Скачать презентацию Tópicos l Assinatura Digital l Certificação Digital l Скачать презентацию Tópicos l Assinatura Digital l Certificação Digital l

2a17988124681ed27bfb946fbabaf8dd.ppt

  • Количество слайдов: 93

Tópicos l Assinatura Digital l Certificação Digital l Segurança da Comunicação 1 Tópicos l Assinatura Digital l Certificação Digital l Segurança da Comunicação 1

Criptografia - Autenticação l l Algumas vezes há a necessidade de se provar quem Criptografia - Autenticação l l Algumas vezes há a necessidade de se provar quem escreveu um documento e de manter as informações desse documento sem modificações. Solução: serviços de autenticação e integridade de dados A autenticidade de muitos documentos é determinada pela presença de uma Assinatura Digital. 2

Criptografia - Autenticação l Assinatura digital – item que acompanha um determinado dado e Criptografia - Autenticação l Assinatura digital – item que acompanha um determinado dado e apresenta as seguintes funções: 1. Confirmar a origem do dado 2. Certificar que o dado não foi modificado 3. Impedir a negação de origem 3

Assinatura Digital l Vantagens provenientes do envio de mensagem “assinada”: 1. O receptor poderá Assinatura Digital l Vantagens provenientes do envio de mensagem “assinada”: 1. O receptor poderá verificar a identidade alegada pelo transmissor. 2. Posteriormente, o transmissor não poderá repudiar o conteúdo da mensagem. 3. O receptor não terá a possibilidade de forjar ele mesmo a mensagem. 4

Assinatura Digital l Assinaturas de Chave Simétrica l Assinaturas de Chave Pública l Sumários Assinatura Digital l Assinaturas de Chave Simétrica l Assinaturas de Chave Pública l Sumários de mensagens (Message Digests) l Aplicações Práticas 5

Assinatura Digital Assinatura de Chave Simétrica ¡ Estratégia – uso de uma autoridade central Assinatura Digital Assinatura de Chave Simétrica ¡ Estratégia – uso de uma autoridade central que saiba de tudo e na qual todos confiem (BB - Big Brother). ¡ Cada usuário escolhe uma chave secreta e a leva para o BB. ¡ Somente Alice e BB conhecem a chave secreta de Alice, KA, e assim por diante. 6

Assinatura Digital Assinatura de Chave Simétrica Assinaturas digitais com Big Brother B – identidade Assinatura Digital Assinatura de Chave Simétrica Assinaturas digitais com Big Brother B – identidade de Bob RA – número aleatório escolhido por Alice t – timbre de hora para assegurar a atualidade KA(B, RA, t, P) – mensagem criptografada com a chave de Alice, KA KBB (A, t, P) – mensagem assinada 7

Assinatura Digital Problemas - Assinaturas de Chave Simétrica ¡ Todos têm de confiar no Assinatura Digital Problemas - Assinaturas de Chave Simétrica ¡ Todos têm de confiar no BB. ¡ O BB tem de ler todas as mensagens assinadas. 8

Assinatura Digital Assinaturas de Chave Pública Computador de Alice Chave privada de Alice, DA Assinatura Digital Assinaturas de Chave Pública Computador de Alice Chave privada de Alice, DA Linha de transmissão Chave pública de Bob, EB Computador de Bob Chave privada de Bob, DB Chave pública de Alice, EA Assinaturas digitais com o uso de chave pública. 9

Assinatura Digital ¡ Assinaturas de Chave Pública - Problemas relacionados ao ambiente no qual Assinatura Digital ¡ Assinaturas de Chave Pública - Problemas relacionados ao ambiente no qual operam l Bob só poderá provar que uma mensagem foi enviada por Alice enquanto DA permanecer secreta. Se Alice revelar sua chave secreta, o argumento deixará de existir - qualquer um poderá ter enviado a mensagem. l O que acontecerá se Alice decidir alterar sua chave? 10

Assinatura Digital Criptografia Assimétrica (chave pública) Críticas ¡ Reúnem sigilo e autenticação ¡ Em Assinatura Digital Criptografia Assimétrica (chave pública) Críticas ¡ Reúnem sigilo e autenticação ¡ Em geral, o sigilo não é necessário ¡ Cifragem da mensagem inteira é lenta Solução: assinar a mensagem sem cifrá-la completamente Sumários de Mensagens 11

Assinatura Digital ¡ Sumários de Mensagens (Message Digests) l Uso de uma função hash Assinatura Digital ¡ Sumários de Mensagens (Message Digests) l Uso de uma função hash unidirecional que extrai um trecho qualquer do texto simples e, a partir deste, calcula um string de bits de tamanho fixo. l Função hash – geralmente denominada sumário de mensagens (MD). 12

Assinatura Digital • Hash - Algoritmo que faz o mapeamento de uma seqüência de Assinatura Digital • Hash - Algoritmo que faz o mapeamento de uma seqüência de bits de tamanho arbitrário para uma seqüência de bits de tamanho fixo menor, de forma que seja muito difícil encontrar duas mensagens produzindo o mesmo resultado hash. Mess age Hash Função Hash - funciona como uma impressão digital de uma mensagem gerando, a partir de uma entrada de tamanho variável, um valor fixo pequeno: o digest ou valor hash. 13

Assinatura Digital MD - Propriedades importantes 1. Se P fornecido, o cálculo de MD(P) Assinatura Digital MD - Propriedades importantes 1. Se P fornecido, o cálculo de MD(P) será muito fácil. 2. Se MD(P) fornecido, será efetivamente impossível encontrar P. 3. Dado P, não deve ser possível encontrar P´ tal que MD(P´) = MD(P). 4. Uma mudança na entrada de até mesmo 1 bit produz uma saída muito diferente. 14

Assinatura Digital Message Digests - Propriedades importantes ¡ Gera um sumário de tamanho fixo Assinatura Digital Message Digests - Propriedades importantes ¡ Gera um sumário de tamanho fixo para qualquer comprimento de mensagem. ¡ Efetivamente impossível adivinhar a mensagem a partir do sumário. ¡ Efetivamente impossível encontrar outra mensagem que gere o mesmo sumário. ¡ Uma pequena mudança na mensagem altera bastante o sumário. 15

Função hash – Message Digests 16 Função hash – Message Digests 16

Assinatura Digital - Geração 17 Assinatura Digital - Geração 17

Assinatura Digital - Geração ¡ Geração da Assinatura Digital 1. entra-se com os dados Assinatura Digital - Geração ¡ Geração da Assinatura Digital 1. entra-se com os dados a serem "digeridos" e o algoritmo MD gera um hash de 128 ou 160 bits (dependendo do algoritmo). 2. computada uma MD, criptografa-se o hash gerado com uma chave privada. 18

Assinatura Digital - Verificação Normalmente, 2 m/2 (e não 2 m) operações são suficientes Assinatura Digital - Verificação Normalmente, 2 m/2 (e não 2 m) operações são suficientes para subverter um sumário de mensagens de m bits utilizando-se o ataque de aniversário. 19

Assinatura Digital - Verificação ¡ Verificação da Assinatura Digital 1. Executa-se a função MD Assinatura Digital - Verificação ¡ Verificação da Assinatura Digital 1. Executa-se a função MD (usando o mesmo algoritmo MD que foi aplicado ao documento na origem), obtendo-se um hash para aquele documento, e posteriormente, decifra-se a assinatura digital com a chave pública do remetente. 2. A assinatura digital decifrada deve produzir o mesmo hash gerado pela função MD executada anteriormente. 3. Se estes valores são iguais é determinado que o documento não foi modificado após a assinatura do mesmo, caso contrário o documento ou a assinatura, ou ambos foram alterados. Assinatura digital – informa apenas que o documento foi modificado, mas não o que foi modificado e o quanto foi modificado. 20

Assinatura Digital ¡ É importante perceber: a assinatura digital, como descrita no exemplo anterior, Assinatura Digital ¡ É importante perceber: a assinatura digital, como descrita no exemplo anterior, não garante a confidencialidade da mensagem. ¡ Qualquer um poderá acessá-la e verificá-la, mesmo um intruso (Eva), apenas utilizando a chave pública de Alice. 21

Assinatura Digital ¡ Obtenção de confidencialidade com assinatura digital: l Alice 1. assina a Assinatura Digital ¡ Obtenção de confidencialidade com assinatura digital: l Alice 1. assina a mensagem, utilizando sua chave privada. 2. criptografa a mensagem novamente, junto com sua assinatura, utilizando a chave pública de Bob. l Bob 1. ao receber a mensagem, deve decifrá-la com sua chave privada, o que garante sua privacidade. 2. "decifrá-la" novamente, ou seja, verificar sua assinatura utilizando a chave pública de Alice, garantindo assim sua autenticidade. 22

Assinatura Digital Exemplos de algoritmos que implementam Assinatura Digital: ¡ ¡ ¡ RSA El Assinatura Digital Exemplos de algoritmos que implementam Assinatura Digital: ¡ ¡ ¡ RSA El Gamal DSA 23

Assinatura Digital Algoritmo Descrição RSA • Como já mencionado, o RSA também é comutativo Assinatura Digital Algoritmo Descrição RSA • Como já mencionado, o RSA também é comutativo e pode ser utilizado para a geração de assinatura digital. • A matemática é a mesma: há uma chave pública e uma chave privada, e a segurança do sistema baseiase na dificuldade da fatoração de números grandes. 24

Assinatura Digital Algoritmo El Gamal Descrição • Também é comutativo, podendo ser utilizado tanto Assinatura Digital Algoritmo El Gamal Descrição • Também é comutativo, podendo ser utilizado tanto para assinatura digital quanto para gerenciamento de chaves. • Obtém sua segurança da dificuldade do cálculo de logaritmos discretos em um corpo finito. 25

Assinatura Digital Algoritmo Descrição DSA • O Digital Signature Algorithm, destinado unicamente a assinaturas Assinatura Digital Algoritmo Descrição DSA • O Digital Signature Algorithm, destinado unicamente a assinaturas digitais, foi proposto pelo NIST em agosto de 1991, para utilização no seu padrão DSS (Digital Signature Standard). • Adotado como padrão final em dezembro de 1994, trata-se de uma variação dos algoritmos de assinatura El Gamal e Schnorr. 26

Criptografia - Função Hash Exemplos de funções hash (MD) utilizadas em produtos e protocolos Criptografia - Função Hash Exemplos de funções hash (MD) utilizadas em produtos e protocolos criptográficos: ¡ ¡ ¡ MD 5 SHA-1 MD 2 e MD 4 27

Criptografia - Função Hash Funções MD 5 Descrição • Função de espalhamento unidirecional inventada Criptografia - Função Hash Funções MD 5 Descrição • Função de espalhamento unidirecional inventada por Ron Rivest, do MIT, que também trabalha para a RSA Data Security. MD - Message Digest. • Produz um valor hash de 128 bits, para uma mensagem de entrada de tamanho arbitrário. • Inicialmente proposto em 1991, após alguns ataques de criptoanálise terem sidos descobertos contra a função Hash prévia de Rivest: a MD 4. • Projetado para ser rápido, simples e seguro. Seus detalhes são públicos, e têm sido analisados pela comunidade de criptografia. • Foi descoberta uma fraqueza em parte do MD 5, mas até agora ela não afetou a segurança global do algoritmo. • O fato dele produzir um valor hash de somente 128 bits é o que causa maior preocupação; é preferível uma função Hash que produza um valor maior. 28

Criptografia - Função Hash Funções Descrição SHA-1 • O Secure Hash Algorithm, função de Criptografia - Função Hash Funções Descrição SHA-1 • O Secure Hash Algorithm, função de espalhamento unidirecional inventada pela NSA, gera um valor hash de 160 bits, a partir de um tamanho arbitrário de mensagem. • Funcionamento interno muito parecido com o observado no MD 4, indicando que os estudiosos da NSA basearam-se no MD 4 e fizeram melhorias em sua segurança. • A fraqueza existente em parte do MD 5, citada anteriormente, descoberta após o SHA-1 ter sido proposto, não ocorre no SHA-1. • Atualmente, não há nenhum ataque de criptoanálise conhecido contra o SHA-1. • Mesmo o ataque da força bruta torna-se impraticável, devido ao seu valor hash de 160 bits. • Não há provas de que, no futuro, alguém não possa descobrir como quebrar o SHA-1. 29

Criptografia - Função Hash Funções MD 2 e MD 4 Descrição • MD 4 Criptografia - Função Hash Funções MD 2 e MD 4 Descrição • MD 4 - precursor do MD 5, tendo sido inventado por Ron Rivest. • Após terem sido descobertas algumas fraquezas no MD 4, Rivest escreveu o MD 5. • O MD 4 não é mais utilizado. • O MD 2 é uma função de espalhamento unidirecional simplificada, e produz um hash de 128 bits. • Segurança do MD 2 - dependente de uma permutação aleatória de bytes. • Não é recomendável sua utilização, pois, em geral, é mais lento do que as outras funções hash citadas e acredita -se que seja menos seguro. 30

Alice Chave Pública Chave Privada Criando uma Mensagem Segura Assinando a Mensagem Criptografando A Alice Chave Pública Chave Privada Criando uma Mensagem Segura Assinando a Mensagem Criptografando A Mensagem Ordem de Pagamento Para Bob Chave Pública do Bob Alice 01101001001001111010 Chave de Sessão Chave Pública DES RSA n. I 2 j. R 98 Fd z(q 6 Chave Privada Chave Pública da Alice RSA SHA-1 Hash Bob Criptografando a Chave de Sessão Alice 01101001001001111010 X 15/^ Bloco Transmitido ow 83 h 7 ERH 39 DJ 3 H Assinatura Digital de Alice 31

Alice Chave Pública Chave Privada Chave Pública do Bob Descriptografando a Mensagem Segura Descriptografando Alice Chave Pública Chave Privada Chave Pública do Bob Descriptografando a Mensagem Segura Descriptografando A chave de sessão Descriptando a mensagem n. I 2 j. R 98 Fd z(q 6 X 15/^ ow 83 h 7 ERH 39 DJ 3 H Chave de Sessão ow 83 h 7 ERH 39 DJ 3 H RSA SHA-1 DES Chave Pública Chave Privada Ordem de Pagamento Para Bob Alice 01101001001001111010 RSA Bob Verificando a assinatura e Integridade da mensagem n. I 2 j. R 98 Fd z(q 6 Hash Ordem de Pagamento Para Bob Sim Iguais? Hash Não Alice 01101001001001111010 Chave Pública da Alice X 15/^ ow 83 h 7 ERH 39 DJ 3 H + 32

Aplicações Práticas Correio eletrônico ¡ Utilização l l ¡ Autenticação de origem Integridade do Aplicações Práticas Correio eletrônico ¡ Utilização l l ¡ Autenticação de origem Integridade do conteúdo Confidencialidade Não-repúdio Protocolos l l l PEM (Public Enhanced Mail) Security Multiparts for MIME/MOSS (Mime Object Security Services) S/MIME (Secure/Multipurpose Internet Mail Extensions) PGP (Pretty Good Privacy) X. 400 33

Aplicações Práticas Autenticação/SMIME Fonte de uma mensagem autenticada enviada pelo Outlook Express e recebida Aplicações Práticas Autenticação/SMIME Fonte de uma mensagem autenticada enviada pelo Outlook Express e recebida pelo Netscape. Fonte: Criptografia de Chaves Públicas, Marcelo A. 34 R. Schmitt, 2001.

Aplicações Práticas Autenticação/SMIME Forma como a mensagem anterior aparece no Outlook Express. 35 Aplicações Práticas Autenticação/SMIME Forma como a mensagem anterior aparece no Outlook Express. 35

Aplicações Práticas Criptografia/SMIME Fonte de uma mensagem criptografada enviada pelo Outlook Express e recebida Aplicações Práticas Criptografia/SMIME Fonte de uma mensagem criptografada enviada pelo Outlook Express e recebida pelo Netscape. 36

Aplicações Práticas Criptografia/SMIME Forma como a mensagem anterior aparece no Outlook Express. 37 Aplicações Práticas Criptografia/SMIME Forma como a mensagem anterior aparece no Outlook Express. 37

Aplicações Práticas Autenticação e Criptografia/SMIME Fonte de uma mensagem criptografada e autenticada enviada pelo Aplicações Práticas Autenticação e Criptografia/SMIME Fonte de uma mensagem criptografada e autenticada enviada pelo Outlook Express e recebida pelo Netscape. 38

Aplicações Práticas Autenticação e Criptografia/SMIME Forma como a mensagem anterior aparece no Outlook Express. Aplicações Práticas Autenticação e Criptografia/SMIME Forma como a mensagem anterior aparece no Outlook Express. 39

Aplicações Práticas WEB ¡ Requisitos l l ¡ Autenticação do servidor Autenticação do cliente Aplicações Práticas WEB ¡ Requisitos l l ¡ Autenticação do servidor Autenticação do cliente Integridade de conteúdo Confidencialidade Protocolos l l SSL (Secure Socket Layer) Secure HTTP (Secure Hyper. Text Transfer Protocol) 40

Aplicações Práticas ¡ SSH (Secure Shell) ¡ IPSec (Internet Protocol Security) ¡ VPNs (Virtual Aplicações Práticas ¡ SSH (Secure Shell) ¡ IPSec (Internet Protocol Security) ¡ VPNs (Virtual Private Networks) ¡ EDI (Electronic Data Interchange) 41

Assinatura Digital – É importante saber que Processo que tem como principal propósito garantir Assinatura Digital – É importante saber que Processo que tem como principal propósito garantir o sigilo, integridade e autenticidade dos documentos eletrônios e documentos envolvidos em transações eletrônicas. Assinatura Digital ≠ Assinatura Digitalizada Trabalha, basicamente, com a captura e análise de dados biométricos (impressão digital, exame de fundo de olho, reconhecimento de fala, de locutor, etc. ) 42

Certificação Digital ¡ Justificativa ¡ Funcionamento ¡ Tipos de Certificados ¡ Exemplos 43 Certificação Digital ¡ Justificativa ¡ Funcionamento ¡ Tipos de Certificados ¡ Exemplos 43

Certificação Digital Justificativa ¡ Usuário de chaves públicas l Originador de uma mensagem criptografada Certificação Digital Justificativa ¡ Usuário de chaves públicas l Originador de uma mensagem criptografada ¡ Precisa conhecer a chave pública do destinatário l Destinatário de uma mensagem autenticada ¡ Precisa conhecer a chave pública do originador 44

Certificação Digital Justificativa ¡ É necessário que o usuário tenha certeza de que a Certificação Digital Justificativa ¡ É necessário que o usuário tenha certeza de que a chave pública que está utilizando é autêntica. l Pequeno grupo – poderia trocar as chaves públicas e guardá-las de forma segura. l Grande grupo – troca manual de chave é impraticável. Solução: Certificados de Chave Pública 45

Certificação Digital ¡ Certificado Digital - arquivo digital que contém as informações necessárias à Certificação Digital ¡ Certificado Digital - arquivo digital que contém as informações necessárias à identificação de um indivíduo ou programa, equipamento, componente, produto, etc, incluindo sua chave pública; ¡ Principal função de um certificado – vincular uma chave pública ao nome de um protagonista (indivíduo, empresa, etc. ). ¡ Os certificados em si não secretos ou protegidos. Usualmente estão disponíveis em uma base de acesso livre na Internet (diretório X. 500). 46

Certificação Digital Funcionamento ¡ Autoridade Certificadora (AC) l l CA (Certification Authority) - cartório Certificação Digital Funcionamento ¡ Autoridade Certificadora (AC) l l CA (Certification Authority) - cartório eletrônico. Entidade que emite certificados para possuidores de chaves públicas e privadas (pessoa, dispositivo, servidor). 47

Certificação Digital ¡ Atribuições de uma CA: l l l ¡ Gerar, entregar e Certificação Digital ¡ Atribuições de uma CA: l l l ¡ Gerar, entregar e armazenar a chave privada de forma segura; Distribuir a chave pública; Atualizar o par de chaves; Assinar a chave pública para gerar o certificado. Assinar certificados digitais garantindo sua validade Manter e divulgar uma lista com os certificados revogados (Certificate Revocation List - CRL); CAs podem estar encadeadas em hierarquias de certificação, em que a CA de um nível inferior valida sua assinatura com a assinatura de uma CA mais alta na hierarquia. Exemplos de CAs: Veri. Sign, Cybertrust e Nortel. 48

Certificação Digital Exemplo: Outlook Express Segurança 49 Certificação Digital Exemplo: Outlook Express Segurança 49

Certificação Digital Período de validade e revogação ¡ Os certificados definem períodos de validade Certificação Digital Período de validade e revogação ¡ Os certificados definem períodos de validade para as chaves públicas. ¡ Certificados podem ser revogados antes de sua expiração: l Suspeita de corrupção da chave pública l Término de contrato l Mudança de nome 50

Certificação Digital Exemplo: Outlook Express Segurança 51 Certificação Digital Exemplo: Outlook Express Segurança 51

Certificação Digital ¡ Componentes básicos de um certificado digital: l l l A chave Certificação Digital ¡ Componentes básicos de um certificado digital: l l l A chave pública; Nome e endereço de e-mail; Data da validade da chave pública; Nome da autoridade certificadora (CA); Número de série do Certificado Digital; Assinatura Digital da Autoridade Certificadora. 52

Certificação Digital 53 Certificação Digital 53

Certificação Digital Para que serve um Certificado Digital? ¡ ¡ ¡ ¡ ¡ Correio Certificação Digital Para que serve um Certificado Digital? ¡ ¡ ¡ ¡ ¡ Correio Eletrônico seguro Transações Bancárias sem repúdio Compras pela Internet sem repúdio Consultas confidenciais a cadastros Arquivo de documentos legais digitalizados Transmissão de documentos Contratos digitais Certificação de Equipamentos Certificação de Programas de Computador Certificação de vídeo, som e comandos digitais 54

Certificação Digital ¡ Pela assinatura da chave pública e das informações sobre Bob, a Certificação Digital ¡ Pela assinatura da chave pública e das informações sobre Bob, a CA garante que a informação sobre Bob está correta e que a chave pública em questão realmente pertence a Bob. ¡ Alice confere a assinatura da CA e então utiliza a chave pública em pauta, segura de que esta pertence a Bob e a ninguém mais. 55

Certificação Digital Dois exemplos típicos: ¡ Quando você utiliza seu banco on-line, este tem Certificação Digital Dois exemplos típicos: ¡ Quando você utiliza seu banco on-line, este tem que se certificar de que você é a pessoa que realmente pode receber as informações sobre determinada conta bancária. Como uma carteira de identidade, um Certificado Digital confirma sua identidade para o banco on-line. ¡ Quando você envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu Certificado Digital para assinar "digitalmente" a mensagem. Uma assinatura digital faz duas coisas: informa ao destinatário que o email é seu e indica que o e-mail não foi adulterado entre o envio e o recebimento deste. 56

Certificação Digital Obtençaõ de um Certificado ¡ Cliente gera um par de chaves pública Certificação Digital Obtençaõ de um Certificado ¡ Cliente gera um par de chaves pública e privada (por exemplo, usando RSA); ¡ Envia-se um pedido de certificado para a Autoridade de Registro; ¡ AR (Autoridade Regional de Registro) faz a prova de existência do requisitante e retransmite o pedido para a AC; ¡ AC assina e envia o certificado; ¡ Usuário instala seu certificado; ¡ Usuário divulga o certificado. 57

Certificação Digital Política de Certificação ¡ A Autoridade de registro (AR), tendo a delegação Certificação Digital Política de Certificação ¡ A Autoridade de registro (AR), tendo a delegação de uma AC para tal, faz uma investigação no solicitante e determina: l Se o pedido deve ser atendido; l Quais as características que deve ter. 58

Certificação Digital Tipos de certificados ¡ Certificados de CA: utilizados para validar outros certificados; Certificação Digital Tipos de certificados ¡ Certificados de CA: utilizados para validar outros certificados; auto-assinados ou assinados por outra CA. ¡ Certificados de servidor: utilizados para identificar um servidor seguro; contém o nome da organização e o nome DNS do servidor. ¡ Certificados pessoais: contém nome do portador e, eventualmente, informações como endereço eletrônico, endereço postal, etc. ¡ Certificados de desenvolvedores de software: utilizados para validar assinaturas associadas a programas. 59

Certificação Digital Exemplo: Certificado de uma CA 60 Certificação Digital Exemplo: Certificado de uma CA 60

Certificação Digital Exemplo: Certificado de uma CA 61 Certificação Digital Exemplo: Certificado de uma CA 61

Certificação Digital Exemplo: Certificado de uma CA 62 Certificação Digital Exemplo: Certificado de uma CA 62

Certificação Digital Exemplo: Outlook Express Segurança 63 Certificação Digital Exemplo: Outlook Express Segurança 63

Certificação Digital Exemplo: Certificado de um usuário 64 Certificação Digital Exemplo: Certificado de um usuário 64

Certificação Digital Exemplo: Certificado de um usuário 65 Certificação Digital Exemplo: Certificado de um usuário 65

Certificação Digital Exemplo de um Certificado 66 Certificação Digital Exemplo de um Certificado 66

Certificação Digital Exemplo de um Certificado 67 Certificação Digital Exemplo de um Certificado 67

Certificação Digital Exemplo de um Certificado 68 Certificação Digital Exemplo de um Certificado 68

Certificação Digital Distribuição dos Certificados ¡ Assinatura digital l O certificado pode acompanhar o Certificação Digital Distribuição dos Certificados ¡ Assinatura digital l O certificado pode acompanhar o dado assinado. ¡ Criptografia l Remetente precisa obter a chave pública certificada do destinatário l Serviço de diretório ¡ X. 500, NDS, Lotus Notes, Microsoft l WEB l S/MIME 69

Certificado X-509 Versão Número de Série Período de Validade Não antes de Não depois Certificado X-509 Versão Número de Série Período de Validade Não antes de Não depois de Chave Pública do Usuário Versão 3 Emissor Versão 2 Algoritmos Parâmetros Versão 1 Identificador do Alg. Ass. Usuário Algoritmos Parâmetros Chave Identificador Único do Emissor Identificador Único do Usuário Assinatura Algoritmos Parâmetros Resumo Cifrado Todas as Versões Extensões 70

Certificação Digital Distribuição de Certificados - Distribuição via WEB 71 Certificação Digital Distribuição de Certificados - Distribuição via WEB 71

Certificação Digital Armazenamento do Certificado ¡ ¡ ¡ ¡ No Navegador Internet de sua Certificação Digital Armazenamento do Certificado ¡ ¡ ¡ ¡ No Navegador Internet de sua preferência Em disquete No HD do seu Microcomputador Em disquete protegido por SW criptográfico Em CD ROM, protegido por SW criptográfico Em SMART CARD, com processador Em TOKEN, com processador (EM ORDEM CRESCENTE DE SEGURANÇA) 72

Processo de Registro de Certificados CA divulga o certificado em um diretório CA RA Processo de Registro de Certificados CA divulga o certificado em um diretório CA RA verifica as informações e solicita a emissão do certificado Diretório CA emite o certificado e o remete para o RA O RA envia o certificado para o usuário RA A informação do usuário e a Chave Pública são enviados para o RA Curso de Especialização SI/CEFET/UFCG Usuário O usuário gera um par de chaves e solicita um certificado

Transação Comercial com Certificados Lojista CA divulga o certificado em um diretório CA Diretório Transação Comercial com Certificados Lojista CA divulga o certificado em um diretório CA Diretório Transações Comerciais via Internet O lojista pode Verificar: q Detalhes do certificado q Relações de revogação q Validade dos certificados q Assinaturas q Descriptar dados Usuário A relação de credibilidade entre lojistas e usuários com certificados é endossada por uma Autoridade Certificadora Curso de Especialização SI/CEFET/UFCG

Certificação Digital Requisitos para uma Infra-estrutura de Chave Pública ¡ Requisitos Básicos l Escalabilidade Certificação Digital Requisitos para uma Infra-estrutura de Chave Pública ¡ Requisitos Básicos l Escalabilidade l Suporte a várias aplicações l Interoperabilidade l Suporte a múltiplas políticas l Limitação de responsabilidade l Padronização 75

Certificação Digital ¡ Infra-estrutura para o gerenciamento de chaves públicas - padrão Public Key Certificação Digital ¡ Infra-estrutura para o gerenciamento de chaves públicas - padrão Public Key Infrastructure (PKI), determina: l onde os certificados digitais serão armazenados e recuperados, l de que forma estão armazenados, l como um certificado é revogado, etc. 76

Certificação Digital Função da PKI ¡ Fornecer um modo para estruturar os componentes (usuários, Certificação Digital Função da PKI ¡ Fornecer um modo para estruturar os componentes (usuários, CAs, certificados, etc. ). ¡ Definir padrões para os vários documentos e protocolos. ¡ Garantir a autenticação, confidencialidade, integridade e a não recusa das informações. ¡ Exemplo: uma empresa pode usar a PKI para controlar o acesso a rede de computadores. No futuro, as empresas poderiam usar a PKI para controlar o acesso, desde a entrada nos prédios até a obtenção de mercadorias. 77

Certificação Digital Regional Authorities Raiz A RA 2 é aprovada. Sua chave pública é Certificação Digital Regional Authorities Raiz A RA 2 é aprovada. Sua chave pública é 47383 AE 349. . . Assinatura da raiz A CA 5 é aprovada. Sua chave pública é 6384 AF 863 B. . . Assinatura da RA 2 (a) Uma PKI hierárquica (b) Uma cadeia de certificados 78

Segurança da Comunicação l Exemplos de Protocolos/Padrões seguros: ¡ ¡ IPSec (Internet Protocol Security) Segurança da Comunicação l Exemplos de Protocolos/Padrões seguros: ¡ ¡ IPSec (Internet Protocol Security) / IPv 6 (Internet Protocol version 6); ¡ l SSL (Secure Sockets Layer) / TLS (Transport Layer Security); SET (Secure Electronic Transactions); Exemplos de Protocolos/Padrões para e-mail seguro: ¡ PGP (Pretty Good Privacy); ¡ S/MIME (Secure Multiple Internet Mail Exchange). 79

Segurança da Comunicação Localização de protocolos dentro do TCP/IP SMTP HTTP NNTP TCP SSL Segurança da Comunicação Localização de protocolos dentro do TCP/IP SMTP HTTP NNTP TCP SSL IP/IPSec IP (a) segurança de rede (b) segurança de transporte Protocolos da camada de aplicativo dentro do TCP/IP S/MIME SET SMTP HTTP TCP IP 80

Segurança da Comunicação Protocolo Descrição SSL e TLS • Oferecem suporte de segurança criptográfica Segurança da Comunicação Protocolo Descrição SSL e TLS • Oferecem suporte de segurança criptográfica para os protocolos NTTP, HTTP, SMTP e Telnet. • Permitem utilizar diferentes algoritmos simétricos, message digest (hash) e métodos de autenticação e gerência de chaves (assimétricos). • SSL - Utilizado pelo HTTPS • Fornece sigilo e autenticação em conexões na web. Muitos protocolos utilizam um Modelo Híbrido: Criptografia Simétrica e Criptografia Assimétrica. 81

Segurança da Comunicação Protocolo Descrição IPSec • IP Security - padrão de protocolos criptográficos Segurança da Comunicação Protocolo Descrição IPSec • IP Security - padrão de protocolos criptográficos desenvolvidos para o IPv 6. • Composto de três mecanismos criptográficos: Authentication Header (define a função Hash para assinatura digital), Encapsulation Security Payload (define o algoritmo simétrico para ciframento) e ISAKMP (define o algoritmo assimétrico para gerência e troca de chaves de criptografia). • Criptografia e tunelamento são independentes. • Permite Virtual Private Network fim-a-fim. • Futuro padrão para todas as formas de VPN. 82

Segurança da Comunicação Protocolo Descrição SET • Conjunto de padrões e protocolos, para realizar Segurança da Comunicação Protocolo Descrição SET • Conjunto de padrões e protocolos, para realizar transações financeiras seguras, como as realizadas com cartão de crédito na Internet. • Oferece um canal de comunicação seguro entre todos os envolvidos na transação. • Garante autenticidade e privacidade entre as partes. 83

Segurança da Comunicação Protocolo PGP Descrição • Inventado por Phil Zimmermman em 1991, é Segurança da Comunicação Protocolo PGP Descrição • Inventado por Phil Zimmermman em 1991, é um programa criptográfico famoso e bastante difundido na Internet, destinado a criptografia de e-mail pessoal. • Algoritmos suportados: hashing: MD 5, SHA-1, simétricos: CAST-128, IDEA e 3 DES, assimétricos: RSA, Diffie-Hellman/DSS. 84

Segurança da Comunicação Protocolo S/MIME Descrição • S/MIME (Secure Multipurpose Internet Mail Extensions) - Segurança da Comunicação Protocolo S/MIME Descrição • S/MIME (Secure Multipurpose Internet Mail Extensions) - consiste em um esforço de um consórcio de empresas, liderado pela RSADSI e pela Microsoft, para adicionar segurança a mensagens eletrônicas no formato MIME. • Apesar do S/MIME e PGP serem ambos padrões Internet, o S/MIME deverá se estabelecer no mercado corporativo, enquanto o PGP no mundo do e-mail pessoal. 85

Segurança da Comunicação Protocolo Descrição X. 509 • Recomendação ITU-T, a especificação X. 509 Segurança da Comunicação Protocolo Descrição X. 509 • Recomendação ITU-T, a especificação X. 509 define o relacionamento entre as autoridades de certificação. • Faz parte das séries X. 500 de recomendações para uma estrutura de diretório global, baseada em nomes distintos para localização. • Utilizado pelo S/MIME, IPSec, SSL/TLS e SET. • Baseado em criptografia com chave pública (RSA) e assinatura digital (com hashing). 86

Segurança da Comunicação Padrões de Criptografia ¡ Padrões de ANSI X 9, utilizada na Segurança da Comunicação Padrões de Criptografia ¡ Padrões de ANSI X 9, utilizada na indústria em: http: //webstore. ansi. org/ansidocstore/dept. asp? dept_id=80 ¡ Padrões de Criptografia de Chave Pública em: http: //grouper. ieee. org/groups/1363/ ¡ Padrões de Criptografia de Chave Pública de RSA em: http: //www. rsasecurity. com/rsalabs/pkcs/index. html 87

Segurança da Comunicação ¡ É possível obter a garantia do sigilo de forma isolada Segurança da Comunicação ¡ É possível obter a garantia do sigilo de forma isolada e da autenticidade também de forma isolada. Porém estas garantias devem ser obtidas de forma integrada. ¡ Para chegar ao processo único, deve-se compor as partes para garantir: 1. integridade + autenticação, 2. integridade + sigilo e 3. Sigilo + integridade + autenticação. 88

Segurança da Comunicação Integridade com Autenticação ¡ Emissor - gera o código Hash a Segurança da Comunicação Integridade com Autenticação ¡ Emissor - gera o código Hash a partir do documento, cifra o código Hash usando a sua chave privada gerando uma assinatura criptografada. ¡ Documento original + Assinatura cifrada trafegam pela INTERNET chegando até o receptor. ¡ Receptor - decifra a assinatura usando a chave pública do emissor, em seguida calcula o novo código Hash e compara o resultado com a assinatura (código Hash) decifrada. Se forem iguais, a integridade está garantida. ¡ Emissor podendo ser identificado através de sua chave pública - autenticação também estará garantida. 89

Segurança da Comunicação Integridade com Sigilo ¡ Emissor - gera o código Hash a Segurança da Comunicação Integridade com Sigilo ¡ Emissor - gera o código Hash a partir do documento, cifra o código Hash e a parte sigilosa do documento usando a chave pública do receptor gerando, assim, uma assinatura criptografada. ¡ A parte não sigilosa do documento original e a assinatura trafegam pela INTERNET chegando até o receptor. ¡ Receptor - decifra a assinatura usando a sua chave privada, em seguida calcula o novo código Hash e compara o resultado com a assinatura (código Hash) decifrada. Se forem iguais, a integridade está garantida. ¡ Só o receptor pode decifrar a parte sigilosa através de sua chave privada - o sigilo também estará garantido. 90

Segurança da Comunicação Sigilo, Integridade e Autenticidade ¡ Combinar os processos anteriores em um Segurança da Comunicação Sigilo, Integridade e Autenticidade ¡ Combinar os processos anteriores em um único processo. ¡ Emissor - deve, depois de calcular o código Hash, fazer duas cifragens: a primeira com a sua chave privada, e em seguida cifrar este resultado com a chave pública do receptor. ¡ Receptor - deve primeiro decifrar com a sua chave privada e depois decifrar o resultado com a chave pública do emissor e, só depois, calcular o código Hash. 91

Segurança da Comunicação ¡ Documento em papel - não há o que se discutir, Segurança da Comunicação ¡ Documento em papel - não há o que se discutir, tem sua validade jurídica reconhecida, por ser de fácil identificação das partes e presumir-se inalterável. ¡ Documento eletrônico - para que tenha validade jurídica e possa servir, por si só de meio probatório em juízo, mister a ocorrência de dois requisitos: l l ¡ impossibilidade de alteração do seu conteúdo e perfeita identificação das partes. O suporte informático do documento eletrônico não garante esses requisitos sem a utilização de métodos de segurança. 92

Segurança da Comunicação 93 Segurança da Comunicação 93