tiểu luận môn an ninh mạng thông tin đề tài giao thức ssltls

Tổng quan về SSL/TLS

Khái niệm về SSL/TLS

SSL (Lớp cổng bảo mật) và TLS (Bảo mật lớp truyền tải) là các giao thức thiết lập liên kết được xác thực và mã hóa giữa các máy tính trong mạng Mặc dù SSL đã không còn được chấp nhận kể từ khi TLS 1.0 được phát hành, nhưng vai trò của chúng trong việc bảo vệ thông tin trực tuyến vẫn rất quan trọng.

1999, nhưng người ta vẫn thường gọi các công nghệ liên quan này là “SSL” hoặc “SSL / TLS”.

SSL là công nghệ bảo mật kỹ thuật số cho phép mã hóa giao tiếp giữa trang web và trình duyệt Tuy nhiên, SSL hiện đã lỗi thời và hoàn toàn được thay thế bởi TLS.

TLS (Bảo mật tầng truyền tải) là phiên bản cập nhật và an toàn hơn của SSL, nhằm bảo vệ việc truyền tải thông tin nhạy cảm như dữ liệu cá nhân, thông tin thanh toán và thông tin đăng nhập Giải pháp này thay thế việc truyền dữ liệu văn bản thuần túy, trong đó kết nối giữa người dùng và máy chủ không được mã hóa, giúp ngăn chặn kẻ gian và tin tặc dễ dàng dò tìm và đánh cắp dữ liệu của bạn.

TLS là gì? (Transport Layer Security)

TLS (Bảo mật lớp truyền tải) ra mắt vào năm 1999, kế thừa giao thức SSL (Lớp cổng bảo mật) nhằm mục đích xác thực và mã hóa dữ liệu Phiên bản mới nhất, TLS 1.3, đã được định nghĩa để cải thiện hiệu suất và bảo mật trong việc truyền tải thông tin trực tuyến.

TLS bảo vệ quyền riêng tư dữ liệu tương tự như SSL Tuy nhiên, vì SSL đã không còn được sử dụng, TLS là thuật ngữ chính xác mà mọi người nên áp dụng.

- TLS bao gồm hai phần:

Lớp bắt tay TLS xác định loại thuật toán mã hóa, xác thực qua chứng chỉ dành riêng cho tên miền và tổ chức, cùng với việc trao đổi khóa dựa trên cặp khóa công khai-riêng tư từ chứng chỉ Quá trình này chỉ diễn ra một lần để thiết lập kết nối mạng an toàn cho cả hai bên.

Lớp bản ghi TLS thu thập dữ liệu từ các ứng dụng người dùng, sau đó mã hóa và phân mảnh dữ liệu thành kích thước phù hợp theo quy định của mật mã, trước khi gửi nó đến lớp truyền tải mạng.

Chứng chỉ SSL/TLS là công cụ quen thuộc với nhiều người, được các quản trị viên web sử dụng để bảo vệ an toàn cho trang web và đảm bảo rằng mọi giao dịch trực tuyến diễn ra một cách an toàn.

- Chứng chỉ SSL là gì? (Secure Sockets Layer)

Giấy chứng nhận SSL, hay còn gọi là TLS, là tài liệu kỹ thuật số xác thực danh tính của một trang web thông qua cặp khóa mã hóa bao gồm khóa công khai và khóa bí mật Khóa công khai có trong chứng chỉ giúp thiết lập kết nối an toàn giữa người dùng và trang web.

Nhóm 12 7 download by : skknchat@gmail.com trình duyệt web bắt đầu phiên giao tiếp được mã hóa với máy chủ web thông qua giao thức TLS và HTTPS Khóa riêng tư được giữ an toàn trên máy chủ và được sử dụng để ký kỹ thuật số các trang web và các tài liệu khác (chẳng hạn như hình ảnh và tệp JavaScript). +) Chứng chỉ SSL cũng bao gồm thông tin nhận dạng về một trang web, bao gồm tên miền của nó và, tùy chọn, thông tin nhận dạng về chủ sở hữu trang web Nếu chứng chỉ SSL của máy chủ web được ký bởi tổ chức phát hành chứng chỉ tin cậy công khai (CA), chẳng hạn như SSL.com, nội dung được ký kỹ thuật số từ máy chủ sẽ được trình duyệt web và hệ điều hành của người dùng cuối tin tưởng là xác thực.

SSL là công nghệ tiêu chuẩn giúp bảo mật kết nối internet, bảo vệ dữ liệu nhạy cảm giữa hai hệ thống Nó ngăn chặn tội phạm đọc và sửa đổi thông tin truyền tải, bao gồm cả chi tiết cá nhân Hai hệ thống có thể là máy chủ và máy khách, chẳng hạn như trang web mua sắm và trình duyệt, hoặc giữa các máy chủ với nhau, như trong ứng dụng chứa thông tin nhận dạng cá nhân hoặc bảng lương.

Nó đảm bảo rằng mọi dữ liệu truyền giữa người dùng và các trang web, hoặc giữa hai hệ thống đều được bảo mật và không thể đọc được Bằng cách sử dụng các thuật toán mã hóa, dữ liệu được xáo trộn trong quá trình truyền tải, ngăn chặn tin tặc truy cập thông tin Thông tin này có thể bao gồm các dữ liệu nhạy cảm như số thẻ tín dụng, thông tin tài chính, tên và địa chỉ cá nhân.

Chứng chỉ SSL là một loại chứng chỉ X.509, định dạng tiêu chuẩn cho chứng chỉ khóa công khai Nó là tài liệu kỹ thuật số liên kết an toàn các cặp khóa mật mã với danh tính, bao gồm trang web, cá nhân hoặc tổ chức.

1.2 Lịch sử ra đời SSL/TLS

Vì SSL v1.0 của Netscape chưa bao giờ phát hành, nhiều phiên bản SSL và sau đó là

TLS đã được phát hành để tăng khả năng bảo mật.

Hình 1 Lịch sử ra đời của SSL/TLS

Nhóm 12 8 download by : skknchat@gmail.com

Giao thức Secure Sockets Layer (SSL) được Netscape giới thiệu lần đầu tiên vào năm 1994.

Internet ngày càng phát triển, dẫn đến nhu cầu bảo mật cao hơn cho các trình duyệt web và giao thức TCP Phiên bản SSL 1.0 không được phát hành do các lỗ hổng bảo mật nghiêm trọng SSL 2.0, phiên bản đầu tiên chính thức, ra mắt vào năm 1995, và phiên bản cuối cùng, SSL 3.0, được phát hành vào tháng 11 năm 1996.

Năm 2011, IETF đã thông báo ngừng sử dụng SSL phiên bản 2.0 do nhiều thiếu sót nghiêm trọng, bao gồm việc sử dụng MD5 để xác thực tin nhắn và thiếu bảo vệ khi bắt tay Đến tháng 6 năm 2015, IETF tiếp tục khuyến nghị ngừng sử dụng SSL 3.0, khẳng định rằng mọi phiên bản TLS đều an toàn hơn so với các phiên bản SSL SSL không hỗ trợ nhiều tính năng hiện đại của giao thức TLS như Mã hóa xác thực với dữ liệu bổ sung (AEAD), Elliptic Curve Diffie-Hellman (ECDH), và Elliptic Curve Digital Signature Algorithm (ECDSA), cũng như các chế độ hoạt động tiên tiến như DTLS và thương lượng giao thức tầng ứng dụng.

Các lợi ích của kết nối SSL / TLS bao gồm

- Quyền riêng tư - Giao tiếp giữa hai mạng được kết nối được bảo mật bằng một khóa duy nhất mà bên thứ ba không thể lấy được.

Xác thực - Danh tính của các bên giao tiếp được xác minh bằng cách sử dụng mật mã khóa công khai.

- Tính toàn vẹn - Một thuật toán xác thực xác định xem một thông báo có bị thay đổi hay không.

- Có nhiều lợi ích liên quan đến việc bảo mật kết nối bằng SSL / TLS Một vài ví dụ về những lợi ích này bao gồm:

Cải thiện bảo mật là điều cần thiết, vì việc truyền thông tin qua kết nối được mã hóa giữa máy khách và máy chủ giúp ngăn chặn những kẻ xâm nhập nghe lén thông tin liên lạc Điều này càng trở nên quan trọng hơn khi xử lý các giao dịch nhạy cảm như thẻ tín dụng, đảm bảo an toàn cho dữ liệu của người dùng.

Việc sử dụng kết nối SSL/TLS không chỉ bảo vệ thông tin mà còn tạo niềm tin cho khách truy cập trang web của bạn Khi khách hàng thấy rằng trang web của bạn sử dụng SSL/TLS, họ sẽ cảm thấy an toàn hơn khi đăng nhập hoặc thực hiện giao dịch Đặc biệt, chứng chỉ SSL/TLS là bắt buộc cho các giao dịch mua hàng bằng thẻ tín dụng Hãy tìm hiểu thêm về tầm quan trọng của việc thiết lập niềm tin SSL cho doanh nghiệp của bạn.

Chứng chỉ SSL hiện nay dễ dàng triển khai hơn bao giờ hết nhờ vào Let's Encrypt, nơi cung cấp chứng chỉ SSL miễn phí có thể được cài đặt trực tiếp từ máy chủ của bạn Truyền thống, chứng chỉ SSL thường được mua từ các tổ chức phát hành chứng chỉ và cần tải lên máy chủ để bảo đảm kết nối an toàn cho khách truy cập KeyCDN cũng hỗ trợ tích hợp Let's Encrypt, giúp quá trình cài đặt trở nên thuận tiện hơn.

Encrypt để đảm bảo kết nối từ các máy chủ biên của chúng tôi tới khách truy cập của bạn.

- Khả năng sử dụng HTTP / 2 HTTP / 2 là bản cập nhật lớn thứ hai cho giao thức HTTP.

HTTP/2 mang đến nhiều cải tiến so với phiên bản trước, bao gồm nén tiêu đề và khả năng kết nối song song hoàn toàn Hiện tại, không có trình duyệt nào hỗ trợ HTTP/2 không mã hóa, vì vậy việc cài đặt chứng chỉ SSL sẽ giúp bạn tận dụng những lợi ích mà HTTP/2 mang lại cho máy chủ của mình.

Sử dụng SSL/TLS mang lại nhiều lợi ích quan trọng, trong đó việc bảo mật trang web là lý do chính để mua chứng chỉ SSL Với sự xuất hiện của Let's Encrypt và HTTP/2, việc mã hóa không chỉ giúp tăng cường bảo mật mà còn mang lại nhiều lợi ích bổ sung cho người dùng và chủ sở hữu trang web.

Phần II Cấu trúc, đặc điểm hoạt động và các giao thức SSL/TLS

1 Cấu trúc, đặc điểm và hoạt động của SSL/TLS

Hình 2 Cấu trúc của SSL

SSL/TLS là giao thức hoạt động giữa lớp ứng dụng và lớp vận chuyển, sử dụng kết nối TCP để đảm bảo dịch vụ truyền dữ liệu đáng tin cậy trong mô hình khách - chủ.

SSL được thiết kế riêng với tầng ứng dụng để bảo mật thông tin giữa hai ứng dụng bất kỳ trong Internet.

Toàn bộ cơ chế và thuật toán hóa được phổ biến công khai (trừ khóa phiên)

SSL hoạt động bên trên TCP/IP và bên dưới HTTP, LDAP, IMAP.

SSL là một công nghệ quan trọng giúp bảo mật các giao dịch trực tuyến, chủ yếu được áp dụng cho các hoạt động trên web Mặc dù SSL có thể hỗ trợ nhiều ứng dụng khác nhau, nhưng hiện nay, nó chủ yếu được sử dụng để đảm bảo an toàn cho các giao dịch trên Internet.

- Một server có hỗ trợ SSL tự xác thực với một Client (cũng hỗ trợ SSL)

- Client tự xác thực với server

- Cả hai máy thiết lập một kết nối được mã hóa

Giao thức bảo mật của SSL có 3 đặc điểm chính:

- Client và Server có thể sử dụng mật mã khóa chung để xác thực

- Lưu lượng dữ liệu được bảo mật vì kết nối được mã hóa suốt trong và sau khi thiết lập quan hệ, trao đổi khóa session diễn ra.

- Tính xác thực và toàn vẹn của lưu lượng dữ liệu cũng được đảm bảo vì các thông báo được kiểm tra và xác nhận bằng MAC.

* Hoạt động của SSL:

Hình 3 Hoạt động của SSL/TLS

Thiết lập một phiên làm việc:

Đồng bộ thuật toán mã hóa là quá trình trong đó danh sách các thuật toán mã hóa được yêu cầu từ client và server sẽ được kiểm tra để xác định giao thức nào được hỗ trợ Qua đó, client và server sẽ thỏa thuận và xác nhận thuật toán mã hóa sẽ được sử dụng.

- Thực hiện xác thực: quá trình xác thực lẫn nhau của server và client để đảm bảo đang liên lạc với trang web đã được cấp phép.

Chia sẻ khóa bí mật là quá trình mà hai bên thực hiện trao đổi khóa, từ đó sử dụng khóa bí mật đã được thỏa thuận để mã hóa dữ liệu trong suốt quá trình truyền tải.

Sau khi thiết lập cơ chế xác thực và bảo mật, việc lấy khóa bí mật là cần thiết để bảo vệ dữ liệu trong quá trình truyền tải theo mô hình client-server Tiếp theo, các bước như phân mảnh gói tin, nén và thêm giá trị MAC sẽ được thực hiện nhằm đảm bảo tính toàn vẹn và dễ dàng xử lý cho dữ liệu.

Khi bên nhận nhận dữ liệu, họ sẽ sử dụng khóa bí mật để giải mã và tính toán lại giá trị MAC Sau đó, họ sẽ so sánh giá trị MAC này với giá trị MAC đã nhận từ bên gửi để xác định xem dữ liệu có được bảo toàn hay không Cuối cùng, bên nhận sẽ tiến hành giải nén các gói dữ liệu để thu được gói tin hoàn chỉnh.

* Hai giao thức chính trong SSL là:

• Giao thức SSL bắt tay

• Giao thức SSL bản ghi

2 Các giao thức SSL 2.1 Giao thức bắt tay

Giao thức bắt tay (Handshake protocol) cung cấp ba dịch vụ thiết yếu cho kết nối giữa client và server, bao gồm việc thống nhất phiên bản, xác thực mỗi bên thông qua việc thực hiện một MAC, và thỏa thuận về thuật toán mã hóa cũng như các khóa lập mã.

Nhóm 12 12 download by : skknchat@gmail.com tay này giữa client và server sử dụng thuật toán mã hóa bất đối xứng để thu được khóa phiên bí mật đối xứng.

Hình 4 Vị trí giao thức bắt tay

Giao thức SSL bắt tay bao gồm một dãy các thông điệp được kết nối, trao đổi giữa client

Hình 5 Quá trình bắt tay của SSL/TLS

Giai đoạn 1: Hello messages for logical connection

Một thông điệp Hello có thể được gửi từ server bất kỳ lúc nào, tuy nhiên, client có thể bỏ qua thông điệp này nếu quá trình bắt tay (handshake) đang diễn ra.

B2: Client gửi tới Server thông điệp ClientHello để bắt đầu phiên truyền thông giữa hai bên.

Thông điệp này bao gồm các thỏa thuận dịch vụ bảo mật: Version, Ramdom, Session ID, CiperSuite, Compression Method

B3: Khi Server nhận được thông điệp ClientHello nó gửi lại một thông điệp ServerHello có nội dung tương tự như ClientHello nhưng cũng có một số điểm khác biệt.

Giai đoạn 2: Server authentication and key exchange

Nếu máy chủ đã được xác thực, nó sẽ ngay lập tức gửi một chứng chỉ Chứng chỉ này cần phải tương thích với thuật toán mã hóa đã chọn, thường là X.509 v3, và phải chứa một khóa phù hợp với phương pháp chuyển đổi khóa.

B5: Thông điệp ServerKeyExchange truyền thông tin khóa từ server tới client.

Cấu trúc, đặc điểm hoạt động và các giao thức SSL/TLS

Các giao thức SSL

Giao thức bắt tay (Handshake protocol) cung cấp ba dịch vụ quan trọng cho kết nối giữa client và server, bao gồm việc thống nhất phiên bản, xác thực các bên thông qua việc thực hiện một MAC, và thỏa thuận về thuật toán mã hóa cùng các khóa lập mã.

Nhóm 12 12 download by : skknchat@gmail.com tay này giữa client và server sử dụng thuật toán mã hóa bất đối xứng để thu được khóa phiên bí mật đối xứng.

Hình 4 Vị trí giao thức bắt tay

Giao thức SSL bắt tay bao gồm một dãy các thông điệp được kết nối, trao đổi giữa client

Hình 5 Quá trình bắt tay của SSL/TLS

Giai đoạn 1: Hello messages for logical connection

Một thông điệp Hello có thể được gửi từ server bất kỳ lúc nào, và client có thể bỏ qua thông điệp này nếu giao thức bắt tay đang được thực hiện.

B2: Client gửi tới Server thông điệp ClientHello để bắt đầu phiên truyền thông giữa hai bên.

Thông điệp này bao gồm các thỏa thuận dịch vụ bảo mật: Version, Ramdom, Session ID, CiperSuite, Compression Method

B3: Khi Server nhận được thông điệp ClientHello nó gửi lại một thông điệp ServerHello có nội dung tương tự như ClientHello nhưng cũng có một số điểm khác biệt.

Giai đoạn 2: Server authentication and key exchange

Nếu server đã được xác thực, nó sẽ ngay lập tức gửi một chứng chỉ phù hợp với thuật toán mã hóa đã chọn, thường là X.509 v3, và chứng chỉ này phải chứa một khóa tương thích với phương pháp chuyển đổi khóa.

B5: Thông điệp ServerKeyExchange truyền thông tin khóa từ server tới client.

Thông điệp ServerKeyExchange chứa các tham số Diffie-Hellman, RSA và Fortezza, với định dạng phụ thuộc vào các thuật toán mã hóa được sử dụng để trao đổi thông tin khóa.

Các định dạng phù hợp với các giao thức khóa như Diffie-Hellman, RSA, Fortezza.

B6: Client gửi 1 thông điệp CertificateRequest để xác thực định danh của client.

Thông điệp yêu cầu khách hàng gửi các chứng chỉ và liệt kê những chứng chỉ mà máy chủ có thể chấp nhận Dưới đây là bảng liệt kê các loại chứng chỉ có thể chấp nhận cùng với ý nghĩa của chúng.

Giá trị Kiểu chứng chỉ

1 Ký số và trao đổi khóa RSA

3 Ký số RSA với trao đổi khóa fixed D-H

4 Ký số DSA với trao đổi khóa fixed D-H

5 Ký số RSA với trao đổi khóa ephemeral D-H

6 Ký số DSA với trao đổi khóa ephemeral D-H

20 Ký số và trao đổi khóa Fortezza/DMS

Bảng 1 Giá trị các kiểu chứng chỉ có thể chấp nhận

Thông điệp CertificateRequest cũng thể hiện các quyền chứng chỉ mà server cho là thích hợp.

B7: Thông điệp ServerHelloDone được gửi bởi server.

Thông điệp này báo hiệu kết thúc giai đoạn ServerHello và các thông điệp kết hợp Server sẽ chờ đáp ứng của Client sau khi gửi thng điệp này.

Thông điệp ServerHelloDone cho biết server đã hoàn tất việc gửi các thông điệp hỗ trợ cho quá trình trao đổi khóa Đây là một loại thông điệp Handshake với mã số 14 và có chiều dài bằng 0.

Giai đoạn 3: Client authentication and key exchange

Sau khi nhận thông điệp ServerHelloDone, ClientCertificate là thông điệp đầu tiên mà client có thể gửi khi được server yêu cầu Nếu không có chứng chỉ phù hợp, client sẽ gửi một thông điệp mà không chứa chứng chỉ nào.

Client có thể báo lại với một cảnh báo lỗi bắt tay nếu xác thực client được được yêu cầu để quá trình bắt tay được tiếp tục.

B9: Thông điệp ClientKeyExchange luon được gửi bởi client ngay sau thông điệp

Với thông điệp này, client cung cấp cho server các khóa cần thiết cho bảo mật truyền thông

Hình 10 Thông điệp ClientKeyExchange với RSA, Diffie-Hellman và Fortezza

B10: Thông điệp CertificateVerify được sử dụng để cung cấp một sự xác thực rõ ràng hơn về chứng chỉ của client.

Thông điệp chỉ được gửi khi bất kỳ một chứng chỉ client nào có khả năng về ký số.

Hình 11 Tạo thông điệp CertificateVerity

Giai đoạn 4: End of secure connection

Thông điệp ChangeCipherSpec được gửi bởi Client ngay sau khi thực hiện CertificateVerify, nhằm sao chép trạng thái CipherSpec chờ vào trạng thái hiện tại Điều này thể hiện một thông điệp quan trọng trong quá trình trao đổi giữa các thông điệp handshake và các thông điệp kết thúc.

B12: Thông điệp Finished được gửi ngay sau thông điệp CipherSpec để kiểm tra lại các tiến trình xác thực và trao đổi khóa đã thành công.

Sau khi thông điệp được gửi đi, quá trình bắt tay hoàn thành và một phiên SL được thiết lập Tất cả thông tin liên lạc giữa hai bên sẽ được mã hóa cho đến khi kết thúc phiên.

SSL sử dụng giao thức bản ghi để đóng gói tất cả các thông điệp

Hình 13: Vị trí giao thức bản ghi trong SSL

Giao thức bản ghi là một tầng giao thức quan trọng trong việc truyền tải dữ liệu Mỗi gói dữ liệu tại tầng này bao gồm các trường độ dài, mô tả và nội dung dữ liệu Giao thức này ghi nhận dữ liệu từ tầng trên, phân nhỏ thành các khối, nén dữ liệu, bổ sung thông tin kiểm tra, mã hóa và gửi đi Khi nhận dữ liệu, quy trình sẽ thực hiện ngược lại: giải mã, kiểm tra, giải nén và sắp xếp lại trước khi gửi lên tầng trên.

Hình 14 Các giai đoạn của giao thức bản ghi

Mỗi thông điệp được chia thành các khối 2 14 (16384) byte hoặc nhỏ hơn.

Nén tùy chọn, không làm mất dữ liệu và không gia tang kích thước dữ liệu hơn 1024 byte. B3: MAC Fini

Mã xác thực được nén biến đổi SSLCompressed thành SSLCiphertex

B4: Thêm vào phần đầu một header bao gồm các trường: Protocol, version, Length,

Bốn giao thức tầng cao khác nhau mà Lớp bản ghi có thể hỗ trợ là: ChangeCipherSpec protocol, Alert protocol, Handshake protocol, Application protocol data.

Là quá trình chuyển tiếp các tín hiệu trong chiến lược mật mã bao gồm một thông điệp được mã hóa và né theo CipherSpec hiện tại.

Giao thức Alert báo hiệu một cảnh báo hoặc một lỗi xảy ra trong quá trình truyền thông SSL gán cho kiểu giao thức cảnh báo là 21.

Alert Protocol sử dụng Record Layer định dạng thông điệp như tất cả các giao thức SSL khác.

Trong một phiên liên lạc, thông điệp cảnh báo được mã hóa và nén nhằm truyền tải các trạng thái lỗi hoặc cảnh báo trong quá trình thiết lập và trao đổi dữ liệu.

Hình 16 Định dạng thông điệp Alert

Các thuật toán sử dụng trong SSL/TLS

Tên thuật toán Nội dung

DES Có chiều dài khóa là 56 bit

3-DES Có độ dài khóa gấp 3 lần độ dài khóa trong DES

DSA Một phần trong chuẩn về xác thực số đang được Mỹ sử dụng KEA Là một thuật toán trao đổi khóa

MD5 Được phát triển bởi Rivest

RSA Thuật toán mã hóa công khai dùng cho cả quá trình xác thực và mã hóa dữ liệu được phát triển bởi Rivest, Shamir, Adleman

RSA key exchange Thuật toán trao đổi khóa dựa trên RSA

RC2 & RC4 Thuật toán mã hóa dung cho RSA Data Security

SHA-1 Thuật toán băm được Mỹ sử dụng

Bảng 2 Các thuật toán sử dụng trong SSL/TLS

Ứng dụng

SSL/TLS cung cấp chức năng bảo mật cho các giao thức lớp ứng dụng, đặc biệt là HTTP Khi bạn truy cập vào một trang web có URL bắt đầu bằng https://, điều đó có nghĩa là trang web đó đang sử dụng giao thức HTTP kết hợp với SSL/TLS, tạo ra một kết nối an toàn (HTTPS = HTTP + SSL/TLS).

Các ứng dụng web kích hoạt SSL / TLS (Secure Socket Layer / Transport Layer

Giao thức SSL/TLS cung cấp xác thực dựa trên chứng chỉ khóa công khai, thiết lập khóa phiên bảo mật và bảo vệ lưu lượng thông qua khóa đối xứng Nhiều ứng dụng thương mại điện tử, bao gồm giao dịch chứng khoán, ngân hàng, mua sắm và chơi game, dựa vào sức mạnh bảo mật của SSL/TLS để đảm bảo an toàn cho thông tin và giao dịch của người dùng.

Giao thức SSL bảo vệ dữ liệu khỏi sự xâm nhập trái phép từ bên thứ ba, bao gồm cả việc giả mạo client hoặc server SSL ngăn chặn các hành vi giả mạo này bằng cách sử dụng khóa riêng của server và chứng chỉ số, đảm bảo an toàn cho thông tin trên đường truyền.

Phương thức bắt tay trong TLS tương tự như trong SSL, nhưng TLS cải thiện bảo mật bằng cách cho phép truyền thông tin về phiên bản giao thức, số hiệu phiên làm việc, hệ mã hóa và phương thức nén được sử dụng Ngoài ra, TLS còn bổ sung thêm hai thuật toán băm mới mà SSL không có.

Cải tiến cơ bản của giao thức TLS so với giao thức SSL

TLS hỗ trợ các thuật toán mới hơn và an toàn hơn

TLS, đặc biệt là các phiên bản mới, thực hiện quá trình bắt tay nhanh hơn SSL, dẫn đến độ trễ giao tiếp thấp hơn, điều này mang lại lợi ích đáng kể cho người dùng cuối.

Phương thức bắt tay trong TLS tương tự như trong SSL, nhưng TLS cung cấp bảo mật nâng cao bằng cách truyền phiên bản giao thức, số hiệu phiên làm việc, hệ mã hoá và phương thức nén TLS bổ sung hai thuật toán băm mà SSL không có, giúp tăng cường an ninh Mặc dù TLS v2.0 vẫn có thể bị tấn công BEAST và POODLE, nhưng nó vẫn an toàn hơn so với các phiên bản SSL, vốn kém an toàn hơn.

Bảo mật TLS mang lại lợi ích cho lưu lượng truy cập trang web của bạn bằng cách ngăn chặn những kẻ xâm nhập giả mạo thông tin liên lạc giữa trang web và người dùng.

Nhóm 12 22 cung cấp tải xuống qua email: skknchat@gmail.com cho các trình duyệt web Các kẻ xâm nhập có thể là những kẻ tấn công độc hại hoặc những kẻ xâm lược lành tính như nhà cung cấp dịch vụ Internet (ISP) hoặc quảng cáo từ khách sạn Dữ liệu nhạy cảm, bao gồm thông tin đăng nhập, chi tiết thẻ tín dụng và thông tin email của người dùng, tuyệt đối không được tiết lộ qua mạng.

Ngăn chặn các kẻ xâm nhập nghe thụ động thông tin liên lạc với máy chủ của bạn là rất quan trọng Đây là một mối đe dọa an ninh khó nhận biết nhưng đang gia tăng, điều này đã được xác nhận qua các vụ rò rỉ của Snowden.

- Để đơn giản hóa và để tránh hiểu sai trong TLS v1.3, ciphersuite chỉ chỉ định hai thuật toán:

Thuật toán mã hóa dữ liệu là phương pháp bảo mật thông tin bằng cách mã hóa và giải mã dữ liệu, sử dụng các khóa được tạo ra từ bí mật chủ đã được thỏa thuận trước.

Thuật toán toàn vẹn dữ liệu là phương pháp quan trọng để phát hiện lỗi trong dữ liệu và các nỗ lực giả mạo thông điệp được mã hóa Ngoài ra, nó còn được sử dụng để lấy tài liệu chính từ bí mật chính, đảm bảo tính toàn vẹn và bảo mật cho thông tin.

- TLS 1.3 nhanh hơn vì bắt tay của nó đã được tinh chỉnh, TLS 1.3 chỉ cần một chuyến khứ hồi để hoàn thành một lần bắt tay.

Hình 17 Máy khách và máy chủ thực hiện bắt tay SSL / TLS trong TLS 1.3

Hình 18 Quá trình bắt tay TLS 1.3

Phần IV: Một số vấn đề về bảo mật Tấn công và cách phòng chống

1 Một số vấn đề về bảo mật 1.1 Sơ lược về an ninh mạng

Trong lĩnh vực an ninh mạng, việc phân biệt giữa xác thực và ủy quyền là rất quan trọng Xác thực liên quan đến việc xác minh danh tính của người dùng, trong khi ủy quyền xác định quyền truy cập mà người dùng đó có Hiểu rõ sự khác biệt này giúp tăng cường bảo mật và quản lý quyền truy cập hiệu quả hơn.

Xác thực là quá trình xác định danh tính người dùng, trong đó mật khẩu là yếu tố phổ biến nhất Khi người dùng nhập thông tin đăng nhập khớp với tên người dùng, điều này chứng tỏ danh tính của họ là hợp lệ, và hệ thống sẽ cấp quyền truy cập cho người dùng.

Ủy quyền xảy ra sau khi danh tính của người dùng đã được xác thực thành công Quá trình này cho phép người dùng truy cập toàn bộ hoặc một phần tài nguyên, bao gồm thông tin quan trọng, quỹ và cơ sở dữ liệu, nhằm hoàn thành các nhiệm vụ cụ thể.

1.2 Một số lỗ hổng bảo mật phổ biến

Khi dữ liệu chưa được lọc được chuyển đến máy chủ SQL, trình duyệt, máy chủ LDAP hoặc bất kỳ nơi nào khác, vấn đề phát sinh khi kẻ tấn công có khả năng gửi lệnh tới các thực thể này Điều này có thể dẫn đến mất dữ liệu và chiếm quyền điều khiển trình duyệt của người dùng.

Để đảm bảo hiệu quả trong công tác phòng ngừa, việc lọc đầu vào một cách chính xác và xác định độ tin cậy của các nguồn thông tin là rất quan trọng Tất cả các đầu vào cần được kiểm tra kỹ lưỡng, trừ khi chúng có thể được xác nhận là hoàn toàn đáng tin cậy.

❖ Xác thức bị hỏng: có thể sảy ra một số vấn đề như:

- URL có thể chứa ip phiên và làm rò rỉ nó trong tiêu đề giới thiệu tiêu đề cho người khác

- Mật khẩu có thể không được mã hóa khi lưu trữ hoặc chuyển tiếp.

- IP phiên có thể dự doán được, do đó việc giành lại quyền truy cập là rất nhỏ.

- Có thể cố định phiên.

- Có thể xảyt ra xâm nhập phiên, hết thời gian chờ không được triển khai đúng cách hoặc sử dụng HTTP(không có bảo mật

Phòng tránh: Cách đơn giản nhất là sử dụng một framework Bạn có thể thưc hiện điều này một cách chính xác, nhưng các trước dễ dàng hơn.

2.1 Quá trình truyền thông HTTPS

- Cần HTTPS vì 3 lí do:

Để đảm bảo an toàn cho kết nối và xác thực tính hợp pháp của trang web, HTTPS sử dụng chứng chỉ bảo mật SSL từ nhà cung cấp bên thứ ba Chứng chỉ SSL này tạo ra một kết nối an toàn, được mã hóa, nhằm bảo vệ thông tin giao tiếp giữa trình duyệt và máy chủ.

Chứng chỉ SSL là công cụ mã hóa kết nối, cung cấp mức độ bảo vệ được chỉ định tại thời điểm mua Nó tạo ra một lớp bảo mật bổ sung cho dữ liệu nhạy cảm, ngăn chặn kẻ tấn công bên thứ ba truy cập vào thông tin quan trọng Điều này đặc biệt quan trọng khi vận hành các trang web thương mại điện tử, giúp bảo vệ thông tin của khách hàng và xây dựng lòng tin.

- Khi ta muốn bảo mật việc truyền dữ liệu thẻ tín dụng, địa chỉ và danh tính thực một người hoặc thông tin nhạy cảm khác.

Khi xây dựng trang web để thu hút khách hàng tiềm năng dựa trên thông tin thực của người dùng, việc sử dụng HTTPS là rất quan trọng để bảo vệ dữ liệu của họ khỏi các cuộc tấn công độc hại.

Một số vấn đề về bảo mật Tấn công và cách phòng chống

Định dạng
Số trang	39
Dung lượng	789,61 KB