You are on page 1of 54

UNIDADE 3:

MECANISMOS DE
SEGURANA

3.1 Segurana fsica

1
Definies
Segurana Fsica: realizada para evitar/dificultar as
falhas nos equipamentos e instalaes
Ex: Problema com equipamentos ativos, furtos, faxineira,
etc.

Segurana Lgica: realizada para evitar/dificultar as


falhas relacionadas aos softwares utilizados
Ex: Bugs, falhas no desenvolvimento, etc.

Segurana Fsica

A segurana comea pelo ambiente fsico

No adianta investir dinheiro em esquemas sofisticados


e complexos se no instalarmos uma simples porta para
proteger fisicamente os servidores da rede.

2
Segurana Fsica
Abrange todo o ambiente onde os sistemas de informao
esto instalados:
Prdio, portas de acesso, trancas, piso, salas, computadores...
Requer ajuda da engenharia civil e eltrica
A norma ABNT NBR ISO/IEC 27002:2013 divide a rea de
segurana fsica da seguinte forma:
reas seguras (item 11.1)
Equipamento (item 11.2)

Segurana Fsica
reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e
interferncias com os recursos de processamento das
informaes e nas informaes da organizao
Permetro da segurana fsica
Controles de entrada fsica
Segurana em escritrios, salas e instalaes
Proteo contra ameaas externas e do meio ambiente
Trabalhando em reas seguras
reas de entrega e de carregamento

3
Segurana Fsica
Equipamento
Objetivo: Impedir perdas, danos, furto ou comprometimento
de ativos e interrupo das atividades da organizao
Instalao e proteo de equipamentos
Utilidades (fornecimento de energia e/ou outros ativos de servio)
Segurana do cabeamento
Manuteno de equipamentos
Segurana de equipamentos fora das instalaes
Reutilizao e alienao segura de equipamentos
Remoo de propriedade

Segurana Fsica
Segurana externa e de entrada
Proteo da instalao onde os equipamentos esto localizados, contra:
Entrada de pessoas no autorizadas
Catstrofes ambientais
O prdio deve ter paredes slidas e nmero restrito de entradas e
sadas
Evitar baixadas onde a gua possa se acumular enchentes
Evitar reas muito abertas descargas atmosfricas
Em qualquer lugar, usar para-raios
Usar muros externos e manter a rea limpa queimadas

4
Segurana Fsica
Segurana externa e de entrada
Controle de acesso fsico nas entradas e sadas:
Travas, alarmes, grades, vigilante humano, vigilncia eletrnica, portas com senha,
carto de acesso, registros de entrada e sada de pessoas e objetos

Funcionrios que trabalham na instituio devem ser


identificados com crachs com foto
Visitantes de vem usar crachs diferenciados por setor visitado
Todos funcionrios devem ser responsveis pela fiscalizao

Segurana Fsica
Segurana da Sala de Equipamentos
Agrega todo o centro da rede e os servios que nela operam
Entrada somente de pessoal que trabalha na sala
Registro de todo o pessoal que entra e sai
A sala deve ser trancada ao sair
Deve fornecer acesso remoto aos equipamentos
O contedo da sala no deve ser visvel externamente
Alm do acesso indevido, a sala deve ser protegida contra:
Vandalismo, fogo, interferncias eletromagnticas, fumaa, gases corrosivos,
poeira

5
Segurana Fsica
Segurana da Sala de Equipamentos
Se possvel, uso de salas-cofre

Segurana Fsica
Segurana dos equipamentos
Evitar o acesso fsico aos equipamentos
Acesso ao interior da mquina (hardware)
Acesso utilizando dispositivos de entrada e sada (console)
Proteger o setup do BIOS
Tornar inativos botes de setup e liga/desliga no
gabinete
Colocar senha no BIOS
Inicializao apenas pelo disco rgido

6
Segurana Fsica
Segurana do ambiente
Geralmente o fornecimento de energia de
responsabilidade da concessionria, e pode apresentar
variao de tenso e interrupo do fornecimento
Para garantir a disponibilidade da informao
preciso garantir o fornecimento constante de energia e
que ela esteja dentro da tenso recomendada
Uso de nobreak e gerador
Refrigerao

Segurana Fsica
Segurana do ambiente

Nobreak (Uninterruptable
Power Supply - UPS)
Alimenta os equipamentos
at o gerador estar disponvel
Utiliza baterias
Autonomia limitada

7
Segurana Fsica
Segurana do ambiente
Banco de baterias
Alimentam o no-break

Sobre baterias, lembre-se:


So caras
Vida til limitada
Devem ser monitoradas
Descarte ecolgico

Segurana Fsica
Segurana do ambiente

Gerador
Diesel
Gs natural
Requer manuteno constante
Partida
Manual
Automtica

8
Segurana Fsica
Segurana do ambiente

Gerador
Local de instalao:
Exausto de gases
Rudo
Abastecimento
Armazenamento de combustvel

Segurana Fsica
Segurana do ambiente

Refrigerao
Temperatura e umidade
Funcionamento dos
equipamentos de TI
Vida til dos equipamentos de TI

9
Segurana Fsica
Segurana do ambiente
Fluxo de ar em um datacenter

http://www.thehotaisle.com/wp-content/bottomtotop.png, acessado em 26/07/2016.

Segurana Fsica
Segurana do ambiente
Combate a incndios
Deteco
Quanto mais cedo, melhor
Sensores de fumaa convencionais
Very early smoke detection apparatus (VESDA)
Deteco por aspirao (dutos que percorrem a rea)
Boto de acionamento manual
Alarme
Sirenes
Avisos por celular

10
Segurana Fsica
Segurana do ambiente
Combate a incndios
Extintores
Chave para desligamento de
emergncia
Disperso de gases
Combate s chamas.
gua pode apagar um incndio, mas
no conveniente num datacenter
(sprinklers)

3.2 Segurana lgica

11
Segurana Lgica
A segurana lgica compreende os mecanismos de
proteo baseados em software
Senhas
Listas de controle de acesso
Criptografia
Firewall
Sistemas de deteco de intruso
Redes virtuais privadas

Segurana Lgica
Firewall
Referncia s portas corta-fogo
responsveis por evitar que um
incndio em uma parte do prdio se
espalhe facilmente pelo prdio
inteiro
Na Informtica: previne que os
perigos da Internet (ou de qualquer
rede no confivel) se espalhem
para dentro de rede interna

12
Segurana Lgica
Firewall
Um firewall deve sempre ser instalado em um ponto
de entrada/sada de sua rede interna
Este ponto de entrada/sada deve ser nico

O firewall capaz de controlar os acessos de e para a


sua rede

Segurana Lgica
Firewall
Objetivos especficos de um firewall:
Restringir a entrada a um ponto cuidadosamente controlado
Prevenir que atacantes cheguem perto de suas defesas mais
internas
Restringir a sada a um ponto cuidadosamente controlado

O firewall pode estar em:


Computadores, roteadores, configurao de redes, software
especfico

13
Segurana Lgica
Detectores de intruso
IDS (Intrusion Detection Systems): Sistemas
responsveis por analisar o comportamento de uma
rede ou sistema em busca de tentativas de invaso
HIDS (Host IDS):
Monitora um host especfico
NIDS (Network IDS):
Monitora uma segmento de rede

Segurana Lgica
VPN (Virtual Private Networks)
VPN (Virtual Private Networks):
Forma barata de interligar duas redes
privadas (Intranet) atravs da Internet
Permite usar uma rede no confivel de
forma segura
Exemplos:
Ligao entre dois firewalls ou entre dois
servidores de VPN para interligar duas redes
inteiras
Ligao entre uma estao na Internet e
servios localizados dentro da rede interna
(Intranet)

14
3.3 Tipos de criptografia
(simtrica e assimtrica)
e suas caractersticas

Criptologia

Criptologia: a cincia que cuida da comunicao e


do armazenamento de dados de forma segura e
geralmente secreta

Ela engloba a Criptografia e a Criptoanlise

15
Criptografia

Criptografia: Engloba tcnicas (mtodos e protocolos)


utilizadas para esconder o significado de uma
mensagem

A criptografia no esconde a mensagem real, apenas o


significado da mensagem

Criptografia
Criptografia diferente das tcnicas de esteganografia, que
escondem a mensagem real
Ex.: Usar tinta invisvel; escrever uma mensagem na cabea raspada,
esperar o cabelo crecer e enviar a pessoa ao destinatrio

Ela no criptografa nem incrementa o tamanho do arquivo de


mensagens escondidas
Ex.: Selecionar padres de bit em pixels coloridos para esconder a
mensagem

16
Criptoanlise

Criptoanlise: a prtica de mudar o texto cifrado em


texto simples, sem o conhecimento completo da cifra

Ela testa e valida os mtodos criptogrficos


Exemplos: Fora Bruta, backdoor

Objetivos e Fatores de Sucesso

Quais os objetivos da Quais so os fatores de


criptografia? sucesso?
Confidencialidade das mensagens A confidencialidade das chaves
Integridade de dados A dificuldade de adivinhar as
Identificao de entidades chaves
Autenticao de mensagens A dificuldade de inverter o
Autorizao e controle de acesso algoritmo de criptografia sem
Certificao saber a chave
Anonimato
No repdio

17
Texto Simples, Texto Cifrado, Cifra
Texto simples: refere-se ao alfabeto comum usado
para compor a mensagem original
Texto cifrado: refere-se mensagem de texto simples
encriptado uma vez que as letras originais na
mensagem foram substitudas com o alfabeto cifrado
Cifras: so qualquer forma de substituio criptogrfica
aplicada ao texto da mensagem

Algoritmo, Chave
Um algoritmo um mtodo geral de criptografia
Uma chave especifica detalhes (informaes adicionais) de
uma encriptao em particular
Juntos, eles formam cifras e mensagens criptografadas
No caso de uma cifra de substituio:
O algoritmo iria substituir as letras do texto simples pelas letras
do texto cifrado
A chave seria o texto no alfabeto cifrado

18
Ciframento e Deciframento

Ciframento

casa uityoi

Deciframento

casa
uityoi

Tcnicas de Criptografia - Tipos de


Cifras
Clssicas ou simples
Transposio
Substituio
Substituio polialfabtica (homofnica, vigenre, etc.)
Modernas
Quanto ao tipo de chave
Algoritmos de chave simtrica (criptografia de chave privada)
Algoritmos de chave assimtrica (criptografia de chave pblica)

19
Tcnicas de Criptografia
Transposio: uma tcnica de criptografia em que as
letras em uma mensagem so reordenadas para fornecer
sigilo

Exemplo (cifra Rail Fence, ou Zig Zag):

HelloWorld Texto Simples (Mensagem Original)


H l oW r d Cifra (Linha 1)
e l o l Cifra (Linha 2)
HloWrdelol Texto Cifrado (Mensagem Transposta)

Tcnicas de Criptografia
Substituio: cada letra da mensagem de texto substituda por
uma nica letra diferente
Cada letra mantm a sua posio original no texto da mensagem, mas a
identidade da letra mudada
Nessa definio tambm chamada substituio monoalfabtica

A B C D E Alfabeto comum
D C E G H Alfabeto cifrado

Mensagem texto simples: BAD


Mensagem texto cifrado: CDG

20
Tcnicas de Criptografia
Um exemplo de tcnica de criptografia de substituio a
Cifra de Csar
Usa deslocamento fixo ou varivel (k) do alfabeto
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

Deslocamento de 3 caracteres (k=3)

Por exemplo:
UNICARIOCA
XQLFDULRFD

Tcnicas de Criptografia
Particularidades das tcnicas clssicas
Fceis de usar
O receptor deve conhecer a chave para poder obter a
mensagem original
Frgeis, podem ser deduzidas (anlise de ocorrncia e
sequncia de caracteres)

21
Tcnicas de Criptografia
Um tipo de tcnica de substituio monoalfabtica denominada Cifra
Aditiva
A Cifra XOR Simples (Ou exclusivo - eXclusive OR) usa a operao
lgica correspondente com o uso de uma chave, para cifrar um texto
simples em texto cifrado
Tabela-verdade:
A B A XOR B
0 0 0
0 1 1
1 0 1
1 1 0

Exemplo:
Mensagem de texto simples: ARROZ
Representao em ASCII 8 bits:
01000001 01010010 01010010 01001111 01011010
Chave: 11110011

01000001 01010010 01010010 01001111 01011010


11110011 11110011 11110011 11110011 11110011
--------------------------------------------
10110010 10100001 10100001 10111100 10101001

Mensagem cifrada:

22
Tcnicas de Criptografia
Substituio polialfabtica: permite diferentes smbolos de texto
cifrado para representar o mesmo smbolo do texto simples

Na substituio homofnica, letras do texto simples que se


repetem com maior frequncia em um determinado idioma podem
conter mais cifras
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z UNICARIOCA
---------------------------------------------------
U X S F C E H D V I T P G A Q L K J R Z O W M Y B N OAVSUJVQS6
6 9 3 5 0 4 7
2
1

Texto simples
Outro exemplo a A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Cifra de Vigenre que A


B
A
B
B
C
C
D
D
E
E
F
F
G
G
H
H
I
I
J
J
K
K
L
L
M
M
N
N
O
O
P
P
Q
Q
R
R
S
S
T
T
U
U
V
V
W
W
X
X
Y
Y
Z
Z
A
usa uma tabela de C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
alfabetos (Tabula E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
Recta) G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F
H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
Ex.: I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
Chave: ARROZ K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
Chave

L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
Mens. texto simples: M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
FEIJAO N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
Se o tamanho da chave P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
for menor que a Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
mensagem, repete-se a R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
partir da ltima letra: S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
ARROZA U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U
Mensagem Cifrada: W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
FVZXZO X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y

23
Tcnicas de Criptografia
Tcnicas de Criptografia Modernas
Quanto ao tipo de chave
Algoritmos de chave simtrica (criptografia de chave
privada)
Algoritmos de chave assimtrica (criptografia de chave
pblica)

Tcnicas de Criptografia
Simtrica

Assimtrica

24
Criptografia de Chave Simtrica

Criptografia de Chave Simtrica


Principal caracterstica a utilizao da mesma chave
para cifrar e decifrar
Engloba os criptossistemas clssicos
Outros nomes: Criptografia...
...convencional
...de chave nica
...de chave secreta

25
Criptografia de Chave Simtrica

Modos de operao quanto a manipulao de bits:


Cifragem em bloco (block cipher): Trabalham sobre blocos
(conjuntos de bits)
ECB (Electronic Codebook), CBC (Cipher Block Chaining), CFB
(Cipher Feedback), OFB (Output Feedback)
Vetor de inicializao: bloco usado para gerar encriptaes
aleatrias, bem como produzir textos cifrados distintos, no caso do
mesmo texto simples ser encriptado vrias vezes, sem a necessidade
da gerao mais lenta de novas chaves
Cifragem em fluxo (stream cipher): Trabalham bit-a-bit

Cifragem em Bloco
ECB (Electronic Code Book - Modo do Livro de Cdigos)

Criptografar

Decriptografar

26
Cifragem em Bloco
CBC (Cipher Block Chaining - Modo do Encadeamento de
Blocos)

Criptografar

Decriptografar

Cifragem em Bloco
ECB X CBC

27
Cifragem em Bloco
OFB (Output Feedback Realimentao de Sada)

Criptografar

Decriptografar

Cifragem em Bloco
CFB (Cipher Feedback Realimentao de Cifra)

Criptografar

Decriptografar

28
Criptografia de Chave Simtrica
Alguns cifradores simtricos:
LUCIFER
DES, 3DES
BLOWFISH
RC2
RC4
IDEA
RC5
TWOFISH
SERPENT
RIJNDAEL (AES)

Criptografia de Chave Simtrica


LUCIFER: criado por Horst Feistel em 1970 na IBM, funciona da seguinte maneira:
A string de texto simples traduzida para o formato binrio
A cadeia binria embaralhada dividida em blocos de 64 bits e criptografia acontece por bloco
Cada um desses blocos so divididos em 2 blocos de 32 bits e eles so chamados de Esquerdo
(0) e Direito (0)
O bloco Direito (0) colocado atravs de uma funo estraalhadora que reorganiza os nmeros
binrios usando uma cifra de substituio bastante complexa
O bloco Direito (0) ento adicionado ao Esquerdo (0) para criar um novo meio bloco chamado
de Direito(1), e o bloco original Direito (0) renomeado para a Esquerdo (1)

Esta srie de passos chamada Feistel Round e repetida 16 vezes no total. A


funo pode mudar e determinada por uma chave acordada entre o remetente e
do receptor

29
Criptografia de Chave Simtrica
Bloco Inicial
(64 bits)

Primeira Chave
32 bits 32 bits

+ F

Novo Novo
bloco 32 bloco 32
bits bits

Criptografia de Chave Simtrica


Uma verso modifcada do Lucifer foi adotada como o
padro americano em 1977, denominada DES (Data
Encryption Standard)
Cifrador mais conhecido do mundo

A principal diferena foi que a NSA limitou o DES a uma


chave de 56 bits para equilibrar os interesses entre a
segurana nacional e as necessidades de privacidade
pessoais e corporativos

30
Criptografia de Chave Simtrica

3DES (Triple DES): IBM, incio de 1979


3 chaves de 56 bits (168 bits)

Criptografia de Chave Simtrica

Em resposta ao tamanho da chave e aos problemas de


desempenho relacionados ao Triple DES, criptgrafos
e empresas comerciais desenvolveram novas cifras
de bloco

31
Criptografia de Chave Simtrica
Blowfish (Counterpane Systems)
RC2 (RSA)
RC4 (RSA)
IDEA (Ascon)
Cast (Entrust)
Safer (Cylink)
RC5 (RSA)

Criptografia de Chave Simtrica


Enquanto DES e Triple DES requeriam chaves de tamanho
fixo, suas substituies comerciais eram mais rpidas e
capazes de operar com chaves maiores e tamanho varivel

As diferentes substituies comerciais do DES prosperaram


em algum grau e as empresas construram produtos
utilizando os algoritmos
Mas nenhuma proposta se tornou um padro mundial comparvel
ao DES ou ao Triple DES

32
Criptografia de Chave Simtrica
Em 1997 o NIST (National Institute of Standards and
Technology), rgo do Departamento de Comrcio dos EUA,
encarregado de aprovar padres para o governo federal dos
EUA patrocinou um concurso para um novo padro criptogrfico
para uso no-confidencial

O vencedor foi o Rijndael (Daemen & Rijmen) que veio a se


chamar AES (Advanced Encrytion Standard)

Criptografia de Chave Assimtrica

33
Criptografia de Chave Assimtrica
Proposto por W. Diffie e M. Hellman (1976)
Baseia-se num par de chaves
Pblica, serve para cifrar
Privada, serve para decifrar
Mais lento que algoritmos de chave simtrica
Exemplos: RSA, Diffie-Hellman, Curvas Elpticas, ElGamal,
Rabin

Criptografia de Chave Assimtrica


RSA (Rivest-Shamir-Adleman): Primeiro algoritmo prtico
(1978)
Mais usado algoritmo de chave pblica
Prov confidencialidade e assinatura digital
Segurana do mtodo est na fatorao de nmeros
grandes

34
Criptografia de Chave Assimtrica
Gerao das chaves (por A)
Gerar dois primos grandes e distintos p e q
Computar n=p.q e = (p-1)(q-1)
Selecionar um inteiro aleatrio e, 1 < e <
mdc(e, ) = 1
Computar d, 1 < d <
ed = 1 (mod )
Chave pblica (n,e); Chave privada d

Criptografia de Chave Assimtrica


Exemplo:
Gerao das chaves (n,e) e d
p = 101 e q = 113
n = 11413 e (n) = 100 . 112 = 11200
e = 3533
3533 = d-1 mod 11200 => d = 6597
Ciframento (m = 9726)
c = 97263533 mod 11413 = 5761
m = 57616597 mod 11413 = 9726

35
Comparativo entre os mtodos

Criptografia Simtrica Criptografia Assimtrica

Velocidade Alta Baixa

Confiabilidade Boa Muito Boa

Nvel de Segurana Alto Alto

Requer uma terceira parte confivel Algumas vezes Sempre

Quantidade de chaves usadas Uma Duas

Criptografia Hbrida
Criptografia Hbrida
Meio termo entre as criptografias
Aproveita o que tem de bom das duas partes

Os dois usurios usam chaves pblicas e privadas para


proteger e transportar apenas as chaves secretas, e
ento usam as chaves secretas para cifrar os dados

36
3.4 Mecanismos de
assinatura digital e
funes de hashing

Assinatura Digital
Assinatura Digital
Suponha que uma terceira pessoa (TRUDY) capaz de
interceptar a comunicao entre Alice e Bob

37
Assinatura Digital
Como Trudy no possui as chaves privadas de Alice e Bob, no consegue
decodificar a mensagem cifrada Confidencialidade OK!
No entanto, Trudy pode possuir as chaves pblicas de ambos.
O que a impede de enviar mensagens forjadas?

Assinatura Digital
Assinatura Digital - permite que:

1. O receptor tenha certeza da identidade do emissor


2. O emissor no possa negar que enviou a mensagem
nem contestar seu contedo
3. O receptor no possa adulterar o contedo da
mensagem recebida

38
Assinatura Digital
Uma propriedade do RSA
diz que:

Uma mensagem codificada


com a chave privada de um
usurio s pode ser
decodificada com a
respectiva chave pblica

(Note que o inverso do


que foi dito at agora)

Assinatura Digital
A mensagem codificada com a Chave Privada de um usurio:
Pode ser decodificada por qualquer um que tenha sua chave
pblica, ou seja, muitas pessoas
Porm, se for decodificada corretamente significa que o emissor
realmente o dono daquela chave pblica (pois s ele tem a
chave privada) garantia de identidade
Para garantir sua identidade, o emissor anexa na mensagem
uma assinatura de sua mensagem codificada com sua chave
privada
Para isso, utilizam-se as funes de Hashing

39
Assinatura Digital
Hashing ou Message Digest
Produz uma assinatura a partir de uma entrada
Caractersticas importantes:
1. O clculo do hash de uma mensagem deve ser fcil e rpido.
2. O tamanho do hash deve ser constante, independente do tamanho da
mensagem de entrada.
3. A partir do hash deve ser impossvel deduzir a mensagem original.
4. No deve ser possvel, a partir de uma mensagem e seu hash, deduzir
uma outra mensagem que produza o mesmo hash.
5. Uma mnima mudana na mensagem deve produzir uma grande
mudana no hash.

Assinatura Digital
Funes mais usadas:
MD5 - 128 bits
SHA-1 - 160 bits
SHA-2 - 224/256/384/512 bits
Uma mnima alterao no texto, altera todo o hash
Exemplo:
Os hashes MD5 de 128-bit so normalmente representados por
uma sequncia de 32 caracteres hexadecimais
MD5(mensagem de teste 1 2 3) 63745902de0027d04c06d8ba5b94a225
MD5(mensagem de teste 1 2 2) 4ebcbd22ef3815461cc75607647056cb

40
Assinatura Digital
Como as funes de hashing podem ser usadas para
gerar assinatura para quaisquer tamanhos de
mensagem, de se esperar que diferentes entradas
produzam a mesma sada coliso de hashing
Apesar de possvel, matematicamente improvvel (para no
dizer quase impossvel) que se consiga obter uma segunda
mensagem que produza o mesmo hash
Mesmo que se consiga (por fora-bruta), ainda mais
improvvel que esta mensagem possua algum sentido
ortogrfico e semntico

Assinatura Digital
Verificao da Assinatura Digital:
1. Executa-se a funo MD (usando o mesmo algoritmo MD que foi
aplicado ao documento na origem), obtendo-se um hash para aquele
documento, e posteriormente, decifra-se a assinatura digital com a
chave pblica do remetente
2. A assinatura digital decifrada deve produzir o mesmo hash gerado pela
funo MD executada anteriormente
3. Se estes valores so iguais determinado que o documento no foi
modificado aps a assinatura do mesmo, caso contrrio o documento
ou a assinatura, ou ambos foram alterados

41
Assinatura Digital

Assinatura Digital
Garante a integridade
da mensagem e a
identidade do
emissor

Garante que apenas


o receptor possa
decodificar a
mensagem cifrada

42
Assinatura Digital
Aplicaes Prticas: Autenticao/SMIME

Fonte de uma mensagem autenticada Forma como a mensagem anterior aparece


enviada pelo Outlook Express e recebida no Outlook Express.
pelo Netscape.

Assinatura Digital
Aplicaes Prticas: Criptografia/SMIME

Fonte de uma mensagem criptografada Forma como a mensagem anterior aparece


enviada pelo Outlook Express e recebida no Outlook Express.
pelo Netscape.

43
Assinatura Digital
Aplicaes Prticas: Autenticao e criptografia/SMIME

Fonte de uma mensagem criptografada e Forma como a mensagem anterior aparece


autenticada enviada pelo Outlook Express e no Outlook Express.
recebida pelo Netscape.

Assinatura Digital
Aplicaes Prticas: Web
Nos requisitos
Autenticao do servidor
Autenticao do cliente
Integridade de contedo
Confidencialidade
Nos protocolos
SSL (Secure Socket Layer)
Secure HTTP (Secure HyperText Transfer Protocol)
Nos aplicativos
SSH (Secure Shell)
IPSec (Internet Protocol Security)
VPNs (Virtual Private Networks)
EDI (Electronic Data Interchange)

44
3.5 Certificados Digitais:
Caractersticas e
objetivos

Certificao Digital

Uma vulnerabilidade no resolvida at aqui:


Suponha que Bob e Alice vo se falar pela primeira vez
Ambos devem obter a chave pblica do outro
Se um terceiro (TRUDY) consegue distribuir chaves falsas
para ambos:
Trudy poderia intermediar (e interceptar) toda a comunicao
entre Bob e Alice
Bob e Alice pensariam estar se comunicando diretamente e com
segurana, mas no seria a realidade

45
Certificao Digital
O originador de uma mensagem criptografada precisa
conhecer a chave pblica do destinatrio
O destinatrio de uma mensagem autenticada precisa
conhecer a chave pblica do originador
necessrio que o usurio tenha certeza de que a chave
pblica que est utilizando autntica
Em um pequeno grupo, poderia trocar as chaves
pblicas e guard-las de forma segura
J em um grande grupo, a troca manual de chave
impraticvel!

Certificao Digital
Certificado Digital: arquivo digital que contm as
informaes necessrias identificao de um indivduo ou
programa, equipamento, componente, produto, etc, incluindo
sua chave pblica
Principal funo de um certificado: vincular uma chave
pblica ao nome de um protagonista (indivduo, empresa, etc.)
Os certificados em si no so secretos ou protegidos
Usualmente esto disponveis em uma base de acesso livre na
Internet (diretrio X.500)

46
Certificao Digital
Autoridade Certificadora - AC (Certification Authority - CA):
Cartrio eletrnico
Entidade que emite certificados para possuidores de chaves
pblicas e privadas (pessoa, dispositivo, servidor)

Exemplos de CAs: VeriSign, Cybertrust, Nortel

Certificao Digital
Atribuies de uma AC:
Gerar, entregar e armazenar a chave privada de forma segura
Distribuir a chave pblica
Atualizar o par de chaves
Assinar a chave pblica para gerar o certificado.
Assinar certificados digitais garantindo sua validade
Manter e divulgar uma lista com os certificados revogados (Certificate
Revocation List - CRL)
CAs podem estar encadeadas em hierarquias de certificao, em que a CA de
um nvel inferior valida sua assinatura com a assinatura de uma CA mais alta
na hierarquia

47
Certificao Digital

Perodo de validade e revogao


Os certificados definem perodos de validade para as chaves
pblicas

Certificados podem ser revogados antes de sua expirao:


Suspeita de corrupo da chave pblica
Trmino de contrato
Mudana de nome

Certificao Digital
Componentes bsicos de um certificado digital:
A chave pblica
Nome e endereo de e-mail
Data da validade da chave pblica
Nome da autoridade certificadora (CA)
Nmero de srie do Certificado Digital
Assinatura Digital da Autoridade Certificadora

48
Certificao Digital

Certificao Digital
Para que serve um Certificado Digital?
Correio Eletrnico seguro
Transaes Bancrias sem repdio
Compras pela Internet sem repdio
Consultas confidenciais a cadastros
Arquivo de documentos legais digitalizados
Transmisso de documentos
Contratos digitais
Certificao de Equipamentos
Certificao de Programas de Computador
Certificao de vdeo, som e comandos digitais

49
Certificao Digital
Obteno de um Certificado
Cliente gera um par de chaves pblica e privada (por exemplo,
usando RSA)
Envia-se um pedido de certificado para a Autoridade de Registro
AR (Autoridade Regional de Registro) faz a prova de existncia do
requisitante e retransmite o pedido para a AC
AC assina e envia o certificado
Usurio instala seu certificado
Usurio divulga o certificado

Certificao Digital
Poltica de Certificao:
A Autoridade de Registro (AR), tendo a delegao de uma AC
para tal, faz uma investigao no solicitante e determina:
Se o pedido deve ser atendido
Quais as caractersticas que deve ter

Obs.: no confundir Autoridade de Certificao (CA) com a


Autoridade de Registro
A AR faz o reconhecimento presencial da pessoa que solicita a
Certificao Digital

50
Certificao Digital
Tipos de certificados
Certificados de AC: utilizados para validar outros certificados; auto-
assinados ou assinados por outra AC
Certificados de servidor: utilizados para identificar um servidor
seguro; contm o nome da organizao e o nome DNS do servidor
Certificados pessoais: contm nome do portador e,
eventualmente, informaes como endereo eletrnico, endereo
postal, etc
Certificados de desenvolvedores de software: utilizados para
validar assinaturas associadas a programas

Certificao Digital

Infra-estrutura para o gerenciamento de chaves pblicas


(padro Public Key Infrastructure - PKI)

Determina:
Onde os certificados digitais sero armazenados e recuperados
De que forma esto armazenados
Como um certificado revogado, etc.

51
Certificao Digital

Requisitos para uma Infra-estrutura de Chave Pblica


Escalabilidade
Suporte a vrias aplicaes
Interoperabilidade
Suporte a mltiplas polticas
Limitao de responsabilidade
Padronizao

Certificao Digital
Funo da PKI
Fornecer um modo para estruturar os componentes (usurios, CAs,
certificados, etc.).
Definir padres para os vrios documentos e protocolos.
Garantir a autenticao, confidencialidade, integridade e a no recusa
das informaes.

A prpria empresa pode criar sua PKI e fazer, por exemplo, com que um
departamento das filiais atue como AC ou AR, solicitando ou emitindo
certificados para seus funcionrios

52
Certificao Digital
ICP a sigla no Brasil para PKI
ICP-Brasil se caracteriza pela presena de um sistema
hierrquico ou vertical, onde h a presena de uma AC-raiz
(papel realizado pelo Instituto Nacional de Tecnologia da
Informao), que credencia e audita as ACs pertecentes ao
sistema

http://www.iti.gov.br/icp-brasil/estrutura, acesso em 28/07/2016

53
Certificao Digital

Certificao Digital
1. Solicita o certificado digital 2. Verifica identidade do usurio

Autoridade Registro

No: Recusa a solicitao Id


vlida
?

Envia certificado para o usurio

Publica o certificado Sim: Requisita o


Certificado para o usurio

Repositrio Autoridade Certificadora

54

You might also like