A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Gerência de Redes Heterogêneas Utilizando Software Livre

Apresentações semelhantes


Apresentação em tema: "Gerência de Redes Heterogêneas Utilizando Software Livre"— Transcrição da apresentação:

1 Gerência de Redes Heterogêneas Utilizando Software Livre
Criptografia

2 Introdução à Criptografia e pki

3 Informações Gerais Where/how to check for email
Activity: Cover applicable housekeeping items Notes: Include all applicable topics: Daily agenda: breaks / lunch Start/end times, need for punctuality Restroom locations Parking Emergency exits Coffee / lunch locations and options Telephone calls - incoming / outgoing Beepers/Cell phones Smoking policy ID’s Emergency number to reach instructor / classroom number Local information of importance / relevance Use of computers Where/how to check for Do not use classroom computers except as allowed by instructor (not during classroom lecture)

4 Introdução a Criptografia & PKI
Parte Um: Introdução a Criptografia Parte Dois: Infraestrutura de Chave Pública Certificados Digitais Algoritmos de Criptografia Introduction attempts to answer the question - Why? The rest attempts to answer the question - How?

5 Problema Básico Transferir a credibilidade baseada em conhecimento e papel para o ambiente do comércio eletrônico How can we make business with people we have never seen, heard nor met?

6 Mecanismos de Segurança baseada em Papel
Assinatura Timbre Envelope Selado 45c Assinatura Original Documento Original Confidencialidade Autenticação, Integridade, Não repúdio

7 Serviços de Segurança Eletrônica
Assinatura Digital Autenticação Quem é a origem? Integridade O conteúdo foi alterado? Não Repúdio O remetente pode negar ter sido a origem da informação? Substitui o timbre e a assinatura do documento original Criptografia Substitui o envelope 45c Confidencialidade

8 Internet & Segurança Mais de 70% das fraudes eletrônicas tem origem em público interno As oportunidades de acesso a redes corporativas estão aumentando com o crescimento da Internet 75% das empresas contabilizam perdas por falhas de segurança por fraudes financeiras, roubo de informações proprietárias ou furto de lap-tops Fonte: Forester Research

9 Fundamentos da Credibilidade
Autenticação Identificação de uma pessoa ou entidade Confidencialidade A informação é mantida privada Integridade A informação não pode ser modificada Não Repúdio A origem da informação não pode ser negada The 4 cornerstones of e-security. We will now attempt to show how we can provide the same level of confidence in the electronic world.

10 História: A Roma Antiga
A palavra criptografia tem origem no grego e significa “Palavra Oculta”. Júlio César escrevia textos criptografados para Cícero e para seus generais a mais de anos atrás, usando um cifrador onde cada letra era substituida por uma descolocada três posições no alfabeto ABCDEFGHIJKLMNOPQRSTUVWXYZABCDEFGHIJKLMNO  ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ   ABCDEFGHIJKLMNOPQRSTUVWXYZ  A palavra CESAR é escrita como FHVDU

11 Tratado sobre Criptografia
Em 1518 o monje Beneditino Trithemius escreveu o mais antigo tratado conhecido sobre criptografia em um livro chamado Polygraphiae Later, his text Steganographia described a cipher in which each letter is represented by words in successive columns of text, designed to hide inconspicuously inside a seemingly pious book of prayer. Polygraphiae and Steganographia attracted a considerable amount of attention not only for their meticulous analysis of ciphers but more notably for the unexpected thesis of Steganographia’s third and final section, which claimed that messages communicated secretly were aided in their transmission by a host of summoned spirits. As might be expected, Trithemius’ works were widely denounced as having magical content -- by no means an unfamiliar theme in cryptographic history -- and a century later fell victim to the zealous flames of the Inquisition during which they were banned as heretical sorcery… (From 98RSA Data Security ConferencePoster)

12 A Roda Criptográfica - Século 18
Thomas Jefferson utilizou este recurso para manter comunicações privadas quando foi representante junto ao governo Francês ( ) porque na época, os serviços de correio abriam toda a correspondência enviada ou recebida While serving as George Washington's secretary of state ( ), Thomas Jefferson devised an ingenious, easy, and secure method to encode and decode messages: the wheel cipher. During the American Revolution, Jefferson had relied primarily on messengers to hand-carry sensitive letters, but codes became an essential part of his correspondence when he was America's minister to France ( ) since European postmasters opened and read all letters passing through their command. Jefferson's wheel cipher consisted of twenty-six cylindrical wooden pieces, each threaded onto an iron spindle. The letters of the alphabet were inscribed on the edge of each wheel in a random order. Turning these wheels, words could be scrambled and unscrambled. Although Jefferson apparently abandoned use of the wheel after 1802, it was "re-invented" just prior to World War I and used by the United States Army and other military services. As an example, the sender of the message shown in the picture, "Thomas Jefferson wheel cipher," would spell the message out, and then look to any other line of text -- possibly the one directly above, beginning with the letter "M." The sender would then copy the letters from that line into the letter. The recipient of the coded message would spell out the random-seeming letters "MZNCSK YONSLKTRF AJQQB RTXYUK" on his identical cipher and then glance at the other lines of text, looking for the one line that made sense. The cipher shown is an exact reproduction made according to Jefferson's instructions, down to the type of wood used. The model is presently on exhibit at the National Museum of American History, and is shown here courtesy of Jefferson scholar Silvio A. Bedini. For more information about the cipher, read Mr. Bedini's Thomas Jefferson, Statesman of Science.

13 A Máquina Enigma - Século 20
A máquina Enigma foi um dos segredos mais bem guardados na Segunda Grande Guerra, usada pelos Alemães para proteger as comunicações entre o comando e as embarcações navais The Enigma .... The Enigma worked like this: Say that the letter "J" was punched on the keyboard. It would first be changed by the plugboard. The plugboard had a series of plugs that would change a letter into another letter. So, if "J" was plugged into "B", then "B" would be sent on to the scrambler unit (moving rotors and the reflector). Not all letters would be changed by the plugboard. The scrambler unit was made up of rotors and a reflector. Each rotor had wiring within it that would change an input letter to some other letter. It was possible for a letter to not change when going through a rotor. In our example, when "B" passed through the first rotor, it became, say, "Y". When "Y" passed through the second rotor, "Y" became, say, "S". When "S" passed through the third rotor, it was changed to, say, "N". From the third rotor, "N" went through the reflector, where it was changed to, say, "K". The reflector was like the plugboard in that it transposed letters. If "N" was changed to "K", then "K" would be changed to "N". Unlike the plugboard, every letter got changed by the reflector. It was due to the reflector that the Enigma machine, in a given state, would only transpose letters. In other words, if the Enigma turned "A" into "B", it would turn "B" into "A". "A" would never be returned as "A" by the machine. After leaving the reflector, the "K" passed through rotors in reverse order, changing the "K" to, say, "C", "C" to, say, "X", and "X" to, say, "U". Then the plugboard might change the letter. Let us suppose it doesn't in the case of "U". The circuit was then completed and the "U" was lit up on the Lamp Board. A letter would be changed as much as nine times by the machine. Each time that a key was typed, the first rotor turned once. When the first rotor turned 26 times, the second rotor turned once. When the first turned 26x26 times, the second rotor turned 26 times, causing the third rotor to change once. To summarize, there were 263 different rotor states for the three rotor machine, so there were states before the machine returned to its original state. The Germans had 6 different rotors, but only three rotors were used at one time. The three rotors were interchangeable. This led to 6 x different rotor states. Later, the Germans used a four-rotor machine.

14 Conceitos Básicos de Criptografia
Criptografia é o processo de converter um texto aberto em um texto cifrado Decriptografia é o processo de reconverter um texto cifrado em texto aberto Criptografia / Decriptografia utilizam uma chave e um algoritmo Dois tipos de criptografia: Simétrica e Assimétrica

15 Criptografia Simétrica
Requer uma chave compartilhada Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 1,5 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue Criptografia + Algoritmo = Decriptografia Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 1,5 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue + = Algoritmo Alice and Paulo must both know key Quick - relatively DES - Data Encryption Standard - has been around for 20 years RC2/RC4 - Rivest’s cipher or Ron’s Code - administered by RSA Data Security. IDEA - International Data Encryption Algorithm - Perhaps the best of them but carries a hefty license fee when used for commercial purposes.

16 Características da Criptografia Simétrica
Performance: Rápida e Segura (Se a chave for boa) Administração de Chaves: Não é prático para um número grande de usuários (chave compartilhada) Aplicações: Sempre que a performancefor o fator determinante Exemplos: DES, IDEA, Red Pike, RC2, RC4

17 Criptografia Assimétrica
Sem segredos compartilhados Opera com um par de chaves relacionadas, uma pública e uma privada Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 2,0 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue Criptografia + Algoritmo = Chave Pública Decriptografia Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 2,0 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue + Algoritmo = Chave Privada Statistically Infeasible to determine public from private keys

18 Criptografia Assimétrica
A criptografia assimétrica é conhecida como Criptografia de Chave Pública (Public Key Cryptography) A chave pública é divulgada A chave privada é proprietária (normalmente nunca abandona o ambiente onde foi gerada) A chave pública é usada para criptografar e só a chave privada pode decriptografar

19 Criptografia Assimétrica
Par de Chaves: Relacionadas matematicamente Números primos extremamente grandes Não existe fórmula matemática conhecida de determinar uma a partir da outra A eficiência das chaves depende do seu tamanho e de outros fatores Private key on machine Single most important slide for those who don’t want to know the gory details Repeat

20 Características da Criptografia Assimétrica
Performance: Baixa. Não é prática para uso intensivo Administração de Chaves: A chave pública pode ser distribuída livremente Aplicações: Criptografia Assinatura Digital / Verificação Troca de chaves Exemplos: RSA, ECC, Diffie-Hellman, DSA

21 Melhor Opção Usar Criptografia Simétrica para aplicações de uso intensivo – criar uma chave nova a cada seção Usar um algoritmo assimétrico para informar as chaves criadas Usar algoritmo assimétrico para assinatura digital

22 Hash – Uma amostra da Informação
O hash é produzido por um algoritmo que usa como entrada a informação transmitida O resultado é uma “impressão digital” com tamanho fixo de 128 ou 160 bits O processo é semelhante ao CRC (Cyclic Redundancy Check), porém mais sofisticado Utilizado para determinar se a informação foi alterada É impossivel produzir um documento que resulte em um determinado hash A alteração de um único bit da informação produz um hash completamente diferente

23 Hash – Uma amostra da Informação
Algoritmo de Hash Dados D4 21 F5 3D 22 9A CC B7 3C AA E2 DC 12 1A A1 CB Características Sem chaves Irreversível Exemplos: MD5, SHA-1 Verificar a integridade dos dados Produzir assinaturas digitais

24 Hash – Integridade da Informação
Algoritmo de Hash Enviar 1.000 Unidades por R$ 10 cada D4 21 F5 3D 22 9A CC B7 3C AA E2 D4 21 F5 3D 22 9A CC B7 3C AA E2 Transmite para o destino Algoritmo de Hash Enviar 1.000 Unidades por R$ 10 cada D4 21 F5 3D 22 9A CC B7 3C AA E2 D4 21 F5 3D 22 9A CC B7 3C AA E2 Iguais ?

25 Hash – Assinatura Digital
Algoritmo de Hash Dados D4 21 F5 3D 22 9A CC B7 3C AA E2 DC 12 1A A1 CB Chave Privada Do Remetente Algoritmo de Assinatura Assinatura Digital

26 Criando uma Mensagem Segura Alice
Chave de Seção Alice Chave Pública Privada da Alice Paulo do Paulo Criptografando A Mensagem Ordem de Pagamento Para Paulo DES X15/^ ow83h7ERH39DJ3H nI2jR 98Fd z(q6 Alice Assinando a Mensagem Ordem de Pagamento Para Paulo SHA-1 Hash RSA Assinatura Digital de Alice Alice RSA Criptografando a Chave de Seção Bloco Transmitido

27 Decriptografando a Mensagem Segura
Chave de Seção Alice Chave Pública Privada da Alice Paulo do Paulo Decriptografando a Mensagem Segura Decriptografando A chave de seção nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H RSA + nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H DES Ordem de Pagamento Para Paulo Alice Decriptando a mensagem Verificando a assinatura e Integridade da mensagem Ordem de Pagamento Para Paulo SHA-1 Hash Sim Não Alice RSA Iguais?

28 Quatro Regras Simples Assinar antes, Criptografar depois Comprimir antes de criptografar Assinar usando a chave privada Criptografar usando a chave pública do destino

29 Algoritmos Algoritmos com Chaves Simétricas:
DES (Padrão de Criptografia Digital) Triple-DES IDEA (Algoritmo Interacional de Criptografia de Dados) RC2, RC4 (Códigos Desenvolvidos por Ron Rivest) Algoritmos com Chaves Assimétricas: RSA (Rivest, Shamir e Adleman) DSA (Algoritmo de Assinatura Digital) ECC (Sistemas Critográficos de Curva Elíptica) Diffie-Hellman

30 Algoritmos de Hash e RNGs
MD5 (amostra de 128 bits) SHA-1 (amostra de 160 bits) RIPE-MD (Versões para 128 e 160 bits) Geradores de Números Randômicos (RNG - Random number generators): Blum-Blum-Shub

31 Importância do Tamanho da Chave
Tempo para Comprometer uma chave

32 Armazenamento Seguro da Chave Privada
Arquivo: Criptografia baseada em passphrases Smartcard HSM - Hardware Security Module

33 PKCS: Public Key Cryptography Standards
Divulgados em 1991 como parte dos acordos que estabeleceram os padrões de Criptografia por Chave Pública Trabalho conjunto de empresas como a Apple, Digital, Lotus, Microsoft, MIT, Northern Telecom, Novell, Sun Revisados em 1993 PKCS#11 (Cryptoki) divulgado em 1995 Grupos de trabalho atualizam as especificações desde 1996

34 PKCS #1: Criptografia RSA
Metodologia de assinaturas digitais V1.5 (1993) descreve os procedimentos básicos do SSL, S/MIME e PKIX V2.0 (1998) acrescenta a criptografia OAEP (Optimal Asymmetric Encryption Padding) de Bellare-Rogaway V2.1 inclui a criptografia B-R PSS (Probabilistic Signature Scheme)

35 PKCS #7: Sintaxe de Mensagens Criptografadas
Desenvolvida para seguro (Privacy-Enhanced Mail) V1.5 (1993) orientada para administração de chaves RSA, utilizada em S/MIME e protocolos PKIX RFC 2630 do IETF inclui o gerenciamento de chaves Diffie Hellman V1.6bis aceita protocolo SET

36 PKCS #10: Requisição de Certificados
Sintaxe para a solicitação de certificados Nome único (DN), chave pública e conjunto opcional de atributos, assinados digitalmente pela entidade solicitante A CA transforma a solicitação em um certificado X.509 ou em um certificado PKCS#6 Não define a forma pela qual a CA envia o certificado para o solicitante (a UniCERT Brasil utiliza o PKCS#7)

37 PKCS #11: (Criptoki) Cryptographic Token Interface
Interface de programação para SmartCards e outros dispositivos V1.0 (1995) descreve os métodos básicos V2.01 (1997) acrescenta mecanismos de criptografia e formas de administração V2.1 (em desenvolvimento) detalha melhor a interface e acrescenta novos mecanismos criptográficos

38 PKCS #15: Cryptographic Token Information Format
Formato de arquivos para dados criptografados em SmartCards e outros dispositivos V1.0 (1998) adotada pelo WAP Forum e para cartões EDI (desenvolvida em conjunto com o SEIS) V1.1 inclui formatos para compatibilização com aplicações

39 PKCS: Outros Documentos
PKCS #3: Chaves Diffie-Hellman PKCS #5: Criptografia baseada em Passwords PKCS #8: Sintaxe da informação da Chave Privada PKCS #9: Tipos de atributos selecionados PKCS #10: Sintaxe de Solicitações de Certificados PKCS #12: Sintaxe da troca de Informações Pessoais PKCS#2, #4 e #6 estão obsoletos PKCS#13 e #14 em desenvolvimento

40 Certificados Digitais & Infraestrutura de Chave Pública

41 Dúvidas . . . Para obter comunicação segura, Alice criptografa sua mensagem com a chave pública de Paulo Dúvidas: Como e de onde Alice consegue a chave pública de Paulo? Como Alice pode ter certeza que a chave obtida é realmente de Paulo e não uma tentativa de fraude?

42 Respostas: Alice confia que tem a realmente chave de Paulo porque obteve esta informação em um certificado digital O certificado foi emitido por uma entidade confiável (TTP – Trusted Third Party) A Autoridade Certificadora assinou o certificado que contém a chave pública de Paulo A Autoridade Certificadora avaliza a autenticidade da chave de Paulo

43 Certificados Digitais
Certificados Digitais são equivalentes eletrônicos às provas físicas de identificação, como passaporte e cédulas de identidade, que auxiliam a autenticação de usuários em redes de comunicações O certificado digital pode estar armazenado em uma estação, um disquete ou em um dispositivo de segurança como um smart-card Certificados Digitais são elementos essenciais em um PKI

44 Certificados Digitais
Um certificado digital contém: Informações sobre o proprietário Informações sobre o emitente A chave pública do proprietário Datas de validade e expiração Assinatura digital do emitente (CA), avalizando o conteúdo do certificado

45 Credibilidade do Certificado Digital
O certificado digital é um tipo de passaporte que identifica e autentica o proprietário (O passaporte é um documento emitido pelo governo que tem credibilidade em outros países) O certificado digital emitido por uma Autoridade Certificadora confiável também tem credibilidade Activity: Explain the importance of TRUST Notes: All this technology depends upon TRUST Use passports as an example to illustrate TRUST: A Customs Officer will only trust a passport issued by a government that can be trusted

46 Certificado X.509 v3 Versão Número Serial Algoritmo de Assinatura
Identificador do Emitente Versão Número Serial Algoritmo de Assinatura CA Emitente Período de Validade Nome X.500 do Proprietário Algoritmo de identificação da chave pública Chave pública Identificador do Extensão Assinatura Digital da CA

47 Emissão de Certificados
A UniCERT administra a criação de certificados de duas maneiras O par de chaves é gerado centralizado e distribuído para os usuários de uma maneira controlada O usuário gera o seu par de chaves e envia a chave pública para a Unicert criar o seu certificado

48 Emissão de Certificados
Geração de Chaves Centralizada: Um componente do CACertification Authorities (CAs) gera um par de chaves por software em um arquivo ou smartcard O par de chaves é protegido por um PIN ou Passphrase O arquivo ou smartcard é remetido ao cliente A passphrase ou PIN também é remetido para o cliente O cliente utiliza o par de chaves em seu ambiente operacional

49 Emissão de Certificados
Chaves Geradas pelo Usuário: O par de chaves é gerado no ambiente do usuário, por software ou usando um recurso de hardware A chave pública é formatada em um modo pré-definido e enviada para a CA Certification Authorities (CAs) usando como mecanismo de transporte o ou HTTP A CA cria um certificado vinculando o usuário à sua chave pública O certificado é enviado ao usuário

50 Definição de PKI Public Key Infrastructure (PKI) Políticas de segurança que definem as regras de operação de sistemas criptográficos Produtos para criar, administrar e armazenar chaves Procedimentos que determinam como as chaves devem ser criadas, distribuídas e utilizadas Criptografia de Chaves Públicas Assinaturas Digitais

51 Utilidade do PKI Public Key Infrastructure (PKI) Um PKI abrangente pode estabelecer e manter a credibilidade de um ambiente de rede com total transparência para as aplicações As vantagens do PKI incluem a redução dos custos, facilidade de assimilação pelo usuário e a tolerância a processos com alta demanda

52 Características do PKI
Padrão de segurança na Internet com aceitação global Funcionalidade para assinaturas digitais Plataforma comum de segurança para redes corporativas e públicas Facilita a transição para as tecnologias em processo de desenvolvimento Infraestrutura de chaves públicas e smart cards é o modo mais seguro de conduzir negócios pela Internet atualmente

53 Processo de Registro de Certificados
RA Usuário Diretório CA divulga o certificado em um diretório RA verifica as informações e solicita a emissão do certificado Certification Authorities (CAs) CA emite o certificado e o remete para o RA O RA envia o certificado para o usuário O usuário gera um par de chaves e solicita um certificado A informação do usuário e a Chave Pública são enviados para o RA Registration Authority

54 Transação Comercial com Certificados
Usuário Diretório CA divulga o certificado em um diretório Lojista Transações Comerciais via Internet O lojista pode Verificar: Detalhes do certificado Relações de revogação Validade dos certificados Assinaturas Decriptar dados A relação de credibilidade entre lojistas e usuários com certificados é endossada por uma Autoridade Certificadora

55 Certificados - Validação
A validação de um certificado implica em: O receptor obtém o certificado da origem da comunicação O software executa as seguintes funções: Obtém o certificado da CA que assina o certificado recebido Decripta a amostra do certificado usando a chave pública da CA Calcula a amostra certificado Compara as amostras Verifica a data de expiração do certificado Verifica se o certificado foi revogado

56 Certificados - Revogação
Possíveis Razões: Comprometimento da CA Comprometimento da Chave Privada Mudança de Status Suspensão Outra A lista de certificados revogados é chamada de CRL CRLs são emitidas e assinada pela CA A CRL deve ser verificada sempre que um certificado é recebido

57 Criptografia com Chave Pública
A criptografia por chave pública não é suficiente para recriar todo o ambiente do comércio tradicional baseado em papel no meio eletrônico. Também são necessárias as seguintes condições: Políticas de segurança que definam as regras nas quais os sistemas criptográficos devem operar Produtos para gerar, armazenar e administrar chaves Processos que definem como as chaves e os certificados devem ser gerados, distribuídos e utilizados

58 Componentes de um PKI UM PKI é uma combinação de produtos de hardware e software, procedimentos e políticas de segurança O PKI fornece a segurança necessária para comercio eletrônico onde parceiros que não se conhecem podem trocar informações de modo seguro através de cadeias de credibilidade O PKI utiliza certificados de chave pública ou certificados digitais que vinculam os usuários a uma chave pública

59 Infraestruturas de Chaves Públicas
Uma infraestrutura de chave pública simples consiste de: Autoridades Certificadoras Autoridades de Registro Diretórios Aplicações PKI Políticas & procedimentos

60 Ciclo de Vida do Certificado
Emissão do Certificado Geração do Expirar o Armazenar o Aplicação Revogação Do Certificado CA Usuário RA Diretório

61 Autoridades Certificadoras
A CA é a base de credibilidade do PKI e administra todo o ciclo de vida dos certificados de chave pública A CA emite certificados associando uma identificação única a uma chave pública Programa datas de expiração de certificados Publica Relações de Certificados Revogados (CRLs) CA RA Diretório Usuário Uma empresa pode operar sua própria CA ou usar os serviços de uma terceira parte confiável

62 RA – Autoridades de Registro
Interface entre a CA e o usuário Identifica o usuário para a CA A qualidade do processo de autenticação determina o nível de credibilidade que pode ser atribuído a um certificado Mantém registros dos usuários CA RA Diretório Usuário

63 Diretórios Ponto de distribuição para certificados e relações de certificados revogados Podem estar distribuídos em redes Seguem o padrão X.500 Podem armazenar outras informações CA RA Diretório Usuário

64 Aplicações PKI Comunicações entre servidores web e browsers E-mail
Electronic Data Interchange (EDI) Transações de cartões de crédito na Internet Redes Virtuais Privadas (VPN) CA RA Diretório Usuário

65 Procedimentos e Políticas
Credibilidade baseada em Papel Um documento registrado em papel pode representar valores de vários milhões dependendo de: Quem emitiu Quem assinou Facilidade de falsificar Embazamento legal do documento

66 Procedimentos e Políticas
Certificados digitais tem níveis diferentes de credibilidade dependendo de: Política de Segurança (resistência da chave, armazenamento de chaves) Critérios de identificação do solicitante de um certificado Obrigações contratuais entre as partes Legislação sobre certificados e assinaturas digitais

67 Administração de Chaves
Tamanho e Geração das chaves Uso das chaves Transporte Importação Armazenamento e Recuperação Troca Comprometimento

68 Política Operacional Procedimentos Administrativos
Responsabilidades e Compensações Controle de Acessos Cargos e Responsabilidades Hardware Segurança Física Níveis de Serviços Planos de Contingência

69 Política de Emissão de Certificados
Critério de emissão Manual/Automático Critério de Identificação Tipos de Certificados Tempo de vida Revogação e CRLs Serviços de Diretórios

70 Infraestruturas de CAs

71 Cadeia de Certificação
Alice O certificado do usuário é assinado por uma CA O certificado da CA é assinado por outra CA . . . O último certificado é autoassinado pela CA Root UniCERT Root

72 Custódia ou Armazenamento de Chaves
A custódia (key escrow) considera as necessidades de governos e empresas de: Controlar o uso da Criptografia Possibilitar, sob garantias, decriptar um texto cifrado O armazenamento de chaves (key archive) é uma necessidade comercial para permitir que as empresas recuperem: Chaves perdidas Passwords esquecidas Perda de funcionários Several European Governments have announced their intention to regulate TTPs and to use them for warranted access to keys.

73 Pares de Chaves Funcionalidade Um par para criptografia
Um par para não repúdio (assinatura) Problema: Armazenar chaves privadas sem perder a credibilidade do não repúdio Solução: A chave privada de criptografia pode ser armazenada ou custodiada A chave privada de assinatura deve ser de controle exclusivo do usuário If a user forgets the password for their private key, we can revoke it and issue a new one. But how will the user be able to read messages encrypted under the old key? And if we were to make a back up copy of their private key(s), can we still guarantee non-repudiation?

74 Legislação da Assinatura Digital
A Lei das Assinaturas Digitais nos EUA (US Digital Signature Law) está vigorando a partir de 01/Out/2000) Na Irelanda, a Digital Signature Law foi efetivada em 07/Out/2000 A instrução normativa da SRF número 156, de 22 de Dezembro de 1999 instituiu os Certificados Eletrônicos e-CPF e e-CNPJ Decreto nº3.505 de 13/Jun/2000 criou a Política de Segurança da Informação nos órgãos e entidades da administração Pública Federal

75 Hierarquias de CAs Comerciais
Identrus – Consórcio formado por um grupo internacional de grandes bancos

76 Autoridade Certificadora
IDENTRUS Banco A Banco B Banco C Autoridade Certificadora Autoridade Cert

77 Identrus - Implementações
Identrus permite a credibilidade das comunicações entre associados em redes públicas A infraestrutura permite que instituições financeiras possam ter uma identificação conclusiva dos seus parceiros em comunicações via Internet A autoridade certificadora raíz do Identrus utiliza tecnologia Baltimore (Unicert) Os bancos associados podem escolher qualquer PKI compatível para implementar suas CAs

78 Implementações PKI - ABN Amro
ABN Amro utiliza PKI para implementar a sua Infraestrutura Criptográfica Corporativa (CCI) O CCI responde pela segurança de qualquer atividade bancária e serviços criptográficos para qualquer cliente ou qualquer aplicação em qualquer lugar do mundo

79 Autoridade Certificadora
ABN AMRO Bank Servidor Workgroup Data Center Desktop Segurança Baltimore Aplicações Bancárias A infraestrutura de segurança no banco Mais de usuários em vários países Autoridade Certificadora

80 SSL – Visão Geral Autoridade Certificadora SSL Servidor Web
Activity: Explain SSL at a high level Notes:

81 Protocolo SSL 2.0 1. Cliente conecta com o Lojista 2. Lojista envia cópia do seu certificado (e chave pública) para o browser do cliente, indicando que o SSL 2.0 está habilitado 3. O browser usa a chave pública da CA para verificar o certificado do lojista 4. O browser gera uma chave de seção 5. O browser usa a chave pública do Lojista para criptografar a chave de seção 6. O lojista usa a sua chave privada para decriptar a chave de seção Cliente e Lojista trocam informações criptografadas com a chave de seção Cliente com browser Loja na Internet com Servidor Web Seguro

82 Protocolo SSL 3.0 1. Cliente conecta com o Lojista 2. Lojista envia cópia do seu certificado (e chave pública) para o browser do cliente, indicando que o SSL 2.0 está habilitado 3. O browser usa a chave pública da CA para verificar o certificado do lojista 4. O browser gera uma chave de seção O browser usa a chave pública do Lojista para criptografar a chave de seção e remete junto o seu certificado 6. O lojista usa a sua chave privada para decriptar a chave de seção e verifica a assinatura digital do cliente Cliente e Lojista trocam informações criptografadas com a chave de seção Cliente com browser Loja na Internet com Servidor Web Seguro

83 Criptografia RSA O algoritmo RSA foi criado em 1978 por Ron Rivest, Adi Shamir e Leonard Adleman A criptografia de chave pública está baseada em conceitos matemáticos simples

84 Fundamentos matemáticos do RSA
1. Escolher dois números primos muito grandes, P e Q (representados por 768, 1024 ou 2048 bits) 768 bits representam 1, números 1024 bits representam 1, números Escolher um valor E menor que P.Q tal que a relação entre E e (P-1)(Q-1) não tenha fatores primos em comum E não é necessariamente primo, mas deve ser ímpar (P-1)(Q-1) não pode ser primo porque é um número par 231 308

85 Fundamentos matemáticos do RSA
Calcular o valor D de tal forma que (DE-1) seja divisível por (P-1)(Q-1) Em terminologia matemática, este valor é representado por DE=1(mod(P-1)(Q-1)) Para encontrar este valor deve-se calcular um valor de X tal que D=(X(P-1)(Q-1)+1)/E seja um número inteiro

86 Fundamentos matemáticos do RSA
A função de criptografia é cripto(T)=T mod(PQ) onde T é o valor binário do texto plano A função de decriptografia é decript(C )=C mod(PQ) onde C é o valor binário do texto cifrado A chave pública é o par (PQ,E) A chave privada é o valor D E D

87 Fundamentos matemáticos do RSA
A chave pública pode ser divulgada porque não existe um meio matemático de calcular D, P ou Q conhecendo PQ e E Se P e Q são números grandes (768, 1024 ou 2048 bits) é necessário um processamento absurdo para, conhecendo PQ calcular P e Q Em função das notícias que circulam na WEB, é importante informar que ainda não foi comprovada a existência de um modelo matemático que permita calcular os valores das chaves, ou seja, fatorar P e Q

88 Diffie-Hellman Desenvolvido por Whitfield Diffie e Martin Helmann, foi o primeiro sistema comercial a utilizar chave pública e criptografia assimétrica Utilizado para administrar a troca de chaves em VPNs operando em ambientes IPSec

89 Fundamentos do Diffie Hellman
Os hosts devem obter os parâmetros Diffie-Hellman, um número primo P (maior que 2) e uma base G (valor inteiro, menor que P) Cada host gera uma chave secreta X, menor que (P-1) Os hosts geram uma chave pública Y, criada pela função Y=G^X%P

90 Fundamentos do Diffie Hellman
Os hosts trocam as chaves públicas Y, que são convertidas na chave de seção Z, utilizando a fórmula Z=Y^X%P Os valores de Z gerados por ambos os hosts são absolutamente iguais porque Z = (G^X%P)^X’ = (G^X’%P)^X X^Y representa X elevado a potência Y X%Y é o resto da divisão de X por Y

91 Fatores Críticos para o Sucesso de um PKI
As necessidades comerciais devem direcionar a agenda de segurança A segurança não deve penalizar os usuários A segurança deve facilitar os negócios, não atrapalhar A segurança não pode ser parcial A opção correta é um parceiro, não um fornecedor Tecnologia não é o ítem mais importante


Carregar ppt "Gerência de Redes Heterogêneas Utilizando Software Livre"

Apresentações semelhantes


Anúncios Google