tópicos
DESCRIPTION
Tópicos. Assinatura Digital Certificação Digital Segurança da Comunicação. Criptografia - Autenticação. Algumas vezes há a necessidade de se provar quem escreveu um documento e de manter as informações desse documento sem modificações. - PowerPoint PPT PresentationTRANSCRIPT
1
Tópicos
Assinatura Digital
Certificação Digital
Segurança da Comunicação
2
Criptografia - Autenticação
Algumas vezes há a necessidade de se provar quem escreveu um documento e de manter as informações desse documento sem modificações.
Solução: serviços de autenticação e integridade de dados
A autenticidade de muitos documentos é determinada pela presença de uma Assinatura Digital.
3
Criptografia - Autenticação
Assinatura digital – item que acompanha um determinado dado e apresenta as seguintes funções:
1. Confirmar a origem do dado
2. Certificar que o dado não foi modificado
3. Impedir a negação de origem
4
Vantagens provenientes do envio de mensagem “assinada”:
1. O receptor poderá verificar a identidade alegada pelo transmissor.
2. Posteriormente, o transmissor não poderá repudiar o conteúdo da mensagem.
3. O receptor não terá a possibilidade de forjar ele mesmo a mensagem.
Assinatura Digital
5
Assinaturas de Chave Simétrica
Assinaturas de Chave Pública
Sumários de mensagens (Message Digests)
Aplicações Práticas
Assinatura Digital
6
Assinatura de Chave Simétrica
Estratégia – uso de uma autoridade central que saiba de tudo e na qual todos confiem (BB - Big Brother).
Cada usuário escolhe uma chave secreta e a leva para o BB.
Somente Alice e BB conhecem a chave secreta de Alice, KA, e assim por diante.
Assinatura Digital
7
Assinatura Digital
Assinaturas digitais com Big Brother
Assinatura de Chave Simétrica
B – identidade de Bob
RA – número aleatório escolhido por Alice
t – timbre de hora para assegurar a atualidade
KA(B, RA, t, P) – mensagem criptografada com a chave de Alice, KA
KBB (A, t, P) – mensagem assinada
8
Assinatura Digital
Problemas - Assinaturas de Chave Simétrica
Todos têm de confiar no BB.
O BB tem de ler todas as mensagens assinadas.
9
Assinatura Digital
Assinaturas de Chave Pública
Assinaturas digitais com o uso de chave pública.
Computador de Alice Computador de BobLinha de transmissão
Chave privada de Alice,
DA
Chave pública de Bob,
EB
Chave privada de Bob,
DB
Chave pública
de Alice, EA
10
Assinatura Digital
Assinaturas de Chave Pública - Problemas relacionados ao ambiente no qual operam
Bob só poderá provar que uma mensagem foi enviada por Alice enquanto DA permanecer secreta. Se Alice revelar sua chave secreta, o argumento deixará de existir - qualquer um poderá ter enviado a mensagem.
O que acontecerá se Alice decidir alterar sua chave?
11
Assinatura Digital
Criptografia Assimétrica (chave pública) - Críticas
Reúnem sigilo e autenticação
Em geral, o sigilo não é necessário
Cifragem da mensagem inteira é lenta
Solução: assinar a mensagem sem cifrá-la
completamente
Sumários de Mensagens
12
Assinatura Digital
Sumários de Mensagens (Message Digests)
Uso de uma função hash unidirecional que extrai um trecho qualquer do texto simples e, a partir deste, calcula um string de bits de tamanho fixo.
Função hash – geralmente denominada sumário de mensagens (MD).
13
• Hash - Algoritmo que faz o mapeamento de uma seqüência de bits de tamanho arbitrário para uma seqüência de bits de tamanho fixo menor, de forma que seja muito difícil encontrar duas mensagens produzindo o mesmo resultado hash.
Message
Hash
Assinatura Digital
Função Hash - funciona como uma impressão digital de uma mensagem gerando, a partir de uma entrada de tamanho variável, um valor fixo pequeno: o digest ou valor hash.
14
Assinatura Digital
MD - Propriedades importantes
1. Se P for fornecido, o cálculo de MD(P) será muito fácil.
2. Se MD(P) for fornecido, será efetivamente impossível encontrar P.
3. Dado P, não deve ser possível encontrar P´ tal que MD(P´) = MD(P).
4. Uma mudança na entrada de até mesmo 1 bit produz uma saída muito diferente.
15
Assinatura Digital
Message Digests - Propriedades importantes
Gera um sumário de tamanho fixo para qualquer comprimento de mensagem.
Efetivamente impossível adivinhar a mensagem a partir do sumário.
Efetivamente impossível encontrar outra mensagem que gere o mesmo sumário.
Uma pequena mudança na mensagem altera bastante o sumário.
16
Função hash – Message Digests
17
Assinatura Digital - Geração
18
Assinatura Digital - Geração
Geração da Assinatura Digital
1. entra-se com os dados a serem "digeridos" e o algoritmo MD gera um hash de 128 ou 160 bits (dependendo do algoritmo).
2. computada uma MD, criptografa-se o hash gerado com uma chave privada.
19
Assinatura Digital - Verificação
Normalmente, 2m/2 (e não 2m) operações são suficientes para subverter um sumário de mensagens de m bits utilizando-se o ataque de aniversário.
20
Assinatura Digital - Verificação Verificação da Assinatura Digital
1. Executa-se a função MD (usando o mesmo algoritmo MD que foi aplicado ao documento na origem), obtendo-se um hash para aquele documento, e posteriormente, decifra-se a assinatura digital com a chave pública do remetente.
2. A assinatura digital decifrada deve produzir o mesmo hash gerado pela função MD executada anteriormente.
3. Se estes valores são iguais é determinado que o documento não foi modificado após a assinatura do mesmo, caso contrário o documento ou a assinatura, ou ambos foram alterados.
Assinatura digital – informa apenas que o documento foi modificado, mas não o que foi modificado e o quanto foi modificado.
21
Assinatura Digital
É importante perceber: a assinatura digital, como descrita no exemplo anterior, não garante a confidencialidade da mensagem.
Qualquer um poderá acessá-la e verificá-la, mesmo um intruso (Eva), apenas utilizando a chave pública de Alice.
22
Assinatura Digital
Obtenção de confidencialidade com assinatura digital:
Alice 1. assina a mensagem, utilizando sua chave privada.
2. criptografa a mensagem novamente, junto com sua assinatura, utilizando a chave pública de Bob.
Bob 1. ao receber a mensagem, deve decifrá-la com sua
chave privada, o que garante sua privacidade.
2. "decifrá-la" novamente, ou seja, verificar sua assinatura utilizando a chave pública de Alice, garantindo assim sua autenticidade.
23
Exemplos de algoritmos que implementam Assinatura Digital:
RSA El Gamal DSA
Assinatura Digital
24
Assinatura Digital
Algoritmo Descrição
RSA • Como já mencionado, o RSA também é comutativo e pode ser utilizado para a geração de assinatura digital.
• A matemática é a mesma: há uma chave pública e uma chave privada, e a segurança do sistema baseia-se na dificuldade da fatoração de números grandes.
25
Assinatura Digital
Algoritmo Descrição
El Gamal • Também é comutativo, podendo ser utilizado tanto para assinatura digital quanto para gerenciamento de chaves.
• Obtém sua segurança da dificuldade do cálculo de logaritmos discretos em um corpo finito.
26
Assinatura Digital
Algoritmo Descrição
DSA • O Digital Signature Algorithm, destinado unicamente a assinaturas digitais, foi proposto pelo NIST em agosto de 1991, para utilização no seu padrão DSS (Digital Signature Standard).
• Adotado como padrão final em dezembro de 1994, trata-se de uma variação dos algoritmos de assinatura El Gamal e Schnorr.
27
Criptografia - Função Hash
Exemplos de funções hash (MD) utilizadas em produtos e protocolos criptográficos:
MD5 SHA-1 MD2 e MD4
28
Criptografia - Função Hash
Funções Descrição
MD5 • Função de espalhamento unidirecional inventada por Ron Rivest, do MIT, que também trabalha para a RSA Data Security. MD - Message Digest.
• Produz um valor hash de 128 bits, para uma mensagem de entrada de tamanho arbitrário.
• Inicialmente proposto em 1991, após alguns ataques de criptoanálise terem sidos descobertos contra a função Hash prévia de Rivest: a MD4.
• Projetado para ser rápido, simples e seguro. Seus detalhes são públicos, e têm sido analisados pela comunidade de criptografia.
• Foi descoberta uma fraqueza em parte do MD5, mas até agora ela não afetou a segurança global do algoritmo.
• O fato dele produzir um valor hash de somente 128 bits é o que causa maior preocupação; é preferível uma função Hash que produza um valor maior.
29
Criptografia - Função Hash
Funções Descrição
SHA-1 • O Secure Hash Algorithm, função de espalhamento unidirecional inventada pela NSA, gera um valor hash de 160 bits, a partir de um tamanho arbitrário de mensagem.
• Funcionamento interno muito parecido com o observado no MD4, indicando que os estudiosos da NSA basearam-se no MD4 e fizeram melhorias em sua segurança.
• A fraqueza existente em parte do MD5, citada anteriormente, descoberta após o SHA-1 ter sido proposto, não ocorre no SHA-1.
• Atualmente, não há nenhum ataque de criptoanálise conhecido contra o SHA-1.
• Mesmo o ataque da força bruta torna-se impraticável, devido ao seu valor hash de 160 bits.
• Não há provas de que, no futuro, alguém não possa descobrir como quebrar o SHA-1.
30
Criptografia - Função Hash
Funções Descrição
MD2 e MD4
• MD4 - precursor do MD5, tendo sido inventado por Ron Rivest.
• Após terem sido descobertas algumas fraquezas no MD4, Rivest escreveu o MD5.
• O MD4 não é mais utilizado. • O MD2 é uma função de espalhamento unidirecional simplificada, e produz um hash de 128 bits.
• Segurança do MD2 - dependente de uma permutação aleatória de bytes.
• Não é recomendável sua utilização, pois, em geral, é mais lento do que as outras funções hash citadas e acredita-se que seja menos seguro.
31
Chave de Sessão
AliceChave Pública
Chave Privada
ChavePrivada
ChavePública
ChavePúblicada Alice
Bob
Chave Públicado Bob
Criando uma Mensagem SeguraAssinando aMensagem
Ordem dePagamentoPara Bob
SHA-1
Hash
RSA
Assinatura Digital de Alice
Alice01101001001001111010
CriptografandoA Mensagem
Ordem dePagamentoPara Bob
DES
X15/^ow83h7ERH39DJ3H
nI2jR98Fd z(q6
Alice01101001001001111010
RSA
Criptografando aChave de Sessão
BlocoTransmitido
32
Chave de Sessão
AliceChave Pública
Chave Privada
ChavePrivada
ChavePública
ChavePúblicada Alice
Bob
Chave Públicado Bob
Descriptografando a Mensagem Segura
nI2jR98Fd z(q6
X15/^ow83h7ERH39DJ3H
DES
Ordem dePagamentoPara Bob
Alice01101001001001111010
Descriptando amensagem
DescriptografandoA chave de sessão
nI2jR98Fd z(q6
X15/^ow83h7ERH39DJ3H
RSA
nI2jR98Fd z(q6
X15/^ow83h7ERH39DJ3H
+
Verificando a assinatura eIntegridade da mensagem
Ordem dePagamentoPara Bob
SHA-1
Hash
Sim Não
Alice01101001001001111010
RSA
Hash Iguais?
33
Aplicações Práticas
Correio eletrônico
Utilização Autenticação de origem Integridade do conteúdo Confidencialidade Não-repúdio
Protocolos PEM (Public Enhanced Mail) Security Multiparts for MIME/MOSS (Mime Object Security
Services) S/MIME (Secure/Multipurpose Internet Mail Extensions) PGP (Pretty Good Privacy) X.400
34
Aplicações PráticasAutenticação/SMIME
Fonte de uma mensagem autenticada enviada pelo Outlook Express e recebida pelo Netscape.
Fonte: Criptografia de Chaves Públicas, Marcelo A. R. Schmitt, 2001.
35
Aplicações PráticasAutenticação/SMIME
Forma como a mensagem anterior aparece no Outlook Express.
36
Aplicações PráticasCriptografia/SMIME
Fonte de uma mensagem criptografada enviada pelo Outlook Express e recebida pelo Netscape.
37
Aplicações PráticasCriptografia/SMIME
Forma como a mensagem anterior aparece no Outlook Express.
38
Aplicações PráticasAutenticação e Criptografia/SMIME
Fonte de uma mensagem criptografada e autenticada enviada pelo Outlook Express e recebida pelo Netscape.
39
Aplicações PráticasAutenticação e Criptografia/SMIME
Forma como a mensagem anterior aparece no Outlook Express.
40
Aplicações Práticas
WEB
Requisitos Autenticação do servidor Autenticação do cliente Integridade de conteúdo Confidencialidade
Protocolos SSL (Secure Socket Layer) Secure HTTP (Secure HyperText Transfer Protocol)
41
Aplicações Práticas
SSH (Secure Shell)
IPSec (Internet Protocol Security)
VPNs (Virtual Private Networks)
EDI (Electronic Data Interchange)
42
Assinatura Digital – É importante saber que
Processo que tem como principal propósito garantir o sigilo, integridade e autenticidade dos documentos eletrônios e
documentos envolvidos em transações eletrônicas.
Assinatura Digital ≠ Assinatura Digitalizada
Trabalha, basicamente, com a captura e análise de dados biométricos (impressão digital, exame de fundo de olho,
reconhecimento de fala, de locutor, etc.)
43
Certificação Digital
Justificativa
Funcionamento
Tipos de Certificados
Exemplos
44
Certificação Digital
Justificativa
Usuário de chaves públicas
Originador de uma mensagem criptografada Precisa conhecer a chave pública do destinatário
Destinatário de uma mensagem autenticada Precisa conhecer a chave pública do originador
45
Certificação Digital
Justificativa
É necessário que o usuário tenha certeza de que a chave pública que está utilizando é autêntica. Pequeno grupo – poderia trocar as chaves públicas e
guardá-las de forma segura. Grande grupo – troca manual de chave é impraticável.
Solução: Certificados de Chave Pública
46
Certificado Digital - arquivo digital que contém as informações necessárias à identificação de um indivíduo ou programa, equipamento, componente, produto, etc, incluindo sua chave pública;
Principal função de um certificado – vincular uma chave pública ao nome de um protagonista (indivíduo, empresa, etc.).
Os certificados em si não são secretos ou protegidos. Usualmente estão disponíveis em uma base de acesso livre na Internet (diretório X.500).
Certificação Digital
47
Certificação Digital
Funcionamento
Autoridade Certificadora (AC)
CA (Certification Authority) - cartório eletrônico. Entidade que emite certificados para possuidores de
chaves públicas e privadas (pessoa, dispositivo, servidor).
48
Certificação Digital
Atribuições de uma CA:
Gerar, entregar e armazenar a chave privada de forma segura;
Distribuir a chave pública; Atualizar o par de chaves; Assinar a chave pública para gerar o certificado. Assinar
certificados digitais garantindo sua validade Manter e divulgar uma lista com os certificados
revogados (Certificate Revocation List - CRL); CAs podem estar encadeadas em hierarquias de
certificação, em que a CA de um nível inferior valida sua assinatura com a assinatura de uma CA mais alta na hierarquia.
Exemplos de CAs: VeriSign, Cybertrust e Nortel.
49
Certificação Digital
Exemplo: Outlook Express - Segurança
50
Certificação Digital
Período de validade e revogação
Os certificados definem períodos de validade para as chaves públicas.
Certificados podem ser revogados antes de sua expiração: Suspeita de corrupção da chave pública Término de contrato Mudança de nome
51
Certificação Digital
Exemplo: Outlook Express - Segurança
52
Certificação Digital
Componentes básicos de um certificado digital:
A chave pública; Nome e endereço de e-mail; Data da validade da chave pública; Nome da autoridade certificadora (CA); Número de série do Certificado Digital; Assinatura Digital da Autoridade Certificadora.
53
Certificação Digital
54
Para que serve um Certificado Digital?
Correio Eletrônico seguro Transações Bancárias sem repúdio Compras pela Internet sem repúdio Consultas confidenciais a cadastros Arquivo de documentos legais digitalizados Transmissão de documentos Contratos digitais Certificação de Equipamentos Certificação de Programas de Computador Certificação de vídeo, som e comandos digitais
Certificação Digital
55
Certificação Digital
Pela assinatura da chave pública e das informações sobre Bob, a CA garante que a informação sobre Bob está correta e que a chave pública em questão realmente pertence a Bob.
Alice confere a assinatura da CA e então utiliza a chave pública em pauta, segura de que esta pertence a Bob e a ninguém mais.
56
Certificação Digital
Dois exemplos típicos:
Quando você utiliza seu banco on-line, este tem que se certificar de que você é a pessoa que realmente pode receber as informações sobre determinada conta bancária. Como uma carteira de identidade, um Certificado Digital confirma sua identidade para o banco on-line.
Quando você envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu Certificado Digital para assinar "digitalmente" a mensagem. Uma assinatura digital faz duas coisas: informa ao destinatário que o e-mail é seu e indica que o e-mail não foi adulterado entre o envio e o recebimento deste.
57
Certificação Digital
Obtençaõ de um Certificado
Cliente gera um par de chaves pública e privada (por exemplo, usando RSA);
Envia-se um pedido de certificado para a Autoridade de Registro;
AR (Autoridade Regional de Registro) faz a prova de existência do requisitante e retransmite o pedido para a AC;
AC assina e envia o certificado;
Usuário instala seu certificado;
Usuário divulga o certificado.
58
Certificação Digital
Política de Certificação
A Autoridade de registro (AR), tendo a delegação de uma AC para tal, faz uma investigação no solicitante e determina: Se o pedido deve ser atendido; Quais as características que deve ter.
59
Tipos de certificados
Certificados de CA: utilizados para validar outros certificados; auto-assinados ou assinados por outra CA.
Certificados de servidor: utilizados para identificar um servidor seguro; contém o nome da organização e o nome DNS do servidor.
Certificados pessoais: contém nome do portador e, eventualmente, informações como endereço eletrônico, endereço postal, etc.
Certificados de desenvolvedores de software: utilizados para validar assinaturas associadas a programas.
Certificação Digital
60
Certificação DigitalExemplo: Certificado de uma CA
61
Certificação DigitalExemplo: Certificado de uma CA
62
Certificação DigitalExemplo: Certificado de uma CA
63
Certificação Digital
Exemplo: Outlook Express - Segurança
64
Certificação DigitalExemplo: Certificado de um usuário
65
Certificação DigitalExemplo: Certificado de um usuário
66
Certificação Digital
Exemplo de um Certificado
67
Certificação Digital
Exemplo de um Certificado
68
Certificação Digital
Exemplo de um Certificado
69
Certificação Digital
Distribuição dos Certificados
Assinatura digital O certificado pode acompanhar o dado assinado.
Criptografia Remetente precisa obter a chave pública certificada
do destinatário Serviço de diretório
X.500, NDS, Lotus Notes, Microsoft WEB S/MIME
70
Certificado X-509
Versão
Número de Série
AlgoritmosParâmetros
Emissor
Não antes deNão depois de
UsuárioAlgoritmosParâmetros
ChaveIdentificador Único do Emissor
Identificador Único do Usuário
Extensões
AlgoritmosParâmetros
Resumo Cifrado
Ver
são
1
Ver
são
2
Ver
são
3
To
das
as
Ver
sões
Assinatura
Chave Públicado Usuário
Período deValidade
Identificadordo Alg. Ass.
71
Certificação DigitalDistribuição de Certificados - Distribuição via WEB
72
Certificação Digital
Armazenamento do Certificado
No Navegador Internet de sua preferência Em disquete No HD do seu Microcomputador Em disquete protegido por SW criptográfico Em CD ROM, protegido por SW criptográfico Em SMART CARD, com processador Em TOKEN, com processador
(EM ORDEM CRESCENTE DE SEGURANÇA)
CA
RA Usuário
Diretório
A informação do usuário e a Chave Pública são enviados para o RA
RA verifica as informações e solicita a emissão do certificado
CA emite o certificado e o remete para o RA
CA divulga o certificado em um diretório
O RA envia o certificado para o usuário
O usuário gera um par de chaves e solicita um certificado
Processo de Registro de Certificados
Transação Comercial com Certificados
O lojista pode Verificar: Detalhes do certificado Relações de revogação Validade dos certificados Assinaturas Descriptar dados
A relação de credibilidade entre lojistas e usuários com certificados é endossada por uma Autoridade Certificadora
Transações Comerciais via Internet
CA
Usuário
Diretório
CA divulga o certificado em um diretório
Lojista
75
Certificação Digital
Requisitos para uma Infra-estrutura de Chave Pública
Requisitos Básicos Escalabilidade Suporte a várias aplicações Interoperabilidade Suporte a múltiplas políticas Limitação de responsabilidade Padronização
76
Infra-estrutura para o gerenciamento de chaves públicas - padrão Public Key Infrastructure (PKI), determina:
onde os certificados digitais serão armazenados e recuperados,
de que forma estão armazenados,
como um certificado é revogado, etc.
Certificação Digital
77
Função da PKI
Fornecer um modo para estruturar os componentes (usuários, CAs, certificados, etc.).
Definir padrões para os vários documentos e protocolos.
Garantir a autenticação, confidencialidade, integridade e a não recusa das informações.
Exemplo: uma empresa pode usar a PKI para controlar o acesso a rede de computadores. No futuro, as empresas poderiam usar a PKI para controlar o acesso, desde a entrada nos prédios até a obtenção de mercadorias.
Certificação Digital
78
Certificação Digital
(a) Uma PKI hierárquica (b) Uma cadeia de certificados
Raiz A RA 2 é aprovada.
Sua chave pública é 47383AE349 ...
Assinatura da raiz
A CA 5 é aprovada.
Sua chave pública é 6384AF863B ...
Assinatura da RA 2
Regional Authorities
79
Segurança da Comunicação
Exemplos de Protocolos/Padrões seguros: SSL (Secure Sockets Layer) / TLS (Transport Layer
Security); IPSec (Internet Protocol Security) / IPv6 (Internet
Protocol version 6);
SET (Secure Electronic Transactions);
Exemplos de Protocolos/Padrões para e-mail seguro: PGP (Pretty Good Privacy); S/MIME (Secure Multiple Internet Mail Exchange).
80
Segurança da ComunicaçãoLocalização de protocolos dentro do TCP/IP
SMTP HTTP NNTP
TCP
IP/IPSec
(a) segurança de rede (b) segurança de transporte
SMTP HTTP NNTP
TCP
SSL
IP
Protocolos da camada de aplicativo dentro do TCP/IP
S/MIME SET
SMTP HTTP
TCP
IP
81
Segurança da Comunicação
Protocolo Descrição
SSL e TLS • Oferecem suporte de segurança criptográfica para os protocolos NTTP, HTTP, SMTP e Telnet.
• Permitem utilizar diferentes algoritmos simétricos, message digest (hash) e métodos de autenticação e gerência de chaves (assimétricos).
• SSL - Utilizado pelo HTTPS• Fornece sigilo e autenticação em conexões na web.
Muitos protocolos utilizam um Modelo Híbrido: Criptografia Simétrica e Criptografia Assimétrica.
82
Segurança da Comunicação
Protocolo Descrição
IPSec • IP Security - padrão de protocolos criptográficos desenvolvidos para o IPv6.
• Composto de três mecanismos criptográficos: Authentication Header (define a função Hash para assinatura digital), Encapsulation Security Payload (define o algoritmo simétrico para ciframento) e ISAKMP (define o algoritmo assimétrico para gerência e troca de chaves de criptografia).
• Criptografia e tunelamento são independentes. • Permite Virtual Private Network fim-a-fim. • Futuro padrão para todas as formas de VPN.
83
Segurança da Comunicação
Protocolo Descrição
SET • Conjunto de padrões e protocolos, para realizar transações financeiras seguras, como as realizadas com cartão de crédito na Internet.
• Oferece um canal de comunicação seguro entre todos os envolvidos na transação.
• Garante autenticidade e privacidade entre as partes.
84
Segurança da Comunicação
Protocolo Descrição
PGP • Inventado por Phil Zimmermman em 1991, é um programa criptográfico famoso e bastante difundido na Internet, destinado a criptografia de e-mail pessoal.
• Algoritmos suportados: hashing: MD5, SHA-1, simétricos: CAST-128, IDEA e 3DES, assimétricos: RSA, Diffie-Hellman/DSS.
85
Segurança da Comunicação
Protocolo Descrição
S/MIME • S/MIME (Secure Multipurpose Internet Mail Extensions) - consiste em um esforço de um consórcio de empresas, liderado pela RSADSI e pela Microsoft, para adicionar segurança a mensagens eletrônicas no formato MIME.
• Apesar do S/MIME e PGP serem ambos padrões Internet, o S/MIME deverá se estabelecer no mercado corporativo, enquanto o PGP no mundo do e-mail pessoal.
86
Segurança da Comunicação
Protocolo Descrição
X.509 • Recomendação ITU-T, a especificação X.509 define o relacionamento entre as autoridades de certificação.
• Faz parte das séries X.500 de recomendações para uma estrutura de diretório global, baseada em nomes distintos para localização.
• Utilizado pelo S/MIME, IPSec, SSL/TLS e SET. • Baseado em criptografia com chave pública (RSA) e assinatura digital (com hashing).
87
Segurança da Comunicação
Padrões de Criptografia
Padrões de ANSI X9, utilizada na indústria em: http://webstore.ansi.org/ansidocstore/dept.asp?dept_id=80
Padrões de Criptografia de Chave Pública em: http://grouper.ieee.org/groups/1363/
Padrões de Criptografia de Chave Pública de RSA em: http://www.rsasecurity.com/rsalabs/pkcs/index.html
88
Segurança da Comunicação
É possível obter a garantia do sigilo de forma isolada e da autenticidade também de forma isolada. Porém estas garantias devem ser obtidas de forma integrada.
Para chegar ao processo único, deve-se compor as partes para garantir:
1. integridade + autenticação,
2. integridade + sigilo e
3. Sigilo + integridade + autenticação.
89
Segurança da Comunicação
Integridade com Autenticação
Emissor - gera o código Hash a partir do documento, cifra o código Hash usando a sua chave privada gerando uma assinatura criptografada.
Documento original + Assinatura cifrada trafegam pela INTERNET chegando até o receptor.
Receptor - decifra a assinatura usando a chave pública do emissor, em seguida calcula o novo código Hash e compara o resultado com a assinatura (código Hash) decifrada. Se forem iguais, a integridade está garantida.
Emissor podendo ser identificado através de sua chave pública - autenticação também estará garantida.
90
Segurança da Comunicação
Integridade com Sigilo
Emissor - gera o código Hash a partir do documento, cifra o código Hash e a parte sigilosa do documento usando a chave pública do receptor gerando, assim, uma assinatura criptografada.
A parte não sigilosa do documento original e a assinatura trafegam pela INTERNET chegando até o receptor.
Receptor - decifra a assinatura usando a sua chave privada, em seguida calcula o novo código Hash e compara o resultado com a assinatura (código Hash) decifrada. Se forem iguais, a integridade está garantida.
Só o receptor pode decifrar a parte sigilosa através de sua chave privada - o sigilo também estará garantido.
91
Segurança da Comunicação
Sigilo, Integridade e Autenticidade
Combinar os processos anteriores em um único processo.
Emissor - deve, depois de calcular o código Hash, fazer duas cifragens: a primeira com a sua chave privada, e em seguida cifrar este resultado com a chave pública do receptor.
Receptor - deve primeiro decifrar com a sua chave privada e depois decifrar o resultado com a chave pública do emissor e, só depois, calcular o código Hash.
92
Segurança da Comunicação
Documento em papel - não há o que se discutir, tem sua validade jurídica reconhecida, por ser de fácil identificação das partes e presumir-se inalterável.
Documento eletrônico - para que tenha validade jurídica e possa servir, por si só de meio probatório em juízo, mister a ocorrência de dois requisitos: impossibilidade de alteração do seu conteúdo e perfeita identificação das partes.
O suporte informático do documento eletrônico não garante esses requisitos sem a utilização de métodos de segurança.
93
Segurança da Comunicação