A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Criptografia e Segurança em Redes Capítulo 15 Quarta Edição por William Stallings Traduzido por Filipe Midon.

Apresentações semelhantes


Apresentação em tema: "Criptografia e Segurança em Redes Capítulo 15 Quarta Edição por William Stallings Traduzido por Filipe Midon."— Transcrição da apresentação:

1 Criptografia e Segurança em Redes Capítulo 15 Quarta Edição por William Stallings Traduzido por Filipe Midon

2 Capítulo 15 – Segurança de Apesar do vice-almirante Poindexter e do Tenente-Coronel North se recusarem a aparecer, o acesso da Comissão a outras fontes de informação preencheu grande parte dessa lacuna. O FBI forneceu documentos retirados dos arquivos do National Security Advisor e membros importantes do Conselho de Segurança Nacional dos EUA, incluindo mensagens do sistema PROF entre Poindexter e North. As mensagens do PROF eram conversas por computador, escritas na época em que os eventos ocorreram e consideradas pelos autores como protegidas contra divulgação. Nesse sentido, elas oferecem um relato de primeira mão e contemporâneo dos eventos. The Tower Commission Report to President Reagan on the Iran-Contra Affair, 1987

3 Segurança de é um dos serviços de rede mais amplamente usado e considerado é um dos serviços de rede mais amplamente usado e considerado Atualmente os conteúdos das mensagens não são seguras Atualmente os conteúdos das mensagens não são seguras Elas podem ser inspecionadas, quer em trânsito Elas podem ser inspecionadas, quer em trânsito Ou por usuários privilegiados no sistema de destino Ou por usuários privilegiados no sistema de destino

4 Mecanismo de Segurança de Confidenciabilidade Confidenciabilidade Proteção contra divulgação Proteção contra divulgação Autenticação Autenticação Do remetente da mensagem Do remetente da mensagem Integridade da mensagem Integridade da mensagem Proteção contra modificação Proteção contra modificação Não-repúdio da origem Não-repúdio da origem Proteção contra a negação do remetente Proteção contra a negação do remetente

5 Pretty Good Privacy (PGP) Amplamente utilizado em s seguros Amplamente utilizado em s seguros Desenvolvido por Phil Zimmermann Desenvolvido por Phil Zimmermann Selecionado para uso os melhores algoritmos de criptografia disponíveis Selecionado para uso os melhores algoritmos de criptografia disponíveis Integrados em um único programa Integrados em um único programa no Unix, PC, Macintosh e outros sistemas no Unix, PC, Macintosh e outros sistemas Originalmente livre, agora também disponíveis em versões comerciais Originalmente livre, agora também disponíveis em versões comerciais

6 Operação PGP – Autenticação 1. Remetente cria a mensagem 2. uso SHA-1 para gerar o hash de 160-bit da mensagem 3. hash assinado com RSA usando a chave privada do remetente, e anexado à mensagem 4. receptor usa RSA com a chave pública do remetente para descriptografar e recuperar o codigo Hash 5. receptor verifica utilizando hash da mensagem recebida e compara-o com o hash code decriptado

7 Operação PGP – Confidencialidade 1. Remetente gera uma mensagem e um número aleatório de 128-bit como chave de sessão 2. Encriptar a mesagem usando CAST-128 / IDEA / 3DES com CBC com chave de sessão 3. Chave de sessão encriptada usando RSA com a chave pública do receptor & anexada à mensagem 4. receptor usa RSA com chave pública para decriptar e recuperar a chave de sessão 5. Chave de sessão é usada para decriptar mensagens

8 Operação PGP – Confidenciabilidade & Autenticação Ambos serviços podem ser usados na mesma mensagem Ambos serviços podem ser usados na mesma mensagem cria assinatura & anexa à mensagem cria assinatura & anexa à mensagem Encripta a mensagem & assinatura Encripta a mensagem & assinatura anexar RSA/ElGamal à chve de sessão encriptada anexar RSA/ElGamal à chve de sessão encriptada

9 Operação PGP – Compressão Por padrão PGP comprime a mensagem depois de aplicar a assinatura, mas antes da criptogafia Por padrão PGP comprime a mensagem depois de aplicar a assinatura, mas antes da criptogafia para que possa armazenar mensagem e assinatura descomprimidas, para posterior verificação para que possa armazenar mensagem e assinatura descomprimidas, para posterior verificação & porque a compressão não é determinista & porque a compressão não é determinista Usa algoritmo de compressão ZIP Usa algoritmo de compressão ZIP

10 Operação PGP – Compatibilidade de quando se usa PGP haverá dados binários para enviar(mensagem criptografada, etc) quando se usa PGP haverá dados binários para enviar(mensagem criptografada, etc) No entanto foi criado apenas para texto No entanto foi criado apenas para texto portanto, deve codificar dados binários caracteres ASCII legíveis portanto, deve codificar dados binários caracteres ASCII legíveis Uso do algoritmo radix-64 Uso do algoritmo radix-64 mapeia 3 bytes para 4 caracteres legíveis mapeia 3 bytes para 4 caracteres legíveis Também é acrescentado um CRC Também é acrescentado um CRC PGP também segmenta a mensagem se for muito grande PGP também segmenta a mensagem se for muito grande

11 Operação PGP – Sumário

12 Chaves de sessão - PGP Necessário uma chave de sessão para cada mensagem Necessário uma chave de sessão para cada mensagem De tamanhos variados: 56-bit DES, 128-bit CAST ou IDEA, 168-bit Triplo-DES De tamanhos variados: 56-bit DES, 128-bit CAST ou IDEA, 168-bit Triplo-DES gerado usando ANSI X12.17 gerado usando ANSI X12.17 Utiliza entradas aleatórias dos usos tomados anteriormente do sincronismo da introdução por teclado do usuário Utiliza entradas aleatórias dos usos tomados anteriormente do sincronismo da introdução por teclado do usuário

13 PGP Chaves Públicas & Privadas Uma vez que muitas chaves publicas/privadas podem estar em uso, há a necessidades de identificar qual está sendo atualmente usada para encriptar a chave de sessão na mensagem Uma vez que muitas chaves publicas/privadas podem estar em uso, há a necessidades de identificar qual está sendo atualmente usada para encriptar a chave de sessão na mensagem Poderia ser enviada uma chave pública completa em cada mensagem Poderia ser enviada uma chave pública completa em cada mensagem Mas isso é insuficiente Mas isso é insuficiente É preferível usar uma chave identificadora baseada na chave É preferível usar uma chave identificadora baseada na chave São os 64-bits menos significativos da chave São os 64-bits menos significativos da chave Provavelmente será única Provavelmente será única Também usar um ID da chave nas assinaturas Também usar um ID da chave nas assinaturas

14 Formato da Mensagem - PGP

15 Chaveiros - PGP cada usuário PGP tem um par de chaveiro cada usuário PGP tem um par de chaveiro Chaveiro de chaves públicas contém todas as chaves públicas de outros usuários conhecidos por outros usuários, indexada pelo ID da chave Chaveiro de chaves públicas contém todas as chaves públicas de outros usuários conhecidos por outros usuários, indexada pelo ID da chave Chaveiro de chave privada contém o par de chave pública/privada para este usuário, indexada pelo key ID & encrypted keyed from a hashed passphrase Chaveiro de chave privada contém o par de chave pública/privada para este usuário, indexada pelo key ID & encrypted keyed from a hashed passphrase A segurança da chave privada depende da passphrase A segurança da chave privada depende da passphrase

16 Geração de mensagem - PGP

17 Recepção de mensagem PGP

18 Gerência de chaves - PGP Ao invés de depender de Autoridades Certificadoras Ao invés de depender de Autoridades Certificadoras no PGP cada usuário é o próprio CA no PGP cada usuário é o próprio CA pode assinar chaves para os usuários são conhecidos diretamente pode assinar chaves para os usuários são conhecidos diretamente Constitui uma "rede de confiança Constitui uma "rede de confiança Chaves confiáveis foram assinadas Chaves confiáveis foram assinadas Pode-se assinar outras chaves assinadas se existir uma cadeia de assinaturas para ela Pode-se assinar outras chaves assinadas se existir uma cadeia de assinaturas para ela chaveiros incluem indicadores confiáveis chaveiros incluem indicadores confiáveis Usuários podem revogar suas chaves Usuários podem revogar suas chaves

19 S/MIME (Secure/Multipurpose Internet Mail Extensions) Mecanismo de segura do MIME Mecanismo de segura do MIME o original do Internet RFC822 era somente texto o original do Internet RFC822 era somente texto MIME fornecido suporte para diferentes tipos de conteúdo e mensagens multi-partes MIME fornecido suporte para diferentes tipos de conteúdo e mensagens multi-partes com codificação de dados binários ao formulário de texto com codificação de dados binários ao formulário de texto S/MIME acrescentou acessórios de segurança S/MIME acrescentou acessórios de segurança tem a sustentação de S/MIME em muitos agentes do correio tem a sustentação de S/MIME em muitos agentes do correio eg MS Outlook, Mozilla, Mac Mail etc eg MS Outlook, Mozilla, Mac Mail etc

20 Funções S/MIME Dados envelopados Dados envelopados Conteúdo codificado e chaves associadas Conteúdo codificado e chaves associadas Dados assinados Dados assinados mensagem codificada + sumário assinado mensagem codificada + sumário assinado Dados assinados às claras Dados assinados às claras Dados assinados + assinatura digital do conteúdo Dados assinados + assinatura digital do conteúdo Dados assinados e envelopados Dados assinados e envelopados Aninhamento de assinaturas e entidades encriptadas Aninhamento de assinaturas e entidades encriptadas

21 Algoritmos Criptográficos S/MIME Assinaturas digitais: DSS & RSA Assinaturas digitais: DSS & RSA Funções Hash: SHA-1 & MD5 Funções Hash: SHA-1 & MD5 Cifragem da chave de sessão: ElGamal & RSA Cifragem da chave de sessão: ElGamal & RSA Cifragem da mensagem: AES, Triplo-DES, RC2/40 e outros Cifragem da mensagem: AES, Triplo-DES, RC2/40 e outros MAC: HMAC com SHA-1 MAC: HMAC com SHA-1 possui processos para decidir qual algoritmo usar possui processos para decidir qual algoritmo usar

22 Mensagens S/MIME O S/MIME protege uma entidade MIME com uma assinatura, criptografia ou ambos Formando um MIME com objeto PKCs envolvido Formando um MIME com objeto PKCs envolvido tem uma fila com os seguintes tipos: tem uma fila com os seguintes tipos: Dados envelopados Dados envelopados Dados assinados Dados assinados Assinatura às claras Assinatura às claras Solicitação de registro Solicitação de registro Mensagem apenas com certificados Mensagem apenas com certificados

23 Processamento de certificado S/MIME S/MIME usa certificados X.509 S/MIME usa certificados v. 3 do X.509 gerenciado usando um híbrido entre uma hierarquia de certificação X.509 estrita & sites PGP de confiança gerenciado usando um híbrido entre uma hierarquia de certificação X.509 estrita & sites PGP de confiança Cada cliente tem uma lista de certificados das Autoridades Certificadoras confiáveis Cada cliente tem uma lista de certificados das Autoridades Certificadoras confiáveis O próprio par de chave pública/privada & certificados O próprio par de chave pública/privada & certificados certificados devem ser assinados por Autoridades Certificadoras confiáveis certificados devem ser assinados por Autoridades Certificadoras confiáveis

24 Autoridades Certificadoras Existem várias Autoridades Certificadoras conhecidas Existem várias Autoridades Certificadoras conhecidas Verisign uma das mais utilizadas Verisign uma das mais utilizadas Verisign emite vários tipos de IDs digitais Verisign emite vários tipos de IDs digitais Aumentos dos níveis de controle e de confiança Aumentos dos níveis de controle e de confiança ClassIdentity ChecksUsage 1name/ checkweb browsing/ 2+ enroll/addr check , subs, s/w validate 3+ ID documentse-banking/service access

25 Sumário Foi visto: Foi visto: Segurança de Segurança de PGP PGP S/MIME S/MIME


Carregar ppt "Criptografia e Segurança em Redes Capítulo 15 Quarta Edição por William Stallings Traduzido por Filipe Midon."

Apresentações semelhantes


Anúncios Google