A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Criptografia e segurança de redes Capítulo 17 Quarta Edição por William Stallings Slides de Lawrie Brown Tradução: Rodrigo Moutinho.

Apresentações semelhantes


Apresentação em tema: "Criptografia e segurança de redes Capítulo 17 Quarta Edição por William Stallings Slides de Lawrie Brown Tradução: Rodrigo Moutinho."— Transcrição da apresentação:

1 Criptografia e segurança de redes Capítulo 17 Quarta Edição por William Stallings Slides de Lawrie Brown Tradução: Rodrigo Moutinho

2 Capítulo 17 – Segurança na Web Use a mente. Acorde para a realidade. Da canção, "I've Got You under My Skin de Cole Porter Da canção, "I've Got You under My Skin de Cole Porter

3 Segurança na Web A web é muito usada por empresas, órgãos do governo e indivíduos A web é muito usada por empresas, órgãos do governo e indivíduos Mas a Internet & Web são vulneráveis Mas a Internet & Web são vulneráveis Tem uma variedade de ameaças Tem uma variedade de ameaças Integridade Integridade Confidencialidade Confidencialidade Negação de serviços Negação de serviços Autenticação Autenticação Necessidade de mecanismos adicionais de segurança Necessidade de mecanismos adicionais de segurança

4 SSL (Secure Socket Layer) Serviço de segurança na camada de transporte Serviço de segurança na camada de transporte Originalmente desenvolvido pelo Netscape Originalmente desenvolvido pelo Netscape Versão 3 projetada com contribuição pública Versão 3 projetada com contribuição pública Subseqüentemente se tornou a Internet padrão conhecida como TLS (Transport Layer Security) Subseqüentemente se tornou a Internet padrão conhecida como TLS (Transport Layer Security) Usa TCP para fornecer confiança nos serviços ponta a ponta (end-to-end) Usa TCP para fornecer confiança nos serviços ponta a ponta (end-to-end) SSL tem duas camadas de protocolos SSL tem duas camadas de protocolos

5 Arquitetura SSL Protocolo de registro SSL Protocolo de estabelecimento de sessão SSL Protocolo de mudança de especificação de cifra SSL Protocolo de alerta SSL

6 Arquitetura SSL Conexão SSL Conexão SSL um transiente, peer-to-peer, relacionamento de conexão um transiente, peer-to-peer, relacionamento de conexão associado a uma sessão SSL associado a uma sessão SSL Sessão SSL Sessão SSL uma associação entre um cliente e um servidor uma associação entre um cliente e um servidor criados pelo Protocolo de Estabelecimento de Sessão criados pelo Protocolo de Estabelecimento de Sessão definem um conjunto de parâmetros criptográficos definem um conjunto de parâmetros criptográficos podem ser compartilhados entre várias conexões podem ser compartilhados entre várias conexões

7 Serviços de Protocolo de Registro SSL integridade da mensagem integridade da mensagem usa um MAC com chave secreta compartilhada usa um MAC com chave secreta compartilhada similar ao HMAC mas com um preenchimento diferente similar ao HMAC mas com um preenchimento diferente confidencialidade confidencialidade usando criptografia simétrica com chave secreta compartilhada definida pelo Protocolo de Estabelecimento de Sessão usando criptografia simétrica com chave secreta compartilhada definida pelo Protocolo de Estabelecimento de Sessão AES, IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128 AES, IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128 mensagem é comprimida antes de ser criptografada mensagem é comprimida antes de ser criptografada

8 Operação do protocolo de registro SSL Dados da aplicação Fragmentar Compactar Adicionar MAC Criptografar Anexar cabeçalho de registro SSL

9 Protocolo de mudança de especificação de cifra SSL um dos três protocolos específicos do SSL que utilizam o Protocolo de Registro SSL um dos três protocolos específicos do SSL que utilizam o Protocolo de Registro SSL uma mensagem única uma mensagem única faz com que o estado pendente vire o estado atual faz com que o estado pendente vire o estado atual por isso atualiza o conjunto de cifras a ser usado por isso atualiza o conjunto de cifras a ser usado

10 Protocolo de alerta SSL transmite alertas relacionados ao SSL para as partes envolvidas transmite alertas relacionados ao SSL para as partes envolvidas gravidade gravidade alerta (1) ou fatal (2)alerta (1) ou fatal (2) alerta específico alerta específico fatal: unexpected_message, bad_record_mac, decompression_failure, handshake_failure, illegal_parameterfatal: unexpected_message, bad_record_mac, decompression_failure, handshake_failure, illegal_parameter alerta: close_notify, no_certificate, bad_certificate, unsupported_certificate, certificate_revoked, certificate_expired, certificate_unknownalerta: close_notify, no_certificate, bad_certificate, unsupported_certificate, certificate_revoked, certificate_expired, certificate_unknown compactados e criptografados como todos os dados SSL compactados e criptografados como todos os dados SSL

11 Protocolo de estabelecimento de sessão SSL permite servidor e cliente fazer: permite servidor e cliente fazer: autentiquem um ao outro autentiquem um ao outro negociem um algoritmo de criptografia e de MAC negociem um algoritmo de criptografia e de MAC Negociem chaves criptográficas a serem usadas Negociem chaves criptográficas a serem usadas compreende uma série de mensagens em fases compreende uma série de mensagens em fases 1. Estabelecer capacidades de segurança 2. Autenticação de servidor e troca de chaves 3. Autenticação de cliente e troca de chaves 4. Término

12 SSL Handshake Protocol Fase 1 Estabelecer qualificações de segurança, incluindo versão de protocolo, ID de sessão, conjunto de cifras, método de compactação e números aleatórios iniciais. Fase 2 O servidor pode enviar certificado, troca de chaves e solicitar certificado. O servidor sinaliza o final da fase da mensagem hello. Fase 3 O cliente envia o certificado se solicitado. O cliente envia a troca de chaves. O cliente pode enviar a verificação de certificado. Fase 4 Trocar conjunto de cifras e encerrar o protocolo de estabelecimento de sessão. Observação: transferência sombreadas são mensagens opcionais ou dependentes de situação que nem sempre são enviadas. ClienteServidor Tempo

13 TLS (Transport Layer Security) padronização IETF na RFC 2246 similar ao SSLv3 padronização IETF na RFC 2246 similar ao SSLv3 com pequenas diferenças com pequenas diferenças grava no formato de número de versão grava no formato de número de versão usa HMAC para MAC usa HMAC para MAC funções pseudo-aleatórias para expandir segredos funções pseudo-aleatórias para expandir segredos tem outros códigos de alerta tem outros códigos de alerta algumas diferenças nas cifras disponíveis algumas diferenças nas cifras disponíveis mudanças nos tipos de certificados e negociações mudanças nos tipos de certificados e negociações mudanças nas cifras computacionais e nos enchimentos mudanças nas cifras computacionais e nos enchimentos

14 Secure Electronic Transactions (SET) especificação aberta de criptografia e segurança especificação aberta de criptografia e segurança para proteger transações envolvendo cartões de crédito pela Internet para proteger transações envolvendo cartões de crédito pela Internet desenvolvido em 1996 pela MasterCard e Visa desenvolvido em 1996 pela MasterCard e Visa não é um sistema de pagamentos não é um sistema de pagamentos no entanto é um conjunto de protocolos e formatos de segurança no entanto é um conjunto de protocolos e formatos de segurança canal de comunicações seguro entre todas as partes canal de comunicações seguro entre todas as partes confiança no uso de certificados digitais X.509v3 confiança no uso de certificados digitais X.509v3 privacidade, para disponibilizar as informação apenas para quem precisa privacidade, para disponibilizar as informação apenas para quem precisa

15 Participantes do SET Proprietário do cartão Emissor Autoridade Certificadora Comerciante Gateway de pagamento Acquirer Rede de pagamento Internet

16 Transação SET 1. O cliente abre uma conta. 2. O cliente recebe um certificado. 3. Os comerciantes têm seus próprios certificados. 4. O cliente faz um pedido. 5. O comerciante é verificado. 6. O pedido e o pagamento são enviados. 7. O comerciante solicita autorização de pagamento. 8. O comerciante confirma o pedido. 9. O comerciante fornece os bens ou serviços. 10. O comerciante solicita o pagamento.

17 Assinatura Dual cliente cria duas mensagens cliente cria duas mensagens informação do pedido (OI) para o comerciante informação do pedido (OI) para o comerciante informação de pagamento (PI) para o banco informação de pagamento (PI) para o banco nenhuma das partes precisa de informações da outra nenhuma das partes precisa de informações da outra porém precisam ser vinculados porém precisam ser vinculados assinatura dual é usada para isso assinatura dual é usada para isso cliente concatena os hashes de OI e PI cliente concatena os hashes de OI e PI DS=E(PR c, [H(H(PI)||H(OI))])

18 Solicitação de compra SET A transação de solicitação de compra SET consiste em quatro mensagens A transação de solicitação de compra SET consiste em quatro mensagens 1. Inicia solicitação – solicita os certificados 2. Inicia resposta – resposta assinada 3. Solicitação de compra – de OI e PI 4. Resposta de compra – confirma o pedido

19 Solicitação de compra - Cliente Passado pelo comerciante ao gateway de pagamento Recebido pelo comerciante PI OI PIMD OIMD E K s PU b ============== Informações de pagamento Informações de pedido Resumo da mensagem de PI Resumo da mensagem de OI Criptografia (RSA para assimétrica; DES para simétrica) Chave simétrica temporária Chave pública de troca de chave do banco Mensagem de solicitação Assinatura Dual Certificado de proprietário

20 Solicitação de compra - Comerciante 1. Confirma o certificado do proprietário do cartão pela assinatura da CA 2. Confirma a assinatura dual usando a chave pública de assinatura do cliente garantindo que o pedido não foi alterado em trânsito e que foi assinado usando a chave privada de assinatura do proprietário do cartão 3. Processa o pedido e encaminha as informações do pagamento para o gateway de pagamento para autorização (descrito mais adiante) 4. Envia uma resposta de compra ao proprietário do cartão

21 Solicitação de compra - Comerciante OI OIMD PIMD D H PU c ============ Informações de pedido Resumo da mensagem de OI Resumo da mensagem de PI Decriptografia (RSA) Função de hash (SHA-1) Chave pública de assinatura do cliente Mensagem de solicitação Assinatura Dual Certificado de proprietário Passado pelo comerciante ao gateway de pagamento

22 Autorização do gateway de pagamento 1. Verifica todos os certificados 2. Decriptografa o envelope digital do bloco de autorização para obter a chave simétrica e depois decriptografa o bloco de autorização 3. Verifica a assinatura do comerciante no bloco de autorização 4. Decriptografa o envelope digital do bloco de pagamento para obter a chave simétrica e depois decriptografa o bloco de pagamento 5. Verifica a assinatura dual no bloco de pagamento 6. Verifica se a ID da transação recebida do comerciante combina com a da PI recebida (indiretamente) do ciente 7. Solicita e recebe uma autorização do emissor 8. Retorna uma Resposta de Autorização ao comerciante

23 Captação de Pagamento O comerciante envia um gateway de pagamento uma transação de captura de pagamento O comerciante envia um gateway de pagamento uma transação de captura de pagamento Gateway checa a solicitação Gateway checa a solicitação Depois os fundos são transferidos para a conta do comerciante Depois os fundos são transferidos para a conta do comerciante Notifica o comerciante em uma mensagem de Resposta de Captação Notifica o comerciante em uma mensagem de Resposta de Captação

24 Sumário Tenha considera: Tenha considera: Necessidade de segurança na Web Necessidade de segurança na Web Protocolos de segurança da camada de transporte - SSL/TLS (Secure Socket Layer / Transport Layer Service) Protocolos de segurança da camada de transporte - SSL/TLS (Secure Socket Layer / Transport Layer Service) Protocolo seguro de pagamento do cartão de crédito – SET (Secure Eletronic Transaction) Protocolo seguro de pagamento do cartão de crédito – SET (Secure Eletronic Transaction)


Carregar ppt "Criptografia e segurança de redes Capítulo 17 Quarta Edição por William Stallings Slides de Lawrie Brown Tradução: Rodrigo Moutinho."

Apresentações semelhantes


Anúncios Google