Академический Документы
Профессиональный Документы
Культура Документы
Carlos Serrão
carlos.serrao@iscte.pt
http://gab01-3.iscte.pt
Entire contents © 2001 by ISCTE. All rights reserved. Reproducti on of this publication in any form without prior written permission is forbidden. The information contained herein has been obtained from sources believed to be reliable. ISCTE
disclaims all warranties as to the accuracy, completeness or ade quacy of such information. ISCTE shall have no liability for er rors, omissions or inadequacies in the information contained her ein or for interpretations thereof. The reader
assumes sole responsibility for the selection of these materials to achieve its intended results. The opinions expressed herein are subject to change without notice.
Sumário
GTI VI-2
1
Aspectos da segurança da Informação
GTI VI-3
§ Ambiental
§ Tecnológica
cos
ógi
nol
http://gab01- 3.iscte.pt
Tec
is
ienta
Amb
iais
Soc SI
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Segurança da Informação
GTI VI-4
Fornecedores
Parceiros
Empregados
Sistemas
Internos
e Dados
Empregados
Parceiros
http://gab01- 3.iscte.pt
Clientes
2
Segurança da Informação
GTI VI-5
http://gab01- 3.iscte.pt
Framework de Segurança Lucro
Ameaças de Segurança
GTI VI-9
3
Ataques de Segurança
GTI VI-11
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Ameaças de Segurança
GTI VI-12
Incidentes
60000
50000
40000
30000
20000
10000
http://gab01- 3.iscte.pt
0
90
91
00
92
93
94
95
96
97
98
99
01
19
19
20
19
19
19
19
19
19
19
19
20
4
Serviços de Segurança
GTI VI-13
§ CONFIDENCIALIDADE
§ protecção contra a divulgação de informação a terceiros
§ INTEGRIDADE
§ manutenção da integridade dos dados
§ AUTENTICAÇÃO
§ assegurar a identidade de uma determinada entidade
§ NÃO-REPÚDIO
§ o originador de uma determinada comunicação não pode mais tarde negar que a
tivesse feito
§ DISPONIBILIDADE
§ os utilizadores legítimos têm acesso quando precisam
§
http://gab01- 3.iscte.pt
CONTROLO DE ACESSOS
§ utilizadores não-autorizados não têm permissão para entrar no sistema
Segurança na Web
GTI VI-14
5
Segurança na Web
GTI VI-15
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Segurança na Web
GTI VI-17
6
Segurança na Web
GTI VI-18
http://gab01- 3.iscte.pt
§ ICQ
§ IRC
Criptografia
GTI VI-20
§ Tipos de Criptografia
7
Criptografia - Aplicações
GTI VI-21
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
8
Criptografia Convencional – Modelo Simplificado
GTI VI-23
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
§ Feistel
§ DES – Data Encryption Standard
§ O standard até ao momento, que vai ser substituído pel o AES
§ Triple DES
§ IDEA
§ Blowfish
§ RC5
§ CAST-128
§ Rijndael – AES – Advanced Encryption Standard
§ O substituto do DES
http://gab01- 3.iscte.pt
9
Criptografia Convencional - Algoritmos
GTI VI-27
http://gab01- 3.iscte.pt
CAST-128 40 até 128 bits 16 Adições, PGP
subtrações,
XOR, rotações,
S-boxes fixas
Algoritmos de Hash
GTI VI-28
10
Algoritmos de Hash - Exemplo
GTI VI-29
Informação
Algoritmo de
Hash
Hash
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Criptografia Assimétrica
GTI VI-30
11
Criptografia Assimétrica
GTI VI-31
Criptografia Convencional
http://gab01- 3.iscte.pt
Criptografia Assimétrica
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Criptografia Assimétrica
GTI VI-32
http://gab01- 3.iscte.pt
12
Criptografia Assimétrica - Algoritmos
GTI VI-35
§ Diffie-Hellman
§ RSA – Rivest, Shamir, Adleman
§ Um dos mais importantes algoritmos de Chave Pública, utilizado em
muitas aplicações
§ Rabin
§ DSS – Digital Signature Standard
§ Elgamal
§ Elliptic Curve
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Criptografia Assimétrica - DH
GTI VI-36
§ Diffie-Hellman
§ Primeiro algoritmo de Chave Pública
§ Inventado em 1976 por Diffiel e Hellman
§ É essencialmente um key-agreement-protocol
§ Funcionamento:
Acordam com q e a (a <q e a raíz primitiva de q)
Yb
Calcula K: K=(Yb)Xa mod q
http://gab01- 3.iscte.pt
A B
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
13
Criptografia Assimétrica - RSA
GTI VI-37
§ RSA
§ Criado por Ron Rivest, Adi Shamir and Leonard Adleman em 1978
§ Desenvolvido no MIT
§ Baseia-se na dificuldade de factorização de números primos muito
grandes
§ Utiliza chaves criptográficas não inferiores a 512 bits
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
§ RSA: Funcionamento
§ Cálculo do par de Chaves
§ Escolher dois números primos grandes, p e q (secretos)
§ Calcular n=pq, e ? (n)=(p-1)(q-1)
§ Encontrar um número e que seja primo relativo de ? (n)
§ Chave pública: e e n
§ Encontrar um número d que seja o inverso multiplicativo de e mod ? (n)
§ Chave privada: d e n
§ Encriptação
§ Calcular: c = m e mod n
§ Desencriptação
http://gab01- 3.iscte.pt
§ Calcular: m = cd mod n
14
Assinaturas Digitais
GTI VI-40
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Assinaturas Digitais
GTI VI-41
pública privada
de B de B
M E M transmissão M D M H
pública
de A
H
privada
D comparação
de A
Entidade A Entidade B
http://gab01- 3.iscte.pt
15
Certificados Digitais
GTI VI-45
§ Identificação / Autenticação
§ Une identificação real do utilizador com a sua identificação digital
§ Técnicas de identificação de utilizadores
§ Algo que o utilizador sabe
§ Sistemas baseados em passwords ou PINs
§ Algo que o utilizador possui
§ Sistemas baseados em tokens físicos ou lógicos
§ Algo que o utilizador é
§ Sistemas biométricos
§ Onde o utilizador está
§ Sistemas baseados na localização
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Certificados Digitais
GTI VI-46
16
Certificados Digitais – X.509
GTI VI-47
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
17
Certificados Digitais – X.509
GTI VI-49
http://gab01- 3.iscte.pt
único) – em termos de CN – relacionado com X.500, LDAP, ...
§ Assinatura Digital
§ Assinatura digital da CA
Certificate ::= SIGNED -- Definition of the following information object set is deferred,
{ -- perhaps to standardized
SEQUENCE { -- profiles or to protocol implementation conformance statements.
version [0] Version DEFAULT v1, -- The set is required to
serialNumber CertificateSerialNumber,
-- specify a table constraint on the parameters component of
signature AlgorithmIdentifier,
-- AlgorithmIdentifier.
issuer Name,
validity Validity, SupportedAlgorithms ALGORITHM ::= { ... }
subject Name, Validity ::= SEQUENCE
subjectPublicKeyInfo SubjectPublicKeyInfo, {
issuerUniqueIdentifier [1] IMPLICIT UniqueIdentifier OPTIONAL, notBefore Time,
-- if present, version must be v2 or v3 notAfter Time
subjectUniqueIdentifier [2] IMPLICIT UniqueIdentifier OPTIONAL }
-- if present, version must be v2 or v3
extensions [3] Extensions OPTIONAL
SubjectPublicKeyInfo ::= SEQUENCE
-- If present, version must be v3 --
{
}
} algorithm AlgorithmIdentifier,
subjectPublicKey BIT STRING
}
Version ::= INTEGER { v1(0), v2(1), v3(2) }
CertificateSerialNumber ::= INTEGER
Time ::= CHOICE
AlgorithmIdentifier ::= SEQUENCE
{ {
utcTime UTCTime,
http://gab01- 3.iscte.pt
18
Certificados Digitais – X.509
GTI VI-51
http://gab01- 3.iscte.pt
{
SYNTAX &ExtnType
IDENTIFIED BY &id
}
PKI
GTI VI-53
19
PKI
GTI VI-54
Cliente
6. Aplic. e
Aplic. ou outros
outra sistemas usam
1. Utilizadores e aplicações entidade certificados
solicitam certificação
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
PKI
GTI VI-55
§ Arquitectura de PKI
§ Proposta pelo OpenGroup (http://www.opengroup.org)
Aplicações
Serviços da
Protocolos de Segurança
Serviços que Política de
Permitem a Segurança
Serviços de Segurança dos Protocolos
Segurança do
Sistema
Serviços de Chaves de Longa Duração
Serviços de
Serviços Criptográficos Suporte
http://gab01- 3.iscte.pt
Primitivas Criptográficas
20
PKI
GTI VI-56
CA CA raiz
Utilizadores
finais
A B C D E F G H I J K L M N
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
PKI
GTI VI-57
Utilizadores
A B C D E F G H I J K L M N O P Q finais
http://gab01- 3.iscte.pt
21
PKI
GTI VI-58
CAs intermédias
(se existirem)
Utilizadores
A B C D E F G H I J K finais
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
PKI
GTI VI-59
Mãe de A
Irmão de A
C
A
B
Amigo de A
Colega de
http://gab01- 3.iscte.pt
trabalho de
A
22
PKI
GTI VI-60
§ Produtos no mercado
§ Baltimore Technologies (UniCERT CA)
§ CyberTrust (CyberTrust Global Provider CA)
§ Entrust (Entrust/PKI)
§ IBM Tivoli (Vault Registry)
§ Siemens (Trusted CA)
§ Netscape (Unified User Management)
§ Microsoft (Windows XP)
§ Sun (iPlanet)
§ RSA Security (Keon)
§ Verisign
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
SSL/TLS
GTI VI-62
23
SSL/TLS
GTI VI-63
§ Desenvolvimento do SSL/TLS
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
SSL/TLS
GTI VI-64
§ SSL/TLS
§ Cria uma nova camada protocolar
§ HTTP funciona sobre o SSL/TLS
§ Outros protocolos podem igualmente funcionar sobre o SSL/TLS
http://gab01- 3.iscte.pt
24
SSL/TLS
GTI VI-65
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
SSL/TLS
GTI VI-66
Cliente Servidor
1. Cliente invoca sessão: prefiro 2. Ok, vamos usar triple DES
usar triple DES, mas posso 3. Envia certificado (ou cadeia)
usar RC4 para o cliente
25
SET
GTI VI-67
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
SET
GTI VI-68
26
SET
GTI VI-69
§ Entidades do SET
§ Cardholder
Detentor do cartão de crédito ou da wallet com os certificados SET
§ Wallet provider
Fornece os mecanismos ao Cardholder com os mecanismos de
segurança necessários para se ligar a um Merchant
§ Merchant
Comercializa bens e serviços em troca de pagamentos, e estabelece
uma relação de confiança com o Acquirer
§ Acquirer
Instituição financeira ou outra entidade capaz de processar
pagamentos SET de um Merchant
§ Payment Gateway
http://gab01- 3.iscte.pt
Dispositivo operado por um Acquirer para processar operações de
pagamento
SET
GTI VI-70
27
SET
GTI VI-71
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E
odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
28