A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Criptografia e segurança de redes Chapter 14 Quarta Edição de William Stallings Slides de Lawrie Brown.

Apresentações semelhantes


Apresentação em tema: "Criptografia e segurança de redes Chapter 14 Quarta Edição de William Stallings Slides de Lawrie Brown."— Transcrição da apresentação:

1 Criptografia e segurança de redes Chapter 14 Quarta Edição de William Stallings Slides de Lawrie Brown

2 Capítulo 14 – Aplicações de autenticação Nós não podemos fazer uma aliança com príncipes vizinhos até que saibamos de suas intenções. A Arte da Guerra, Sun TzuA Arte da Guerra, Sun Tzu

3 Aplicações de Autenticação Considerará funções de autenticação. Considerará funções de autenticação. Desenvolvida para suportar níveis de aplicação, autenticação e assinaturas digitais. Desenvolvida para suportar níveis de aplicação, autenticação e assinaturas digitais. Considerará Kerberos- um serviço de autenticação de uma chave privada. Considerará Kerberos- um serviço de autenticação de uma chave privada. x um serviço de autenticação de diretório de uma chave publica. x um serviço de autenticação de diretório de uma chave publica.

4 Kerberos Sistema de servidor de chave confiável do MIT Sistema de servidor de chave confiável do MIT Provê centralizada autenticação de terceiros de chave privada Provê centralizada autenticação de terceiros de chave privada Permite aos usuários acessarem serviços distribuidos na rede. Permite aos usuários acessarem serviços distribuidos na rede. Sem necessidade de confiar em todas as estações de trabalho. Sem necessidade de confiar em todas as estações de trabalho. Mais propriamente todos confiam em um servidor de autenticação Mais propriamente todos confiam em um servidor de autenticação duas versões em uso: 4 e 5 duas versões em uso: 4 e 5

5 Exigências do kerbero Sua primeira informação de exigência identificadas são : Sua primeira informação de exigência identificadas são : Segurança Segurança Confiança Confiança Transparência Transparência Expansível Expansível Implementado usando um protocolo de autenticação baseado em Needham e Schroeder Implementado usando um protocolo de autenticação baseado em Needham e Schroeder

6 Resumo da versão 4 de kerberos esquema básico de autenticação de terceiros esquema básico de autenticação de terceiros Tem um servidor de autenticação (AS) Tem um servidor de autenticação (AS) Usuários inicialmente negociam com AS para se identificar Usuários inicialmente negociam com AS para se identificar S.A. provê uma credencial de autenticação não corruptível (ticket concedendo ticket TGT) S.A. provê uma credencial de autenticação não corruptível (ticket concedendo ticket TGT) tem um servidor de concessão de ticket (TGS) tem um servidor de concessão de ticket (TGS) Usuários sub sequentemente requisitam acesso para outros serviços do TGS com base em usuários TGT Usuários sub sequentemente requisitam acesso para outros serviços do TGS com base em usuários TGT

7 Diálogo de kerberos v4 1. Obtém ticket concedendo ticket do AS Uma vez por sessão Uma vez por sessão 2. Obtém serviço concedendo ticket do TGT Para cada serviço distinto requirido Para cada serviço distinto requirido 3. troca de cliente/servidor para obter serviço Em todo pedido de serviço Em todo pedido de serviço

8 Resumo de Kerberos 4

9 Domínios de kerberos O ambiente de kerberos consiste de : O ambiente de kerberos consiste de : Um servidor kerberos Um servidor kerberos Um numero de clientes, todos registrados com servidor Um numero de clientes, todos registrados com servidor Servidores de aplicação, compartilhando chaves com servido Servidores de aplicação, compartilhando chaves com servido Isso é expressado um domínio Isso é expressado um domínio tipicamente um domínio administrativo sozinho tipicamente um domínio administrativo sozinho Se tiver múltiplos campos, os servidores kerberos deles devem compartilhar chaves e confiar. Se tiver múltiplos campos, os servidores kerberos deles devem compartilhar chaves e confiar.

10 Domínios deKerberos

11 Kerberos Versão 5 Desenvolvido em meados de 1990 Desenvolvido em meados de 1990 Especificado na RFC 1510 Especificado na RFC 1510 Provê melhoria sobre a versão 4 Provê melhoria sobre a versão 4 Limitações ambientais Limitações ambientais criptografia ALG, protocolo de rede, ordem de byte, tempo de vida do ticket, encaminhamento de autenticação, autenticação entre domínioscriptografia ALG, protocolo de rede, ordem de byte, tempo de vida do ticket, encaminhamento de autenticação, autenticação entre domínios Deficiências técnicas Deficiências técnicas Criptografia dupla, modo não padrão de usuário, chave de sessão, ataques de senhaCriptografia dupla, modo não padrão de usuário, chave de sessão, ataques de senha

12 Serviço de autenticação X.509 Parte das normas do diretório do serviço de autenticação CCITT x.509 Parte das normas do diretório do serviço de autenticação CCITT x.509 servidores distribuídos mantendo banco de dados sobre informações de usuários servidores distribuídos mantendo banco de dados sobre informações de usuários Define uma estrutura para autenticação de serviços Define uma estrutura para autenticação de serviços diretório pode armazenar certificados de chave pública diretório pode armazenar certificados de chave pública contém a chave publica de um usuário assinado por certificação de autoridade contém a chave publica de um usuário assinado por certificação de autoridade Também define protocolo d autenticação Também define protocolo d autenticação usa chave publica criptografada e assinatura digital usa chave publica criptografada e assinatura digital sem uso de algoritmo padrão, mas recomendado o RSA sem uso de algoritmo padrão, mas recomendado o RSA Certificações x.509 são amplamente usadas Certificações x.509 são amplamente usadas

13 Certificados x.509 Emitido por uma autoridade certificadora (CA), contendo: Emitido por uma autoridade certificadora (CA), contendo: versão (1, 2 ou 3) versão (1, 2 ou 3) certificado de identificação de numero serial (único na CA) certificado de identificação de numero serial (único na CA) algoritmo identificador de assinatura algoritmo identificador de assinatura nome do emissor nome do emissor periodo de validade periodo de validade nome do titular nome do titular informações sobre a chave publica do titular informações sobre a chave publica do titular identificador exclusivo do emissor identificador exclusivo do emissor identificado exclusivo do titular identificado exclusivo do titular extenções extenções Assinatura Assinatura Notação CA > denota certificado para A sinalizado por CA Notação CA > denota certificado para A sinalizado por CA

14 Certificados X.509

15 Obtendo um certificado Qualquer usuário com acesso para CA pode pegar qualquer certificado dele Qualquer usuário com acesso para CA pode pegar qualquer certificado dele Somente a CA pode modificar um certificado Somente a CA pode modificar um certificado Por causa de não poderem ser falsificados, certificados podem ser colocados em um diretório publico Por causa de não poderem ser falsificados, certificados podem ser colocados em um diretório publico

16 Hierarquia da CA Se ambos usuários compartilham uma CA comum eles supostamente sabem sua chave publica Se ambos usuários compartilham uma CA comum eles supostamente sabem sua chave publica De outra maneira CA deve formar uma hierarquia De outra maneira CA deve formar uma hierarquia Cada CA tem certificados para cliente (avançar) e origem (recuar) Cada CA tem certificados para cliente (avançar) e origem (recuar) Cada cliente confia certificados de origem Cada cliente confia certificados de origem Habilita verificação de qualquer certificado de uma CA por usuários de todas outras CAs em hierarquia Habilita verificação de qualquer certificado de uma CA por usuários de todas outras CAs em hierarquia

17 Uso da hierarquia da CA

18 Revogação de certificados Certificados tem período de validade Certificados tem período de validade 1. chave privada do usuário está comprometida 2. o uso não é mais certificado pela CA 3. o certificado da CA está comprometido CA mantém lista de certificados revogados CA mantém lista de certificados revogados lista de certificado revogados (CRL) lista de certificado revogados (CRL) Usuários deveriam checar certificados com CRL da CA Usuários deveriam checar certificados com CRL da CA

19 Procedimento de autenticação X.509 inclue 3 procedimentos de autenticação alternativos: X.509 inclue 3 procedimentos de autenticação alternativos: Autenticação de uma via Autenticação de uma via Autenticação de duas vias Autenticação de duas vias Autenticação de três vias Autenticação de três vias Todas usam assinaturas de chave publica Todas usam assinaturas de chave publica

20 Autenticação de uma via Uma mensagem (A->B) usada para estabelecer Uma mensagem (A->B) usada para estabelecer A identidade de A que foi gerada por A A identidade de A que foi gerada por A mensagem foi destinada a B mensagem foi destinada a B Integridade e originalidade da mensagem Integridade e originalidade da mensagem Mensagem deve incluir carimbo de tempo, nonce, identidade de B e é assinada por A Mensagem deve incluir carimbo de tempo, nonce, identidade de B e é assinada por A pode incluir informações adicionais de B pode incluir informações adicionais de B EX chave de sessão EX chave de sessão

21 Autenticação de duas vias 2 mensagens (A->B, B->A) que também além do mais estabelece: 2 mensagens (A->B, B->A) que também além do mais estabelece: a identidade de B e que responde é de B a identidade de B e que responde é de B que responde é intencionada por A que responde é intencionada por A integridade e originalidade da resposta integridade e originalidade da resposta Resposta inclue nonce original de A, também carimbo de tempo e nonce de B Resposta inclue nonce original de A, também carimbo de tempo e nonce de B Pode incluir informação adicionam para A Pode incluir informação adicionam para A

22 Autenticação de 3 vias 3 mensagens (A->B, B->A, A->B) que habilitam autenticação mencionada sem clocks sincronizados 3 mensagens (A->B, B->A, A->B) que habilitam autenticação mencionada sem clocks sincronizados Tem resposta de A de volta para B contendo copia sinalizada de nonce para B Tem resposta de A de volta para B contendo copia sinalizada de nonce para B Significa que carimbo de tempo não precisa ser checado. Significa que carimbo de tempo não precisa ser checado.

23 X.509 versão 3 Reconheceu que informação adicional é necessária em uma certificado Reconheceu que informação adicional é necessária em uma certificado /url, detalhes de politica, uso confinado /url, detalhes de politica, uso confinado Claramente em vez de nomear novos campos definiu um método geral de extensão Claramente em vez de nomear novos campos definiu um método geral de extensão Extensões consistem de : Extensões consistem de : Identificador de extensão Identificador de extensão Indicador crítico Indicador crítico Valor de extensão Valor de extensão

24 Certificado de extensões Chave e informação de política Chave e informação de política Leva informação sobre assunto e chaves emitentes, mais indicadores de política de certificado Leva informação sobre assunto e chaves emitentes, mais indicadores de política de certificado Título de certificado e atributos emitentes Título de certificado e atributos emitentes Suporta nomes alternativos, em formatos alternativos para assunto de certificado e/ou origem Suporta nomes alternativos, em formatos alternativos para assunto de certificado e/ou origem Certificado de restrição de caminho Certificado de restrição de caminho Permite restrição em uso de certificados por outra CAs Permite restrição em uso de certificados por outra CAs

25 Infraestrutura de chave pública

26 Sumário Foi considerado: Foi considerado: Sistema de servidor confiável de chave do kerberos Sistema de servidor confiável de chave do kerberos Certificados e autenticações X.509 Certificados e autenticações X.509 Sumário do capitulo 14


Carregar ppt "Criptografia e segurança de redes Chapter 14 Quarta Edição de William Stallings Slides de Lawrie Brown."

Apresentações semelhantes


Anúncios Google