Câu 6: Phân tích sơ đồ bảo vệ thông tin dùng mật mã khoá bí mật ?

sơ đồ của mật mã khoá bí mật trong bảo vệ thông tin.

 Sơ đồ bảo vệ thông tin của  mật mã khoá bí mật

Tại nơi gửi (nguồn thông báo) có một bản rõ R được sinh ra. Để mã R cần có một khoá K. Nếu K được sinh tại nguồn thông báo thì nó phải được chuyển tới đích thông báo theo một kênh an toàn. Hoặc một bên thứ ba có thể sinh khoá và chuyển một cách an toàn tới cả nguồn và đích.

Với thông báo R và khoá mã K, thuật toán mã E sẽ tạo ra bản mã M = EK(R).

Tại nơi nhận (đích thông báo) với bản mã M và khoá mã K, thuật toán dịch D sẽ tạo ra bản rõ R = DK(M).

Một kẻ tấn công thu được MY nhưng không có khoá K, anh ta phải cố gắng khôi phục R hoặc khoá K. Thừa nhận rằng kẻ tấn công biết thuật toán mã E và thuật toán giải mã D. Nếu kẻ tấn công chỉ quan tâm đến nội dung thông báo, họ cố khôi phục R bằng việc sinh ra một ước lượng R' của R. Tuy nhiên thường kẻ tấn công mong muốn tìm ra khoá K để giải mã các thông báo tiếp theo, bằng cách sinh ra một khoá ước lượng K' của K. Độ bảo mật của mật mã khóa bí mật là thước đo mức độ khó khăn của việc tìm ra thông báo rõ hoặc khoá khi biết bản mã.

Khi chưa có mạng máy tính, mật mã chỉ được dùng với mục đích đảm bảo bí mật thông tin. Ngày nay nó được sử dụng để giải quyết các yêu cầu xác thực, toàn vẹn, chữ ký số và sử dụng mật khoá công khai.

Câu 7: Phân tích sự khác nhau và ưu nhược điểm của hai cách tiếp cận để bảo vệ thông tin trên mạng máy tính dùng kỹ thuật mật mã ?

Mã hoá theo đường truyền (Link To Link)

Mô hình hệ thống mã hoá theo đường truyền

Hình trên mô tả quá trình mã hoá theo đường truyền. Trong mã hoá theo đường truyền thông tin được mã hoá để bảo vệ trên đường truyền giữa hai nút và không quan tâm đến nguồn và đích của thông tin đó. Các cặp thiết bị mật mã được đặt ở hai đầu của đường truyền do đó mà tất cả luồng thông tin trên tất cả các đường truyền sẽ được an toàn.

Trong hình trên ta có :

Tại nút nguồn thông tin gửi được mã bởi khoá mã E1 để được bản mã gửi đến nút trung gian đầu tiên.

Tại nút trung gian đầu tiên bản mã được dịch mã bởi khoá dịch D1 tương ứng và sau đó lại được mã bằng khoá E2 để chuyển đến nút trung gian thứ hai.

Tại nút trung gian thứ hai bản mã được dịch mã bởi khoá dịch D2 tương ứng và sau đó lại được mã bằng khoá E3 để chuyển đến nút trung gian thứ ba.

Cứ như vậy cho đến khi bản mã đến được nút đích. Tại đây bản mã được dịch bởi khoá dịch Dn để được thông tin rõ ban đầu.

Ưu điểm của cách tiếp cận này là có thể bí mật được luồng thông tin giữa nguồn và đích và có thể ngăn chặn được toàn bộ các tấn công nhằm phân tích lưu thông trên mạng.

Nhược điểm của nó là vì thông tin chỉ được mã hoá trên đường truyền nên đòi hỏi các nút phải được bảo vệ tốt. Hơn nữa tất cả các tuyến trên đường từ nguồn tới đích phải lập mã tuyến. Mỗi cặp nút chung một tuyến phải có cùng một khoá và các tuyến khác nhau phải dùng các khoá khác nhau. Chính vì vậy phải cần rất nhiều khoá cho một con đường gồm nhiều tuyến.

Mã hoá theo đường truyền được thực hiện ở tầng thấp của kiến trúc liên lạc. Đối với mô hình OSI thì đó là tầng vật lý và tầng liên kết số liệu.

Mã hoá từ mút đến mút (end-to-end)

Mã hoá từ mút đến mút

Hình trên mô tả quá trình mã hoá từ mút đến mút. Mã hoá từ mút đến mút bao gồm việc mã hoá đường truyền từ máy tính nguồn đến máy tính đích. Thông tin được mã hoá ngay khi mới được tạo ra tại máy nguồn và chỉ được giải mã khi tới máy đích.

Trong hình trên, tại nút nguồn thông tin gửi được mã hoá bởi một khoá mã Ek để được bản mã gửi đi. Qua nhiều nút trung gian bản mã sẽ đến nút đích. Tại đây bản mã được dịch bởi khoá Dk tương ứng để được thông tin rõ ban đầu.

Mã hoá mút đến mút làm cho dữ liệu người dùng an toàn nhưng không chống được tấn công phân tích tình huống vì trong các gói tin chỉ phần dữ liệu người sử dụng được mã hoá còn các dữ liệu đầu gói thì không.

Tuy vậy mã hoá mút đến mút lại có khả năng xác thực. Nếu hai hệ thống đầu cuối chia sẻ khoá bí mật thì người nhận có thể được đảm bảo rằng bất kỳ thông báo nào đã đến từ người gửi đã nêu danh vì chỉ có anh ta chia sẻ khoá bí mật giữa họ với nhau. Mã đường truyền không có khả năng xác thực này. Đối với mã hoá từ mút đến mút thì chức năng lập mã thấp nhất là ở tầng mạng. Trong trường hợp này chỉ phân biệt được đến hệ thống đầu cuối mà không phân biệt được ứng dụng, người sử dụng hay tiến trình. Tất cả hệ thống đầu cuối có thể dùng cùng một khoá bí mật khi mã hoá và giải mã. Có thể chèn thiết bị lập mã đầu cuối vào giữa hệ thống đầu cuối và mạng máy tính để thực hiện chức năng này đạt năng suất cao và trong suốt đối với các ứng dụng, người sử dụng và các tiến trình trong hệ thống đầu cuối. Chỉ có phần dữ liệu người ứng dụng là được lập mã còn đầu gói được cho qua quá trình lập mã mà không xử lý.

Nếu chức năng lập mã nằm ở tầng vận tải thì các đầu gói tầng vận tải cũng được cho qua mà không xử lý chỉ có phần dữ liệu người sử dụng của giao thức vận tải là được lập mã. Trong ngữ cảnh ứng dụng như thư điện tử chẳng hạn không có giao thức từ mút đến mút thấp hơn tầng ứng dụng nên các kết nối tầng vận tải và tầng mạng phải kết thúc tại cổng kết nối thư (Mail Gateway) để nó thiết lập kết nối tầng vận tải và tầng mạng mới để nối tới hệ thống đầu cuối khác. Do đó với dịch vụ thư điện tử chỉ có chức năng lập mã tại tầng ứng dụng là phù hợp. Tuy vậy số lượng các thực thể tăng vọt nếu lập mã mút đến mút trên tầng ứng dụng. Mạng có hàng trăm máy tính có thể có hàng ngàn người dùng và tiến trình. Nếu dùng kiến trúc TCP/IP thì thông tin phải lập mã ít hơn nhưng an toàn lại cao hơn, lập mã tầng ứng dụng chỉ đòi hỏi phần dữ liệu người dùng của phân đoạn TCP cần lập mã.

Tuy vậy để đạt được độ bảo mật cao hơn thì cả lập mã đường truyền và lập mã mút đến mút đều cần thiết. Khi đó máy tính đầu cuối lập mã phần dữ liệu người sử dụng của gói dùng khoá lập mã mút đến mút. Cả gói tin được lập mã dùng khoá lập mã đường truyền.