A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança da Informação Tópico 23, 24, 25, 26 e 27 - Criptografia Criptografia Criptologia História Certificado Digital VPN Controle de acesso Prof.Davison.

Apresentações semelhantes


Apresentação em tema: "Segurança da Informação Tópico 23, 24, 25, 26 e 27 - Criptografia Criptografia Criptologia História Certificado Digital VPN Controle de acesso Prof.Davison."— Transcrição da apresentação:

1 Segurança da Informação Tópico 23, 24, 25, 26 e 27 - Criptografia Criptografia Criptologia História Certificado Digital VPN Controle de acesso Prof.Davison Marques

2 Ciência que permite tornar incompreensível uma informação, de forma a permitir que apenas pessoas autorizadas, consigam decifrá- la e compreendê-la. Conjunto de técnicas que permitem ocultar informações Criptografia

3 Bruce Schneier Se você acha que a criptografia pode resolver todos os seus problemas de segurança.....ou você não conhece criptografia ou não conhece os seus problemas

4 Criptografia Não protege contra deleção de dados. Algorítmos proprietários NÃO públicos NÃO são recomendados. Algorítmos fracos podem comprometer a segurança. Deve ser um dos recursos utilizados para a segurança e NÃO O ÚNICO. Última linha de defesa.

5 Criptologia Disciplina científica que reúne e estuda os conhecimentos (matemáticos,computacionais, psicológicos, filológicos, etc.) e técnicas necessários à criptoanálise (solução de criptogramas) e à criptografia (escrita codificada). Fonte:

6 Criptologia CRIPTOLOGIA CRIPTOGRAFIACRIPTOANÁLISE CÓDIGOS CIFRAS ESTEGANOGRAFIA

7 História 1 relato a.C No túmulo de Khnumhotep II, alguns hieróglifos foram substituídos por outros mais "importantes e bonitos, esse é considerado o primeiro fato de escrita cifrada. Espartanos a.C. Scytale cipher ou bastão de Licurgo é um sistema de criptografia utilizado pelos éforos espartanos para envio de mensagens secretas. A cítala é formada por duas varas de espessura variável, mas ambas de espessura semelhante) e uma tira de couro ou papiro, que também se podem denominar cítalas. Imperador César Cifra de César.

8 História II Guerra máquina Enigma – Alemã. Emuladores - -

9 Algorítmos Criptográficos DES (56 bits) – 1974 IBM. Quebrado em 1998 pela Eletronic Frontier Foundation. 3DES (3 x 56 = 168 bits) AES (128, 192, 256 bits) IDEA (128 bits) Blowfish (até 448 bits) História

10 Futuro - Criptografia quântica. Destaca-se face aos outros métodos criptográficos por não necessitar de comunicações secretas prévias Permitir a detecção de intrusos e ser segura mesmo que o intruso possua um poder computacional ilimitado. Totalmente segura, exceto nas situações em que o intruso consiga remover e inserir mensagens do canal de transmissão (poder ler e remover a mensagem, criar uma cópia e reenviá-la). Assim, esta técnica criptográfica seria mais segura que as utilizadas atualmente, pois se baseia em leis da física, enquanto as atuais asseguram os dados com base em funções que são secretas somente porque o poder computacional é limitado. História

11 Confidencialidade. Integridade. Autenticação. Autenticidade. Não repúdio. Serviços

12 Algoritmos Simétricos de Criptografia São algoritmos que utilizam a mesma chave para as operações de criptografia e decriptografia. Às vezes chamados de chave secreta ou chave privada. Criptografia Simétrica

13 Encrypt Decrypt CHAVE CipherText ClearText CHAVE Criptografia Simétrica

14 Algoritmos de Fluxo São utilizados para a criptografia de um fluxo contínuo de bits. A criptografia deve ocorrer bit a bit. Criptografia – Algoritmos Simétricos

15 One-Time-Pad É o único algoritmo teoricamente inquebrável. Para que seja inquebrável, deve-se ter chaves aleatórias e jamais re-utilizadas. A chave tem o tamanho da mensagem. Criptografia – Algoritmos Simétricos

16 RC4 Gera bytes pseudo-aleatórios a partir de uma chave de tamanho variável usados então para a criptografia com XOR. Jamais deve-se re-utilizar uma chave RC4! Largamente utilizado em conexões SSL. Criptografia – Algoritmos Simétricos

17 Algoritmos de Bloco Trabalham em blocos de bits. Deve-se ter todos os bits do bloco para então se aplicar o algoritmo. Exemplos: DES, 3DES, IDEA, RC5. Criptografia – Algoritmos Simétricos

18 DES (Data Encryption Standard) Criado em Utiliza uma chave de 56 bits (aprox. 73 quatrilhões de possibilidades) e blocos de 64 bits. A chave é utilizada para criar uma tabela de chaves para uma série de permutas sobre o texto puro. Em 1999, a Electronic Frontier Foundation quebrou uma chave DES em menos de 24 horas. Criptografia – Algoritmos Simétricos

19 3DES Como o nome diz, executa-se o algoritmo DES três vezes. A chave resultante tem 168 bits. Criptografia – Algoritmos Simétricos

20 IDEA (International Data Excryption Algorithm) Criado em Utiliza uma chave de 128 bits e blocos de 64 bits. Utiliza operações XOR, rotação, soma e multiplicação. Criptografia – Algoritmos Simétricos

21 RC5 Criado em É um algoritmo parametrizado: pode-se escolher o tamanho da chave, bloco e iterações. Utiliza as operações XOR, soma, subtração e rotação. Criptografia – Algoritmos Simétricos

22 Criptografia Simétrica - Exemplos ALGORITMOCHAVE – bitsOBSERVAÇÃO DES56Lúcifer / IBM / padrão mundial Blowfish32 a 448Bruce Schneier alternativa DES 3 DES168Sobrevida ao DES segurança 112 bits RC440 a 256SSL, WEP, WPA AES128/102/256Rijndael – 2001 RC6Até 2040Candidato AES da RSA Twofish128/192/256Candidato AES Bruce Schneier

23 Criptografia Simétrica VANTAGENSDESVANTAGENS VelocidadeBaixa escalabilidade Bom nível segurançaCanal seguro para trânsito da chave Menor processamentoSomente privacidade

24 A criptografia de chave pública/de duas chaves/assimétrica envolve o uso de duas chaves: uma chave pública, que pode ser conhecida por qualquer um e pode ser usada para criptografar mensagens e verificar assinaturas uma chave privada, conhecida somente pelo destinatário, usada para decriptografar mensagens, e sinais (cria) assinaturas Criptografia Assimétrica

25 CHAVE Publica CHAVE Privada Mary CHAVE Publica CHAVE Privada Bob Criptografia Assimétrica

26 CHAVE Publica CHAVE Privada CHAVE Publica Mary CHAVE Privada Encrypt Decrypt CipherText ClearText Bob Criptografia Assimétrica

27

28 VANTAGENSDESVANTAGENS EscalabilidadeMenor Performance Mais serviços além de privacidade Maior processamento Não necessita canal seguro para envio da chave

29 HASH Função matemática irreversível, se a informação for alterada o HASH original não é mais reproduzido. Hash / Integridade

30 Mensagem de tamanho invariável Mensagem de tamanho variável MD5 message-digest Hash de mensagem é usado para garantir que a mensagem não foi alterada. Hash Function Hash Function Clear Message Hashed Message Hash

31

32 Hash- Exemplos ALGORITMOSAÍDA – bitsOBSERVAÇÃO MD4Não recomendado MD5128Deve ser evitado, colisões encontradas SHA-1160Colisões já encontradas SHA Ainda não quebrado SHA Ainda não quebrado SHA Ainda não quebrado

33 Assinatura Digital Verificação da autenticidade da origem da informação Integridade da informação Garante o não repúdio de mensagens Autentica não apenas a origem da informação como também o seu conteúdo

34 Assinatura Digital Hash Function Hash Function Clear Message Hashed Message CHAVE Privada Assinatura de Mary Assinatura de Mary

35 Assinatura Digital Classificação da Informação Pública Internet Pay to John Smith $ One Hundred and xx/100 Dollars Pay to John Smith $ One Hundred and xx/100 Dollars 4ehIDx67NMop9 Hash Algorithm Hash Algorithm Encryption Algorithm Encryption Algorithm Hash Decryption Algorithm Decryption Algorithm Hash Private Key Public Key Local Remote Pay to John Smith $ One Hundred and xx/100 Dollars 4ehIDx67NMop9 Hash Match

36 Sistemas Híbridos Utiliza-se das vantagens de ambos sistemas criptográficos simétrico e assimétrico, podendo garantir vários serviços simultaneamente: 1.Confidencialidade 2.Integridade 3.Autenticação e Autenticidade 4.Não Repúdio

37 Definição Public Key Infrastructure (abrev. PKI) 1. Infra-estrutura de Chaves Públicas 2. Uma infra-estrutura de segurança difusa cujos serviços são implementados e realizados utilizando técnicas e conceitos de chaves-públicas. PKI

38 PKI como Infra-estrutura Transparência para os usuários; Escopo difuso e abrangente; Que torna viáveis aplicações atuais e futuras; Pontos de acesso padronizados; Intervenção mínima dos usuários; PKI

39 Root CA Subordinate CA Hierarchical Root CA Central Jane Phil Jane Phil Joe PKI

40 Componente de uma PKI Entidade / Usuário final Sujeito do certificado, empresa, pessoa ou aplicação; Autoridade Certificadora Reponsávelpela emissão, renovação e revogação dos certificados. Assina digitalmente todos os certificados emitidos. Autoridade Registradora Responsável pela validação de entidades / usuários finais. Requisita a revogação de certificados. PKI

41 Repositório de certificados Armazena certificados emitidos e listas de revogação. Não constitui elemento obrigatório, mas contribui de forma significativa com a disponibilidade e gerenciamento de uma PKI Usualmente utilizados diretórios X.500 com protocolo LDAP. Certificados Digitais. X.509(ITU-T) é o mais utilizado (SSL, IPSEC, S/MIME por exemplo usam). PGP tem formato próprio. PKI

42 Nome único do proprietário Número de série único Período de validade Informação de revogação Chave pública Nome da AC emissora Assinatura digital da AC DN: cn=João Silva, o= Anhanguera, c=BR Serial #: Start:1/5/04 1:02 End:7/5/05 1:02 CRL:cn=CRL2, o=Anhanguera, c=BR Key: CA DN: o=Anhanguera, c=BR PKI

43 Definição de modelo de confiança É a configuração de entidades de uma PKI(ACs, Entidade/ Usuário Final, etc.), e uma distribuicão particular de chaves de ACs, que determina quando uma dada Entidade Final poderá validar o certificado de outra Entidade Final. PKI

44 Modelo de Confiança Hierárquico. Oligárquico (Browsers). Malha (Certificados Cruzados). Anarquia (Cada entidade configura sua própria trust AC-PGP). PKI

45

46 MP de agosto de Comitê Gestor do Governo como Autoridade de políticas e gestão vinculado à Casa Civil Todas entidades nacionais vinculadas a uma única AC-Raíz AC-Raíz operacionaliza, fiscaliza e audita ACs abaixo dela, mas não pode emitir certificados para usuários finais Certificação cruzada só permitida via AC-Raíz com AC-Raízes de entidades estrangeiras ICP Brasil

47 Criptografia – ISO 17799: – Política para o uso de controles Criptográficos. –...quais informações proteger. –...identificar o nível requerido de proteção. –...celulares, PDAs, mídias removíveis, linhas de comunicação. –...gerenciamento de chaves. –...papeis e responsabilidades.

48 Criptografia – ISO 17799: – Gerenciamento de Chaves. –...geração de chaves. –...geração de certificados. –...armazenamento. –...revogação. –...recuperação. –...destruição. –...auditoria de gerenciamento. Gerenciamento é essencial para funcionamento efetivo ISO ISO 9796 ISO 14888

49 Criptografia – ISO 17799: – Integridade de mensagens. –Convém que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações sejam identificados e os controles apropriados sejam identificados e implementados. –Convém que seja efetuada uma análise/avaliação dos riscos de segurança para determinar se a integridade das mensagens é requerida e para identificar o método mais apropriado para a implementação da autenticação de mensagens.

50 VPN Roteador de Borda Site Principal VPN Firewall SOHO POP Usuário Remoto Parceiro Escritório Remoto Escritório Regional Corporativa Conexão através de uma infra-estrutura pública ou compartilhada existente (WAN/LAN) VPN

51 Criação de um canal de comunicação SEGURO, garantindo a confidencialidade, disponibilidade e integridade da informação. VPN - Objetivo

52 A capacidade de encapsular o conteúdo de um pacote dentro do outro. É o encapsulamento ponto-a-ponto das transmissões dentro de pacotes IP. Tunelamento

53 VPN não necessariamente criptografa as informações, é que como uma VPN exige segurança, normalmente se criptografa os dados aumentando a segurança. Ex: Frame-Relay pode ser considerado VPN, bem como MPLS, porém em ambos os casos os dados não são criptografados. VPN x Criptografia

54 VPN - OSI

55 VPN Roteador de Borda Site Principal VPN Firewall SOHO POP Usuário Remoto Parceiro Escritório Remoto Escritório Regional Corporativa Site-to-Site Client-to-Site Host-to-Host VPN - Categorização

56 Padrão do IETF que possibilita comunicação criptografada e segura entre pontos: Provê garantia de confidencialidade, integridade e autenticidade da informação. Criptografia em camada de rede Escalável para redes pequenas e grandes. IPSec Internet IPSEC

57 2000 Router Solaris Interoperabilidade IPSEC

58 1. Navegador cliente inicia handshake – requisição SSL. SSL Session client server 2. Servidor retorna certificado para o cliente. 3. Cliente aceita e verifica se o certificado é autentico. 4. Cliente gera chave aleatória para criptografia simétrica. 5. Cliente criptorafa chave secreta simétrica usando chave pública do servidor e a envia,, 6. Chave secreta é usada para privacidade,, 7. Integridade garantida com MD5 SSL

59 Controle de Acesso É a capacidade de permitir e controlar o acesso a recursos apenas a usuários, programas e processos autorizados. Um conjunto de procedimentos executados por hardware, software e administradores para monitorar acessos, identificar requisições de acesso de usuários, registrar tentativas de acesso, e liberar ou bloquear acessos baseado em regras pré-estabelecidas

60 Controle de Acesso Identificação: Meio de se receber uma informação sobre a identidade de um usuário Autenticação: Capacidade de garantir que um usuário é de fato quem ele diz ser Autorização: Decisão se um usuário pode ou não executar a atividade solicitada Auditoria: Garantia que as atividades executadas pelos usuários são registradas de modo a possibilitar a monitoração e investigação.

61 Controle de Acesso Tem como objetivo garantir que: Apenas usuários autorizados tenham acesso aos recursos necessários à execução de suas tarefas. O acesso a recursos críticos seja monitorado e restrito a poucas pessoas. Os usuários sejam impedidos de executar transações incompatíveis com sua função.

62 Controle de Acesso Identificação do usuário: A identificação do usuário deve ser única, isto é, cada usuário deve ter uma identificação própria. É necessário que todos os usuários autorizados tenham uma identificação, seja um código de caracteres, um smart-card ou qualquer outro meio de identificação para permitir o controle das ações praticadas por meio de arquivos de registro (logs).

63 Nome de usuário. Número de funcionário. Smart Card. Memory Card. Assinatura Digital. Biometria – Retina Scan, Iris Scan, Geometria da mão, impressão digital, reconhecimento de voz, Scaneamento Facial, Digitação dinâmica. Identificação

64 Controle de Acesso Autenticação do usuário: Autenticação é a capacidade de garantir que um usuário é de fato quem ele diz ser. É uma das funções de segurança mais importantes que um sistema operacional deve fornecer.

65 Senha. One-time password – password dinâmico. Token device. Smart Card. Passphare. Memory Card. Autenticação

66 Smartcards O que são? Qual o nível de segurança? Tipos: de contato sem contato híbrido

67 Autenticação Biométrica Utiliza uma de nossas características físicas para autenticação: impressão digital (PDA´s) geometria das mãos geometria facial íris voz Para maiores informações a respeito da tecnologia de biometria, acesse

68 Autenticação Tokens Autenticação usando dois fatores: senha e código gerado a cada 60 segundos pelo token é associado a um servidor de autenticação que valida a política de acesso dos usuários

69 O que o usuário pode acessar ? Token de acesso. Kerberos. Regras de acesso. Autorização

70 O que FEZ ? Quem FEZ ? Como FEZ ? O que tentou FAZER ? Auditoria

71 Controle de Acesso Os mecanismos de autenticação podem ser divididos em quatro categorias: Algo que você sabe - O mecanismo mais utilizado é o onipresente, mas relativamente inseguro, par formado pelo nome do usuário e sua senha, assim como números PIN usados para acesso a Banco 24 Horas e combinações de cofres. Algo que você tem - cartões de banco 24 horas, cartões inteligentes e outros dispositivos físicos são mecanismos de autenticação que exigem a posse física de um dispositivo sem igual identificar um usuário.

72 Controle de Acesso Algo que você é - Impressões digitais, análise de retina e reconhecimento de voz são exemplos de mecanismos biométricos que podem ser usados para fornecer um nível bem alto de autenticação. Algum lugar onde você está - Endereços de adaptador de rede, caller-ID, e sistema baseado em Posicionamento Global via Satélite provêem informação de autenticação baseada na localização do usuário.

73 Controle de Acesso Autorização Para autorizar um acesso a um determinado recurso, pode-se adotar as seguintes abordagens: Individual (por usuário) Grupos (por perfil) Recursos (rede, base de dados, web) Contexto (local físico, período de tempo) Híbrida (combinação das anteriores)

74 Fingerprint. Geometria da mão. Dinâmica assinatura / escrita. Reconhecimento Íris. Reconhecimento Face. Reconhecimento de Voz. Palmprint. Vascular Pattern. Referência : Biometria

75 Proteção das Informações. Velocidade dos leitores. Aceitação incorreta. Aceitação correta. Biometria

76 Acesso a recursos via rede pública, deve ser autenticado. Objetivo: Garantir que o acesso a rede e serviços seja feito por usuários legítimos e autorizados. Servidores de autenticação: RADIUS, TACACS, TACACS+ AAA

77 Servidores de autenticação RADIUS (dados não criptografados) Protocolo UDP TACACS (dados não criptografados) Protocolo TCP TACACS+ (dados criptografados) Protocolo TCP RADIUS / TACACS / TACACS+

78 RADIUS

79 Encrypted tunnel through public network Corporate Network Internet VPN Client VPN Gateway VPN / Token

80 Network Access Control. Network Access Protection. Tecnologia criada para auxiliar administradores a garantir a saúde de sistemas / ambientes de acessos remotos. NAC / NAP

81 Um cliente (suplicante) faz uma conexão inicial para um autenticador (switch de rede ou um ponto de acesso sem fio) O autenticador exige 802.1X de todos os suplicantes. O autenticador solicita ao suplicante sua identidade, a qual ele passará adiante para o authentication server (RADIUS – servidor de Passagem) O RADIUS segue qualquer mecanismo necessário para autenticar o cliente que está entrando (EAP - Extensible Authentication Protocol). Referências: ftp://ftp.rfc-editor.org/in-notes/rfc3748.txt NAC / NAP

82 Uma solução deve garantir: Validação da saúde do cliente. Conformidade com a política definida. Limitação de acesso à rede. NAC / NAP

83 Validação de segurança laptops. Validação de segurança desktops. Validação de segurança em computadores visitantes. Validação de segurança em computadores domésticos (acesso VPN). NAC / NAP

84

85 Controle de Acesso – ISO 17799: – Política de Controle de Acesso. –Risco que as informações estão expostas. –Requisitos de segurança de aplicações devem ser considerados. –Legislação pertinente e obrigação contratual, proteção de acesso a dados e serviços. –Consistência entre controle de acesso e classificação de informação.


Carregar ppt "Segurança da Informação Tópico 23, 24, 25, 26 e 27 - Criptografia Criptografia Criptologia História Certificado Digital VPN Controle de acesso Prof.Davison."

Apresentações semelhantes


Anúncios Google