Tải bản đầy đủ (.docx) (28 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Cơ sở dữ liệu

TÌM HIỂU SSL an toàn và bảo mật thông tin doanh nghiệp

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (665.4 KB, 28 trang )

TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
KHOA HỆ THỐNG THÔNG TIN KINH TẾ
************0O0************
BỘ MÔN :AN TOÀN VÀ BẢO MẬT THÔNG TIN DOANH NGHIỆP
LHP :1201ECIT0911
ĐỀ TÀI THẢO LUẬN 4:TÌM HIỂU SSL.
NHÓM THỰC HIỆN :04
STT Họ và tên
1 Trương Thị Minh Hồng
2 Nguyễn Thị Huế
3 Nguyễn Hữu Hùng
4 Trần Dương Việt Hùng
5 Cồ Thùy Hương
6 Bùi Thị Thanh Hường
7 Nguyễn Thị Hường (nhóm trưởng)
8 Nguyễn Thị Thanh Hường
9 Vũ Minh Huy
MỤC LỤC
PHẦN 1:MỞ ĐẦU.
PHẦN 2:NỘI DUNG.
I.Tổng quan về giao thức SSL.
1.Lịch sử phát triển giao thức SSL
 Phiên bản SSL 1.0
 Phiên bản SSL 2.0
 Phiên bản SSL 3.0
2.Giới thiệu về giao thức SSL
II.Cấu trúc và hoạt động của SSL.
1.Cấu trúc giao thức SSL.
 Giao thức SSL Handshake
 Giao thức SSL Change Cipher Spec
 Giao thức SSL Alert


 Giao thức SSL Record Layer
2.Hoạt động SSL.
2.1- Giải thuật MAC
2.2-Các thuật toán mã hoá dùng trong SSL
 Số nhận dạng theo phiên làm việc ngẫu nhiên.
 Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL.
 Độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin.
2.3-Cơ chế hoạt động SSL
III.Tấn công và cách phòng chống.
1.Tấn công
2. Cách phòng chống
IV.Đánh giá việc sử dụng giao thức SSL.
1.Ưu điểm,hạn chế.
2. Một số ứng dụng nổi bật của giao thức SSL.
PHẦN 3:KẾT LUẬN
PHẦN MỘT:MỞ ĐẦU
Vấn đề đặt ra: Dữ liệu là tài sản quan trọng nhất của người dùng trên máy tính.Có
thể nói nhu cầu sử dụng máy tính và mạng đều xuất phát từ dữ liệu.Thông thường
khi quyết định lựa chọn một phương pháp bảo vệ cho máy tính thì dữ liệu giữ vai
trò tiên quyết.Hệ điều hành và các ứng dụng có thể cài đặt lại, nhưng dữ liệu người
được tạo bởi người dùng là duy nhất, nếu bị mất sẽ không có gì thay thế được.
Dữ liệu trong khi truyền giữa người gửi và người nhận là lúc dễ bị tấn công
nhất.Hầu hết các phương pháp tấn công đều nhằm vào dữ liệu,đều thực hiện trong
quá trình giao dịch điện tử.
Do đó,Bảo mật kênh truyền dữ liệu trong việc thực hiện các giao dịch thương mại
điện tử là rất quan trọng.Hiện nay,bảo mật kênh truyền chủ yếu tập trung vào các
giao thức mã hóa.
Một số giao thức bảo mật kênh truyền dữ liệu:Giaothức SSL (Secure Socket
Layer),giao thức SET(Secure Electronic Transaction),giao thức WEP (Wireless
Encryption Protocol).Sau đây,ta xét giao thức SSL.

SSL là một sự xuất hiện bổ sung của VPN trên thị trường.Nó được thiết kế cho
những giải pháp truy nhập từ xa và không cung cấp những kết nối site-to-site.SSL
VPNs cung cấp vấn đề bảo mật truy cập đầu tiên những ứng dụng web.Bởi vì SSL
sử dụng trình duyệt web,điển hình là những người sử dụng không phải chạy bất kỳ
phần mềm client đặc biệt nào trên những máy tính của họ.SSL có rất nhiều những
ứng dụng và có thể dễ dàng được sử dụng để xây dựng mục đích tổng quát những
đường ống ảo ở tầng Transport.SSL hoạt động trên vùng rộng nghĩa là những tiện
ích của TCPdump và SSLdump
Chính vì vậy:SSL được coi là giao thức bảo mật quan trọng trong lớp vận chuyển
(Layer Transport) có tầm quan trọng cao nhất đối với sự bảo mật của các trình ứng
dụng trên web.Trên thực tế SSL đã có nhiều ứng dụng trong việc:Xác thực
website,giúp nâng cao hình ảnh,thương hiệu,và uy tín của doanh nghiệp,hay bảo
mật giữa khách hàng và doanh nghiệp,các dịch vụ truy nhập hệ thống,bảo mật
wedmail và các ứng dụng như Outlook Wed Access,Exchange,và Office
Communication Server Ở phần tiếp theo,nhóm 4 sẽ trình bày cụ thể về cấu
trúc,cách làm việc,cũng như những ứng dụng nổi bật của giao thức SSL.
PHẦN HAI:NỘI DUNG
I.Tổng quan về giao thức SSL.
1.Lịch sử phát triển của giao thức SSL:
SSL được coi là giao thức bảo mật quan trọng lớp vận chuyển (Layer Transport) có
tầm quan trọng cao nhất đối với sự bảo mật của các trình ứng dụng trên web.Nói
chung,có một số khả năng bảo vệ bằng mật mã lưu lượng dữ liệu HTTP.
Netscape Communication đã giới thiệu SSL và một giao thức tương ứng với phiên
bản đầu tiên của Netscape Navigator.Netscape Communication đã không tính phí
các khách hàng của mình khi thực thi giao thức bảo mật.Sau đó,SSL trở thành giao
thức nổi bật để cung cấp các dịch vụ bảo mật cho lưu lượng dữ liệu HTTP đã mất
dần vị thế
Cho đến bây giờ, có ba phiên bản của SSL:
 Phiên bản SSL 1.0: được sử dụng nội bộ chỉ bởi Netscape
Communications.Phiên bản này đã chứa một số khiếm khuyết nghiêm

trọng và không bao giờ được tung ra bên ngoài.
 Phiên bản SSL 2.0: được kết nhập vào Netscape Communications 1.0 đến
2.x.Nó có một số điểm yếu liên quan đến sự hiện thân cụ thể của cuộc tấn
công của đối tượng trung gian.Trong một nỗ lực nhằm dùng sự không chắc
chắn của công chúng về bảo mật của SSL,Microsoft cũng đã giới thiệu
giao thức PCT (Private Communication Technology) cạnh tranh trong lần
tung ra Internet Explorer đầu tiên của nó vào năm 1996.
 Phiên bản SSL 3.0:Netscape Communications đã phản ứng lại thách thức
PTC của Microsoft bằng cách giới thiệu SSL 3.0 nhằm giải quyết các vấn
đề trong SSL 2.0.Tháng 3/1996,thông số kỹ thuật SSL 3.0 đã được tung ra
chính thức.Nó được thực thi trong tất cả các trình duyệt chính,ví dụ
Microsoft Internet Explorer 3.0,Netscape Navigator 3.0 (và các phiên bản
cao hơn), và Open.
2.Giới thiệu về giao thức SSL.
Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên
cứu Netscape dẫn dắt bởi Elgammal và ngày nay đã trở thành chuẩn bảo mật thực
hành trên mạng Internet.
SSL (Secure Socket Layer ) là giao thức đa mục đích được thiết kế để tạo ra các
giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443)
nhằm mã hoá toàn bộ thông tin đi/đến,mà ngày nay được sử dụng rộng rãi cho giao
dịch điện tử như truyền số hiệu thẻ tín dụng,mật khẩu,số bí mật cá nhân (PIN) trên
Internet.
Hình 1: Các số cổng được gán cho các giao thức ứng dụng chạy trên TLS/SSL.
Giao thức SSL (Secure Socket Layer) tổ hợp nhiều giải thuật mã hóa nhằm đảm
bảo quá trình trao đổi thông tin trên mạng được bảo mật.Việc mã hóa dữ liệu diễn
ra một cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức
TCP.SSL hiện nay là giao thức bảo mật rất phổ biến trên Internet trong các hoạt
động thương mại điện tử (E-Commerce).
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho
rất nhiều ứng dụng .

Để đảm bảo tính bảo mật thông tin trên internet hay bất kì mạng TCP/IP nào thì
SSL ra đời kết hợp với những yếu tố sau để thiết lập giao dịch an toàn:
 Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của
kết nối.Cũng như vậy,các trang Web cũng cần phải kiểm tra tính xác thực
của người sử dụng.
 Mã hoá: đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba.Để
loại trừ việc nghe trộm những thông tin “ nhạy cảm” khi nó được truyền qua
Internet.
 Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện
chính xác thông tin gốc gửi đến.
II.Cấu trúc và cách làm việc của SSL.
1.Cấu trúc giao thức SSL:
SSL là giao thức tầng (layered protocol),giao thức SSL gồm hai phần chính:SSL
Record Protocol và một số giao thức con được sắp xếp trên nó.Các giao thức con
SSL được sắp xếp lớp trên SSL Record Protocol để cung cấp sự hỗ trợ cho việc
quản lý session SSL và thiết lập nối kết.
Như vậy,Cấu trúc SSL gồm 4 giao thức con sau:
 Giao thức SSL Handshake
 Giao thức SSL Change Cipher Spec
 Giao thức SSL Alert
 Giao thức SSL Record Layer
Vị trí của các giao thức trên, tương ứng với mô hình TCP/IP được minh hoạ theo
biểu đồ sau:
Hình 2:Cấu trúc SSL tương ứng trên TCP/IP.
*Đặc trưng giao thức SSL:
 Theo biểu đồ trên, SSL nằm trong tầng ứng dụng của giao thức TCP/IP.Do
đặc điểm này, SSL có thể được dùng trong hầu hết mọi hệ điều hành hỗ trợ
TCP/IP mà không cần phải chỉnh sửa nhân của hệ thống hoặc ngăn xếp
TCP/IP.Điều này mang lại cho SSL sự cải tiến mạnh mẽ so với các giao thức
khác như IPSec (IP Security Protocol).Vì giao thức này đòi hỏi nhân hệ điều

hành phải hỗ trợ và chỉnh sửa ngăn xếp TCP/IP.SSL cũng có thể dễ dàng
vượt qua tường lửa và proxy, cũng như NAT (Network Address Translation)
mà không cần nguồn cung cấp.
 Bất kỳ ứng dụng mạng nào khi cài đặt sử dụng mô hình TCP/IP đều có thể
thay đổi cấu hình để có thể sử dụng giao thức SSL.
Ta xét cụ thể bốn giao thức con của SSL:
Một là:Giao thức SSL Handshake
Giao thức này cho phép server và client chứng thực với nhau và thương lượng cơ
chế mã hóa ,thuật toán MAC và khóa mật mã được sử dụng để bảo vệ dữ liệu được
gửi trong SSL record.Giao thức SSL Handshake thường được sử dụng trước khi dữ
liệu của ứng dụng được truyền đi.
Cơ chế giao thức SSL Handshake
Hình 3: Cơ chế giao thức SSL Handshake
1)Client sẽ gửi cho server số phiên bản SSL đang dùng,các tham số của thuật toán
mã hóa,dữ liệu được tạo ra ngẫu nhiên,và một số thông tin khác mà server cần để
thiết lập và kết nối tới client.
2.Server gửi cho client số phiên bản SSL đang dùng,các tham số của thuật toán mã
hóa,dữ liệu được tạo ra ngẫu nhiên và một số thông tin khác mà client cần để thiết
lập kết nối tới server.Ngoài ra server cũng gửi giấy xác thực (certificate) của nó
đến client và yêu cầu xác thực của client(nếu cần).
3) Client sử dụng một số thông tin mà server gửi đến để xác thực server.Nếu như
server không được xác thực thì người sử dụng sẽ được cảnh báo và kết nối không
được thiết lập.Còn nếu như xác thực được server thì phía client sẽ thực hiện tiếp
bước 4.
4)Sử dụng tất cả các thông tin được tạo ra trong giai đoạn bắt tay ở trên,client
(cùng với sự cộng tác của server và phụ thuộc vào thuật toán được sử dụng) sẽ tạo
ra premaster secret cho phiên làm việc, mã hoá bằng khoá công khai (public key)
mà server gửi đến trong xác thực ở bước 2, và gửi đến server.
5)Nếu server có yêu cầu xác thực client, thì phía client sẽ đánh dấu vào phần
thông tin riêng chỉ liên quan đến quá trình “bắt tay” này mà hai bên đều biết.Trong

trường hợp này,client sẽ gửi cả thông tin được đánh dấu và certificate của mình
cùng với premaster secret đã được mã hoá tới server.
6)Server sẽ xác thực client.Trường hợp client không được xác thực, phiên làm việc
sẽ bị ngắt.Còn nếu client được xác thực thành công, server sẽ sử dụng khoá bí mật
(private key) để giải mã premaster secret, sau đó thực hiện một số bước để tạo ra
mastersecret.
7) Client và server sẽ sử dụng master secret để tạo ra các session key, đó chính là
các khoá đối xứng được sử dụng để mã hoá và giải mã các thông tin trong phiên
làm việc và kiểm tra tính toàn vẹn dữ liệu.
8) Client sẽ gửi một lời nhắn đén server thông báo rằng các message tiếp theo sẽ
được mã hoá bằng session key.Sau đó nó gửi một lời nhắn đã được mã hóa để
thông báo rằng phía client đã kết thúc giai đoạn “bắt tay”.
9)Client sẽ gửi một lời nhắn đén server thông báo rằng các message tiếp theo sẽ
được mã hoá bằng session key.Sau đó nó gửi một lời nhắn đã được mã hóa để
thông báo rằng phía client đã kết thúc giai đoạn “bắt tay”.
10) Lúc này giai đoạn “bắt tay” đã hoàn thành và phiên làm việc SSL bắt đầu.Cả
hai phía client và server sẽ sử dụng các session key để mã hoá và giải mã thông tin
trao đổi giữa hai bên,và kiểm tra tính toàn vẹn dữ liệu.
Sau khi SSL Handshake Protocol đã hoàn tất, dữ liệu ứng dụng có thể được gửi và
được nhận bằng cách sử dụng SSL Record Protocol và các tham số bảo mật được
thương lượng và các thành phần thông tin trạng thái.
Hai là:Giao thức SSL Change Cipher Spec Protocol
Giao thức SSL Change Cipher Spec là giao thức đơn giản nhất trong ba giao thức
đặc trưng của SSL.
Giao thức này bao gồm một message đơn 1 byte giá trị là 1.Mục đích chính của
message này là sinh ra trạng thái tiếp theo để gán vào trạng thái hiện tại,và trạng
thái hiện tại cập nhật lại bộ mã hóa để sử dụng trên kết nối này.
SSL ChangeCipherSpec Protocol được sử dụng để thay đổi giữa một thông số mật
mã này và một thông số mật mã khác.Mặc dù thông số mật mã thường được thay
đổi ở cuối một sự thiết lập quan hệ SSL,nhưng nó cũng có thể được thay đổi vào

bất kỳ thời điểm sau đó.
Ba là:Giao thức SSL Alert
Giao thức SSL Alert được dùng để truyền cảnh báo liên kết SSL với đầu cuối bên
kia. Hay chính là việc nó đưa ra những thông báo mang tính ràng buộc trong quá
trình giao tiếp giữa web brower và web server.
Các cảnh cáo:
• bad_record_mac: MAC không chính xác
• unsupported_certificate: dạng certificate nhận được thì không hỗ trợ.
• certificate_revoked: certificate đã bị thu hồi bởi nhà cung cấp.
• certificate_expired: certificate đã hết hạn đăng ký.
SSL Alert Protocol được sử dụng để chuyển các cảnh báo thông qua SSL Record
Protocol. Mỗi cảnh báo gồm 2 phần, một mức cảnh báo và một mô tả cảnh báo.
Bốn là:SSL Record Layer
SSL Record Layer xác định khuôn dạng cho tiến hành mã hóa và truyền tin hai
chiều giữa hai đối tượng.
SSL Record Protocol cung cấp 2 dịch vụ cho kết nối SSL:
 Tính cẩn mật( Confidentiality): Handshake Protocol định nghĩa 1 khóa bí
mật được chia sẻ,khóa này được sử dụng cho mã hóa quy ước các dữ liệu
SSL
 Tính toàn vẹn thông điệp (Message integrity):Handshake Protocol cũng định
nghĩa 1 khóa bí mật được chia sẻ, khóa này được sử dụng để hình thành
MAC (mã xác thực message).
Toàn bộ hoạt động của SSL Record Protocol:
Hình 4:Toàn bộ hoạt động của SSL Record Protocol
SSL Record Protocol nhận dữ liệu từ các giao thức con SSL lớp cao hơn và xử lý
việc phân đoạn, nén, xác thực và mã hóa dữ liệu.Chính xác hơn, giao thức này lấy
một khối dữ liệu có kích cỡ tùy ý làm dữ liệu nhập và tạo một loạt các bản ghi nhỏ
hơn hoặc bằng 16,383 byte.
Các bước SSL Record Protocol:
Hình 5:Các bước SSL Record Protocol

Các bước khác nhau của SSL Record Protocol vốn đi từ một đoạn dữ liệu thô đến
một bản ghi SSL Plaintext (bước phân đoạn), SSL Compressed (bước nén) và SSL
Ciphertext (bước mã hóa) được minh họa trong hình trên.Sau cùng, mỗi bản ghi
SSL chứa các trường thông tin sau đây:
- Loại nội dung
- Số phiên bản của giao thức
- Chiều dài
- Tải trọng dữ liệu (được nén và được mã hóa tùy ý)
- MAC
Hình 6:Cấu trúc mẩu tin SSL
Record Protocol
Loại nội dung xác định giao
thức lớp cao hơn vốn phải được
sử dụng để sau đó xử lý tải
trọng dữ liệu bản ghi SSL
(sau khi giải nén và giải mã hóa
thích hợp).
Số phiên bản của giao thức
xác định phiên bản SSL đang
sử dụng (thường là version
3.0).Mỗi tải trọng dữ liệu bản ghi SSL được nén và được mã hóa theo phương thức
nén hiện hành và thông số mật mã được xác định cho session SSL.
Lúc bắt đầu mỗi session SSL,phương pháp nén và thông số mật mã thường được
xác định là rỗng.Cả hai được xác lập trong suốt quá trình thực thi ban đầu SSL
Handshake Protocol.Sau cùng, MAC được thêm vào mỗi bản ghi SSL.Nó cung cấp
các dịch vụ xác thực nguồn gốc thông báo và tính toàn vẹn dữ liệu.Tương tự như
thuật toán mã hóa, thuật toán vốn được sử dụng để tính và xác nhận MAC được
xác định trong thông số mật mã của trạng thái session hiện hành.Theo mặc định,
SSL Record Protocol sử dụng một cấu trúc MAC vốn tương tự nhưng vẫn khác với
cấu trúc HMAC hơn.

Nhận xét:Trong các giao thức con SSL thì giao thức SSL Handshake Protocol
là quan trong nhất.Nó có nhiệm vụ xác thực và trao đổi khóa, khởi tạo và
đồng bộ hóa các tham số bảo mật và thông tin trạng thái tương ứng được đặt
ở một trong hai điểm cuối của một session hoặc nối kết SSL.
2.Hoạt Động Của Giao Thức SSL
2.1.Giải thuật.
Giải thuật:SSL sử dụng giải thuật MAC(Message Authentication Code).MAC là
phương thức bảo đảm tính toàn vẹn của dữ liệu khi truyền trong môi trường không
tin cậy như Internet.
2.2.Tham số phụ thuộc vào cấp độ bảo mật: Toàn bộ cấp độ bảo mật và an toàn
của thông tin/dữ liệu phụ thuộc vào một số tham số:
Một là: số nhận dạng theo phiên làm việc ngẫu nhiên;
Phiên (session):là một sự kết hợp giữa một client và một server xác định bằng một
bộ các tham số ví dụ thuật toán đã sử dung, số hiệu phiên… Trong một phiên SSL
giữa một client và một server có thể có nhiều kết nối giữa client và một server đó.
Nói chung, một phiên SSL có trạng thái và giao thức SSL phải khởi tạo và duy trì
thông tin trạng thái ở một trong hai phía của phiên.Các phần tử thông tin trạng thái
phiên tương ứng bao gồm một session ID, một chứng nhận ngang hàng, một
phương pháp nén, một thông số mật mã, một khóa mật chính và vốn chỉ định việc
session có thể tiếp tục lại hay khônng. Một session SSL có thể được sử dụng trong
một số kết nối và các thành phần thông tin trạng thái nối kết tương ứng.Chúng bao
gồm các tham số mật mã, chẳng hạn như các chuỗi byte ngẫu nhiên server và
client, các khóa mật MAC ghi server và client,các khóa ghi server và client, một
vector khởi tạo và một số chuỗi. Ở trong hai trường hợp,điều quan trọng cần lưu ý
là các phía giao tiếp phải sử dụng nhiều session SSL đồng thời và các session có
nhiều nối kết đồng thời.
Số nhận dạng ( session ID):Định danh được chọn bởi server để nhận dạng một
trạng thái session hoạt động hoặc có thể tiếp tục lại.
Hai là:cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL;
Các thuật toán mã hóa dùng trong SSL:

Các thuật toán mã hóa (cryptograpphic algorithm hay còn gọi là cipher) là các hàm
toán học được sử dụng để mã hoá và giải mã thông tin.Giao thức SSL hỗ trợ rất
nhiều các thuật toán mã hoá,được sử dụng để thực hiện các công việc trong quá
trình xác thực server và client,truyền tải các certificates và thiết lập các khoá của
từng phiên giao dịch (sesion key).Client và server có thể hỗ trợ các bộ mật mã
(cipher suite) khác nhau tuỳ thuộc vào nhiều yếu tố như phiên bản SSL đang dùng,
chính sách của công ty về độ dài khoá mà họ cảm thấy chấp nhận được –điều này
liên quan đến mức độ bảo mật của thông tin.Các bộ mật mã đề cập đến các thuật
toán sau:
 DES (Data Encryption Standard) là một thuật toán mã hoá có chiều dài khoá
là 56bit.
 3-DES (Triple-DES): là thuật toán mã hóa có độ dài khóa gấp 3 lần độ dài
khóa trong mã khóa DES.
 DSA(Digital Signature Algorithm):là một phần trong chuẩn về xác thực số
đang được chính phủ Mỹ sử dụng.
 KEA (Key Exchange Algorithm) là một thuật toán trao đổi khóa đang được
chính phủ Mỹ sử dụng
 MD5(Message Digest Algorithm) được phát triển bởi Rivest.
 RSA:là thuật toán mã hóa công khai dùng cho cả quá trình xác thực và mã
hóa dữ liệu được Rivest,Shamir,và Adleman phát triển.
 RSA key exchange:là thuật toán trao đổi khóa dùng trong SSL dựa trên thuật
toán RSA.
 RC2 and RC4:là các thuật toán mã hóa được phát triển bởi Rivest dùng cho
RSA Data Security.
 SHA-1 (Secure Hash Algorithm):là một thuật toán băm đang được chính phủ
Mỹ sử dụng.
Các thuật toán trao đổi khoá như KEA, RSA key exchange được sử dụng để 2 bên
client và server xác lập khoá đối xứng mà họ sẽ sử dụng trong suốt phiên giao dịch
SSL.Và thuật toán được sử dụng phổ biến là RSA key exchange.Các phiên bản
SSL 2.0 và SSL 3.0 hỗ trợ cho hầu hết các bộ mã hoá.Người quản trị có thể tuỳ

chọn bộ mã hoá sẽ dùng cho cả client và server.Khi một client và server trao đổi
thông tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hoá mạnh nhất
có thể và sử dụng chúng trong phiên giao dịch SSL.
-Đây là danh sách các bộ mã hoá được hỗ trợ trong SSL mà sử dụng thuật toán trao
đổi khoá RSA và được liệt kê theo khả năng bảo mật từ mạnh đến yếu.
 Mạnh nhất: Thuật toán mã hóa 3-DES,thuật toán xác thực SHA-1
 Mạnh:
Thuật toán mã hóa RC4 (độ dài khóa 128 bit),thuật toán xác thực MD5.
Thuật toán mã hóa RC2(độ dài khóa 128 bit),thuật toán xác thực MD5.
Thuật toán mã hóa DES (với độ dài khóa 56 bit),thuật toán xác thực SHA-1.
 Tương đối mạnh:
Thuật toán mã hóa RC4 (với độ dài khóa 40 bit),thuật toán xác thực MD5.
Thuật toán mã hóa RC2 (với độ dài khóa 40 bit),thuật toán xác thực MD5.
 Yếu nhất:Không mã hóa thông tin,chỉ dùng thuật toán xác thực MD5.
 Chú ý:Khi nói các thuật toán mã hoá RC4 và RC2 có độ dài khoá mã hoá là
40 bit thì thực chất độ dài khoá vẫn là 128 bit nhưng chỉ có 40 bit được dùng
để mã hoá. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng
trong SSL được phổ biến công khai, trừ khoá chia xẻ tạm thời (session key)
được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí
mật đối với người quan sát trên mạng máy tính.Ngoài ra, giao thức SSL còn
đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba
(CA) thông qua giấy chứng thực điện tử (digital certificate) dựa trên mật mã
công khai (thí dụ RSA).
Ba là:độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông
tin.
Chiều dài khóa là kích thước đo bằng bit của khóa được sử dụng trong một thuật
toán mật mã (chẳng hạn như là mật mã).Chiều dài chính của một thuật toán là khác
biệt với bảo mật mật mã của nó, là thước đo logarit của cuộc tấn công nhanh nhất
tính toán được biết đến trên các thuật toán, cũng được đo bằng bit.
Sự an toàn của một thuật toán không thể vượt quá độ dài khóa của nó (kể từ khi

bất kỳ thuật toán có thể bị bẻ bằng sức mạnh siêu nhân), nhưng nó có thể nhỏ hơn.
Ví dụ, Triple DES có một kích thước chính của 168 bit, nhưng cung cấp nhiều nhất
là 112 bit an ninh, kể từ khi một cuộc tấn công phức tạp 2112 được biết đến. Tính
chất này của Triple DES không phải là một điểm yếu được cung cấp 112 bit an
ninh đầy đủ cho một ứng dụng.Hầu hết các thuật toán khóa đối xứng được sử dụng
phổ biến được thiết kế để có an ninh bằng chiều dài chính của họ. Không có thuật
toán bất đối xứng quan trọng với khách sạn này được biết, mật mã đường cong
elliptic đến gần nhất với một bảo mật hiệu quả bằng một nửa chiều dài khóa.
Khóa càng dài thì càng khó bị tìm ra. Chằng hạn như khóa RSA 1024bit, thì việc
chọn một khóa sẽ đồng nghĩa với việc chọn 1 trong 2^1024 khả năng.
2.3.Hoạt động giao thức SSL.
Hình 7: Khái quát cơ chế hoạt động của giao thức SSL:
Từng bước thành lập một kết nối SSL:
Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay” (handshake
protocol) và giao thức “bản ghi”(record protocol).
 Giao thức bắt tay: xác định các tham số giao dịch giữa hai đối tượng có
nhu cầu trao đổi thông tin hoặc dữ liệu.
 Giao thức bản ghi: xác định khuôn dạng cho tiến hành mã hoá và truyền tin
hai chiều giữa hai đối tượng đó.
Khi hai ứng dụng máy tính,thí dụ giữa một trình duyệt web và máy chủ web, làm
việc với nhau, máy chủ và máy khách sẽ trao đổi “lời chào” (hellos) dưới dạng các
thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác
định các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai
ứng dụng.Ngoài ra, các ứng dụng còn trao đổi “số nhận dạng/khoá theo phiên”
(session ID, session key) duy nhất cho lần làm việc đó.Sau đó ứng dụng khách
(trình duyệt) yêu cầu có chứng thực điện tử (digital certificate) xác thực của ứng
dụng chủ (web server).
Chứng thực điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (là
CA -Certificate Authority) như RSA Data Sercurity hay VeriSign Inc một dạng tổ
chức độc lập, trung lập và có uy tín.Các tổ chức này cung cấp dịch vụ “xác nhận”

số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như
là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy
chủ webserver.
Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công
khai, như RSA tại trình máy trạm),ứng dụng máy trạm sử dụng các thông tin trong
chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có
thể giải mã.Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí
mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua
lại giữa hai ứng dụng chủ khách.
Cách thức làm việc SSL:
Hình 8:Cách thức làm việc SSL.
1.Bước đầu tiên trong quá trình này là dành cho các khách hàng để gửi một máy
chủ tin nhắn “Hello”.Thông điệp này chứa phiên bản bộ mã hóa SSL và khách
hàng có thể nói chuyện.Khách hàng sẽ gửi chi tiết tối đa chiều dài chính của nó vào
lúc này.
2.Máy chủ trả về tin nhắn “Hello” cho khách hàng, trong đó nó chỉ định phiên bản
của SSL và các thuật toán mật mã và độ dài khóa được sử dụng trong cuộc đàm
thoại,được lựa chọn từ sự lựa chọn được cung cấp trong các khách hàng chào.
3.Máy chủ sẽ gửi giấy chứng nhận kỹ thuật số cho khách hàng để kiểm tra.Hầu hết
các trình duyệt hiện đại tự động kiểm tra giấy chứng nhận (phụ thuộc vào cấu hình)
và cảnh báo người dùng nếu đó là không hợp lệ.
4.Máy chủ gửi một thông điệp máy chủ thực hiện lưu ý nó đã kết luận ban đầu của
trình tự thiết lập.
5.Khách hàng tạo ra một khóa đối xứng và mã hóa nó bằng cách sử dụng khóa
công khai của máy chủ (cert).Sau đó nó sẽ gửi thông điệp này đến máy chủ.
6.Khách hàng sẽ gửi tin nhắn “Change Cipher Spec” mật mã cho máy chủ tất cả
các thông tin liên lạc trong tương lai nên được bằng khóa mới.
7.Khách hàng bây giờ gửi một thông điệp “Finised” bằng cách sử dụng các phím
mới để xác định nếu máy chủ là có thể giải mã tin nhắn và đàm phán thành công.
8.Máy chủ gửi một thông điệp “Change Cipher Spec” nói với khách hàng rằng tất

cả các thông tin liên lạc trong tương lai sẽ được mã hóa.
9.Máy chủ gửi thông điệp “Finished” riêng của mình được mã hóa bằng cách sử
dụng phím.Nếu khách hàng có thể đọc tin nhắn này sau đó đàm phán kết thúc
thành công.
III.Tấn công và cách phòng chống.
1.Tấn công
Hình 9:Mô tả quá trình truyền thông HTTPS.
 Kết nối tới mail(Connect Gmail)
Trình duyệt máy khách kết nối đến Gmail trên cổng 80 bằng cách sử dụng
HTTP.Máy chủ redirect phiên bản HTTPS máy khách của site này bằng cách sử
dụng HTTP code 302.Máy khách kết nối đến Gmail trên cổng 443.Máy chủ sẽ
cung cấp một chứng chỉ cho máy khách gồm có chữ ký số của nó.Chứng chỉ này
được sử dụng để thẩm định sự nhận dạng của site.Máy khách sử dụng chứng chỉ
này và thẩm định chứng chỉ này với danh sách các nhà thẩm định chứng chỉ tin cậy
của nó.Truyền thông mã hóa sẽ xảy ra sau đó.
 Quá trình tấn công(Attack )
Moxie Marlinspike, một chuyên gia nghiên cứu bảo mật hàng đầu đã cho rằng
trong hầu hết các trường hợp,SSL chưa bao giờ bị trực tiếp tấn công.Hầu hết thời
gian một kết nối SSL được khởi tạo thông qua HTTPS.
Ý tưởng:Nếu bạn tấn công một phiên giao dịch từ một kết nối không an toàn đến
một kết nối an toàn, trong trường hợp này là từ HTTP vào HTTPS, bạn sẽ tấn công
cầu nối và có thể “Man-in-the-middle” kết nối SSL trước khi nó xuất hiện.Để thực
hiện hiệu quả điều này, Moxie đã tạo một công cụ SSLstrip, chúng ta sẽ sử dụng
công cụ này dưới đây.
 Chiếm quyền điều khiển truyền thông HTTPS
Lưu lượng giữa máy khách và máy chủ đầu tiên sẽ bị chặn
Khi bắt gặp một HTTPS URL, sslstrip sẽ thay thế nó bằng một liên kết HTTP và sẽ
ánh xạ những thay đổi của nó.
Máy tấn công sẽ cung cấp các chứng chỉ cho máy chủ web và giả mạo máy khách.
Lưu lượng được nhận trở lại từ website an toàn và được cung cấp trở lại cho máy

khách.
Quá trình làm việc khá tốt, máy chủ có liên quan vẫn nhận lưu lượng SSL mà
không hề biết về sự khác biệt này. Chỉ có một sự khác biệt rõ rệt trong trải nghiệm
người dùng là lưu lượng sẽ không được cắm cờ HTTPS trong trình duyệt, vì vậy
một người dùng có kinh nghiệm sẽ có thể thấy đó là một điều dị thường.
Xem xét quá trình tấn công sử dụng SSL-Trip:
Trước tiên ,phân phối Linux mà bạn đang sử dụng phải được cấu hình để chuyển
tiếpIP.
Để thực hiện điều này,hãy nhập lệnh echo"1">/proc/sys/net/ipv4/ip_forward vào
một shell
Khi thực hiện xong, chúng ta phải làm cho tất cả lưu lượng HTTP được chặn sẽ
được định tuyến đến cổng mà ở đó SSLstrip sẽ lắng nghe. Điều này được thực hiện
bằng cách thay đổi cấu hình iptables của tường lửa.
Sử dụng lệnh
iptables -t nat -A PREROUTING -p tcp destination-port 80 -j REDIRECT to-
port <listenPort>.
Thay thế <listenPort> bằng một cổng nào đó theo lựa chọn của mình. Sau khi thực
hiện xong việc cấu hình này, chúng ta có thể chạy sslstrip và cấu hình sao cho nó
có thể lắng nghe trên cổng được chỉ định bằng lệnh
sslstrip -l <listenPort>.
Bước cuối cùng trong quá trình này là cấu hình giả mạo ARP để chặn lưu lượng
của host đích.Chúng ta sẽ sử dụng tiện ích arpspoof có trong Backtrack 4.
Lệnh để thực hiện là arpspoof -i <interface> -t <targetIP> <gatewayIP>.
2.Biện pháp phòng chống
1.Sử dụng kết nối an toàn HTTPS
Khi bạn thực hiện tấn công được mô tả ở đây, nó sẽ lấy đi khía cạnh an toàn của
kết nối, thứ có thể xác định được trong trình duyệt.Điều này có nghĩa rằng nếu bạn
đăng nhập vào tài khoản ngân hàng trực tuyến và thấy rằng nó chỉ là một kết nối
HTTP chuẩn thì chắc chắn có thứ gì đó sai ở đây.Bất cứ khi nào trình duyệt mà bạn
chọn sử dụng cũng cần bảo đảm rằng bạn biết cách phân biệt các kết nối an toàn

với những kết nối không an toàn.
2.Lưu tài khoản ngân hàng trực tuyến ở nhà cơ hội cho ai đó có thể chặn lưu lượng
của bạn trên mạng gia đình sẽ ít hơn nhiều so với mạng ở nơi làm việc của bạn.
Điều này không phải vì máy tính gia đình của bạn an toàn hơn (mà sự thật có lẽ là
kém an toàn hơn), nhưng sự thật nếu chỉ có một hoặc hai máy tính ở nhà thì các
bạn chỉ phải quan tâm đến việc chiếm quyền điều khiển phiên nếu có ai đó trong
nhà bạn bắt đầu xem và tập theo các video về hacking trên YouTube.
3.Bảo mật các máy tính bên trong mạng
Các tấn công thường được thực thi bên trong một mạng.Nếu các thiết bị mạng của
bạn được an toàn thì nguy cơ bị thỏa hiệp các host để sau đó được sử dụng để khởi
chạy tấn công chiếm quyền điều khiển phiên cũng sẽ giảm.
IV.Đánh giá “giao thức SSL”
1.Đặc tính “giao thức SSL”
Tóm lại ,giao thức SSL cung cấp sự bảo mật truyền thông có ba đặc tính cơ bản:
-Các bên giao tiếp (nghĩa là client và server) có thể xác thực nhau bằng cách sử
dụng mật mã khóa chung.
-Sự bí mật của lưu lượng dữ liệu được bảo vệ vì nối kết được mã hóa trong suốt
sau khi một sự thiết lập quan hệ ban đầu và sự thương lượng khóa session đã xảy
ra.
-Tính xác thực và tính toàn vẹn của lưu lượng dữ liệu cũng được bảo vệ vì các
thông báo được xác thực và được kiểm tra tính toàn vẹn một cách trong suốt nhờ
bằng cách sử dụng MAC.
2.Ưu điểm của SSL:
-Bảo mật các giao dịch thẻ tín dụng trực tuyến:riêng năm 2006 có 210.000.000
người sử dụng chỉ tiêu trực tuyến trên 130.000.000.000 USD thông qua máy
tính/máy tính xách tay/PDA và điện thoại di động.SSL là điều kiện cần để thực
hiện các giao dịch này.
-SSL được ứng dụng rộng rãi trong các giao dịch yêu cầu thanh toán qua mạng.
-Được hỗ trợ bởi hầu hết các trình duyệt và các phần mềm phía server.
-Được thiết kế độc lập với tầng ứng dụng nên có thể sử dụng cho nhiều ứng dụng

khác nhau.
-Mọi hoạt động đều trong suốt với người sử dụng.
3.Giới hạn SSL
Giao thức SSL cũng như bất kỳ công nghệ nào bản thân nó cũng sẽ tồn tại những
giới hạn.Và khi nó là một công cụ bảo mật thỉ việc hiểu những giới hạn của nó là
cực kỳ quan trọng.
Giới hạn của SSL chủ yếu tập trung ở 3 điểm chính.
-Không có những cơ chế xác nhận người dùng một cách chắc chắn.Người mua
hàng có nguy cơ bị lộ thông tin về tài khoản.Nhiều người dùng vẫn đang dùng SSL
V2.0 thay vì SSL V3.0 và không có có cơ chế xác nhận lẫn nhau trong quá trình
thiết lập giao thức bắt tay.Và nhất là việc,trên thực tế khi sử dụng giao thức
này,người dùng vẫn có khả năng bị các hacker dò tìm ra khoá bí mật dùng để mã
hoá thông tin .
-Giới hạn về giao thức truyền tải
Mặc dù SSL được thiết kế để thích hợp với nhiều loại ứng dụng nhưng ngay từ lúc
ban đầu ý định của nhà thiết là chủ yếu tập trung vào các giao dịch trên Web.SSL
là một giao thức đòi hỏi sự tin cậy cao vì thế giao thức truyền tải của nó cũng là
TCP thay vì UDP và bản thân nó cũng không được hỗ trợ chạy trên UDP.
-Giới hạn về công cụ
SSL đơn giản chỉ là một giao thức liên lạc,nó hoạt động dựa vào sự hợp thành của
nhiều chức năng, bao gồm nhiều loại thuật toán khác nhau.Những thuật toán này
có nhiệm vụ là mã hóa và giải mã.Và SSL sẽ không thực sự mạnh mẽ nếu không
có các công cụ này.Như thế có thể thấy rằng bản thân SSL không có điểm yếu mà
điểm yếu của các thuật toán mã hóa mới thực sự quan trọng.
-Giới hạn về môi trường
Bất cứ một giao thức bảo mật mạng nào sinh ra hầu như đều chỉ cung cấp an toàn
dữ liệu khi đi trên đường truyền.Không giao thức bảo mật mạng nào có thể bảo vệ
dữ liệu trước khi và sau khi gửi nó đến đích và SSL cũng thế.
Tuy nhiên ,điều quan trọng cần lưu ý là SSL không ngăn được các cuộc tấn công
lưu lượng.Ví dụ:Bằng cách xem xét các địa chỉ IP nguồn và đích không được mã

hoá và các số cổng TCP,hoặc xem xét lượng dữ liệu được truyền ,một người phân
tích lưu lượng vẫn có thể xác định các bên nào đang tương tác ,các loại dịch vụ
đang được sử dụng và đôi khi ngay cả dành được thông tin về các mối quan hệ
doanh nghiệp hoặc cá nhân.Hơn nữa ,SSL không ngăn được các cuộc tấn công có
định hướng dựa vào phần thực thi TCP.Ví dụ : như các cuộc tấn công làm tràn
ngập TCP SYN chiếm đoạt session .
4.Một số ứng dụng nổi bật của việc sử dụng giao thức SSL
4.1.Chứng chỉ số.
Với thị trường kinh doanh rộng,không bị phụ thuộc vào không gian và thời gian,
kinh doanh trực tuyến đang là chọn của nhiều doanh nghiệp.Một trong những yếu
tố quyết định đến thành công của hoạt động kinh doanh trực tuyến chính là tạo lập
niềm tin với khách hàng.Các doanh nghiệp kinh doanh trực tuyến cần phải đảm
bảo rằng các giao dịch thông qua website được diễn ra trong một môi trường mạng
an toàn.
Khi Website của bạn sử dụng cho mục đích thương mại điện tử hay cho những mục
đích quan trọng khác, những thông tin trao đổi giữa bạn và khách hàng của bạn có
thể bị lộ.Để tránh nguy cơ này, bạn có thể dùng chứng chỉ số SSL để bảo mật cho
Website của mình.
Chứng chỉ số SSL sẽ cho phép bạn lập cấu hình Website của mình theo giao thức
bảo mật SSL (Secure Sockets Layer).Loại chứng chỉ số này sẽ cung cấp cho
Website của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của bạn về
tính xác thực và tính hợp pháp của Website.Chứng chỉ số SSL Server cũng cho
phép trao đổi thông tin an toàn và bảo mật giữa Website với khách hàng, nhân viên
và đối tác của bạn thông qua công nghệ SSL mà nổi bật là các tính năng:
-Thực hiện mua bán bằng thẻ tín dụng
-Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng
-Đảm bảo hacker không thể dò tìm được mật khẩu
Dịch vụ xác thực website SSL là một giải pháp hữu hiệu dành cho doanh nghiệp
kinh doanh trực tuyến. Dịch vụ xác thực website SSL sẽ đảm bảo với khách hàng
ba điều:

1-Danh tính của doanh nghiệp xây dựng và vận hành website bán hàng trực tuyến
đó đã được chứng thực bởi GlobalSign.
2-Các thông tin giao dịch quan trọng như số tài khoản, số tiền giao dịch …v.v. sẽ
không bị chặn trong quá trình truyền trên mạng Internet.
3-Các thông tin được truyền và nhận giữa doanh nghiệp và khách hàng thông qua
mạng Internet không thể bị sửa đổi hay bị giả mạo.
4.2.SSL VPN-Bảo mật truy cập nội bộ từ xa-Theo PC World: Top 10 phần
mềm diệt virus sẽ xưng vương năm 2012.
Giải pháp VPN mà doanh nghiệp có thể tự xây dựng,chủ động trong quản lý hệ
thống với các trang thiết bị dễ mua,dễ cấu hình và có nhiều cấp độ bảo mật.
Hình 1: Mô hình kết nối tổng quan
Ngoài việc thiết lập cấu hình,truy nhập bằng SSL VPN khá đơn giản và dễ dàng,nhà
quản trị không cần phải cài đặt phần mềm cho người dùng từ xa cũng như không phải
cấu hình nhiều thông số phức tạp trên thiết bị tường lửa như không phải cấu hình nhiều
thông số phức tạp trên thiết bị tường lửa như Ipsec.Với SSL VPN,người dùng đơn giản
mở trình duyệt Web.
Tóm lại :giải pháp SSL VPN thật sự hữu ích với các doanh nghiệp trong việc đảm bảo
an toàn thông tin cho các kết nối từ xa.Thông qua thiết bị SSL VPN phần cứng,nhà
quản trị có thể triển khai,cấu hình đường hầm bảo mật một cách dễ dàng,nhanh chóng
với nhiều cơ chế bảo mật,đặc biệt không làm thay đổi kết cấu hạ tầng mạng hữu
hiệu.Và việc truy nhập cơ sở dữ liệu trở lên thuận lợi,dễ dàng hơn.
4.3.Cơ chế bảo mật của EasyBackup :Mã hóa 256 bit AES và SSL.
Dữ liệu sao lưu được mã hóa an toàn với 256- bit AES.
Thông tin tài khoản, thông tin cấu hình và mọi dữ liệu khác trao đổi giữa máy tính bạn
và hệ thống EasyBackup được gửi đi trên kênh truyền an toàn thiết lập bởi giao thức

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×