạn có phải là người dùng
hợp pháp không mà không cần biết mật khẩu thực.
Sau khi xác thực thành công, một khóa mã hóa an toàn được tạo ra để bảo vệ tất cả các giao tiếp tiếp theo
Sử dụng Hardware Token
Hardware Token là một thiết bị vật lý dùng để cung cấp phương thức xác thực bổ sung
cho người dùng, giúp tăng cường tính bảo mật khi truy cập vào các hệ thống hoặc dịch vụ trực
tuyến. Nó thường được sử dụng trong mô hình xác thực hai yếu tố (2FA), nơi ngoài việc yêu cầu
mật khẩu (yếu tố thứ nhất), người dùng còn cần một yếu tố thứ hai là mã số sinh ra từ hardware token. Ví dụ
Ngân hàng: Nhiều ngân hàng sử dụng hardware token để bảo mật khi người dùng thực hiện các
giao dịch trực tuyến. Khách hang phải nhạp OTP từ tokem đẻ xác nhqnaj các giao dịch lOMoAR cPSD| 58412604
Sử dụng SSL/TLS Certificate Based Client Authentication: sử dụng
SSL/TLS để mã hoá, xác thực trong VPN, Web...
SSL/TLS Certificate Based Client Authentication là một phương thức xác thực trong đó
máy khách (client) sử dụng chứng chỉ số (SSL/TLS certificate) để chứng minh danh tính
của mình với máy chủ. Phương thức này thường được sử dụng trong các hệ thống bảo
mật cao, như VPN hoặc các trang web, để đảm bảo tính toàn vẹn và bảo mật cho việc truyền dữ liệu. Ví dụ VPN:
Trong một môi trường doanh nghiệp, khi nhân viên muốn kết nối với mạng công ty qua VPN:
Nhân viên sử dụng phần mềm VPN client trên máy tính.
VPN client yêu cầu chứng chỉ số của nhân viên để xác thực danh tính.
Nhân viên nhập tên đăng nhập và mật khẩu, đồng thời phần mềm VPN client sẽ gửi
chứng chỉ số của nhân viên cho máy chủ VPN.
Máy chủ VPN kiểm tra chứng chỉ, xác minh danh tính của nhân viên. Nếu chứng chỉ hợp
lệ, máy chủ VPN sẽ cho phép kết nối, tạo ra một phiên làm việc an toàn qua VPN.
Sử dụng X.509 Public Key
- X.509 Public Key là một tiêu chuẩn cho cơ sở hạ tầng khóa công khai (Public Key
Infrastructure - PKI), được sử dụng để quản lý các khóa công khai và chứng chỉ số
(digital certificates). Cụ thể, X.509
là một tiêu chuẩn cho định dạng của chứng chỉ số, bao gồm cả các thông tin về khóa
công khai và danh tính của chủ sở hữu chứng chỉ. Chứng chỉ X.509 được sử dụng
rộng rãi trong việc xác thực, bảo mật giao tiếp, và mã hóa.
- Ví dụ o SSL/TLS trong giao tiếp HTTPS: Các website sử dụng chứng chỉ X.509 để mã
hóa và bảo mật kết nối. Khi bạn truy cập vào một website sử dụng HTTPS, trình
duyệt của bạn sẽ nhận chứng chỉ X.509 của máy chủ và sử dụng khóa công khai để
thiết lập kết nối bảo mật. lOMoAR cPSD| 58412604
o Xác thực qua PKI: Trong hệ thống PKI, các chứng chỉ X.509 có thể được dùng
để xác thực người dùng hoặc hệ thống trước khi họ có quyền truy cập vào một
hệ thống nào đó. o Email bảo mật (S/MIME): Sử dụng chứng chỉ X.509 để ký và
mã hóa email. o VPN: Nhiều VPN sử dụng chứng chỉ X.509 để xác thực các điểm
cuối trước khi thiết lập kết nối an toàn.
Sử dụng PGP Public Key
- Mã hóa PGP (Pretty Good Privacy) là một giao thức bảo mật hệ thống được các
doanh nghiệp và tổ chức sử dụng cho việc mã hóa dữ liệu qua mạng. Ngoài ra, giao
thức này kết hợp cả quyền riêng tư và xác thực mật mã để mã hóa, cũng như giải mã
các loại file qua mạng như là email, file văn bản, đa phương tiện, thư mục, phân vùng
các file nhạy cảm khác. Sự phổ biến của PGP dựa trên hai yếu tố. Đầu tiên là hệ
thống này ban đầu được cung cấp dưới dạng phần mềm miễn phí và lan truyền nhanh
chóng giữa những user muốn có thêm mức độ bảo mật cho các email của họ. Thứ hai
là vì PGP sử dụng cả mã hóa symmetric và mã hóa public-key, nó cho phép những
user chưa từng gặp mặt gửi tin nhắn được mã hóa cho nhau mà không cần trao đổi private encryption key. - Ví dụ
o Email bảo mật: Dùng trong các dịch vụ email để mã hóa và bảo mật nội dung.
o Mã hóa tệp tin và lưu trữ: Bảo vệ dữ liệu trên đĩa hoặc khi lưu trữ trên các dịch vụ đám mây.
o Chữ ký số: Đảm bảo tính xác thực của tài liệu, hợp đồng, hoặc phần mềm.
Sử dụng SPKI Public Key
- SPKI (Simple Public Key Infrastructure) là một mô hình cơ sở hạ tầng khóa công
khai đơn giản hơn so với mô hình truyền thống như X.509 và PGP, tập trung vào việc
giảm độ phức tạp trong quản lý và xác thực khóa công khai, đồng thời loại bỏ những
yêu cầu rườm rà không cần thiết. SPKI chủ yếu được thiết kế để giải quyết hai vấn đề
chính: ủy quyền (authorization) và xác thực danh tính (authentication). - Ví dụ
o Truy cập tài nguyên: Giả sử bạn muốn cho phép một khóa công khai cụ thể
có quyền truy cập vào một tài nguyên trên hệ thống của bạn, bạn sẽ cấp một
chứng chỉ SPKI xác nhận rằng khóa công khai này có quyền truy cập tài
nguyên đó. o Ủy quyền trong mạng lưới phân tán: Trong hệ thống mạng
ngang hàng (peer-to-peer) hoặc hệ thống phân tán, SPKI có thể được sử dụng
để ủy quyền cho các thực thể khác mà không cần đến một tổ chức trung gian xác thực danh tính. lOMoAR cPSD| 58412604
Sử dụng XKMS Public Key.
- XKMS (XML Key Management Specification) là một giao thức dựa trên XML được
phát triển bởi W3C nhằm đơn giản hóa việc quản lý khóa công khai (Public Key)
trong các ứng dụng và hệ thống. XKMS giúp các ứng dụng sử dụng khóa công khai
mà không cần phải trực tiếp thực hiện các nhiệm vụ phức tạp như tạo, lưu trữ, hay
xác thực chứng chỉ số. Điều này được thực hiện thông qua việc sử dụng các dịch vụ
quản lý khóa công khai từ xa. - Ví dụ
o Giả sử một công ty phát triển một ứng dụng web yêu cầu mã hóa dữ liệu giữa
các người dùng để bảo mật. Thay vì phải triển khai một hệ thống PKI riêng để
quản lý khóa công khai của người dùng, họ quyết định sử dụng XKMS:
Bước đăng ký khóa: Khi người dùng đăng ký tài khoản trên ứng
dụng, dịch vụ XKMS sẽ tạo ra một cặp khóa công khai và riêng tư cho
người dùng đó. Khóa riêng được gửi về cho người dùng và lưu trữ cục
bộ trên thiết bị của họ, trong khi khóa công khai được lưu trong cơ sở
dữ liệu của dịch vụ XKMS.
Bước tra cứu và xác thực khóa: Khi một người dùng khác muốn gửi
một thông điệp bảo mật, ứng dụng sẽ yêu cầu dịch vụ XKMS tra cứu
khóa công khai của người nhận và sử dụng nó để mã hóa thông điệp.
Dịch vụ XKMS đảm bảo rằng khóa công khai này là hợp lệ và chưa bị thu hồi.
Bước thu hồi khóa: Nếu một người dùng mất thiết bị hoặc nghi ngờ
khóa riêng của họ đã bị lộ, họ có thể gửi yêu cầu thu hồi khóa công
khai thông qua ứng dụng. Dịch vụ XKMS sẽ thu hồi khóa đó và tạo ra
một cặp khóa mới nếu cần.
Sử dụng XML Digital Signature
- XML Digital Signature (Chữ ký số XML) là một công nghệ bảo mật sử dụng chữ ký
số để xác thực và bảo đảm tính toàn vẹn của dữ liệu XML. Đây là một phần của
chuẩn W3C dành cho việc ký số các tài liệu XML, cho phép bảo vệ dữ liệu truyền tải
qua các giao thức web hoặc lưu trữ trong các hệ thống mà không làm thay đổi cấu
trúc của tài liệu XML. XML Digital Signature (Chữ ký số XML) là một công nghệ
bảo mật sử dụng chữ ký số để xác thực và bảo đảm tính toàn vẹn của dữ liệu XML.
Đây là một phần của chuẩn W3C dành cho việc ký số các tài liệu XML, cho phép bảo
vệ dữ liệu truyền tải qua các giao thức web hoặc lưu trữ trong các hệ thống mà không
làm thay đổi cấu trúc của tài liệu XML. - Ví dụ
o Web Services Security: Trong các dịch vụ web (Web Services), chữ ký số
XML được sử dụng để bảo đảm tính toàn vẹn của các thông điệp SOAP và xác thực người gửi. lOMoAR cPSD| 58412604
o Giao dịch tài chính và hợp đồng điện tử: XML Digital Signature thường
được sử dụng để ký các hợp đồng, hóa đơn, và các giao dịch điện tử, bảo đảm
tính pháp lý của các tài liệu này.
o Chữ ký số cho dữ liệu XML: Các hệ thống quản lý dữ liệu và cơ sở dữ liệu
thường sử dụng chữ ký số XML để bảo vệ các tài liệu quan trọng, như giấy phép hoặc hợp đồng. Câu 2
Trong ciphertext-only attack (COA), một loại tấn công mật mã, kẻ tấn công (E) chỉ có quyền truy
cập vào Y (ciphertext - bản mã) và không có bất kỳ thông tin nào về plaintext (bản rõ) hoặc khóa
mã hóa. Mục tiêu của kẻ tấn công là cố gắng tìm ra bản rõ hoặc khóa mã hóa được sử dụng để
tạo ra ciphertext. Dù đây là một kịch bản khó khăn, nhưng nếu thuật toán mã hóa yếu hoặc bị
lỗi, thì tấn công kiểu này vẫn có thể thành công. Ví dụ
Mã hóa Caesar: Đây là một dạng mã hóa đơn giản, nơi mỗi chữ cái trong bản rõ được thay thế
bằng một chữ cái khác với một độ dịch chuyển cố định.
Nếu kẻ tấn công biết rằng bản mã được tạo ra từ mã hóa Caesar, họ có thể sử dụng tần suất
xuất hiện của các ký tự trong bản mã để giải mã, vì chữ cái trong tiếng Anh xuất hiện với tần
suất nhất định. Ví dụ, chữ "e" xuất hiện nhiều nhất, nếu một chữ cái trong bản mã xuất hiện
nhiều, có khả năng nó là "e".
Eavesdropper hay kẻ nghe trộm (thường được gọi là Eve) là một thuật ngữ phổ biến trong lĩnh
vực mật mã học và bảo mật, dùng để chỉ kẻ tấn công cố gắng nghe lén, thu thập thông tin
truyền qua các kênh liên lạc giữa hai bên mà không làm gián đoạn hoặc thay đổi thông tin. Ví dụ
Tấn công Wi-Fi: Trong các mạng không dây, Eve có thể nghe trộm thông tin truyền qua không
khí, đặc biệt là trong những kết nối Wi-Fi không được mã hóa hoặc sử dụng giao thức bảo mật
yếu (như WEP). Bằng cách lắng nghe các gói dữ liệu, Eve có thể thu thập thông tin nhạy cảm,
như tên đăng nhập, mật khẩu hoặc thông tin ngân hàng.
Known plaintext attack (KPA) là một kiểu tấn công mật mã mà trong đó kẻ tấn công (E, thường
gọi là Eve) biết được một số cặp bản rõ (plaintext) và bản mã (ciphertext). Dựa trên thông tin
này, kẻ tấn công cố gắng suy luận hoặc khám phá ra khóa mã hóa, từ đó có thể giải mã các bản mã khác. Ví dụ
Tấn công Enigma trong Thế chiến II: lOMoAR cPSD| 58412604
Một trong những ví dụ nổi tiếng nhất của known plaintext attack là việc phá mã máy Enigma
của Đức trong Thế chiến II. Những nhà mật mã học đã sử dụng thông tin biết trước về nội dung
của một số thông điệp mã hóa (chẳng hạn như câu mở đầu quen thuộc hoặc các bản tin dự báo
thời tiết) để tìm ra khóa mã hóa mỗi ngày. Từ đó, họ có thể giải mã những thông điệp khác.
Chosen plaintext attack (CPA) là một loại tấn công mật mã trong đó kẻ tấn công (E, thường gọi
là Eve) có khả năng chọn một hoặc nhiều bản rõ (plaintext) X và yêu cầu hệ thống mã hóa mã
hóa chúng để thu được các bản mã tương ứng (cryptogram). Bằng cách phân tích các cặp
plaintextciphertext được sinh ra từ các bản rõ mà mình đã chọn, kẻ tấn công cố gắng tìm hiểu
thuật toán mã hóa, suy luận về khóa, và từ đó có thể giải mã các bản mã khác. Ví dụ
Tấn công các khối mã hóa (block cipher): Với các thuật toán mã hóa khối, như DES hoặc AES,
Eve có thể tạo ra các bản rõ với những mẫu cụ thể (chẳng hạn như tất cả các bit bằng 0 hoặc 1)
và yêu cầu hệ thống mã hóa chúng. Điều này giúp Eve có được thông tin về cách mà hệ thống
sử dụng các khóa mã hóa và hoạt động của thuật toán.