CÂu hỏI Ôn tập môn an toàn bảo mật httt câu 1



tải về 72.96 Kb.
Chuyển đổi dữ liệu30.08.2016
Kích72.96 Kb.
CÂU HỎI ÔN TẬP MÔN AN TOÀN BẢO MẬT HTTT

Câu 1:

Trình bày các vấn đề sau:



  • Khái niệm tấn công mạng và hành động bảo vệ an toàn mạng.

  • Các kiểu tấn công mạng, phân loại các mối đe dọa (active và passive).

  • Các dịch vụ an toàn mạng (confidentiality, authentication, integrity, nonrepudiation, access control, availability).

Trả lời:

  • Khái niệm tấn công mạng và hành động bảo vệ an toàn mạng.

+ Tấn công mạng: là hành động làm phương hai đến an toàn một hệ thống

+ Hành động bảo vệ an toàn mạng là các kỹ thuật phát hiện, ngăn chặn, khôi phục hệ thống bị tấn công. Nhằm tăng cường độ bảo mật của hệ thống.



  • Các kiểu tấn công mạng, phân loại các mối đe dọa (active và passive)

  • Kiểu truyền thông thông thường và đơn giản nhất có dạng:



+ Các kiểu tấn công mạng: 4 kiểu: Gián đoạn (Interuption), nghe trộm (Interception), thay đổi (modification), giả mạo (fabrization)


  • Gián đoạn (interruption)  Tấn công vào tính khả dụng



  • Ăn cắp thông tin (Interception)  tấn công vào tính bảo mật



  • Thay đổi (modification)  tấn công vào tính toàn vẹn




  • Giả mạo (fabrization)  tấn công vào tính xác thực



+ Phân loại các mối đe dọa

  1. Thụ động (passive): nghe trộm, ăn cắp thông tin, phân tích lưu lượng.. để có được nội dung các thông điệp, giám sát luồng lưu lượng. Với kiểu tấn công này thì các bên tham gia không biết là mình đang bị tấn công.

  2. Chủ động (active): sửa đổi luồng dữ liệu để: giả mạo một thực thể khác, lặp tin, sửa thông tin, từ chối dịch vụ (DoS)… Các bên tham gia biết là bị tấn công.




  • Các dịch vụ an toàn mạng (confidentiality, authentication, integrity, nonrepudiation, access control, availability).

+ Định nghĩa:

• Theo X.800: Một dịch vụ cung cấp bởi tầng giao thức của hệ truyền thông mở, đảm bảo bảo mật thích hợp cho hệ thống hay dữ liệu truyền

• RFC 2828 : Một dịch vụ truyền thông hoặc tiến trình được cung cấp bởi một hệ thống để đưa ra các kiểu bảo vệ đặc trưng cho các tài nguyên của hệ thống.

+ Có 6 kiểu dịch vụ an toàn mạng chính:

• Bảo mật thông tin: bảo vệ thông tin cho những tấn công thụ động, ngăn chặn để lộ tới các bên trái phép,

• Dịch vụ chứng thực (chứng thực cho dữ liệu gốc và các bên tham gia): đảm bảo định danh thích đáng cho các thực thể và nguồn gốc của dữ liệu trước khi truyền thông.

• Dịch vụ toàn vẹn dữ liệu: đảm bảo dữ liệu không bị thay đổi, bên nhận nhận những thông tin đã gửi, không sửa đổi, chèn, xáo trộn hay lặp tin. Ngăn chặn sự sai lạc về dữ liệu

• Đảm bảo tính khả dụng: đảm bảo thông suốt dịch vụ, bảo vệ sự chống lại kiểu từ chối dịch vụ, những tấn công làm mất hoặc giảm tính khả dụng.

• Dịch vụ điều khiển truy cập: giới hạn và điều khiển các truy cập host và các ứng dụng của hệ thống, ngăn chặn những truy cập trái phép tài nguyên hệ thống,

• Dịch vụ không chối bỏ (Nonrepudiation):không thể từ chối thông tin đã được gửi hay nhận, thu thập những bằng chứng để ngăn cản sự từ chối của các bên tham gia giao dihcj hay truyền thông


Câu 2:

Trình bày về mã hóa và mã hóa đối xứng (mã hóa truyền thống):



  • Khái niệm mã hóa, tại sao cần mã hóa thông tin.

  • Khái niệm mã hóa đối xứng, cơ chế, các thành phần của hệ mã hóa đối xứng.

  • Các kiểu tấn công hệ mã hóa đối xứng (ciphertext only, known plaintext, chosen plaintext, chosen ciphertext).

Trả lời

  • Khái niệm mã hóa, tại sao cần mã hóa thông tin.

Mã hóa là quá trình biến đổi thông tin sang một dạng khác nhưng có thể biến đổi ngược về dạng ban đầu.

Thêm:

///Mật Mã (Cryptology)3, Trong tiến Hy lạp, kryptos nghĩa là che dấu, logos nghĩa là từ. Mật Mã (Cryptology) là ngành khoa học của các phương pháp truyền tin bảo mật. Mật mã có rất nhiều ứng dụng trong thực tế như bảo vệ giao dịch tài chính (rút tiền ngân hàng, mua bán qua mạng), bảo vệ bí mật cá nhân... Nếu kẻ tấn công đã vượt qua tường lửa và các hệ thống bảo vệ khác thì mật mã chính là hàng phòng thủ cuối cùng cho dữ liệu của bạn.


Cần phân biệt khái niệm cryptography với khái niệm steganography (tạm dịch là giấu thông tin). Điểm khác nhau căn bản nhất giữa hai khái niệm này là: cryptography là việc giấu nội dung của thông tin, trong khi steganography là việc giấu sự tồn tại của thông tin đó. ///
Tại sao cần mã hóa thông tin?

Mọi công việc hàng ngày của chúng ta đều có thể thực hiện đựợc từ xa với sự hổ trợ của máy vi tính và mạng internet (từ việc học tập, đi mua sắm, gửi thư… đến việc đi chợ của một cô đầu bếp). Tất cả thông tin liên quan đến những công việc này đều do máy vi tính quản lý và truyền đi trên hệ thống mạng. Đối với những thông tin bình thường thì không có ai chú ý đến, nhưng đối với những thông tin mang tính chất sống còn đối với một số cá nhân (hay tổ chức) thì vấn đề bảo mật thật sự rất quan trọng. Do đó mà cần phả mã hõa thông tin lại trước khi gửi đi. Cụ thể:



Thông thường việc trao đổi thông tin giữa hai người được mô tả ở hình 1.1, các bước thực hiện như sau:

+ Tạo ra thông tin cần gửi đi.

+ Gửi thông tin này cho các đối tác.

Theo cách này thì chúng ta sẽ không thể quản lý được sự bí mật của thông tin và người thứ ba không mong muốn nào đó có thể đón được thông tin trên. Vì vậy ta có thể xây dựng một mô hình trao đổi thông tin bảo mật như ở hình 1.2, các bước thực hiện như sau:

+ Tạo ra thông tin cần gửi đi.

+ Mã hóa và gửi thông tin đã được mã hóa đi.

+ Đối tác giải mã thông tin nhận được.

+ Đối tác có được thông tin ban đầu của người gởi

Hình 1.2 Mô hình mã hóa thông tin



Hơn nữa, mã hóa dữ liệu ngăn chặn được các việc sau :

  • Nghe trộm và xem lén dữ liệu.

  • Chỉnh sữa và đánh cắp lén dữ liệu.

  • Giả mạo thông tin.

  • Data non-repudiation.

  • Sự gián đoạn các dịch vụ mạng.

Khi nhận được gói tin, người nhận sẽ giải mã dữ liệu lại dạng cơ bản ban đầu. Cho dù dữ liệu có bị chặn trong suốt quá trình trao đổi dữ liệu.



  • Khái niệm mã hóa đối xứng, cơ chế, các thành phần của hệ mã hóa đối xứng.

+ Mã hóa đối xứng: là kiểu mã hóa hai bên tham gia truyền dữ liệu sử dụng chung một khóa để mã hóa và giải mã.

Một khoá có thể là một con số, một từ, hoặc một cụm từ được dùng vào mục đích mã hóa và giải mã dữ liệu.

Trước khi hai bên trao đổi dữ liệu, khóa phải được chia sẽ dùng chung cho cả 2 bên. Người gửi sẽ mã hóa thông tin bằng khóa riêng và gửi thông tin đến người. Trong quá trình nhận thông tin, người nhận sủ dụng cùng một khóa để giải mã thông điệp.

Hình vẽ: Mô hình mã hóa khóa đối xứng

+ Các thành phần của thuật toán (5 thành phần):


    • Plaintext: bản tin (dữ liệu) gốc

    • Encryption algorithm: Thuật toán mã hóa – thực hiện thay thế và biến đổi dữ liệu gốc

    • Secret key: khóa bí mật- đầu vào của thuật toán. Sự xáo trộn, thay thế được thực hiện phụ thuộc vào khóa này

    • Ciphertext: Bản tin đã bị biến đổi sau khi áp dụng thuật toán, nó phụ thuộc vào plaintext và khóa bí mật

    • Decryption algorithm: Thuật toán giải mã (phép biến đổi ngược). Sử dụng ciphertext và khóa bí mật để đưa ra bản tin gốc

Cụ thể hơn:

    • Plaintext: M

    • Hàm biến đổi mã hóa: Ek : :M C, where kK (tập khóa K- vô hạn).

    • Ciphertext: C

    • Hàm biến đổi ngược giải mã: Dk: CM (kK)

M  Ek  C  Dk  M
Ek được định nghĩa bởi thuật toán mã hóa E, Dk được định nghĩa bởi thuật toán giải mã D

Với mỗi K, D là nghịch đảo của Ek : DK(EK(M))=M , với mọi M




  • Các kiểu tấn công hệ mã hóa đối xứng (ciphertext only, known plaintext, chosen plaintext, chosen ciphertext).

Có 2 kiểu tấn công hệ mã hóa đối xứng: Phân tích mã hóa và Tấn công vét cạn (chỉ đi sâu vào tấn công phân tích mã hóa ):

+ Phân tích mã hóa: là quá trình cố gắng phát hiện bản tin gốc hoặc khóa. Có cách kiểu tấn công phân tích là:



  • Ciphertext only- chỉ dùng bản mã: đối phương chỉ có bản tin gốc đã mã hóa, dùng phương pháp thống kê, xác định bản gốc p

  • Known plaintext- biết bản tin gốc: đối phương có ciphertext và 1 số cặp p và c khác

  • Chosen plaintext: c và một engine biến đổi p-c, Đột nhập được vào máy mã hoá. Tự chọn văn bản p và mã hoá lấy được văn bản mã c tương ứng.

  • Chosen ciphertext: đối phương có c +một engine biến đổi c-p, Đột nhập được vào máy giải mã. Tự chọn văn bản mã c và giải mã lấy được văn bản p tương ứng


+ Tấn công vét cạn: thử với mọi trường hợp có thể. Phần lớn công sức của các tấn công đều tỉ lệ với kích thước khóa

Giả thiết là biết hoặc nhận biết được các bản tin gốc p:


Key size (bit)

Thời gian vét cạn

Thời gian (106 encrypt/Ms)

32

231 Ms= 35p

2 Ms

56

255= 1142 năm

10h

128

2127= 5,4.1024 năm

5,4.108










Như vậy, thuật toán này an toàn về mặt tính toán nhưng giá để phá khóa có khi vượt quá giá trị tính toán thu được.
 Một số kết luận về mã hóa đối xứng:

Hệ thống mã hóa đồng bộ đưa ra 2 vấn đề chính. Đầu tiên, bởi vì một khóa vừa được dùng để mã hóa vừa dùng để giả mã, nếu nó bắt đầu trở thành kẻ xâm nhập, thì tất cả những thông tin sữ dụng khóa này sẽ bị huỷ. Vì thế, khóa nên thường xuyên thay đổi theo định kỳ.

Một vấn đề khác là khi hệ thống mã hóa đồng bộ xữ lý một lượng thông tin lớn, việc quả lý các khóa sẽ trở thành một công việc vô cùng khó khăn. Kết hợp với việc thiết lặp các cặp khóa, phân phối, và thay đổi theo định kỳ đều đòi hỏi thời gian và tiền bạc.

Hệ hống mã hóa đối xứng đã giải quyết vấn đề đó bằng việc đưa ra hệ thống mã hóa đối xứng. Đồng thời, họ cũng tăng tính năng bảo mật trong suốt quá trình chuyển vận. Chúng ta sẽ được tham khảo thêm về hệ thống mã hóa bất đối xứng ở phần sau.



Câu 3:

Trình bày một số thuật toán mã hóa đối xứng:



  • Cấu trúc Feistel và thuật toán DES (Data Encryption Standard).

  • Tại sao hiện nay DES không còn an toàn nữa? Trình bày về thuật toán 3DES.

  • Thuật toán AES (Advanced Encryption Standard).

Trả lời:

- Cấu trúc Feistel

+ Ra đời 1973, của IBM

+ Bản tin gốc là khối bit có kích thước 2W (thường là 64 bits) và khóa K

+ Chia khối thành 2 phần Lo, Ro tại mỗi bước

+ Tại mỗi vòng: vòng I có input là Li-1, Ri-1 và subkey là Ki

+ Thực hiện các biến đổi hàm F+ XOR





-Thuật toán DES :

+ Ra đời 1977 áp dụng cấu trúc Feitiel . Ngay từ đầu, thuật toán của nó đã gây ra rất nhiều tranh cãi, do nó bao gồm các thành phần thiết kế mật, độ dài khóa tương đối ngắn, và các nghi ngờ về cửa sau để Cơ quan An ninh quốc gia Hoa Kỳ (NSA) có thể bẻ khóa. Do đó, DES đã được giới nghiên cứu xem xét rất kỹ lưỡng, việc này đã thúc đẩy hiểu biết hiện đại về mật mã khối (block cipher) và các phương pháp thám mã tương ứng

+ Block size là 64bits, khóa 56bit, số vòng: 16 vòng. Không an toàn với khóa 56 bit

+ Độ dài khóa ứng với thời gian vét cạn (hình vẽ):



+ Thuật toán mã hóa DES




Nguyên nhân DES ko an toàn: Hiện nay DES được xem là không đủ an toàn cho nhiều ứng dụng. Nguyên nhân chủ yếu là độ dài 56 bit của khóa là quá nhỏ. Khóa DES đã từng bị phá trong vòng chưa đầy 24 giờ. Đã có rất nhiều kết quả phân tích cho thấy những điểm yếu về mặt lý thuyết của mã hóa có thể dẫn đến phá khóa, tuy chúng không khả thi trong thực tiễn

Nguyên bản DES đề ra giải pháp cho một khóa có chiều dài lên đến 128 bit. Tuy nhiên, kích thước của khóa đã giảm xuống còn 56 bit bởi chính phủ Hoa Kỳ trong việc nổ lực tìm ra thuật giải nhanh hơn. Việc giảm chiều dài khóa xuống, phụ thuộc vào tốc độ xử lý của bộ vi xử lý. Trong phương pháp tấn công Brute Force, các khóa sẽ phát sinh ngẩu nhiên và được gửi đến đoạn văn bản nguyên mẩu cho tới khi xác định được từ khóa chính xác. Với những khóa có kích thước nhỏ, sẽ dễ dàng để phát sinh ra chính xác từ khóa và phá vở hệ thống mật mã.


Thuật toán 3DES:

+ Dùng 3 vòng mã hóa với 3 khóa khác nhau  kích thước khóa là 56x3=168



+ 3DES có tính an toàn nên hiện vẫn được sử dụng

+ Cũng giống như DES, 3DES cũng sử dụng khóa 56 bit. Tuy nhiên, nó an toàn hơn nhiều do dùng 3 khóa khác nhau để mã hóa dử liệu. Bộ xử lý thực hiện các bước sau : khóa đầu tiên dùng để mã hóa dữ liệu. Sau đó, khóa thứ hai sẽ dùng để giải mã dữ liệu vừa được mã hóa. Cuối cùng, khóa thứ ba sẽ mã hóa lần thứ hai. Toàn bộ quá trình xử lý của 3DES tạo thành một thuật giải có độ an toàn cao. Nhưng bởi vì đây là một thuật giải phức tạp nên thời gian thực hiện sẽ lâu hơn, gấp 3 lần so với phương pháp DES.


  • Thuật toán AES -Advanced Encryption Standard, hay Tiêu chuẩn mã hóa tiên tiến

+thuật toán được thiết kế bởi hai nhà mật mã học người Bỉ: Joan DaemenVincent Rijmen

+ Khác với với DES sử dụng mạng Feistel, Rijndael sử dụng mạng thay thế-hoán vị. AES có thể dễ dàng thực hiện với tốc độ cao bằng phần mềm hoặc phần cứng và không đòi hỏi nhiều bộ nhớ. Do AES là một tiêu chuẩn mã hóa mới, nó đang được triển khai sử dụng đại trà. AES Không dùng Feitel, dùng mã hóa khối đối xứng

+ Kích thước khóa: 128,192, 256 bit


C = EK3 [DK2 [EK1 [P ]]]


AES làm việc với từng khối dữ liệu 4×4 byte (tiếng Anh: state, khối trong Rijndael có thể có thêm cột). Quá trình mã hóa bao gồm 4 bước:



  1. AddRoundKey — mỗi byte của khối được kết hợp với khóa con, các khóa con này được tạo ra từ quá trình tạo khóa con Rijndael.

  2. SubBytes — đây là phép thế (phi tuyến) trong đó mỗi byte sẽ được thế bằng một byte khác theo bảng tra (Rijndael S-box).

  3. ShiftRows — đổi chỗ, các hàng trong khối được dịch vòng.

  4. MixColumns — quá trình trộn làm việc theo các cột trong khối theo một phép biến đổi tuyến tính.

Tại chu trình cuối thì bước MixColumns được thay thế bằng bước AddRoundKey

Các thuật toán đối xứng



Thuật toán

Khóa (bits)

Khối (bits)

Số vòng

DES

56

64

16

T-DES

168

64

48

AES

128,192,256

128

19,12,14

B Lowfish

448

64

16

RC5

2048

64

256



Câu 4:

Trình bày về chế độ mã hóa khối (block cipher) và vấn đề trao đổi khóa:



  • Khái niệm mã hóa khối, vấn đề của mã hóa khối.

  • Khái niệm cipher block chaining, tại sao cần sử dụng cipher block chaining.

  • Vấn đề trao đổi khóa trong mã hóa đối xứng, kỹ thuật sử dụng trung tâm phân phối khóa (KDC - Key Distribution Center) trong việc quản lý khóa.

Trả lời:

  • Khái niệm mã hóa khối, vấn đề của mã hóa khối.

Mã hóa khối là việc xử lý mã hóa theo từng khối n bit

Chia dữ liệu gốc thành các khối đều nhau (thêm phần đệm).

+ Chế độ electronic Code Book: Các khối dùng chung khóa nên các khối có đầu vòng giống nhau  kết quả mã hóa giống nhau.

+ Chế độ block Channing Mode (các khóa ko riêng biệt mà móc xích vào nhau): Tại mỗi phần mã hóa, khối plaintext hiện tại được thực hiện XOR với cipher ở bước trước



Hình vẽ: ví dụ về Cipher Block Chaining Mode

KDC - Key Distribution Center

+Both parties must have the secret key

+Key is changed frequently

+Requires either manual delivery of keys, or a third-party encrypted channel

+Most effective method is a Key Distribution Center (e.g. Kerberos)



Câu 5:

Trình bày về mã hóa và mã hóa bất đối xứng (mã hóa khóa công khai) :



  • Khái niệm mã hóa, tại sao cần mã hóa thông tin.

  • Khái niệm mã hóa bất đối xứng, cơ chế, các thành phần của hệ mã hóa bất đối xứng.

  • Các đặc điểm và yêu cầu của hệ mã hóa bất đối xứng.

Trả lời:

  • Khái niệm mã hóa, tại sao cần mã hóa thông tin. (giống câu 2- ý 1)

- Khái niệm mã hóa bất đối xứng, cơ chế, các thành phần của hệ mã hóa bất đối xứng.

+ Khái niệm: Thay vì sử dụng một khóa đơn trong hệ thống mã hóa đối xứng, hệ thống mã hóa bất đối xứng sử dụng một cặp khóa có quan hệ toán học. Một khóa là riêng tư, chỉ được dùng bởi chính chủ nhân. Khóa thứ hai thì được phổ biến, công cộng và phân phối tự do. Khóa công cộng thì được dùng để mã hóa và ngược lại khóa riêng thì được dùng để giải thông tin.



+ Các thành phần:

  • Plaintext: bản tin gốc

  • Encryption Algrothm: phép biến đổi xuôi, thực hiện biến đổi bản tin gốc

  • Public/Private keys: cặp khóa công khai/bí mật

  • Ciphertext: bản tin đã biến đổi

  • Decryption Algrothm: phép biến đổi ngược, khôi phục bản tin gốc

+ Các bước thực hiện:

  • User tạo ra 1 cặp khóa

  • Công bố công khai khóa PU (Publish)

  • Giữ bí mật khóa PR (private)

  • Dữ liệu truyền từ A B nghĩa là A mã hóa dữ liệu bằng PU của B; B giải mã bằng khóa PR của A.

- Các đặc điểm và yêu cầu của hệ mã hóa bất đối xứng.

  • Thuận tiện cho người dùng có thể tạo khóa PU/PR

  • Cho phép bên gửi dễ dàng thực hiện mã hóa bằng PU

C= EPU (M)

  • Cho phép bên nhận dễ dàng thực hiện giải mã

M= DPR (C) = DPR (EPU(M))

  • Không cho phép tính ngược PR từ PU

  • Không cho phép thực hiện giải mã khi có c và PU

  • Một trong hai khóa có thể dùng để mã hóa và khóa còn lại để giải mã.








Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2019
được sử dụng cho việc quản lý

    Quê hương