Đề tài Quản lý khóa trong VPN

TỔNG CÔNG TY BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TRUNG TÂM ĐÀO TẠO BƯU CHÍNH VIÊN THÔNG I --------------------------------- MÔN KỸ THUẬT VIỄN THÔNG LỚP HCD06 CNTT QUẢN LÝ KHÓA TRONG VPN GV HƯỚNG DẪN: NGUYỄN VIỆT HÙNG THỰC HIỆN: LÊ GIA CƯỜNG NGÔ QUANG HƯNG NGUYỄN SỸ NGHỊ LÊ VĂN THÀNH HÀ NỘI THÁNG 06/2007 Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 2 MỤC LỤC MỤC LỤC ......................................................................................................................................... 2 BẢNG CÁC TỪ VIẾT TẮT................................................................................................................ 3 Chương 1: GIỚI THIỆU CHUNG VỀ QUẢN LÝ KHOÁ ................................................................... 4 1. Quản lý khóa là gì? tại sao phải quản lý khóa? ..............................................................4 1) Quản lý khóa là gì? ......................................................................................................... 4 2) Tại sao phải quản lý khóa? ............................................................................................. 5 2. Các phương pháp quản lý khóa......................................................................................6 1) Mã hóa dữ liệu. ............................................................................................................... 6 2) Public Key Infrastructure ............................................................................................... 11 Chương 2: NGUYÊN TẮC HOẠT ĐỘNG....................................................................................... 14 1. Xác nhận thông tin, thiết lập kênh bảo mật cho SA. .....................................................14 2. Thiết lập SAs cho IPSec ...............................................................................................15 1. Các giai đoạn hoạt động của IKE (IKE Phases) ........................................................... 15 2. Cơ chế hoạt động của 2 protocol ESP và AH............................................................... 16 3. Bốn chế độ IKE phổ biến: .............................................................................................18 1) Main Mode..................................................................................................................... 18 2) Aggressive Mode........................................................................................................... 20 3) Quick Mode ................................................................................................................... 22 4) New Group Mode .......................................................................................................... 22 Chương 3: ỨNG DỤNG ................................................................................................................. 24 1. Chứng thực cho người dùng bí mật ..............................................................................24 2. Chứng thực với những chữ ký. .....................................................................................26 3. Chứng thực với sự mã hóa chìa khóa công cộng. ........................................................27 Chương 4: KẾT LUẬN.................................................................................................................... 28 Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 3 BẢNG CÁC TỪ VIẾT TẮT STT Từ viết tắt Nghĩa tiếng Anh Nghĩa tiếng Việt 1 VPN Vitual Private Network Mạng riêng ảo 2 WAN Wide Area Network Mạng diện rộng 3 IPSec Internet Protocol Sercurity Giao thức bảo mật Internet 4 IKE Internet Key Exchange Chuyển giao khóa Internet 5 SA Sercurity Association Kết hợp bảo mật 6 ISA Internet Sercurity Association Kết hợp bảo mật Internet 7 ISAKMP ISA Key Management Protocol Kêt hợp giao thức chuyển khóa bảo mật Internet 8 DES Data Encryption Standard Tiêu chuẩn mã hóa dữ liệu 9 FISP Federal Information Processing Standard Tiêu chuẩn xử lý thông tin liên bang hoa kỳ 10 DH Diffie-Hellman Thuật toán Diffie-Hellman 11 RSA Rivest Shamir Adleman Thuật toán Rivest Shamir Adleman 12 MD message digest Thông điệp phân loại 13 PKI Public Key Infrastructure Các bộ phận khóa công cộng 14 AH Authentication Header Giao thức xác thực và bảo đảm tính trọn vẹn dự liệu 15 ESP Encapsulating Security Payload Giao thức mã hóa, xác thực, bảo đảm tính trọn vẹn dữ liệu Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 4 Chương 1: GIỚI THIỆU CHUNG VỀ QUẢN LÝ KHOÁ TỔNG QUAN VỀ QUẢN LÝ KHÓA Mạng riêng ảo (Vitual private Network - VPN) là phương pháp làm cho một mạng công cộng ( ví dụ như mạng Internet) hoạt động giống như một mạng cục bộ, có cùng các đặc tính như bảo mật và tính ưu tiên mà người dung từng ưa thích. VPN cho phép thành lập các kết nối riêng với những người dung ở xa, các văn phòng chi nhánh của công ty và các đối tác của công ty đang sử dụng chung một mạng công cộng. Mạng diện rộng WAN (Wide Area Network) truyền thống yêu cầu công ty phải chi trả chi phí duy trì và nhiều loại đường dây riêng, song song với việc đầu tư thiết bị và đội ngũ cán bộ. Nhưng những vấn đề về chi phí làm cho các công ty dù muốn hưởng lợi ích mà việc mở rộng mạng đem lại làm họ đôi khi không thực hiện được. Trong khi đó, VPN không bị những dào cản về chi phí như các mạng WAN trên do được thực hiện trên một mạng công cộng. Để thực hiện được công việc biến mạng công cộng thành một mạng nộ bộ, có nhiều vấn đề cần đặt ra để được giải quyết. một trong các vấn đề đó chính là bảo mật cho hệ thống. mà một trong những yếu tố cần thiết để tạo nên tính bảo mật cho hệ thống là phương pháp quản lý khoá. Trong bài tập lớn môn kỹ thuật viễn thông, nhóm 03 chúng tôi muốn đi xâu tìm hiều các vấn đề về quản lý khoá trong bảo mật hệ thống. 1. Quản lý khóa là gì? tại sao phải quản lý khóa? 1) Quản lý khóa là gì? Một trong những mối quan tâm chính của bất kỳ một công ty nào là việc bảo mật dữ liệu của họ. bảo mật dữ liệu chống lại các truy nhập và thay đổi trái phép không chỉ là một vấn đề trên các mạng, Việc truyền dữ liệu giữa các máy tính hay giữa các mạng LAN với nhau có thể làm cho dữ liệu dễ bị tấn công do rình mò và dê bị thâm nhập hơn là khi dữ liệu chỉ nằm trên máy tính đơn. Trong truyền thông sử dụng giao thức IPSec, đòi hỏi phải có chuyển giao khoá, do đó đòi hỏi phải có một cơ chế quản lý khoá. Có hai phương thức để chuyển khoá, đó là chuyển khoá bằng tay và chuyển khoá qua Internet IKE (Internet Key Exchange). Cả hai phương thức này đều không thể thiếu được trong IPSec. Một hệ thống IPSec phụ thuộc phải hỗ trợ phương thức chuyển khoá bằng tay. Phương thức chìa khoá trao tay này, chẳng hạn như khoá thương mại ghi trên giấy, trên đĩa mềm hay thông qua gửi bưu phẩm, email… Mặc dù phương thức chìa khoá trao tay thích hợp với một số lượng nhỏ các site nhưng một phương thức quản lý tự động và kiểm soát được thì phù hợp với các yêu cầu tạo những SA. Giao thức quản lý chuyển giao khoá mặc định trong IPSec là Internet Key Exchange (IKE), là kết quả của sự kết hợp giữa bảo mật Internet ISA (Interne Sercurity Assocation) và giao thức chuyển khoá (ISAKMP). IKE còn có một tên gọi khác là ISAKMP/Oakley. IKE có các khả năng sau: Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 5 - Cung cấp các phương tiện cho hai bên thỏa thuận sử dụng các giao thức, giải thuật và khóa. - Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đối tượng - Quản lý các khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận. - Đảm bảo các khóa được chuyển một cách bảo mật. Chuyển khóa tương tự như quản lý kết hợp (Internet Assocation). Khi cần tạo một SA cần phải chuyển khóa. Do đó cấu trúc của IKE bọc chúng lại với nhau và chuyển chúng đi như một gói tích hợp. 2) Tại sao phải quản lý khóa? Internet được xem là một môi trường không an toàn, dữ liệu truyền qua dễ bị sự truy cập bất hợp pháp và nguy hiểm. Sự ra đời của VPN, dựa trên giao thức Tunneling đã làm giảm một lượng đáng kể số lượng rủi ro không an toàn. Vì thế, làm thế nào để bảo đảm dữ liệu được an toàn qua VPN ? Làm thế nào để những dữ liệu dễ bị hư hỏng tránh khỏi sự truy cập không hợp pháp và không an toàn ? Trong phần này chúng ta sẽ tìm hiểu về nó. Dữ liệu truyền trên mạng thường dễ bị tấn công bằng nhiều cách, sau đây là một số cách tấn công phổ biến : Làm gián đoạn dịch vụ mạng (Network service interruptions) : Thỉnh thoảng, các mối tấn công từ bên ngoài cũng có mức độ nguy hiểm tương đương với bị tấn công từ bên trong, một số tài nguyên và dịch vụ mạng có thể bị làm cho không sử dụng được trong một thời gian dài. Trong trường hợp này, toàn bộ mạng của bạn sẽ không thể được truy cập bởi người dùng. Ngăn Chặn Dữ Liệu (Data interception) : Khi trao đổi dữ liệu trên mạng, dữ liệu có thể bị ngăn chặn bởi những cá nhân không được phép. Kết quả là những thông tin cẩn mật bị mất. Trong trường hợp này, vị trí của tổ chức bạn sẽ có thể bị mất (trong vấn đề kinh doanh và tiền bạc) nếu những dữ liệu rơi vào tay những cánh tay ngoài ý muốn. Chỉnh Sữa Thông Tin (Data modification) : Thông tin bị chặn có thể bị sữa đổi và người nhận thông tin có thể sẽ nhận được những thông tin sai lệch hoặc bị xáo trộn. Điều này khiến cho tổ chức của bạn sẽ phải mất một số tiền lớn, đặc biệt là những dữ liệu quan trọng. Làm Giả Thông Tin (Data fabrication) : Theo kiểu này, những người dùng không hợp pháp cũng được xem như những người dùng hợp pháp và đáng tin. Sau khi truy cập vào hệ thống mạng, những cá nhân này sẽ phổ biến những thông tin giả mạo và có hại đến những người dùng khác trong mạng. Và cuối cùng có thể phái vỡ một phần hoặc toàn bộ hệ thống mạng. Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 6 Hình 1: Generic implementation of user authentication and access control in VPNs Chính vì thế, trong truyền thông, chúng ta phải dùng các phương pháp để đảm bảo dữ liệu đường truyền, bảo mật thông tin hệ thống. Một trong các cách đảm bảo đó là dùng các phương pháp quản lý khóa. 2. Các phương pháp quản lý khóa. 1) Mã hóa dữ liệu. Mã hóa hoặc mật mã hóa dữ liệu là một trong những thành phần cơ bản của VPN security. Đây là cơ chế chuyển đổi dữ liệu sang một định dạng khác không thể đọc được, vi dụ như ciphertext (văn bản viết thành mật mã), để có thể ngăn cản những truy cập bất hợp pháp khi dữ liệu trao đổi trong môi trường mạng không an toàn. Mã hóa dữ liệu ngăn chặn được các việc sau : - Nghe trộm và xem lén dữ liệu. - Chỉnh sữa và đánh cắp lén dữ liệu. - Giả mạo thông tin. - Data non-repudiation. - Sự gián đoạn các dịch vụ mạng. Khi nhận được gói tin, người nhận sẽ giải mã dữ liệu lại dạng cơ bản ban đầu. Cho dù dữ liệu có bị chặn trong suốt quá trình trao đổi dữ liệu. Hình 2: The traditional encryption model Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 7 Người gởi và người nhận, phụ thuộc vào quá trình mã hóa,dưới hình thức là một hệ thống mã hóa. Hệ thống mã hoá (Cryptosystems) có 2 loại sau : - Đối xứng (Symmetric) - Bất đối xứng (Asymmetric) Một hệ thống mã hóa được phân loại dựa vào con số của khoá mà nó dùng. Một khoá có thể là một con số, một từ, hoặc một cụm từ được dùng vào mục đích mã hóa và giải mã dữ liệu. a. Hệ thống mã hóa đối xứng (Symmetric Cryptosystems) Symmetric cryptosystems dựa trên một khóa đơn, đó là một chuỗi ngắn với chiều dài không thay đổi. Do đó, phương pháp mã hóa này được xem như là single- key encryption. Khoá thường là khóa riêng (hoặc bảo mật) và được dùng để mã hóa cũng như giải mã. Ghi chú : Trong một số tài liệu, symmetric cryptosystem cũng được xem như khóa scryptosystems riêng hoặc bí mật và kỹ thuật này cũng được xem như khóa mật mã riêng hoặc khóa mật mã bí mật. Trước khi hai bên trao đổi dữ liệu, khóa phải được chia sẽ dùng chung cho cả 2 bên. Người gửi sẽ mã hóa thông tin bằng khóa riêng và gửi thông tin đến người. Trong quá trình nhận thông tin, người nhận sủ dụng cùng một khóa để giải mã thông điệp. Hình 3: The symmetric cryptosystem. Phụ thuộc vào chiều dài của khóa, có rất nhiều thuật giải mã hóa đối xứng đã được phát triển cho đến nay. Sau đây là một số thuật giải thường được sử dụng trong VPN : + Tiêu chuẩn mã hóa dữ liệu (Data Encryption Standard (DES)). Nguyên bản DES đề ra giải pháp cho một khóa có chiều dài lên đến 128 bit. Tuy nhiên, kích thước của khóa đã giảm xuống còn 56 bit bởi chính phủ Hoa Kỳ trong việc nổ lực tìm ra thuật giải nhanh hơn. Việc giảm chiều dài khóa xuống, phụ thuộc vào tốc độ xử lý của bộ vi xử lý. Trong phương pháp tấn công Brute Force, các khóa sẽ phát sinh ngẩu nhiên và được gửi đến đoạn văn bản nguyên mẩu cho tới khi xác định được từ khóa chính xác. Với những khóa có kích thước nhỏ, sẽ dễ dàng để phát sinh ra chính xác từ khóa và phá vở hệ thống mật mã. Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 8 Chú ý : Tên chính thức của DES là Federal Information Processing Standard (FISP) (Tiêu chuẩn xứ lý thông tin liên bang (Hoa kỳ). + Bội ba tiêu chuẩn mã hóa dữ liệu (Triple Data Encryption Standard (3DES)). Cũng giống như DES, 3DES cũng sử dụng khóa 56 bit. Tuy nhiên, nó an toàn hơn nhiều do dùng 3 khóa khác nhau để mã hóa dử liệu. Bộ xử lý thực hiện các bước sau : khóa đầu tiên dùng để mã hóa dữ liệu. Sau đó, khóa thứ hai sẽ dùng để giải mã dữ liệu vừa được mã hóa. Cuối cùng, khóa thứ ba sẽ mã hóa lần thứ hai. Toàn bộ quá trình xử lý của 3DES tạo thành một thuật giải có độ an toàn cao. Nhưng bởi vì đây là một thuật giải phức tạp nên thời gian thực hiện sẽ lâu hơn, gấp 3 lần so với phương pháp DES. + Ron's Code 4 (RC4). Được phát triển bởi Ron Rivest, thuật giải này sử dụng những từ khóa với chiều dài có thể biến đổi lên đến 256 bytes. Bởi vì chiều dài của khóa, RC4 được phân loại là một cơ chế mã hóa mạnh. Nó cũng tương đối khá nhanh. RC4 tạo một dòng bytes ngẩu nhiên và XORs chúng với văn bản nguyên mẩu. Bởi vì các bytes được phát sinh ngẩu nhiên, RC4 đòi hỏi một khóa mới cho mổi lần gởi thông tin ra ngoài. Hệ thống mã hóa đồng bộ đưa ra 2 vấn đề chính. Đầu tiên, bởi vì một khóa vừa được dùng để mã hóa vừa dùng để giả mã, nếu nó bắt đầu trở thành kẻ xâm nhập, thì tất cả những thông tin sữ dụng khóa này sẽ bị huỷ. Vì thế, khóa nên thường xuyên thay đổi theo định kỳ. Một vấn đề khác là khi hệ thống mã hóa đồng bộ xữ lý một lượng thông tin lớn, việc quả lý các khóa sẽ trở thành một công việc vô cùng khó khăn. Kết hợp với việc thiết lặp các cặp khóa, phân phối, và thay đổi theo định kỳ đều đòi hỏi thời gian và tiền bạc. Hệ hống mã hóa đối xứng đã giải quyết vấn đề đó bằng việc đưa ra hệ thống mã hóa đối xứng. Đồng thời, họ cũng tăng tính năng bảo mật trong suốt quá trình chuyển vận. Chúng ta sẽ được tham khảo thêm về hệ thống mã hóa bất đối xứng ở phần sau. b. Hệ Thống Mã Hóa Bất Đối Xứng (Asymmetric Cryptosystems). Thay vì sử dụng một khóa đơn trong hệ thống mã hóa đối xứng, hệ thống mã hóa bất đối xứng sử dụng một cặp khóa có quan hệ toán học. Một khóa là riêng tư, chỉ được chính chủ nhân. Khóa thứ hai thì được phổ biến, công cộng và phân phối tự do. Khóa công cộng thì được dùng để mã hóa và ngược lại khóa riêng thì được dùng để giải thông tin. Trong VPN, 2 hệ thống mã hóa bất đối xứng được dùng phổ biến là thuật toán Diffie-Hellman (DH) và thuật toán Rivest Shamir Adleman (RSA). c. Thuật toán Diffie-Hellman Trong thuật toán DH, mổi thực thể giao tiếp nhận được một cặp khóa, một được phân phối tới những thực thể thông tin khác và một được giữ lại riêng. Thuật toán DH làm việc theo những vấn đề chính sau : 1. Người gửi nhận khóa công cộng của người nhận, do khóa này là khóa công cộng nên đều được mọi người biết. 2. Người gửi thực hiện một thao tác gộp khóa riêng và khóa công công của người nhận, kết quả cho ra một khóa chung bảo mật (shared secret key). Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 9 3. Thông điệp sẽ được mã hóa bằng khóa vừa nhận được. 4. Sau đó thông điệp mã hóa sẽ được gửi đến người nhận. 5. Trong qua trình nhận thông điệp mã hóa, bên nhận sẽ phát sinh một khóa chung mật khác cũng bằng thao tác tương tự gộp chính khóa riêng của mình với khóa chung của bên gửi. Giả định cơ bản của thuật toán này là nếu bất kỳ một ai bắt được thông điệp mã hóa, người đó cũng không thể nào giải mã được bởi vì anh hoặc cô ta không xữ lý khóa riêng của bên nhận được (khóa riêng của anh hoặc cô ta). Dữ liệu được trao đổi dựa trên thuật toán Diffie-Hellman được mô tả ở hình 3-4. Hình 4: Data exchange as defined by the Diffie-Hellman algorithm. Mặc dù thuật toán DH có một độ an toàn cao hơn so với hệ thống mã hóa đối xứng, nhưng cũng gặp một số vấn đề khó khăn. Phải đảm bảo chắc chắn rằng khóa công cộng phải được trao đổi trước khi quá trình trao đổi dữ liệu thực sự được xác định. Cho ví dụ : nếu 2 bên trao đổi khóa công cộng cho nhau qua môi trường không an toàn, như Internet, điều đó có thể làm cho khóa công cộng có thể bị bắt giữ trước bởi một người xâm phạm nào đó, sau đó người này sẽ gửi khóa công cộng của mình cho cả hai bên đầu cuối đang thực hiện trao đổi . Trong trường hợp này, người xâm nhập sẽ dễ dàng mắc vào nghe lén thông tin của hai bên đầu cuối bởi vì cả hai bên đầu cuối đều trao đổi dữ liệu thông qua khóa công cộng của người xâm phạm. Đây là một dạng xâm nhập được biết như một kiểu tấn công Man-in-the-Middle. Thuật toán Rivest Shamir Adleman (RSA), sẽ được tham khảo tiếp theo sau sẽ giải quyết hiệu quả phương pháp tấn công Man-in-the-Middle mà đã nảy ra trong thuật toán DH. Thuật toán RSA nổi lên như là một cơ chế mã hóa bất đối xứng khá mạnh. d. Thuật toán Rivest Shamir Adleman (RSA) Thuật toán RSA triển khai quá trình xác nhận bằng cách sử dụng chữ ký điện tử theo các bước sau : 1. Khóa công cộng của người gửi được yêu cầu và được dùng cho người nhận và sau đó được chuyễn hướng về phía trước (forward). Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 10 2. Người gửi sử dụng hàm băm để làm giảm kích thước mẩu tin gốc. Thông điệp tổng hợp thì được hiểu như là một thông điệp phân loại (message digest (MD)). 3. Người gửi mã hóa thông điệp phân loại bằng khóa riêng của nó được rút ra từ sự phát sinh chữ ký điện tử độc nhất. 4. Thông điệp và chữ ký điện tử được kết hợp và chuyễn hướng đến người nhận. 5. Trong lúc nhận thông điệp mã hóa, người nhận phục hồi lại thông điệp phân loại bằng cách sử dụng cùng một hàm băm như người gửi. 6. Người nhận sau đó giải mã chữ ký điện tử bằng cách sử dụng khóa công cộng của người gửi. 7. Người nhận sau đó sẽ so sánh thông điệp phân loại vừa được phục hồi (bước 5) và thông điệp phân loại nhận được từ chữ ký điện tử (bước 6). Nếu cả hai đồng nhất, tức là dữ liệu không bị chặn đứng, giả mạo hoặc chỉnh sửa trong suốt quá trình trao đổi. Ngược lại, dữ liệu sẽ không được chấp nhận, bị từ chối. Hình 5: Data exchange as defined by the RSA algorithm. RSA bảo đảm an toàn và bảo mật trong chuyến đi của dữ liệu bởi vì người nhận kiểm tra sự đúng đắn của dữ liệu qua 3 lần (bước 5, 6 và 7). RSA cũng làm đơn giản hóa công việc quản lý khóa. Trong cách mã hóa đối xứng, n2 khóa được yêu cầu nếu trong quá trình trao đổi có n thực thể. Bằng cách so sánh, cách mã hóa bất đối xứng chỉ đòi hỏi 2*n k