Sistemas de Informação para Gestão - IV Seguran

Segurança da Informação
Um requisito actual dos Sistemas de

Informação
ISCTE, Abril de 2002
Carlos Serrão
carlos.serrao@iscte.pt
http://gab01-3.iscte.pt
Instituto Superior de Ciências

do Trabalho e da Empresa
Av. Das Forças Armadas
1600-082 Lisboa
351.217903064 tel
351.217935300 fax
http://www.iscte.pt
Entire contents © 2001 by ISCTE. All rights reserved. Reproducti on of this publication in any form without prior written permission is forbidden. The information contained herein has been obtained from sources believed to be reliable. ISCTE
disclaims all warranties as to the accuracy, completeness or ade quacy of such information. ISCTE shall have no liability for er rors, omissions or inadequacies in the information contained her ein or for interpretations thereof. The reader
assumes sole responsibility for the selection of these materials to achieve its intended results. The opinions expressed herein are subject to change without notice.
Sumário
GTI VI-2
§ Aspectos da Segurança da Informação

§ Ameaças à Segurança
§ Criptografia
§ Encriptação e Desencriptação
§ Funções de Hash
§ Assinaturas Digitais
§ Certificados Digitais
§ Arquitecturas PKI
§ SSL – Secure Sockets Layer
§ SET – Secure Electronic Transactions
http://gab01- 3.iscte.pt
Carlos Serrão i n tSr E

odGuUçRã Ao N àÇsA t D
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
1
Aspectos da segurança da Informação
GTI VI-3
§ A Segurança dos Sistemas de Informação deve ser vista sobre

diferentes vertentes:
§ Social
§ Ambiental
§ Tecnológica
§ Os três devem funcionar de uma forma integrada.
cos
ógi
nol
Tec
is
ienta
Amb
iais
Soc SI
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
GTI VI-4
§ Segurança de Informação nas Organizações e nas suas relações

internas e externas
Fornecedores
Parceiros
Empregados
Sistemas
Internos
e Dados
Empregados
Parceiros
Clientes

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
2
GTI VI-5
§ Seguranças da Informação: tecnologias e os seus benefícios
Tecnologias Usam Fornecem

Serviços de Directoria Protocolos de Acesso, Repositório de Informação
Armazenamento de Dados e
Modelos de Informação
Mensagens Seguras
Comunicações Seguras,
Acesso Remoto Autenticação,
Autorização,
VPNs
Protocolos de Confidencialidade, não-
PKI Segurança, conteúdo de repúdio
repositório de
Acesso Centralizado informação, chaves
públicas,certificados, Produtividade
E-Commerce políticas
Framework de Segurança Lucro

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Ameaças de Segurança
GTI VI-9
§ Estas são apenas algumas das AMEAÇAS de Segurança mais

vulgares:
§ Revelação ou Perda de informação
§ Violação da integridade dos dados
§ Disfarce
§ Negação de Serviço (Denial of Service (DoS, DDoS, DrDoS))
§ Uso Ilegítimo
§ Vírus (ILoveYou, Ana Kurnikova, CodeRED, ...)
§ Backdoors e Cavalos de Tróia (Back-Orifice - Windows 95/98, ...)
§ Ataques Internos
§ Problemas de segurança associados à Internet: provenientes da
autenticação e de controlo de acessos (Hackers, Crackers, Script

Kiddies, ...)

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
3
Ataques de Segurança
GTI VI-11
§ Automação – rapidez das ferramentas de ataque

§ Sofisticação crescente das ferrmantas de ataque
§ Descoberta facilitada de vulnerabilidades
§ Permeabilidade crescente de firewalls
§ Ameaça assimétrica crescente
§ Crescente ameaça dos ataques de infra-estrutura
§ Distributed Denial of Service
§ Worms
§ Ataques ao DNS
§ Ataques contra e usando routers
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Ameaças de Segurança
GTI VI-12
§ Número de vulnerabilidades de Segurança (CERT)
Incidentes
60000
50000
40000
30000
20000
10000
0
90
91
00
92
93
94
95
96
97
98
99
01
19
19
20
19
19
19
19
19
19
19
19
20

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
4
Serviços de Segurança
GTI VI-13
§ CONFIDENCIALIDADE
§ protecção contra a divulgação de informação a terceiros
§ INTEGRIDADE
§ manutenção da integridade dos dados
§ AUTENTICAÇÃO
§ assegurar a identidade de uma determinada entidade
§ NÃO-REPÚDIO
§ o originador de uma determinada comunicação não pode mais tarde negar que a
tivesse feito
§ DISPONIBILIDADE
§ os utilizadores legítimos têm acesso quando precisam
§
CONTROLO DE ACESSOS
§ utilizadores não-autorizados não têm permissão para entrar no sistema

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Segurança na Web
GTI VI-14
§ O problema da Segurança na Web, assume três vertentes

fundamentais:
§ Segurança dos Servidores de Web
§ Segurança de Informação em Trânsito
§ Segurança do Computador do Utilizador


e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
5
Segurança na Web
GTI VI-15
§ Segurança dos Servidores de Web

§ Restringir o acesso físico e lógico ao servidor de web
§ Quem pode aceder, qual a natureza desse acesso e quem autoriza esse
acesso? – SSH, S-Telnet, Firewalls , Kerberos , ...
§ Manutenção do Servidor e Auditoria
§ Quem é responsável pela segurança, upgrades, backups e manutenção? –
Exploits dos bugs dos servidores web (IIS)
§ Que material é permitido nas páginas web? – Classificação de Informação,
controlo dos CGIs, ...
§ Que sites ou utilizadores externos podem aceder? – Firewalls
§ Qual a peridiocidade e quem é responsável pela auditoria do servidor de
web ? – Ficheiros de Log, ...
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Segurança na Web
GTI VI-17
§ Segurança da Informação em Trânsito

§ Criptografia
§ Criptografia de Chave Secreta
§ Criptografia de Chave Pública
§ Algoritmos de Hash
§ Assinaturas Digitais
§ Certificados Digitais
§ Arquitecturas PKI
§ SSL
§ SET

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
6
Segurança na Web
GTI VI-18
§ Segurança do Computador do Utilizador

§ Browsers
§ Bugs de concepção
§ Falhas de Segurança nas linguagens de Programação
§ ActiveX, Java, Javascript
§ Cookies
§ Email
§ Virús (I Love You, Ana Kurnikova, ...)
§ Trojan-Horses e Back-doors (VBscript)
§ Proliferação de Software
§ Software de messaging e chat
§ ICQ
§ IRC

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Criptografia
GTI VI-20
§ Tipos de Criptografia
§ Criptografia Convencional, Criptografia de Chave Secreta ou

Criptografia Simétrica
§ Criptografia de Chave Pública ou Criptografia Assimétrica


e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
7
Criptografia - Aplicações
GTI VI-21
§ Entre algumas das aplicações da Criptografia destacam-se as

seguintes:
§ Comunicações Seguras
§ Identificação e Autenticação
§ Partilha de Segredos
§ Comércio Electrónico e Negócio Electrónico
§ Certificação
§ Recuperação de Chaves
§ Acesso Remoto
§ Outros
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Criptografia Convencional – Príncipios

GTI VI-22
§ Criptografia convencional possui os seguintes componentes:

§ Dados Originais
§ Mensagem original usada para “alimentar” o algoritmo de encriptação
§ Algoritmo de Encriptação
§ Algoritmo que efectua várias substituições e transformações nos dados
originais
§ Chave secreta
§ Chave secreta do algoritmo que condiciona as substituições e
transformações
§ Dados encriptados
§ Os dados transformados pelo algoritmo
§ Algoritmo de Desencriptação
§ O processo inversodo algoritmo de encriptação

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
8
Criptografia Convencional – Modelo Simplificado
GTI VI-23
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Criptografia Convencional - Algoritmos

GTI VI-26
§ Feistel
§ DES – Data Encryption Standard
§ O standard até ao momento, que vai ser substituído pel o AES
§ Triple DES
§ IDEA
§ Blowfish
§ RC5
§ CAST-128
§ Rijndael – AES – Advanced Encryption Standard
§ O substituto do DES

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
9
Criptografia Convencional - Algoritmos
GTI VI-27
Algoritmo Tamanho da Número de Operações Aplicações

Chave Rounds Matemáticas
DES 56 bits 16 XOR, S-boxes SET, SSL,
fixas Kerberos
Triple DES 112 ou 168 bits 48 XOR, S-boxes PGP, SSL,
fixas S/MIME
IDEA 128 bits 8 XOR, adições e PGP, SSL
multiplicações
Blowfish Variável até 448 16 XOR, S-boxes
bits variáveis,
adições
RC5 Variável até Variável até 255 Adições,
2048 bits subtrações, XOR
e rotação
CAST-128 40 até 128 bits 16 Adições, PGP
subtrações,
XOR, rotações,
S-boxes fixas

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Algoritmos de Hash
GTI VI-28
§ Servem para calcular um resumo de um bloco de dados

§ Usam funções que não têm inversa
§ i.e. dado F(x)=h não existe nenhum F-1(h)=x
§ One-way functions
§ Servem para verificar a integridade e são usadas em conjunto com

a Criptografia de Chave Pública para gerar Assinaturas Digitais
§ São usadas para gerar MAC – Message Authentication Codes
§ Algoritmos:
§ MD5 (128 bits)
§ SHA1 (160 bits)

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
10
Algoritmos de Hash - Exemplo
GTI VI-29
Informação
Algoritmo de
Hash
Hash
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Criptografia Assimétrica
GTI VI-30
§ A Criptografia Assimétrica ou de Chave Pública veio tentar

solucionar um problema da Criptografia Convencional
§ DISTRIBUIÇÃO DAS CHAVES SECRETAS
§ Usa um par de chaves: Pública, Privada
§ Informação encriptada com uma delas apenas pode ser desencriptada
pela outra
§ Uma das chaves é mantida em segredo e a outra é divulgada
§ Usada para distribuição de chaves e geração de assinaturas digitais
§ Algoritmos
§ DH – Diffie Hellman
§ RSA

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
11
GTI VI-31
Criptografia Convencional
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
GTI VI-32

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
12
Criptografia Assimétrica - Algoritmos
GTI VI-35
§ Diffie-Hellman
§ RSA – Rivest, Shamir, Adleman
§ Um dos mais importantes algoritmos de Chave Pública, utilizado em
muitas aplicações
§ Rabin
§ DSS – Digital Signature Standard
§ Elgamal
§ Elliptic Curve
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Criptografia Assimétrica - DH
GTI VI-36
§ Diffie-Hellman
§ Primeiro algoritmo de Chave Pública
§ Inventado em 1976 por Diffiel e Hellman
§ É essencialmente um key-agreement-protocol
§ Funcionamento:
Acordam com q e a (a <q e a raíz primitiva de q)
Escolhe Xa privado: Xa<q

Calcula Ya público: Ya=aXa mod q
Ya
Escolhe Xb privado: Xb<q
Calcula Yb público: Yb=aXb mod q
Calcula K: K=(Ya)Xb mod q
Yb
Calcula K: K=(Yb)Xa mod q
A B
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
13
Criptografia Assimétrica - RSA
GTI VI-37
§ RSA
§ Criado por Ron Rivest, Adi Shamir and Leonard Adleman em 1978
§ Desenvolvido no MIT
§ Baseia-se na dificuldade de factorização de números primos muito
grandes
§ Utiliza chaves criptográficas não inferiores a 512 bits
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Criptografia Assimétrica - RSA

GTI VI-38
§ RSA: Funcionamento
§ Cálculo do par de Chaves
§ Escolher dois números primos grandes, p e q (secretos)
§ Calcular n=pq, e ? (n)=(p-1)(q-1)
§ Encontrar um número e que seja primo relativo de ? (n)
§ Chave pública: e e n
§ Encontrar um número d que seja o inverso multiplicativo de e mod ? (n)
§ Chave privada: d e n
§ Encriptação
§ Calcular: c = m e mod n
§ Desencriptação
§ Calcular: m = cd mod n

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
14
Assinaturas Digitais
GTI VI-40
§ Baseiam-se na Criptografia Assimétrica e nos Algoritmos de Hash

§ Servem para garantir a integridade e autenticação de dados
§ Duas operações fundamentais:
§ Gerar assinatura digital
§ Verificar assinatura digital
§ Principais algoritmos:
§ RSA
§ DSS
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Assinaturas Digitais
GTI VI-41
pública privada
de B de B
M E M transmissão M D M H
pública
de A
H
privada
D comparação
de A
Entidade A Entidade B

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
15
Certificados Digitais
GTI VI-45
§ Identificação / Autenticação
§ Une identificação real do utilizador com a sua identificação digital
§ Técnicas de identificação de utilizadores
§ Algo que o utilizador sabe
§ Sistemas baseados em passwords ou PINs
§ Algo que o utilizador possui
§ Sistemas baseados em tokens físicos ou lógicos
§ Algo que o utilizador é
§ Sistemas biométricos
§ Onde o utilizador está
§ Sistemas baseados na localização
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
Certificados Digitais
GTI VI-46
§ Pressupõe a existência de uma entidade que certifica o conteúdo

do certificado digital
§ CA – Certification Authority
§ Assina digitalmente a informação contida no certificado
§ Alguns dos formatos mais conhecidos:
§ X.509
§ Identification certificate
§ Standard utilizado em várias aplicações: SSL/TLS, SET
§ SPKI
§ Authorization certificate
§ Ainda não é standard, encontra-se em fase de discussão

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
16
Certificados Digitais – X.509
GTI VI-47
§ X.509 é parte dos esforços de standardização do CCITT/ITU-T X.500

§ Especifica a ferramenta de autenticação do X.500 (Serviço de
Directoria)
§ Actualmente na sua terceira versão – X.509v3
§ Baseado em ASN.1
§ Normalmente codificado em BER ou em DER
§ Essencialmente um certificado de Identificação
§ Pedido: CSR- Certificate Signing Request
§ Revogação: CRL – Certificate Revogation List
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001

GTI VI-48

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
17
GTI VI-49
§ Certificado X.509, principais campos:

§ Versão
§ 1, 2 ou 3
§ Número de Série
§ Identifica o certificado na CA
§ Emissor
§ Informação àcerca da CA (algoritmo de assinatura, nome, identificador
único) – em termos de CN – relacionado com X.500, LDAP, ...
§ Período de Validade
§ Identifica o período durante o qual o certificado é válido
§ Sujeito
§ Informação do sujeito a ser certificado (nome, chave pública, identificador
único) – em termos de CN – relacionado com X.500, LDAP, ...
§ Assinatura Digital
§ Assinatura digital da CA

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001

GTI VI-50
Certificate ::= SIGNED -- Definition of the following information object set is deferred,
{ -- perhaps to standardized
SEQUENCE { -- profiles or to protocol implementation conformance statements.
version [0] Version DEFAULT v1, -- The set is required to
serialNumber CertificateSerialNumber,
-- specify a table constraint on the parameters component of
signature AlgorithmIdentifier,
-- AlgorithmIdentifier.
issuer Name,
validity Validity, SupportedAlgorithms ALGORITHM ::= { ... }
subject Name, Validity ::= SEQUENCE
subjectPublicKeyInfo SubjectPublicKeyInfo, {
issuerUniqueIdentifier [1] IMPLICIT UniqueIdentifier OPTIONAL, notBefore Time,
-- if present, version must be v2 or v3 notAfter Time
subjectUniqueIdentifier [2] IMPLICIT UniqueIdentifier OPTIONAL }
-- if present, version must be v2 or v3
extensions [3] Extensions OPTIONAL
SubjectPublicKeyInfo ::= SEQUENCE
-- If present, version must be v3 --
{
}
} algorithm AlgorithmIdentifier,
subjectPublicKey BIT STRING
}
Version ::= INTEGER { v1(0), v2(1), v3(2) }
CertificateSerialNumber ::= INTEGER
Time ::= CHOICE
AlgorithmIdentifier ::= SEQUENCE
{ {
utcTime UTCTime,
algorithm ALGORITHM.&id ({SupportedAlgorithms}),

parameters ALGORITHM.&Type generalizedTime GeneralizedTime
({SupportedAlgorithms}
}
{ @algorithm}) OPTIONAL
}

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
18
GTI VI-51
Extensions ::= SEQUENCE OF Extension

-- For those extensions where ordering of individual extensions
-- within the SEQUENCE is significant, the
-- specification of those individual extensions shall include the
-- rules for the significance of the order therein
Extension ::= SEQUENCE
{
extnId EXTENSION.&id ({ExtensionSet}),
critical BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING
-- contains a DER encoding of a value of
--type &ExtnType
-- for the extension object identified
-- by extnId
}
ExtensionSet EXTENSION ::= { ... }
EXTENSION ::= CLASS
{
&id OBJECT IDENTIFIER UNIQUE,
&ExtnType
}
WITH SYNTAX
{
SYNTAX &ExtnType
IDENTIFIED BY &id
}

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
PKI
GTI VI-53
§ PKI, Public Key Infrastructure ou ainda Infra-estrutura de Chave

Pública
§ Sistema global de autenticação
§ Gestão de confiança
§ Gestão de esquemas de protecção da privacidade
§ Autoridades de Certificação funcionam como emissores de
credenciais electrónicas
§ O modelo PKI baseia-se no reconhecimento global e geral destas
credenciais electrónicas sob a forma de certificados digitais

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
19
PKI
GTI VI-54
§ PKI – Exemplo de Funcionamento
3. RA pede um certificado 5. CA Publica

Certificados Repositório de
para o utilizador ou sistema Certificados e de
Autoridade
de Registo Autoridade CRL (LDAP)
de Certificação
2. RA verifica a identidade
4. CA emite
Certificado
Cliente
6. Aplic. e
Aplic. ou outros
outra sistemas usam
1. Utilizadores e aplicações entidade certificados
solicitam certificação
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
PKI
GTI VI-55
§ Arquitectura de PKI
§ Proposta pelo OpenGroup (http://www.opengroup.org)
Aplicações
Serviços da
Protocolos de Segurança
Serviços que Política de
Permitem a Segurança
Serviços de Segurança dos Protocolos
Segurança do
Sistema
Serviços de Chaves de Longa Duração
Serviços de
Serviços Criptográficos Suporte
Primitivas Criptográficas

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
20
PKI
GTI VI-56
§ Modelo de Confiança – Hierarquia de Autoridades de Certificação
CA CA raiz
CA1 CA2 CA3

Zero ou mais
níveis de CAs
CA4 CA5 CA6 CA7 CA8 CA9 intermédias
Utilizadores
finais
A B C D E F G H I J K L M N
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
PKI
GTI VI-57
§ Modelo de Confiança – Arquitectura distribuída de Confiança
CAa CAb CAc CAd CAs ponto
CA1 CA2 CA3 CA4 CA5 CA6 CAs

intermédias
Utilizadores
A B C D E F G H I J K L M N O P Q finais

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
21
PKI
GTI VI-58
§ Modelo de Confiança – Modelo em Rede
CAy CAz CAs raiz instalados no

CAx
browser
CAs intermédias
(se existirem)
Utilizadores
A B C D E F G H I J K finais
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
PKI
GTI VI-59
§ Modelo de Confiança – Confiança Centrada no Utilizador
Mãe de A
Irmão de A
C
A
B
Amigo de A
Colega de
trabalho de
A

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
22
PKI
GTI VI-60
§ Produtos no mercado
§ Baltimore Technologies (UniCERT CA)
§ CyberTrust (CyberTrust Global Provider CA)
§ Entrust (Entrust/PKI)
§ IBM Tivoli (Vault Registry)
§ Siemens (Trusted CA)
§ Netscape (Unified User Management)
§ Microsoft (Windows XP)
§ Sun (iPlanet)
§ RSA Security (Keon)
§ Verisign
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
SSL/TLS
GTI VI-62
§ SSL – Secure Sockets Layer

§ Versão actual 3, será substituída pelo TLS
§ TLS – Transport Layer Security
§ Versão actual 1, substitui o SSL
§ Implementado nos príncipais browsers de web...
§ Microsoft Internet Explorer
§ Netscape Navigator
§ Mozilla web browser
§ Opera web browser
§ ... e nos principais servidores de web.
§ Microsoft IIS
§ Apache Web Server

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
23
SSL/TLS
GTI VI-63
§ Desenvolvimento do SSL/TLS
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
SSL/TLS
GTI VI-64
§ SSL/TLS
§ Cria uma nova camada protocolar
§ HTTP funciona sobre o SSL/TLS
§ Outros protocolos podem igualmente funcionar sobre o SSL/TLS

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
24
SSL/TLS
GTI VI-65
§ Usa criptografia simétrica,

assimétrica, certificados
digitais e assinaturas
digitais
§ Funciona normalmente
com autenticação uni-
direccional (servidor
autentica-se ao cliente)
§ Mas pode funcionar de
forma bi-direccional (o
cliente e o servidor
autenticam-se
mutuamente)
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
SSL/TLS
GTI VI-66
§ Funcionamento geral do SSL
Cliente Servidor
1. Cliente invoca sessão: prefiro 2. Ok, vamos usar triple DES
usar triple DES, mas posso 3. Envia certificado (ou cadeia)
usar RC4 para o cliente
4. Cliente confirma confiança

usando a chave interna 7. Servidor confirma a chave
pública da CA pública do cliente, usa-a para
5. Cliente envia o seu certificado desencriptar as chaves de
para o servidor sessão, pronto para encriptar
Chave
6. Cliente envia mensagem dados
Encriptada
separada contendo a 9. Sessão segura começa
mensagem assinada
digitalmente e as chaves de
sessão encriptadas
8. Cliente envia mensagem a
assinalar ao servidor para

começar a sessão encriptada

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
25
SET
GTI VI-67
§ SET – Secure Electronic Transactions

§ Desenvolvido em conjunto pela Visa e pela MasterCard
§ Colaboração da GTE, IBM, Microsoft, Netscape, RSA, SAIC, Terisa e
VeriSign
§ Método para segurar as transações dos pagamentos com cartões
em redes abertas
§ Para atingir este objectivo o protocolo SET usa a criptografia para:
§ Fornecer confidencialidade de informação
§ Assegurar a integridade dos pagamentos
§ Autenticar tanto os merchants como os cardholders
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
SET
GTI VI-68
§ Requisitos de negócio do SET

§ Fornecer confidencialidade da informação de pagamentos e permitir a
confidencialidade de informação de encomendas transmitida com a
informação de pagamento
§ Assegurar a integridade de todos os dados transmitidos
§ Fornecer a autenticação que um merchant é autorizado a efectuar
transações de pagamentos com uma instituição financeira
§ Criação de um protocolo que não dependa de mecanismos de
segurança de transporte, nem os impeça
§ Facilitar e encorajar a interoperabilidade entre os vendedores de
software e de telecomunicações

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
26
SET
GTI VI-69
§ Entidades do SET
§ Cardholder
Detentor do cartão de crédito ou da wallet com os certificados SET
§ Wallet provider
Fornece os mecanismos ao Cardholder com os mecanismos de
segurança necessários para se ligar a um Merchant
§ Merchant
Comercializa bens e serviços em troca de pagamentos, e estabelece
uma relação de confiança com o Acquirer
§ Acquirer
Instituição financeira ou outra entidade capaz de processar
pagamentos SET de um Merchant
§ Payment Gateway
Dispositivo operado por um Acquirer para processar operações de
pagamento

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
SET
GTI VI-70
§ Processamento de uma transação

SET

e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
27
SET
GTI VI-71
§ Processamento de uma transação

SET sem que o consumidor tenha
um certificado
e cAn oI N
l oFgOi aRsM A
d eÇ Ãi O
nformação
2000/2001
28

Sistemas de Informação para Gestão - IV Seguran

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Sistemas de Informação para Gestão - IV Seguran

Загружено:

Авторское право:

Доступные форматы

Segurança da Informação

Um requisito actual dos Sistemas de

Instituto Superior de Ciências

§ Aspectos da Segurança da Informação

Carlos Serrão i n tSr E

§ A Segurança dos Sistemas de Informação deve ser vista sobre

§ Os três devem funcionar de uma forma integrada.

§ Segurança de Informação nas Organizações e nas suas relações

Carlos Serrão i n tSr E

§ Seguranças da Informação: tecnologias e os seus benefícios

Tecnologias Usam Fornecem

Carlos Serrão i n tSr E

§ Estas são apenas algumas das AMEAÇAS de Segurança mais

autenticação e de controlo de acessos (Hackers, Crackers, Script

Carlos Serrão i n tSr E

§ Automação – rapidez das ferramentas de ataque

§ Número de vulnerabilidades de Segurança (CERT)

Carlos Serrão i n tSr E

Carlos Serrão i n tSr E

§ O problema da Segurança na Web, assume três vertentes

§ Segurança dos Servidores de Web

§ Segurança de Informação em Trânsito

§ Segurança do Computador do Utilizador

Carlos Serrão i n tSr E

§ Segurança dos Servidores de Web

§ Segurança da Informação em Trânsito

Carlos Serrão i n tSr E

§ Segurança do Computador do Utilizador

Carlos Serrão i n tSr E

§ Criptografia Convencional, Criptografia de Chave Secreta ou

§ Criptografia de Chave Pública ou Criptografia Assimétrica

Carlos Serrão i n tSr E

§ Entre algumas das aplicações da Criptografia destacam-se as

Criptografia Convencional – Príncipios

§ Criptografia convencional possui os seguintes componentes:

§ O processo inversodo algoritmo de encriptação

Carlos Serrão i n tSr E

Criptografia Convencional - Algoritmos

Carlos Serrão i n tSr E

Algoritmo Tamanho da Número de Operações Aplicações

Carlos Serrão i n tSr E

§ Servem para calcular um resumo de um bloco de dados

§ Servem para verificar a integridade e são usadas em conjunto com

Carlos Serrão i n tSr E

§ A Criptografia Assimétrica ou de Chave Pública veio tentar

Carlos Serrão i n tSr E

Carlos Serrão i n tSr E

Escolhe Xa privado: Xa<q

Criptografia Assimétrica - RSA

Carlos Serrão i n tSr E

§ Baseiam-se na Criptografia Assimétrica e nos Algoritmos de Hash

Carlos Serrão i n tSr E

§ Pressupõe a existência de uma entidade que certifica o conteúdo

Carlos Serrão i n tSr E

§ X.509 é parte dos esforços de standardização do CCITT/ITU-T X.500

Certificados Digitais – X.509

Carlos Serrão i n tSr E

§ Certificado X.509, principais campos:

Carlos Serrão i n tSr E

Certificados Digitais – X.509

algorithm ALGORITHM.&id ({SupportedAlgorithms}),

Carlos Serrão i n tSr E

Extensions ::= SEQUENCE OF Extension