Bài giảng An toàn hệ thống thông tin - Chương 3: Toàn vẹn dữ liệu - Trần Thị Kim Chi

3PHẦN II: MÃ XÁC THỰC THÔNG ĐIỆP
(MESSAGE AUTHENTICATION CODES)
Nội dung chính
 Khái niệm toàn vẹn và xác thực thông
điệp
 Các cơ chế mã xác thực thông điệp
Ứng dụng mã xác thực thông điệp
(Cryptography & Network Security. 
McGraw-Hill, Inc., 2007., Chapter 11)
1. Khái niệm xác thực thông điệp
1.1 Toàn vẹn thông điệp 
(Message Integrity)
1.2 Xác thực thông điệp 
(Message Authentication )
3
Integrity Message
Đặt vấn đề
4
Integrity Message
Tính toàn vẹn thông điệp:
• Cho phép các bên liên lạc xác minh rằng các tin nhắn 
nhận được được xác thực. 
• Nội dung thông điệp chưa bị thay đổi 
• Nguồn của thông điệp tin cậy
• Thông điệp chưa bị phát lại 
• Thông điệp được xác minh đúng thời điểm
• Sự liên tục của thông điệp được duy trì 
5
1.1 Integrity Message
• Đối phương insert/modify/delete nội dung thông điệp
6
1.1 Integrity Message
7
Mã xác thực thông điệp
Message Authentication
Mục tiêu
• Xác nhận nguồn gốc của dữ liệu
• Thuyết phục với người sử dụng là dữ liệu 
này chưa bị sửa đổi hoặc giả mạo.
• Là cơ chế quan trọng để duy trì tính toàn vẹn
và không thể từ chối dữ liệu
8
Mã xác thực thông điệp
Message Authentication
Định nghĩa
• Là một kỹ thuật chứng thực liên quan đến việc sử dụng
một khoá bí mật để tạo ra một khối dữ liệu có kích thước
nhỏ cố định (checksum hoặc MAC) và được thêm vào
thông điệp.
• Kỹ thuật này giả sử rằng 2 phía tham gia truyền thông là
A và B chia sẻ một khoá bí mật K. Khi A có một thông
điệp gởi đến B, A sẽ tính toán MAC như là một hàm của
thông điệp và khoá: MAC=C(K, M), với
• M: thông điệp đầu vào có kích thước biến đổi
• C: hàm MAC
• K: khoá bí mật chia sẻ giữa người gởi và người nhận
• MAC: mã chứng thực thông điệp có chiều dài cố định 9
Mã xác thực thông điệp
Message Authentication
10
Message Authentication
Các phương pháp Message Authetication:
• Mã hóa thông điệp: sử dụng mã hóa khóa bí mật, 
mã hóa khóa công khai
• Hàm băm (Hash Function): Một hàm ánh xạ một
thông điệp có chiều dài bất kỳ vào một giá trị băm có 
chiều dài cố định sử dụng để chứng thực.
• Mã chứng thực thông điệp (MAC): một hàm và 
một khóa bí mật tạo ra một giá trị có chiều dài cố 
định sử dụng để chứng thực
11
• Xác thực bằng mật mã khóa đối xứng
• Đảm bảo thông báo được gửi đúng nguồn do chỉ bên 
gửi biết khóa bí mật
• Không thể bị thay đổi bởi bên thứ ba do không biết 
khóa bí mật
12
Mã hóa thông điệp:Xác thực 
bằng mật mã khóa đối xứng
Mã hóa thông điệp:sử dụng 
mã hóa khóa bí mật
13
Mã hóa thông điệp:Xác thực 
bằng mật mã khóa đối xứng
14
• Xác thực bằng mật mã khóa công khai
• Không những xác thực mà còn tạo ra được chữ ký số
• Tuy nhiên, phức tạp và tốn thời gian hơn mã đối xứng
• Xác thực bằng mã hóa có nhược điểm:
• Tốn thời gian để mã hóa cũng như giải mã toàn bộ
thông báo
• Nhiều khi chỉ cần xác thực mà không cần bảo mật
thông báo (cho phép ai cũng có thể biết nội dung, chỉ
cần không được sửa đổi)
15
Mã hóa thông điệp:Xác thực 
bằng mật mã khóa đối xứng
Mã hóa thông điệp sử dụng 
mật mã khóa công khai
16
Xác thực bằng mật mã khóa 
công khai
17
Hàm băm: Message Digest
• Tạo bản băm của thông điệp m: y=h(M)
• Giống như “fingerprint” của thông điệp
18
Message Authentication Code
19
Modification Detection Code 
(MDC)
• Một MDC là message digest mà có thể chứng 
minh tính toàn vẹn của thông điệp: thông điệp 
không bị thay đổi.
20
Message Authentication Code 
(MAC)
• Mã chứng thực thông điệp (MAC) có thể coi là một dạng 
checksum của mã hóa, được tính theo công thức 
MAC = C(M, K), trong đó:
1. M là thông điệp cần tính MAC
2. K là khóa bí mật được chia sẻ giữa người gởi và người 
nhận
3. C là hàm tính MAC
• Vì MAC có khóa K bít mật giữa người gởi và người nhận 
nên chỉ có người gởi và người nhận mới có thể tính được 
giá trị MAC tương ứng.
21
Message Authentication Code 
(MAC)
• Thông điệp cộng với MAC được truyền tới người nhận.
• Người nhận thực hiện các tính toán tương tự trên các
thông điêp đã nhận sử dụng cùng một khóa bí mật, để 
tạo ra một MAC mới.
• MAC vừa tạo sẽ được so với MAC nhận. Giả sử chỉ
người nhận và người gửi biết khóa bí mật:
• Nếu MAC nhận phù hợp với MAC vừa tính thì thông điệp không 
bị thay đổi trong quá trình truyền và chắc chắn được gởi tới từ 
người gởi đã biết.
• Nếu MAC nhận khác với MAC vừa tính thì thông điệp đã bị thay 
đổi hoặc bị giả mạo và được gởi từ attacker.
22
Message Authentication Code 
(MAC)
• Mô hình MAC: Bên nhận thực hiện cùng giải thuật của bên gửi 
trên thông báo và khóa bí mật và so sánh giá trị thu được với MAC 
trong thông báo
23
Message Authentication Code
• Cơ chế tổng quát
24
Message Authentication Code 
(MAC)
• Chiều dài thông thường của MAC: 32..96 bit.
→ để tấn công cần thực hiện 2n lần thử với n là chiều
dài của MAC (bit).
• Chiều dài thông thường của khoá K: 56..160 bit.
→ để tấn công cần thực hiện 2k lần thử với k là chiều dài 
của khoá K (bit).
• Ứng dụng trong:
• Banking: sử dụng MAC kết hợp triple-DES
• Internet: sử dụng HMAC và MAC kết hợp AES
25
Message Authentication Code 
(MAC)
• Ví dụ 1:
26
Message Authentication Code 
(MAC)
• Ví dụ 2: Phần mềm TripeWire
27
Đặc điểm của MAC
• Bảo mật của MAC tùy thuộc vào bảo mật của hàm 
băm
• MAC là một cryptographic checksum
MAC=CK(M)
•Nén một thông điệp M có chiều dài bất kỳ
•Dùng một khóa bí mật K
•Thành một xác thực kích thước cố định
• Một hàm many-to-one function
•Nhiều thông điệp có cùng MAC
•Nhưng tìm ra ra chúng là không dễ
28
Yêu cầu đối với MAC
• Tính toán đến các loại tấn công
• MAC phải thỏa mãn những điều sau:
• Biết một thông điệp và MAC, thì không thể 
tìm ra một thông điệp khác có cùng MAC
• Các MAC nên được phân bố đồng đều 
• MAC nên tùy thuộc ngang nhau trên tất cả 
các bit của thông điệp
29
An toàn của MAC
• Brute-force attacks:
• Cho một hoặc nhiều cặp [xi, MAC(K, xi)], rất 
khó để tính toán tìm ra x xi mà có cùng giá trị 
MAC của xi
• Có 2 hướng: 
• Tấn công không gian khóa: 2k (với k – kích cở 
khóa)
• hoặc giá trị MAC: 2n (Ít nhất 128-bit MAC thì mới an 
toàn)
30
An toàn của MAC
• Cryptanalytic Attacks: Khai thác vài đặt tính của 
thuận toán MACs hoặc hàm hash
• Tốt hơn vét cạn
• Có nhiều biến thể trong cấu trúc của MACs 
hơn hàm hash nên tấn công MACs khó khăn 
hơn hàm hash.
31
Message Authentication Code
Tấn công phát lại (Replya attack)
• Kẻ tấn công phát lại bản tin M đã được chứng thực trong
phiên truyền thông trước đó
• Thiết kế MAC không chống được tấn công phát lại cần 
thêm các yếu tố chống tấn công phát lại trong các giao 
thức truyền thông sử dụng MAC
• Một số kỹ thuật chống tấn công phát lại:
• Giá trị ngẫu nhiên
• Tem thời gian
32
Message Authentication Code
Tấn công phát lại (Replya attack)
33
Message Authentication Code
Ưu điểm của MAC:
• MAC chỉ hỗ trợ xác thực, không hỗ trợ bảo mật có lợi
trong nhiều trường hợp (các thông báo công cộng,)
• Có kích thước nhỏ, thời gian tạo ra nhanh hơn so với mã
hóa toàn bộ thông báo
• Chú ý: MAC không phải là chữ ký điện tử
34
Mật mã xác thực thông điệp
• Một hệ mật mã có xác thực (E, D) là một hệ mật mã mà
• Hàm mã hóa E: K x M x N C
• Hàm giải mã D: K x C x N M ∪ {⊥}
• Trong đó N là một dấu hiệu sử dụng để xác thực
• Yêu cầu:
• Chống tấn công chọn trước bản rõ, và
• Kiểm tra được tính toàn vẹn của bản mật: xác suất kẻ tấn công 
tạo ra được một bản mật có thể giải mã là rất nhỏ
• Giải pháp: Kết hợp mật mã và mã MAC
35
Từ chối giải mã các bản
mã không hợp lệ
Một số sơ đồ sử dụng
Mật mã xác thực thông điệp
36
Xác thực bằng MAC, bảo mật bằng mật 
mã khóa đối xứng (IPSec)
Một số sơ đồ sử dụng
Mật mã xác thực thông điệp
37
Xác thực bằng MAC, bảo mật bằng mật mã khóa đối xứng(SSH)
Message Authentication Code
Các công dụng cơ bản của MAC
38
Message Authentication Code
Các công dụng cơ bản của MAC
39
Message Authentication Code
Các công dụng cơ bản của MAC
a. Chứng thực
• A →B: M || C(K, M)
• Chứng thực: chỉ A và B chia sẻ K
b. Chứng thực và bảo mật: chứng thực gắn liền với 
plaintext
• A →B: E(K2, [M || C(K, M)])
• Chứng thực: chỉ A và B chia sẻ K1
• Bảo mật: chỉ A và B chia sẻ K2
c. Chứng thực và bảo mật: chứng thực gắn liền với 
ciphertext
• A →B: E(K2, M) || C(K1, E(K2, M))
• Chứng thực: sử dụng K1
• Bảo mật: sử dụng K2 40
Vài cơ chế MAC
3.1 Nested MAC
3.2 Keyed Hash Functions as MACs
3.3 MAC dựa vào hàm băm (HMAC)
3.4 MAC dựa vào mã hóa khối (CMAC)
41
Nested MAC
• Để tăng bảo mật của MAC
• Băm được áp dụng nhiều lần
42
Keyed Hash Functions as MACs
• Mong muốn có môt MAC dựa trên hàm băm
• Các hàm băm nhanh hơn mã khối đối xứng
• Mã hàm băm có thể áp dụng một cách rộng rãi
• Băm bao gồm một khóa (key) cùng với thông 
điệp
KeyedHash=Hash(Key|Message)
• Một vài điểm yếu đã được chỉ ra với hàm này
 Phát triển HMAC
43
MAC dựa vào hàm băm (HMAC)
• Gọi là HMAC
• Đặc điểm
• Dùng hàm băm nguyên mẫu (không chỉnh sửa)
• Cho phép thay thế dễ dàng hàm băm được nhúng vào trong 
trường hợp các hàm băm nhanh hơn hoặc nhiều bảo mật 
được tìm ra hoặc yêu cầu
• Duy trì hiệu năng ban đầu của hàm băm mà không mắc phải 
sự suy giảm nghiêm trọng
• Dùng và quản lý các khóa một cách dễ dàng.
• Có một sự phân tích mật mã hiểu được về sức mạnh của sự 
chứng thực
44
MAC dựa vào hàm băm (HMAC)
45
• Quá trình thực hiện
MAC dựa vào hàm băm (HMAC)
Bảo mật của HMAC
•Dựa lên bảo mật của hàm băm
•Tấn công HMAC:
• Tấn công brute force trên khóa được dùng
• Tấn công ngày sinh nhật
• Hàm băm được chọn sử dụng dựa trên ràng 
buộc về tốc độ và bảo mật
46
MAC dựa vào mã hóa khối (CMAC)
• Có DAA (Data Authentication Algorithm), hiện 
nay đã lỗi thời
• CMAC (Cipher-based Message 
Authentication Code), được thiết kế để khắc 
phục những yếu kém của DAA
• Được dùng rộng rãi trong chính phủ và doanh 
nghiệp
• Có kích cỡ thông điệp giới hạn
• Dùng 2 khóa và padding
• Được thông qua bởi NIST SO800-38B
47
CMAC
48
MAC dựa trên giải thuật mã 
hoá DES
49
Câu hỏi và bài tập
1. Phân biệt giữa toàn vẹn thông điệp và 
chứng thực thông điệp
2. Phân biệt giữa MDC và MAC
3. Phân biệt giữa HMAC và CMAC
4. Giải thích tại sao Public Key không 
được dùng trong việc tạo một MAC
50
Câu hỏi và bài tập
1. Về mặt lý thuyết, giá trị băm có thể
trùng không? Vậy tại sao nói giá trị
băm có thể xem là “dấu vân tay của
thông điệp”
2. Tìm hiểu phương pháp sử dụng hàm
băm MD5 và SHA trong thư viện .NET,
viết chương trình mã hóa password
lưu trữ và kiểm tra password.
Trần Thị Kim Chi 1-51