autenticação – aula 07professor.ufop.br/sites/default/files/janniele/files/... ·...
TRANSCRIPT
Autenticação – Aula 07
Profa Janniele Aparecida Soares Araujo
CSI463 – Segurança e Auditoria de Sistemas
2
Autenticação
● Questões decorrentes● Como garantir a autenticidade de quem envia a mensagem?● Como garantir a integridade do conteúdo?
● Assinatura Digital x Certificado Digital
3
Ameaças ao Ambiente Eletrônico
4
Ameaças ao Ambiente Eletrônico
5
Autenticação
● Assinatura Digital● Algumas vezes há a necessidade de se provar quem escreveu um
documento e manter as informações desse documento sem modificações
● Solução: serviços de autenticação e integridade dos dados● A autenticidade de muitos documentos é determinada pela presença
de uma Assinatura Digital
6
Autenticação
● Assinatura Digital● Item que acompanha um determinado dado e apresenta as seguintes
funções● Confirmar a origem do dado● Certificar que o dado não foi modificado● Impedir a negação da origem
7
Autenticação
● Vantagens do envio de mensagem “assinada”● O receptor poderá verificar a identidade alegada pelo transmissor● Posteriormente, o transmissor não poderá repudiar o conteúdo da
mensagem● O receptor não terá a possibilidade de forjar ele mesmo a mensagem
8
Autenticação
● Cenários de preocupações legítimas● Transferência eletrônica de fundos – o receptor aumenta a quantidade
de fundos transferidos e afirma que o valor maior chegou do emissor● E-mail com instruções para uma transação que no futuro foi um
fracasso – o emissor finge que o e-mail nunca foi enviado
9
Autenticação
● Tipos de assinatura digital● Assinaturas de Chave Pública● Resumo da mensagem (hash)
10
Autenticação
● Assinaturas de Chave Pública
11
Autenticação
● Assinaturas digitais com o uso de chave pública● Assume-se que os algoritmos de criptografia e decriptografia têm a
propriedade que:● EB(DA(P)) = P e DB(EA(P)) = P, onde DA(P) é a assinatura do texto plano P com a chave
privada DA e EA(P) é a verificação da assinatura com a chave pública EA.
12
Autenticação
● Assinaturas de Chave Pública – Problemas relacionados ao ambiente no qual operam● Bob só poderá provar que uma mensagem foi enviada por Alice
enquanto D permanecer secreta● Se Alice revelar sua chave secreta, o argumento deixará de existir -
qualquer um poderá ter enviado a mensagem
13
Autenticação
● Assinaturas de Chave Pública – Críticas● Reúnem sigilo e autenticação● Em geral, o sigilo não é necessário● Cifragem da mensagem inteira é lenta
● Solução: Resumo da mensagem (hash)
14
Autenticação
● Resumo da mensagem (hash)● Algoritmo Hash é usado quando a autenticação é necessária, mas o
sigilo não● Resumo de mensagens é um método de autenticação que não exige a
criptografia de um documento inteiro● É um método para agilizar algoritmos de assinatura digital
15
Autenticação
● Resumo da mensagem (hash)● Representante de uma mensagem maior● Verifica a integridade de dados● O método se baseia numa função hash unidirecional que extrai um
trecho qualquer do texto claro e a partir dele calcula uma string de bits de tamanho fixo
● Essa função de hash, chamada de resumo de mensagem, geralmente representada por MD (Message Digest), tem quatro propriedades
16
Autenticação
● Propriedades
1) Se P for fornecido, o cálculo de MD(P) será muito fácil.
2) Se MD(P) for fornecido, será impossível encontrar P.
3) Dado P, ninguém pode encontrar P’ tal que MD(P’) = MD(P)
4) Uma mudança na entrada de até mesmo de 1bit produz uma saída muito diferente
17
Autenticação
● Resumo da mensagem (hash)
18
Autenticação
● Resumo da mensagem (geração)● Entra-se com os dados a serem resumidos e o algoritmo (SHA –
Secure Hash Algorithm, por exemplo) gera um hash MD de 128 ou 160 bits (dependendo do algoritmo)
● Em seguida, computada uma MD, criptografa-se o hash gerado com uma chave privada do emissor
19
Autenticação
● Resumo da mensagem (verificação)
20
Autenticação
● Resumo da mensagem (verificação)
1) Executa-se a função MD (usando o mesmo algoritmo MD que foi aplicado ao documento na origem), obtendo- se um hash para aquele documento, e posteriormente, decifra-se a assinatura digital com a chave pública do emissor
2) A assinatura digital decifrada deve produzir o mesmo hash gerado pela função MD executada pelo receptor
3) Se estes valores são iguais é garantido que o documento não foi modificado após a assinatura do mesmo, caso contrário, o documento ou a assinatura, ou ambos foram modificados
21
Autenticação
● Resumo da mensagem (verificação)● A assinatura digital, como descrita no exemplo anterior, não garante a
confidencialidade da mensagem● Qualquer um poderá acessá-la e verificá-la, mesmo um intruso (Eve),
apenas utilizando a chave pública do emissor (Alice)
22
Autenticação – Assinatura Digital
● Observações importantes● A criptografia de chave simétrica fornece privacidade sobre os dados
sigilosos● A criptografia de chave pública resolve o problema da distribuição de
chaves● Resumo de mensagem assegura integridade● Uma assinatura oferece autenticação e não-repúdio
23
Autenticação – Assinatura Digital
● É importante saber que● Processo que tem como principal propósito garantir o sigilo,
integridade e autenticidade dos documentos eletrônicos e documentos envolvidos em transações eletrônicas
● Trabalha basicamente, com a captura e análise de dados biométricos (impressão digital, exame de fundo de olho, reconhecimento de fala, de locutor, etc.)
24
Autenticação – Assinatura Digital
● Assinatura digital é suficiente para garantir a segurança?
25
Autenticação – Assinatura Digital
● Assinatura digital é suficiente?● As assinaturas digitais, por si só, servem muito bem à verificação de
uma quantidade limitada de pessoas, com as quais você está familiarizado.
● E se você receber uma mensagem de alguém que você não conheça ou de uma empresa desconhecida?
● Qualquer pessoa pode obter um par de chaves e assinar uma mensagem, mas esta poderia estar se fazendo passar por outra.
26
Autenticação – Certificado Digitais
● Justificativa● É necessário que o usuário tenha certeza de que a chave pública que
está utilizando é autêntica● Pequeno grupo – poderia trocar as chaves públicas e guardá-las de
forma segura● Grande grupo – troca manual de chave é impraticável
27
Autenticação – Certificado Digitais
● Certificado Digital● Arquivo digital que contém as informações necessárias à identificação
de um indivíduo ou programa, equipamento, componente, produto, etc, incluindo sua chave pública
● Principal função de um certificado● Vincular uma chave pública ao nome de um protagonista (indivíduo,
empresa, etc.)● Os certificados em si não são secretos ou protegidos. Usualmente
estão disponíveis em uma base de acesso livre na Internet
28
Autenticação – Certificado Digitais
● Funcionamento● Autoridade Certificadora (AC)
● Entidade que emite certificados para possuidores de chaves públicas e privadas (pessoa, dispositivo, servidor)
● Autoridades de Registro (AR)● São as responsáveis pelo processo final na cadeia de Certificação Digital,
responsáveis por atender os interessados em adquirir certificados, coletar os documentos para encaminhá-los às ACs, responsáveis pela emissão
29
Autenticação – Certificado Digitais
● Funcionamento
30
Autenticação – Certificado Digitais
● Funcionamento● Atribuições de uma CA
● Gerar, entregar e armazenar a chave privada de forma segura● Distribuir a chave pública● Atualizar o par de chaves● Assinar a chave pública para gerar o certificado (ssinando certificados digitais, a CA
garante sua validade)● Manter e divulgar uma lista com os certificados revogados (Certificate Revocation
List – CRL)
● Exemplos de CAs: VeriSign, Cybertrust e Nortel
31
Autenticação – Certificado Digitais
● Funcionamento● Período de validade e revogação
● Os certificados definem períodos de validade para as chaves públicas● Certificados podem ser revogados antes de sua expiração
● Suspeita de corrupção da chave pública● Término de contrato● Mudança de nome
32
Autenticação – Certificado Digitais● Funcionamento
33
Autenticação – Certificado Digitais
● Funcionamento● Componentes básicos de um certificado digital
● A chave pública● Nome e endereço de e-mail● Data da validade da chave pública● Nome da autoridade certificadora (CA)● Número de série do Certificado Digital● Assinatura Digital da Autoridade Certificadora
34
Autenticação – Certificado Digitais
● Funcionamento● Para que serve um Certificado Digital?
● Correio Eletrônico seguro● Transações Bancárias sem repúdio● Compras pela Internet sem repúdio● Consultas confidenciais a cadastros● Arquivo de documentos legais digitalizados● Transmissão de documentos● Contratos digitais● Certificação de Equipamentos● Certificação de Programas de Computador
35
Autenticação – Certificado Digitais
● Tipos de Certificados● Certificados de CA: utilizados para validar outros certificados;
autoassinados ou assinados por outra CA● Certificados de servidor: utilizados para identificar um servidor
seguro; contém o nome da organização e o nome DNS do servidor● Certificados pessoais: contém nome do portador e, eventualmente,
informações como endereço eletrônico, endereço postal, etc● Certificados de desenvolvedores de software: utilizados para validar
assinaturas associadas a programas
36
Autenticação – Certificado Digitais
● Exemplos de uso● PROUNI – O sistema é acessado pela instituição de ensino superior por
meio de certificado digital, além disso, a Certificação Digital é exigida na tramitação de informações com as instituições de ensino
● Sisbacen – Sistema do Banco Central do Brasil. A certificação digital é utilizada na autenticação de remessa de informações das empresas com capital estrangeiro para o Banco Central
● Outros exemplos:● http://www.beneficioscd.com.br/cartilha_online/?pagina=ap01
37
Autenticação – Certificado Digitais
● ICP Brasil● O Instituto Nacional de Tecnologia da Informação - ITI é um órgão
federal vinculada à Casa Civil da Presidência da República● O ITI é a Autoridade Certificadora Raiz - AC Raiz da Infraestrutura de
Chaves Públicas Brasileira – ICP-Brasil ● Possui o papel de credenciar e descredenciar os demais participantes
da cadeia, supervisionar e fazer auditoria dos processos
38
Autenticação – Certificado Digitais
● ICP Brasil● Qualquer instituição pode criar uma ICP, independente de seu porte● Por exemplo, se uma empresa criou uma política de uso de
certificados digitais para a troca de informações entre a matriz e sua filiais, não vai ser necessário pedir tais certificados a uma AC controlada pela ICP-Brasil
● A própria empresa pode criar sua ICP e fazer com que um departamento das filiais atue como AC ou AR, solicitando ou emitindo certificados para seus funcionários
39
Autenticação – Aplicações
● Correio eletrônico● Utilização
● Autenticação de origem● Integridade do conteúdo● Confidencialidade● Não-repúdio
● Protocolos● PEM (Public Enhanced Mail)● Security Multiparts for MIME/MOSS (Mime Object Security Services)● S/MIME (Secure/Multipurpose Internet Mail Extensions)● PGP (Pretty Good Privacy)
40
Autenticação – Aplicações
● WEB● Utilização
● Autenticação do servidor● Autenticação do cliente● Integridade de conteúdo● Confidencialidade
● Protocolos● SSL (Secure Socket Layer)● Secure HTTP (Secure HyperText Transfer Protocol)● Kerberos (protocolo de autenticação)
41
Autenticação – Aplicações
● WEB● SSL (Secure Socket Layer)
● Protocolo para criptografia e autenticação baseado em sessão● Fornece um canal seguro entre cliente e servidor● Funciona na camada de transporte● Certificados SSL são muito usados na web
42
Autenticação – Aplicações
● WEB● SSL (Secure Socket Layer)
43
Bibliografia básica
● NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec
● Stallings, William. Criptografia e Segurança de Redes - Princípios e Práticas. 4a edição. Prentice-Hall
● LIMA, Helen .C.S. Notas de aula. Segurança e auditoria de sistemas. Universidade Federal de Ouro Preto