A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Criptografia, PKI & Certificados Digitais www.unicert.com.br.

Apresentações semelhantes


Apresentação em tema: "Criptografia, PKI & Certificados Digitais www.unicert.com.br."— Transcrição da apresentação:

1 Criptografia, PKI & Certificados Digitais www.unicert.com.br

2 www.unicert.com.br Compromisso com segurança 2 Transferir a credibilidade baseada em papel e conhecimento para o ambiente eletrônico! Objetivo

3 www.unicert.com.br Compromisso com segurança 3 Mais de 70% das fraudes eletrônicas tem origem em público interno As oportunidades de acesso a redes corporativas estão aumentando com o crescimento da Internet 75% das empresas contabilizam perdas por falhas de segurança por fraudes financeiras, roubo de informações proprietárias ou furto de lap-tops Fonte: Forester Research Internet & Segurança

4 www.unicert.com.br Compromisso com segurança 4 Certificados e Credenciais Definições Certificados: Documento de garantia, válido por tempo determinado Credencial: Poderes outorgados a pessoa ou entidade

5 www.unicert.com.br Compromisso com segurança 5 Certificados e Credenciais Identificação no Mundo Real Certidão de Nascimento Carteira de Identidade Carteira Profissional Título de Eleitor CIC (CPF/CGC) Certificado de Reservista Licença de Motorista Certidão de Casamento Certidão de Separação Registro Profissional Registro PIS/Pasep Registro INPS Registro FGTS Passaporte Conta(s) Bancária(s) Cartão de Crédito Carteira de Saúde Identidade Funcional Identidade Esportivo/Social Certidão de Óbito

6 www.unicert.com.br Compromisso com segurança 6 Certificados Digitais Assinaturas Digitais Certificados e Credenciais Identificação no Mundo Virtual

7 www.unicert.com.br Compromisso com segurança 7 Autenticação Identificação de pessoa ou entidade Confidencialidade Privacidade da informação Integridade Informação não é modificada em trânsito Não Repúdio Origem não pode negar a autoria Fundamentos de Credibilidade

8 www.unicert.com.br Compromisso com segurança 8 Documento Original Timbre Autêntico, Íntegro, Não pode ser repudiado Assinatura Original 45c Confidencial Envelope Lacrado Segurança baseada em Papel

9 www.unicert.com.br Compromisso com segurança 9 Segurança Eletrônica Autenticação Integridade Não Repúdio Assinatura Digital Criptografia 45c Confidencialidade

10 www.unicert.com.br Compromisso com segurança 10 Criptografia / Decriptografia Processo de converter um texto aberto para texto cifrado ou reconverter um texto cifrado para texto aberto Hash: Amostra de um texto cifrado ou aberto C onceitos de S egurança E letrônica

11 www.unicert.com.br Compromisso com segurança 11 Criptografia / Decriptografia: Algoritmos Chaves Procedimentos Simétricos ou Assimétricos Hash: Algoritmos não reversíveis Conceitos de S egurança

12 www.unicert.com.br Compromisso com segurança 12 Simétrica Criptografia de Chave Secreta Criptografa e Decriptografa com a mesma chave Assimétrica Criptografia de Chave Pública Duas chaves relacionadas, uma pública e outra privada Modos de Criptografia

13 www.unicert.com.br Compromisso com segurança 13 Utiliza uma chave compartilhada Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 1,5 milhões da conta 254674-12 para a conta 071517-08 Affonso Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 1,5 milhões da conta 254674-12 para a conta 071517-08 Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue di7@94 *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue di7@94 Criptografia ++ Algoritmo = Decriptografia Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 1,5 milhões da conta 254674-12 para a conta 071517-08 Affonso Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 1,5 milhões da conta 254674-12 para a conta 071517-08 Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue di7@94 *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue di7@94 ++ = Algoritmo Criptografia Simétrica

14 www.unicert.com.br Compromisso com segurança 14 Performance: Rápida e Segura Administração de Chaves: Não é adequado para um número grande de usuários (chave compartilhada) Aplicações: Sempre que a performance for determinante Algoritmos: DES, IDEA, Red Pike, RC2, RC4 Criptografia Simétrica Características

15 www.unicert.com.br Compromisso com segurança 15 Opera com um par de chaves relacionadas, uma pública e uma privada Sem segredos compartilhados Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 2,0 milhões da conta 254674-12 para a conta 071517-08 Affonso Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 2,0 milhões da conta 254674-12 para a conta 071517-08 Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9%#@ qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue di7@94 *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9%#@ qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue di7@94 Criptografia ++ Algoritmo = Chave Pública Decriptografia Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 2,0 milhões da conta 254674-12 para a conta 071517-08 Affonso Para: Banco De: Affonso Data: 16, Mai, 2001 Transferir R$ 2,0 milhões da conta 254674-12 para a conta 071517-08 Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9%#@ qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue di7@94 *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9%#@ qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue di7@94 ++ Algoritmo = Chave Privada Criptografia Assimétrica

16 www.unicert.com.br Compromisso com segurança 16 Criptografia de Chave Pública (Public Key Cryptography) A chave pública é divulgada A chave privada é proprietária (gerada e mantida no ambiente operacional) A chave pública é usada para criptografar e a chave privada para decriptografar Criptografia Assimétrica

17 www.unicert.com.br Compromisso com segurança 17 Par de Chaves: Relacionadas matematicamente Números primos extremamente grandes Não existe fórmula conhecida de determinar uma a partir da outra A eficiência depende do seu tamanho e de outros fatores Criptografia Assimétrica

18 www.unicert.com.br Compromisso com segurança 18 Performance: Baixa - não é prática para uso intensivo Administração de Chaves: Chave pública pode ser distribuída livremente Aplicações: Criptografia, Assinatura Digital / Verificação, Troca de chaves Algoritmos: RSA, ECC, Diffie-Hellman, DSA Criptografia Assimétrica Características

19 www.unicert.com.br Compromisso com segurança 19 Produzido por um algoritmo que usa como entrada a informação transmitida Resulta em uma “impressão digital” com tamanho fixo de 128 ou 160 bits Verifica se a informação foi alterada Impossível recriar um documento a partir de seu hash Alteração de um único bit da informação produz um hash diferente Hash – Amostra da Informação

20 www.unicert.com.br Compromisso com segurança 20 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 DC 12 1A A1 CB Dados Características: Sem chaves Irreversível Algoritmos: MD5, SHA-1 Verifica integridade dos dados Produz assinaturas digitais Hash – Amostra da Informação

21 www.unicert.com.br Compromisso com segurança 21 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 Enviar 1.000 Unidades por R$ 10 cada D4 21 F5 3D 22 9A CC B7 3C AA E2 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 Enviar 1.000 Unidades por R$ 10 cada D4 21 F5 3D 22 9A CC B7 3C AA E2 Transmite para o destino Iguais ? Hash - I ntegridade da I nformação

22 www.unicert.com.br Compromisso com segurança 22 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 DC 12 1A A1 CB Dados Algoritmo de Assinatura Assinatura Digital 001010110101001011011010110110 Chave Privada Do Remetente Assinatura Digital

23 Chave de Seção Ana Chave Pública Chave Privada Chave Privada Chave Pública Carlos Criando uma Mensagem Segura Assinando a Mensagem Ordem de Pagamento Para Carlos SHA-1 Hash RSA Assinatura Digital de Ana Ana 01101001001001111010 Criptografando A Mensagem Ordem de Pagamento Para Carlos DES X15/^ ow83h7ERH39DJ3H nI2jR 98Fd z(q6 Ana 01101001001001111010 RSA Criptografando a Chave de Seção Bloco Transmitido

24 Decriptografando a Mensagem Segura nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H DES Ordem de Pagamento Para Carlos Ana 01101001001001111010 Decriptando a mensagem Decriptografando A chave de seção nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H RSA nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H + Verificando a assinatura e Integridade da mensagem Ordem de Pagamento Para Carlos SHA-1 Hash SimNão Ana 01101001001001111010 RSA Hash Iguais? Chave de Seção Ana Chave Pública Chave Privada Chave Privada Chave Pública Carlos

25 Certificados Digitais & Infraestrutura de Chave Pública (PKI)

26 www.unicert.com.br Compromisso com segurança 26 Para obter comunicação segura, Ana criptografa sua mensagem com a chave pública de Carlos Dúvidas: Como e de onde Ana consegue a chave pública de Carlos? Como Ana tem certeza que a chave obtida é realmente de Carlos e não uma tentativa de fraude? Dúvidas …

27 www.unicert.com.br Compromisso com segurança 27 Ana confia que tem a chave de Carlos porque obteve esta informação em um certificado digital O certificado foi emitido e assinado por uma Autoridade Certificadora A Autoridade Certificadora é uma entidade confiável (TTP – Trusted Third Party) Respostas …

28 www.unicert.com.br Compromisso com segurança 28 Equivalente eletrônico às provas físicas de identificação que auxiliam a autenticação de usuários em redes de comunicações Pode estar residente em uma estação, um disquete ou em um dispositivo de segurança como um smart-card Certificados Digitais são os elementos básicos de uma Infraestrutura de Chaves Públicas (PKI) Certificados Digitais

29 www.unicert.com.br Compromisso com segurança 29 Informações sobre o proprietário Informações sobre o emitente A chave pública do proprietário Datas de emissão e expiração Algoritmos de criptografia e hash Assinatura digital do emitente (CA), avalizando o conteúdo do certificado C onteúdo dos C ertificados D igitais

30 www.unicert.com.br Compromisso com segurança 30 Baseados em um Diretório Público implementado por uma Autoridade Certificadora (CA) que emite certificados para que assinantes (Clientes da CA) possam ser verificados por usuários (público em geral) Certificados Digitais

31 www.unicert.com.br Compromisso com segurança 31 O certificado digital uma credencial que identifica e autentica seu proprietário O certificado herda a credibilidade da entidade emitente Credibilidade do C ertificado D igital

32 www.unicert.com.br Compromisso com segurança 32 As relações técnicas e legais entre CAs, assinantes e usuários são reguladas por um documento público chamado Declaração de Práticas de Certificação, emitido pela CA para definir procedimentos e especificar limites de responsabilidade As DPCs não são padronizadas (O padrão X.509 especifica apenas alguns itens que devem constar em seu texto) Questões Técnicas e Legais

33 www.unicert.com.br Compromisso com segurança 33 Identificador do Emitente Versão Número Serial Algoritmo de Assinatura CA Emitente Período de Validade Nome Único (X.500) Do Proprietário Algoritmo de identificação da chave pública Chave pública Identificador do Proprietário Extensão Assinatura Digital da CA Formato do Certificado O padrão X.509 especifica uma seqüência campos obrigatórios nos certificados e contempla a possibilidade de extensões para atender necessidades específicas

34 www.unicert.com.br Compromisso com segurança 34 Políticas de segurança que definem as regras de operação de sistemas criptográficos Produtos para criar, administrar e armazenar chaves Procedimentos que determinam como as chaves devem ser criadas, distribuídas e utilizadas Criptografia de Chaves Públicas Assinaturas Digitais PKI – I nfraestrutura de C have P ública

35 www.unicert.com.br Compromisso com segurança 35 Estabelecer e manter a credibilidade de um ambiente de rede com total transparência para as aplicações Proporcionar a redução dos custos operacionais, facilidade de assimilação pelo usuário e tolerância a processos com alta demanda Função do PKI

36 www.unicert.com.br Compromisso com segurança 36 Padrão de segurança na Internet com aceitação global Funcionalidade para assinaturas digitais Plataforma comum de segurança para redes corporativas e públicas Facilita a transição para as tecnologias em processo de desenvolvimento Infraestrutura de chaves públicas associada a smart cards é o modo mais seguro de conduzir negócios pela Internet Características do PKI

37 www.unicert.com.br Compromisso com segurança 37 PKI é uma combinação de produtos de hardware e software, procedimentos e políticas de segurança Fornece a segurança necessária para comercio eletrônico onde parceiros que não se conhecem podem trocar informações de modo seguro através de cadeias de credibilidade Utiliza certificados digitais que vinculam o usuário a uma chave pública Componentes do PKI

38 www.unicert.com.br Compromisso com segurança 38 Políticas de segurança que definam as regras para os sistemas criptográficos operar Produtos para gerar, armazenar e administrar chaves Processos que definam como as chaves e os certificados devem ser gerados, distribuídos e utilizados A criptografia por chave pública não é suficiente para recriar todo o ambiente do comércio tradicional baseado em papel no meio eletrônico São necessárias as seguintes condições: Criptografia de Chave Pública

39 www.unicert.com.br Compromisso com segurança 39 Um PKI consiste de: Autoridades Certificadoras Autoridades de Registro Diretórios Aplicações que contemplam características PKI Políticas & Procedimentos Elementos do PKI

40 www.unicert.com.br Compromisso com segurança 40 CA Usuário RA Diretório Emitir Certificado Gerar Certificado Expirar o Certificado Armazenar o Certificado Aplicação Revogar Certificado Ciclo de Vida do Certificado

41 www.unicert.com.br Compromisso com segurança 41 CA RA Diretório Usuário A CA é a base de credibilidade do PKI e administra o ciclo de vida dos certificados A CA emite certificados associando uma identificação única a uma chave pública Programa datas de expiração para certificados Publica Relações de Certificados Revogados (CRLs) Uma empresa pode operar sua própria CA ou usar os serviços de uma terceira parte confiável Autoridade Certificadora

42 www.unicert.com.br Compromisso com segurança 42 Interface entre a CA e o usuário Identifica o usuário para a CA A qualidade do processo de autenticação determina o nível de credibilidade que pode ser atribuído a um certificado Mantém registros dos usuários CA RA Diretório Usuário Autoridade de Registro

43 www.unicert.com.br Compromisso com segurança 43 Ponto de distribuição para certificados e relações de certificados revogados Distribuídos em redes Padrão X.500 Podem armazenar outras informações CA RA Diretório Usuário Diretórios

44 www.unicert.com.br Compromisso com segurança 44 Comunicações entre servidores web e browsers E-mail Electronic Data Interchange (EDI) Transações de cartões de crédito na Internet Redes Virtuais Privadas (VPN) CA RA Diretório Usuário Aplicações

45 CA RA Usuário Diretório A informação do usuário e a Chave Pública são enviados para o RA RA verifica as informações e solicita a emissão do certificado CA emite o certificado e o remete para o RA CA divulga o certificado em um diretório O RA envia o certificado para o usuário O usuário gera um par de chaves e solicita um certificado Processo de Registro de Certificados

46 Transação Comercial com Certificados O lojista pode Verificar:  Detalhes do certificado  Relações de revogação  Validade dos certificados  Assinaturas  Decriptar dados A relação de credibilidade entre lojistas e usuários com certificados é endossada por uma Autoridade Certificadora Transações Comerciais via Internet CA Diretório Usuário Lojista CA divulga o certificado em um diretório

47 www.unicert.com.br Compromisso com segurança 47 Brasil - A instrução normativa da SRF nº 156, de 22/Dez/1999 instituiu os Certificados Eletrônicos e-CPF e e-CNPJ Brasil - Decreto n º 3.505 de 13/Jun/2000 criou a Política de Segurança da Informação nos órgãos e entidades da administração Pública Federal EUA - A Lei das Assinaturas Digitais (US Digital Signature Law) vigora desde 01/Out/2000 Irlanda - Digital Signature Law efetiva a partir de 07/Out/2000 Legislação

48 UniCERT Brasil UniCERT Brasil

49 www.unicert.com.br Compromisso com segurança 49 Autoridade Certificadora neutra e confiável Equipe técnica para auxiliar a implementação de infraestruturas de chave pública UniCERT Brasil

50 www.unicert.com.br Compromisso com segurança 50 Autoridade Certificadora Comercial Hospedagem e administração de Autoridades Certificadoras Serviços Profissionais Soluções Escaláveis Administração do ciclo de vida de certificados  Registro  Autorização  Processamento  Emissão  Revogação Produtos e Serviços

51 www.unicert.com.br Compromisso com segurança 51 UniCERT Brasil Nível 5 Nível 4 Nível 3 Nível 2 Chave Privada Cofres duais, classe 5, com duas chaves Chave Privada dividida, uma parte em cada cofre Nível 1 Funcionários Treinamento Contínuo Políticas Operacionais Investigação do passado e situação financeira Prédio Guarda 7x24 Controle Central Crachá com Foto Circuito de TV Estrutura da Facilidade Controle de Acesso Controle de Intrusos Auto-Suficiência em energia Sala Segura Paredes com malha metálica Controle de acesso biométrico Circuito fechado de TV Alarme de Movimento Estrutura Operacional

52 www.unicert.com.br Compromisso com segurança 52 Apoio da Baltimore Technologies, que tem mais de 20 anos de experiência em sistemas de certificação digital Administração de dados sensíveis Proteção por múltiplas técnicas de segurança integrando procedimentos físicos, eletrônicos e administrativos Procedimentos de resposta a emergências Histórico de eventos Help-Desk Suporte 24 horas por dia, 7 dias por semana Características Funcionais

53 www.unicert.com.br Compromisso com segurança 53 Certificação ICSA Compatibilidade com os padrões:  X.509 (ISO 9504-8), certificados v1 e v3, CRLs v2  RSA PKCS#10, PKCS#7 e PKCS#1  SET (Secure Electronic Transaction)  Diretório: Interface LDAP v3 para X.500 ou outros diretórios  SSL (Secure Socket Layer) v2 e v3  TCP/IP: Interfaces de certificação HTTP, HTTP/S e S/MIME (Secure Multipurpose Internet Mail Extensions) Características dos Produtos

54 www.unicert.com.br Compromisso com segurança 54 Certificados digitais para servidores e clientes (B2B, B2C) Certificados digitais para integradores e fornecedores de soluções PKI Certificados digitais integrados a soluções desenvolvidas por empresas ou usuários Hospedagem de servidores dedicados para CAs de empresas ou outras entidades Hospedagem de arquivos em dispositivos de armazenamento fisicamente seguros Serviços UniCERT Brasil

55 www.unicert.com.br Compromisso com segurança 55 Email Home banking Aplicações EDI (Transações B2B) Identrus SHTTP/SSL Controle de Acesso SET (a ser implementado) WAP Estabelecimento de Servidores Seguros Aplicações

56 www.unicert.com.br Compromisso com segurança 56 Permite que empresas utilizem os seus recursos e serviços para fornecer certificados digitais com a sua marca Soluções compatíveis com as necessidades do cliente Serviço fornece aos clientes um diferencial de credibilidade sobre a concorrência CA Brand

57 www.unicert.com.br Compromisso com segurança 57 Serviço de hospedagem em instalações seguras de CAs proprietárias de clientes Possibilita a operacionalização de autoridades certificadoras sem as preocupações (e custos) que uma instalação deste tipo exige em termos de tecnologia e segurança A operação da CA pode ser realizada por técnicos da UniCERT Brasil Hospedagem de CAs

58 Cases

59 www.unicert.com.br Compromisso com segurança 59 Identrus – Consórcio formado por um grupo internacional de grandes bancos http://www.identrus.com/ Aplicações Comerciais

60 www.unicert.com.br Compromisso com segurança 60 Banco A Banco B Banco C Autoridade Certificadora Autoridade Cert Identrus

61 www.unicert.com.br Compromisso com segurança 61 Identrus permite a credibilidade das comunicações entre associados em redes públicas A infraestrutura permite que instituições financeiras possam ter uma identificação conclusiva dos seus parceiros em comunicações via Internet A autoridade certificadora raíz do Identrus utiliza tecnologia Baltimore (Unicert) Os bancos associados podem escolher qualquer PKI compatível para implementar suas CAs Implementações Identrus

62 www.unicert.com.br Compromisso com segurança 62 ABN Amro utiliza PKI para implementar a sua Infraestrutura Criptográfica Corporativa (CCI) O CCI responde pela segurança de qualquer atividade bancária e serviços criptográficos para qualquer cliente ou qualquer aplicação em qualquer lugar do mundo ABN Amro

63 www.unicert.com.br Compromisso com segurança 63 ABN Amro

64 SSL

65 www.unicert.com.br Compromisso com segurança 65 Servidor Web Autoridade Certificadora SSL – Visão Geral SSL

66 www.unicert.com.br Compromisso com segurança 66 1. Cliente conecta com o Lojista 2. Lojista envia cópia do seu certificado (e chave pública) para o browser do cliente, indicando que o SSL 2.0 está habilitado 3. O browser usa a chave pública da CA para verificar o certificado do lojista 4. O browser gera uma chave de seção 5. O browser usa a chave pública do Lojista para criptografar a chave de seção 6. O lojista usa a sua chave privada para decriptar a chave de seção Cliente e Lojista trocam informações criptografadas com a chave de seção Cliente com browser Loja na Internet com Servidor Web Seguro SSL – v2.0

67 www.unicert.com.br Compromisso com segurança 67 1. Cliente conecta com o Lojista 2. Lojista envia cópia do seu certificado (e chave pública) para o browser do cliente, indicando que o SSL3.0 está habilitado 3. O browser usa a chave pública da CA para verificar o certificado do lojista 4. O browser gera uma chave de seção 5.O browser usa a chave pública do Lojista para criptografar a chave de seção e remete junto o seu certificado 6. O lojista usa a sua chave privada para decriptar a chave de seção e verifica a assinatura digital do cliente Cliente e Lojista trocam informações criptografadas com a chave de seção Cliente com browser Loja na Internet com Servidor Web Seguro SSL – v3.0

68 www.unicert.com.br Carlos Alberto Goldani goldani@unicert.com.br Joice Beatriz Ferreira joice@unicert.com.br


Carregar ppt "Criptografia, PKI & Certificados Digitais www.unicert.com.br."

Apresentações semelhantes


Anúncios Google