A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

SRH - 3 Gerência de Redes Heterogêneas Utilizando Software Livre Criptografia.

Apresentações semelhantes


Apresentação em tema: "SRH - 3 Gerência de Redes Heterogêneas Utilizando Software Livre Criptografia."— Transcrição da apresentação:

1 SRH - 3 Gerência de Redes Heterogêneas Utilizando Software Livre Criptografia

2 SRH - 3 Introdução à Criptografia e pki

3 SRH - 3 Informações Gerais

4 SRH - 3 Introdução a Criptografia & PKI Parte Um: Introdução a Criptografia Parte Dois: Infraestrutura de Chave Pública Certificados Digitais Algoritmos de Criptografia

5 SRH - 3 Transferir a credibilidade baseada em conhecimento e papel para o ambiente do comércio eletrônico Problema Básico

6 SRH - 3 Documento Original Timbre Autenticação, Integridade, Não repúdio Assinatura Original 45c Confidencialidade Envelope Selado Mecanismos de Segurança baseada em Papel

7 SRH - 3 Serviços de Segurança Eletrônica Assinatura Digital Autenticação Quem é a origem? Integridade O conteúdo foi alterado? Não Repúdio O remetente pode negar ter sido a origem da informação? Substitui o timbre e a assinatura do documento original Criptografia Substitui o envelope 45c Confidencialidade

8 SRH - 3 Internet & Segurança Mais de 70% das fraudes eletrônicas tem origem em público interno As oportunidades de acesso a redes corporativas estão aumentando com o crescimento da Internet 75% das empresas contabilizam perdas por falhas de segurança por fraudes financeiras, roubo de informações proprietárias ou furto de lap-tops Fonte: Forester Research

9 SRH - 3 Fundamentos da Credibilidade Autenticação Identificação de uma pessoa ou entidade Confidencialidade A informação é mantida privada Integridade A informação não pode ser modificada Não Repúdio A origem da informação não pode ser negada

10 SRH - 3 História: A Roma Antiga A palavra criptografia tem origem no grego e significa Palavra Oculta. Júlio César escrevia textos criptografados para Cícero e para seus generais a mais de anos atrás, usando um cifrador onde cada letra era substituida por uma descolocada três posições no alfabeto ABCDEFGHIJKLMNOPQRSTUVWXYZABCDEFGHIJKLMNO ABCDEFGHIJKLMNOPQRSTUVWXYZ A palavra CESAR é escrita como FHVDU

11 SRH - 3 Tratado sobre Criptografia Em 1518 o monje Beneditino Trithemius escreveu o mais antigo tratado conhecido sobre criptografia em um livro chamado Polygraphiae

12 SRH - 3 A Roda Criptográfica - Século 18 Thomas Jefferson utilizou este recurso para manter comunicações privadas quando foi representante junto ao governo Francês ( ) porque na época, os serviços de correio abriam toda a correspondência enviada ou recebida

13 SRH - 3 A Máquina Enigma - Século 20 A máquina Enigma foi um dos segredos mais bem guardados na Segunda Grande Guerra, usada pelos Alemães para proteger as comunicações entre o comando e as embarcações navais

14 SRH - 3 Conceitos Básicos de Criptografia Criptografia é o processo de converter um texto aberto em um texto cifrado Decriptografia é o processo de reconverter um texto cifrado em texto aberto Criptografia / Decriptografia utilizam uma chave e um algoritmo Dois tipos de criptografia: Simétrica e Assimétrica

15 SRH - 3 Criptografia Simétrica Requer uma chave compartilhada Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 1,5 milhões da conta para a conta Affonso Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 1,5 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue Criptografia ++ Algoritmo = Decriptografia Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 1,5 milhões da conta para a conta Affonso Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 1,5 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue *> *ql3*UY #~00873/JDI c4(DH: IWB(883 LKS9UI29as9eea qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue ++ = Algoritmo

16 SRH - 3 Performance: Rápida e Segura (Se a chave for boa) Administração de Chaves: Não é prático para um número grande de usuários (chave compartilhada) Aplicações: Sempre que a performancefor o fator determinante Exemplos: DES, IDEA, Red Pike, RC2, RC4 Características da Criptografia Simétrica

17 SRH - 3 Sem segredos compartilhados Opera com um par de chaves relacionadas, uma pública e uma privada Criptografia Assimétrica Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 2,0 milhões da conta para a conta Affonso Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 2,0 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue *> *ql3*UY #~00873/JDI c4(DH: IWB(883 qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue Criptografia ++ Algoritmo = Chave Pública Decriptografia Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 2,0 milhões da conta para a conta Affonso Para: Banco De: Affonso Data: 16, Abr, 2001 Transferir R$ 2,0 milhões da conta para a conta Affonso *> *ql3*UY #~00873/JDI c4(DH: IWB(883 qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue *> *ql3*UY #~00873/JDI c4(DH: IWB(883 qw9vijhas9djerhp7 (*Y23k^wbvlqkwc zqw-_89237xGyjdc Biskdue ++ Algoritmo = Chave Privada

18 SRH - 3 A criptografia assimétrica é conhecida como Criptografia de Chave Pública (Public Key Cryptography) A chave pública é divulgada A chave privada é proprietária (normalmente nunca abandona o ambiente onde foi gerada) A chave pública é usada para criptografar e só a chave privada pode decriptografar Criptografia Assimétrica

19 SRH - 3 Par de Chaves: Relacionadas matematicamente Números primos extremamente grandes Não existe fórmula matemática conhecida de determinar uma a partir da outra A eficiência das chaves depende do seu tamanho e de outros fatores Criptografia Assimétrica

20 SRH - 3 Performance: Baixa. Não é prática para uso intensivo Administração de Chaves: A chave pública pode ser distribuída livremente Aplicações: –Criptografia –Assinatura Digital / Verificação –Troca de chaves Exemplos: –RSA, ECC, Diffie-Hellman, DSA Características da Criptografia Assimétrica

21 SRH Usar Criptografia Simétrica para aplicações de uso intensivo – criar uma chave nova a cada seção Usar um algoritmo assimétrico para informar as chaves criadas Usar algoritmo assimétrico para assinatura digital Melhor Opção

22 SRH - 3 Hash – Uma amostra da Informação O hash é produzido por um algoritmo que usa como entrada a informação transmitida O resultado é uma impressão digital com tamanho fixo de 128 ou 160 bits O processo é semelhante ao CRC (Cyclic Redundancy Check), porém mais sofisticado Utilizado para determinar se a informação foi alterada É impossivel produzir um documento que resulte em um determinado hash A alteração de um único bit da informação produz um hash completamente diferente

23 SRH Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 DC 12 1A A1 CB Dados Características Sem chaves Irreversível Exemplos: MD5, SHA-1 Verificar a integridade dos dados Produzir assinaturas digitais Hash – Uma amostra da Informação

24 SRH - 3 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 Enviar Unidades por R$ 10 cada D4 21 F5 3D 22 9A CC B7 3C AA E2 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 Enviar Unidades por R$ 10 cada D4 21 F5 3D 22 9A CC B7 3C AA E2 Transmite para o destino Hash – Integridade da Informação Iguais ?

25 SRH - 3 Algoritmo de Hash D4 21 F5 3D 22 9A CC B7 3C AA E2 DC 12 1A A1 CB Dados Algoritmo de Assinatura Assinatura Digital Chave Privada Do Remetente Hash – Assinatura Digital

26 SRH - 3 Chave de Seção Alice Chave Pública Chave Privada Chave Privada Chave Pública Chave Pública da Alice Paulo Chave Pública do Paulo Criando uma Mensagem Segura Assinando a Mensagem Ordem de Pagamento Para Paulo SHA-1 Hash RSA Assinatura Digital de Alice Alice Criptografando A Mensagem Ordem de Pagamento Para Paulo DES X15/^ ow83h7ERH39DJ3H nI2jR 98Fd z(q6 Alice RSA Criptografando a Chave de Seção Bloco Transmitido

27 SRH - 3 Chave de Seção Alice Chave Pública Chave Privada Chave Privada Chave Pública Chave Pública da Alice Paulo Chave Pública do Paulo Decriptografando a Mensagem Segura nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H DES Ordem de Pagamento Para Paulo Alice Decriptando a mensagem Decriptografando A chave de seção nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H RSA nI2jR 98Fd z(q6 X15/^ ow83h7ERH39DJ3H + Verificando a assinatura e Integridade da mensagem Ordem de Pagamento Para Paulo SHA-1 Hash SimNão Alice RSA Hash Iguais?

28 SRH Assinar antes, Criptografar depois Comprimir antes de criptografar Assinar usando a chave privada Criptografar usando a chave pública do destino Quatro Regras Simples

29 SRH - 3 Algoritmos Algoritmos com Chaves Simétricas: DES (Padrão de Criptografia Digital) Triple-DES IDEA (Algoritmo Interacional de Criptografia de Dados) RC2, RC4 (Códigos Desenvolvidos por Ron Rivest) Algoritmos com Chaves Assimétricas: RSA (Rivest, Shamir e Adleman) DSA (Algoritmo de Assinatura Digital) ECC (Sistemas Critográficos de Curva Elíptica) Diffie-Hellman

30 SRH - 3 Algoritmos de Hash e RNGs Algoritmos de Hash: MD5 (amostra de 128 bits) SHA-1 (amostra de 160 bits) RIPE-MD (Versões para 128 e 160 bits) Geradores de Números Randômicos (RNG - Random number generators): Blum-Blum-Shub

31 SRH - 3 Importância do Tamanho da Chave Tempo para Comprometer uma chave

32 SRH - 3 Arquivo: Criptografia baseada em passphrases Smartcard HSM - Hardware Security Module Armazenamento Seguro da Chave Privada

33 SRH - 3 PKCS: Public Key Cryptography Standards Divulgados em 1991 como parte dos acordos que estabeleceram os padrões de Criptografia por Chave Pública Trabalho conjunto de empresas como a Apple, Digital, Lotus, Microsoft, MIT, Northern Telecom, Novell, Sun Revisados em 1993 PKCS#11 (Cryptoki) divulgado em 1995 Grupos de trabalho atualizam as especificações desde 1996

34 SRH - 3 PKCS #1: Criptografia RSA Metodologia de assinaturas digitais V1.5 (1993) descreve os procedimentos básicos do SSL, S/MIME e PKIX V2.0 (1998) acrescenta a criptografia OAEP ( Optimal Asymmetric Encryption Padding) de Bellare-Rogaway V2.1 inclui a criptografia B-R PSS (Probabilistic Signature Scheme)

35 SRH - 3 PKCS #7: Sintaxe de Mensagens Criptografadas Desenvolvida para seguro (Privacy-Enhanced Mail) V1.5 (1993) orientada para administração de chaves RSA, utilizada em S/MIME e protocolos PKIX RFC 2630 do IETF inclui o gerenciamento de chaves Diffie Hellman V1.6bis aceita protocolo SET

36 SRH - 3 PKCS #10: Requisição de Certificados Sintaxe para a solicita ç ão de certificados Nome ú nico (DN), chave p ú blica e conjunto opcional de atributos, assinados digitalmente pela entidade solicitante A CA transforma a solicita ç ão em um certificado X.509 ou em um certificado PKCS#6 Não define a forma pela qual a CA envia o certificado para o solicitante (a UniCERT Brasil utiliza o PKCS#7)

37 SRH - 3 PKCS #11: (Criptoki) Cryptographic Token Interface Interface de programação para SmartCards e outros dispositivos V1.0 (1995) descreve os métodos básicos V2.01 (1997) acrescenta mecanismos de criptografia e formas de administração V2.1 (em desenvolvimento) detalha melhor a interface e acrescenta novos mecanismos criptográficos

38 SRH - 3 PKCS #15: Cryptographic Token Information Format Formato de arquivos para dados criptografados em SmartCards e outros dispositivos V1.0 (1998) adotada pelo WAP Forum e para cartões EDI (desenvolvida em conjunto com o SEIS) V1.1 inclui formatos para compatibilização com aplicações

39 SRH - 3 PKCS: Outros Documentos PKCS #3: Chaves Diffie-Hellman PKCS #5: Criptografia baseada em Passwords PKCS #8: Sintaxe da informação da Chave Privada PKCS #9: Tipos de atributos selecionados PKCS #10: Sintaxe de Solicitações de Certificados PKCS #12: Sintaxe da troca de Informações Pessoais PKCS#2, #4 e #6 estão obsoletos PKCS#13 e #14 em desenvolvimento

40 SRH - 3 Certificados Digitais & Infraestrutura de Chave Pública

41 SRH Para obter comunicação segura, Alice criptografa sua mensagem com a chave pública de Paulo Dúvidas: Dúvidas... Como e de onde Alice consegue a chave pública de Paulo? Como Alice pode ter certeza que a chave obtida é realmente de Paulo e não uma tentativa de fraude?

42 SRH Alice confia que tem a realmente chave de Paulo porque obteve esta informação em um certificado digital O certificado foi emitido por uma entidade confiável (TTP – Trusted Third Party) A Autoridade Certificadora assinou o certificado que contém a chave pública de Paulo A Autoridade Certificadora avaliza a autenticidade da chave de Paulo Respostas:

43 SRH - 3 Certificados Digitais Certificados Digitais são equivalentes eletrônicos às provas físicas de identificação, como passaporte e cédulas de identidade, que auxiliam a autenticação de usuários em redes de comunicações O certificado digital pode estar armazenado em uma estação, um disquete ou em um dispositivo de segurança como um smart-card Certificados Digitais são elementos essenciais em um PKI

44 SRH - 3 Certificados Digitais Um certificado digital contém: Informações sobre o proprietário Informações sobre o emitente A chave pública do proprietário Datas de validade e expiração Assinatura digital do emitente (CA), avalizando o conteúdo do certificado

45 SRH - 3 Credibilidade do Certificado Digital O certificado digital é um tipo de passaporte que identifica e autentica o proprietário (O passaporte é um documento emitido pelo governo que tem credibilidade em outros países) O certificado digital emitido por uma Autoridade Certificadora confiável também tem credibilidade

46 SRH - 3 Certificado X.509 v3 Identificador do Emitente Versão Número Serial Algoritmo de Assinatura CA Emitente Período de Validade Nome X.500 do Proprietário Algoritmo de identificação da chave pública Chave pública Identificador do Proprietário Extensão Assinatura Digital da CA

47 SRH - 3 Emissão de Certificados O par de chaves é gerado centralizado e distribuído para os usuários de uma maneira controlada O usuário gera o seu par de chaves e envia a chave pública para a Unicert criar o seu certificado A UniCERT administra a criação de certificados de duas maneiras

48 SRH - 3 Geração de Chaves Centralizada: Um componente do CA Certification Authorities (CAs) gera um par de chaves por software em um arquivo ou smartcard O par de chaves é protegido por um PIN ou Passphrase O arquivo ou smartcard é remetido ao cliente A passphrase ou PIN também é remetido para o cliente O cliente utiliza o par de chaves em seu ambiente operacional Emissão de Certificados

49 SRH - 3 Chaves Geradas pelo Usuário: O par de chaves é gerado no ambiente do usuário, por software ou usando um recurso de hardware A chave pública é formatada em um modo pré- definido e enviada para a CA Certification Authorities (CAs) usando como mecanismo de transporte o ou HTTP A CA cria um certificado vinculando o usuário à sua chave pública O certificado é enviado ao usuário Emissão de Certificados

50 SRH - 3 Definição de PKI Políticas de segurança que definem as regras de operação de sistemas criptográficos Produtos para criar, administrar e armazenar chaves Procedimentos que determinam como as chaves devem ser criadas, distribuídas e utilizadas Criptografia de Chaves Públicas Assinaturas Digitais Public Key Infrastructure (PKI)

51 SRH - 3 Utilidade do PKI Um PKI abrangente pode estabelecer e manter a credibilidade de um ambiente de rede com total transparência para as aplicações As vantagens do PKI incluem a redução dos custos, facilidade de assimilação pelo usuário e a tolerância a processos com alta demanda Public Key Infrastructure (PKI)

52 SRH - 3 Características do PKI Padrão de segurança na Internet com aceitação global Funcionalidade para assinaturas digitais Plataforma comum de segurança para redes corporativas e públicas Facilita a transição para as tecnologias em processo de desenvolvimento Infraestrutura de chaves públicas e smart cards é o modo mais seguro de conduzir negócios pela Internet atualmente

53 SRH - 3 CA RA Usuário Diretório A informação do usuário e a Chave Pública são enviados para o RA RA verifica as informações e solicita a emissão do certificado CA emite o certificado e o remete para o RA CA divulga o certificado em um diretório O RA envia o certificado para o usuário O usuário gera um par de chaves e solicita um certificado Processo de Registro de Certificados Certification Authorities (CAs) Registration Authority

54 SRH - 3 Transação Comercial com Certificados O lojista pode Verificar: Detalhes do certificado Relações de revogação Validade dos certificados Assinaturas Decriptar dados A relação de credibilidade entre lojistas e usuários com certificados é endossada por uma Autoridade Certificadora Transações Comerciais via Internet CA Usuário Diretório CA divulga o certificado em um diretório Lojista

55 SRH - 3 Certificados - Validação O receptor obtém o certificado da origem da comunicação O software executa as seguintes funções: –Obtém o certificado da CA que assina o certificado recebido –Decripta a amostra do certificado usando a chave pública da CA –Calcula a amostra certificado –Compara as amostras –Verifica a data de expiração do certificado –Verifica se o certificado foi revogado A validação de um certificado implica em:

56 SRH Possíveis Razões: –Comprometimento da CA –Comprometimento da Chave Privada –Mudança de Status –Suspensão –Outra A lista de certificados revogados é chamada de CRL CRLs são emitidas e assinada pela CA A CRL deve ser verificada sempre que um certificado é recebido Certificados - Revogação

57 SRH - 3 Criptografia com Chave Pública Políticas de segurança que definam as regras nas quais os sistemas criptográficos devem operar Produtos para gerar, armazenar e administrar chaves Processos que definem como as chaves e os certificados devem ser gerados, distribuídos e utilizados A criptografia por chave pública não é suficiente para recriar todo o ambiente do comércio tradicional baseado em papel no meio eletrônico. Também são necessárias as seguintes condições:

58 SRH - 3 Componentes de um PKI UM PKI é uma combinação de produtos de hardware e software, procedimentos e políticas de segurança O PKI fornece a segurança necessária para comercio eletrônico onde parceiros que não se conhecem podem trocar informações de modo seguro através de cadeias de credibilidade O PKI utiliza certificados de chave pública ou certificados digitais que vinculam os usuários a uma chave pública

59 SRH - 3 Infraestruturas de Chaves Públicas Uma infraestrutura de chave pública simples consiste de: – Autoridades Certificadoras – Autoridades de Registro – Diretórios – Aplicações PKI – Políticas & procedimentos

60 SRH - 3 Ciclo de Vida do Certificado CA Usuário RA Diretório Emissão do Certificado Geração do Certificado Expirar o Certificado Armazenar o Certificado Aplicação Revogação Do Certificado

61 SRH - 3 Autoridades Certificadoras CA RA Diretório Usuário A CA é a base de credibilidade do PKI e administra todo o ciclo de vida dos certificados de chave pública A CA emite certificados associando uma identificação única a uma chave pública Programa datas de expiração de certificados Publica Relações de Certificados Revogados (CRLs) Uma empresa pode operar sua própria CA ou usar os serviços de uma terceira parte confiável

62 SRH - 3 RA – Autoridades de Registro Interface entre a CA e o usuário Identifica o usuário para a CA A qualidade do processo de autenticação determina o nível de credibilidade que pode ser atribuído a um certificado Mantém registros dos usuários CA RA Diretório Usuário

63 SRH - 3 Diretórios Ponto de distribuição para certificados e relações de certificados revogados Podem estar distribuídos em redes Seguem o padrão X.500 Podem armazenar outras informações CA RA Diretório Usuário

64 SRH - 3 Aplicações PKI Comunicações entre servidores web e browsers Electronic Data Interchange (EDI) Transações de cartões de crédito na Internet Redes Virtuais Privadas (VPN) CA RA Diretório Usuário

65 SRH - 3 Credibilidade baseada em Papel Um documento registrado em papel pode representar valores de vários milhões dependendo de: –Quem emitiu –Quem assinou –Facilidade de falsificar –Embazamento legal do documento Procedimentos e Políticas

66 SRH - 3 Procedimentos e Políticas Política de Segurança (resistência da chave, armazenamento de chaves) Critérios de identificação do solicitante de um certificado Obrigações contratuais entre as partes Legislação sobre certificados e assinaturas digitais Certificados digitais tem níveis diferentes de credibilidade dependendo de:

67 SRH Tamanho e Geração das chaves Uso das chaves Transporte Importação Armazenamento e Recuperação Troca Comprometimento Administração de Chaves

68 SRH Procedimentos Administrativos Responsabilidades e Compensações Controle de Acessos Cargos e Responsabilidades Hardware Segurança Física Níveis de Serviços Planos de Contingência Política Operacional

69 SRH Critério de emissão Manual/Automático Critério de Identificação Tipos de Certificados Tempo de vida Revogação e CRLs Serviços de Diretórios Política de Emissão de Certificados

70 SRH Infraestruturas de CAs

71 SRH Alice Cadeia de Certificação O certificado do usuário é assinado por uma CA O certificado da CA é assinado por outra CA... O último certificado é autoassinado pela CA Root UniCERT Root

72 SRH - 3 Custódia ou Armazenamento de Chaves A custódia (key escrow) considera as necessidades de governos e empresas de: –Controlar o uso da Criptografia –Possibilitar, sob garantias, decriptar um texto cifrado O armazenamento de chaves (key archive) é uma necessidade comercial para permitir que as empresas recuperem: –Chaves perdidas –Passwords esquecidas –Perda de funcionários

73 SRH - 3 Pares de Chaves Funcionalidade –Um par para criptografia –Um par para não repúdio (assinatura) Problema: –Armazenar chaves privadas sem perder a credibilidade do não repúdio Solução: –A chave privada de criptografia pode ser armazenada ou custodiada –A chave privada de assinatura deve ser de controle exclusivo do usuário

74 SRH - 3 Legislação da Assinatura Digital A Lei das Assinaturas Digitais nos EUA (US Digital Signature Law) está vigorando a partir de 01/Out/2000) Na Irelanda, a Digital Signature Law foi efetivada em 07/Out/2000 A instrução normativa da SRF número 156, de 22 de Dezembro de 1999 instituiu os Certificados Eletrônicos e-CPF e e-CNPJ Decreto nº3.505 de 13/Jun/2000 criou a Política de Segurança da Informação nos órgãos e entidades da administração Pública Federal

75 SRH - 3 Hierarquias de CAs Comerciais Identrus – Consórcio formado por um grupo internacional de grandes bancos

76 SRH - 3 IDENTRUS Banco A Banco B Banco C Autoridade Certificadora Autoridade Cert

77 SRH - 3 Identrus - Implementações Identrus permite a credibilidade das comunicações entre associados em redes públicas A infraestrutura permite que instituições financeiras possam ter uma identificação conclusiva dos seus parceiros em comunicações via Internet A autoridade certificadora raíz do Identrus utiliza tecnologia Baltimore (Unicert) Os bancos associados podem escolher qualquer PKI compatível para implementar suas CAs

78 SRH - 3 Implementações PKI - ABN Amro ABN Amro utiliza PKI para implementar a sua Infraestrutura Criptográfica Corporativa (CCI) O CCI responde pela segurança de qualquer atividade bancária e serviços criptográficos para qualquer cliente ou qualquer aplicação em qualquer lugar do mundo

79 SRH - 3 ABN AMRO Bank

80 SRH - 3 SSL – Visão Geral SSL Servidor Web Autoridade Certificadora

81 SRH - 3 Protocolo SSL Cliente conecta com o Lojista 2. Lojista envia cópia do seu certificado (e chave pública) para o browser do cliente, indicando que o SSL 2.0 está habilitado 3. O browser usa a chave pública da CA para verificar o certificado do lojista 4. O browser gera uma chave de seção 5. O browser usa a chave pública do Lojista para criptografar a chave de seção 6. O lojista usa a sua chave privada para decriptar a chave de seção Cliente e Lojista trocam informações criptografadas com a chave de seção Cliente com browser Loja na Internet com Servidor Web Seguro

82 SRH - 3 Protocolo SSL Cliente conecta com o Lojista 2. Lojista envia cópia do seu certificado (e chave pública) para o browser do cliente, indicando que o SSL 2.0 está habilitado 3. O browser usa a chave pública da CA para verificar o certificado do lojista 4. O browser gera uma chave de seção 5.O browser usa a chave pública do Lojista para criptografar a chave de seção e remete junto o seu certificado 6. O lojista usa a sua chave privada para decriptar a chave de seção e verifica a assinatura digital do cliente Cliente e Lojista trocam informações criptografadas com a chave de seção Cliente com browser Loja na Internet com Servidor Web Seguro

83 SRH - 3 Criptografia RSA O algoritmo RSA foi criado em 1978 por Ron Rivest, Adi Shamir e Leonard Adleman A criptografia de chave pública está baseada em conceitos matemáticos simples

84 SRH - 3 Fundamentos matemáticos do RSA 1.Escolher dois números primos muito grandes, P e Q (representados por 768, 1024 ou 2048 bits) 768 bits representam 1,55 números 1024 bits representam 1,80 números 2.Escolher um valor E menor que P.Q tal que a relação entre E e (P-1)(Q-1) não tenha fatores primos em comum E não é necessariamente primo, mas deve ser ímpar (P-1)(Q-1) não pode ser primo porque é um número par

85 SRH - 3 Fundamentos matemáticos do RSA 3.Calcular o valor D de tal forma que (DE- 1) seja divisível por (P-1)(Q-1) Em terminologia matemática, este valor é representado por DE=1(mod(P-1)(Q-1)) Para encontrar este valor deve-se calcular um valor de X tal que D=(X(P-1)(Q- 1)+1)/E seja um número inteiro

86 SRH - 3 Fundamentos matemáticos do RSA 4.A função de criptografia é cripto(T)=T mod(PQ) onde T é o valor binário do texto plano 5.A função de decriptografia é decript(C )=C mod(PQ) onde C é o valor binário do texto cifrado A chave pública é o par (PQ,E) A chave privada é o valor D E D

87 SRH - 3 Fundamentos matemáticos do RSA A chave pública pode ser divulgada porque não existe um meio matemático de calcular D, P ou Q conhecendo PQ e E Se P e Q são números grandes (768, 1024 ou 2048 bits) é necessário um processamento absurdo para, conhecendo PQ calcular P e Q Em função das notícias que circulam na WEB, é importante informar que ainda não foi comprovada a existência de um modelo matemático que permita calcular os valores das chaves, ou seja, fatorar P e Q

88 SRH - 3 Diffie-Hellman Desenvolvido por Whitfield Diffie e Martin Helmann, foi o primeiro sistema comercial a utilizar chave pública e criptografia assimétrica Utilizado para administrar a troca de chaves em VPNs operando em ambientes IPSec

89 SRH Os hosts devem obter os parâmetros Diffie-Hellman, um número primo P (maior que 2) e uma base G (valor inteiro, menor que P ) 2.Cada host gera uma chave secreta X, menor que (P-1) 3.Os hosts geram uma chave pública Y, criada pela função Y=G^X%P Fundamentos do Diffie Hellman

90 SRH Os hosts trocam as chaves públicas Y, que são convertidas na chave de seção Z, utilizando a fórmula Z=Y^X%P 5.Os valores de Z gerados por ambos os hosts são absolutamente iguais porque Z = (G^X%P)^X = (G^X%P)^X X^Y representa X elevado a potência Y X%Y é o resto da divisão de X por Y Fundamentos do Diffie Hellman

91 SRH - 3 Tecnologia não é o ítem mais importante Fatores Críticos para o Sucesso de um PKI A segurança deve facilitar os negócios, não atrapalhar A segurança não deve penalizar os usuários As necessidades comerciais devem direcionar a agenda de segurança A opção correta é um parceiro, não um fornecedor A segurança não pode ser parcial


Carregar ppt "SRH - 3 Gerência de Redes Heterogêneas Utilizando Software Livre Criptografia."

Apresentações semelhantes


Anúncios Google