tp316 - p2 - criptografia e certificação digital

5/22/2018 TP316 - P2 - Criptografia e Certifica o Digital

1/31

www.i

natel.br

33

www.i

natel.br

Criptografia e Certificao Digital Unid. 2

Unidade 2Criptografia e Certificao Digital

www.i

natel.br

34

www.i

natel.br


Amigos e inimigos: Alice, Bob e Trudy

Bob e Alice querem se comunicar de forma segura. Trudy (intruso) pode interceptar, apagar e adicionar

mensagens falsas.

TransmissorSeguro

ReceptorSeguro

canal dados, controlemensagens

dados dados

Alice Bob

Trudy

TransmissorSeguro

ReceptorSeguro

canal dados, controlemensagens

dados dados

Alice Bob

Trudy


2/31

www.i

natel.br

35

www.i

natel.br


Quem so Bob e Alice de fato?

Bobs e Alices! Web browser/servidor de transaes eletrnicas (p.ex.,

compras on-line).

Cliente/servidor de transaes bancrias.

Servidores DNS (Domain Name System).

Roteadores atualizando tabelas de roteamento.

www.i

natel.br

36

www.i

natel.br


Quem Trudy?

Roubar segredos de armas bacteriolgicasTerrorista

Descobrir segredos militares do inimigoEspioRoubar nmero de cartes de crditoVigarista

Negar promessa feita a um cliente atravs de uma mensagemde correio eletrnico

Corretor de valores

Desfalcar dinheiro da empresaContador

Vingar-se por ter sido demitidoEx-funcionrio

Descobrir estratgias de marketing do concorrenteExecutivo

Testar o sistema de segurana de algum; roubar dadosHacker

Divertir-se bisbilhotando as mensagens de correio eletrnico

de outras pessoas

Estudante

ObjetivoAdversrio

Fonte: Tanenbaum


3/31

www.i

natel.br

37

www.i

natel.br


Tipos de Ataque

Grampo: interceptao de mensagens.Insero: envio de mensagens falsas.

Personalizao: troca do endereo do remetente deum pacote (ou qualquer campo do pacote).

Sequestro: remoo do remetente ou do

destinatrio de uma conexo, inserindo-se no seulugar.

Destruio de servio:restrio ou negao deacesso a um servio (ex. sobrecarga de recursos).

www.i

natel.br

38

www.i

natel.br


A nomenclatura em criptografia

Criptografia de chave simtrica: chaves de cifragem e decifragemidnticas.

Criptografia de chave assimtrica: chave de cifragempblica, chave dedecifragem secreta (privada).

Mensagem outexto em claro

Mensagem outexto em claro

texto cifradoou criptograma

KAalgoritmo

decifragem

algoritmode

decifragem

Chave decifragem

da Alice

Chave dedecifragem do BobKB


4/31

www.i

natel.br

39

www.i

natel.br


Criptografia de chave simtricaCifra de substituio: substitui-se uma coisa por outra.

cifra monoalfabtica: substitui-se um caractere por outro. cifra polialfabtica: utiliza-se um conjunto de regrasmonoalfabticas, de acordo com uma chave.

Mensagem: bob, eu te amo. alice

Criptograma: nan, qg fq mya. mxuoq

Exemplo: Chave simtrica monoalfabtica

P: difcil quebrar esta cifra simples?

Chave:M

www.i

natel.br

40

www.i

natel.br


Cifra de Substituio

Chave


5/31

www.i

natel.br

41

www.i

natel.br


Cifra de SubstituioExemplos:

1: Usando a Cifra de Csar (k=3), cifrar a mensagem:Curso de Segurana em Redes

2: Usando a cifra polialbabtica com chave CPQ, cifrara mensagem Curso de Segurana em Redes

www.i

natel.br

42

www.i

natel.br


Criptografia de chave simtricaCifra de transposio: reordena-se os caracteres sem,

no entanto, substitu-los.

Mensagem:

Criptograma:

Ex.:

Fonte: Tanenbaum


6/31

www.i

natel.br

43

www.i

natel.br


Criptografia de chave simtrica

Cifra de produto: mescla as tcnicas de substituio epermutao.

Elementos bsicos: (a) P-box. (b) S-box. (c) Produto.

Fonte: Tanenbaum

www.i

natel.br

44

www.i

natel.br


Cifra de ProdutoExemplos:

a) Caixa P- entrada 0 1 2 3 4 5 6 7 sada 3 6 0 7 1 2 4 5

b) Caixa S- Entrada dos nmeros octais 0 1 2 3 4 5 6 7.- Sada dos valores octais 2 4 5 0 6 7 1 3.

c) Cifra de Produto- Combinao de caixas P e S


7/31

www.i

natel.br

45

www.i

natel.br


Criptografia de chave simtrica

Criptografia simtrica: Bob e Alice compartilham amesma chave: K p.ex., a chave o padro de substituio na cifragem

monoalfabtica.

P: Como Bob e Alice combinam uma chave em comum?

AB

mensagem, m mensagem, mcriptograma

KAB

Algoritmo decifragem

Algoritmo dedecifragem

KAB

K (m)AB

K (m)ABm = K ( )AB

www.i

natel.br

46

www.i

natel.br


DES: Data Encryption Standard

Verso refinada do algoritmo LUCIFER Algoritmo concludo em 1971 pela IBM e vendido ao

Lloyds Bank de Londres para uso em sistemas de caixaeletrnico. Chave de 128 bits.

Os dados tambm so codificados em blocos de 64bits, porm fazendo uso de uma chave de 56 bits.

Adotado pelo NIST (National Institute of Standards

and Technology) em 1977, como FIPS PUB 46 (FederalInformation Processing Standard 46).


8/31

www.i

natel.br

47

www.i

natel.br


DES: viso geral

permutao inicial. 16 rounds idnticos de

cifragem de produto,usando sub-chavesdiferentes de 48 bits.

permutao final. decifragem: chaves em

ordem inversa.

Operao DES

www.i

natel.br

48

www.i

natel.br


DES: detalhe de cada round


9/31

www.i

natel.br

49

www.i

natel.br


Quo seguro o DES

Chave de 56 bits: existem 2^56 7,2x10^16 chavespossveis.

Desafio DES (RSA Data Security Inc - 1997): frase cifradacom chave de 56 bits (Strong cryptography makes theworld a safer place) foi decifrada por fora bruta em menosde 4 meses, aps testado do espao de chaves (cerca de 18quatrilhes de chaves)

6,4x10^6 anos2x10^26 s = 6,4x10x12

anos

26! = 4x10^2626 caracteres

(permutao)

5,9x10^30 anos2^167 s = 5,9x10^36 anos2^168 = 3,7X10^50168

5,4x10^18 anos2^127 s = 5,4x10^24 anos2^128 = 3,4x10^38128

10,01 horas2^55 s = 1142 anos2^56 = 7,2x10^1656

2,15 ms2^31 s = 35,8 min2^32 = 4,3x10^932

Tempo necessrio para10^6 decriptografias/s

Tempo necessrio para 1decriptografia/s

No de ChavesTamanho da chave (bits)Fonte: Stallings

www.i

natel.br

50

www.i

natel.br


cifragem decifragem

Quo seguro o DES

Em 1999, o NIST emitiu uma nova verso do padro(FIPS PUB 46-3), onde o DES s deveria ser usadoem sistemas legado; nos demais sistemas, deveria serusado o 3-DES


10/31

www.i

natel.br

51

www.i

natel.br


AES: Advanced Encryption Standard

Em 1997, o NIST requisitou propostas para umnovo padro de criptografia, com grau desegurana igual ou superior ao 3-DES e umaeficincia melhorada (maior tamanho de bloco eprocessamento mais rpido)

Algoritmo Rijndael(J. Daemen & V. Rijmen) foiselecionado dentre 15 concorrentes:

Processa os dados em blocos de 128 bits. Chaves de 128, 192 ou 256 bits.

Novo padro foi publicado pelo NIST em novembrode 2001 (FIPS PUB 197).

www.i

natel.br

52

www.i

natel.br


AES: viso geral

adio inicial. 10 rounds de cifra-

gem, usando sub-chavesdiferentes de 128 bits.

no h mixagem no roundfinal.

Decifragem usa funesinversas.

Operao AES


11/31

www.i

natel.br

53

www.i

natel.br


Exemplos de algoritmos de chave simtrica

Muito forte, amplamenteutilizado128 a 256Bruce SchneierTwofish

Segunda melhor escolha168IBMDES triplo

Muito forte128 a 256Anderson, Biham, KnudsenSerpentMelhor escolha128 a 256Daemen e RijmenRijndael

Bom, mas patenteado128 a 256Ronald RivestRC5

Algumas chaves so fracas1 a 1024Ronald RivestRC4

Bom, mas patenteado128Massey e XuejiaIDEA

Muito fraco para usaragora56IBMDES

Velho e lento1 a 448Bruce SchneierBlowfish

ComentriosTamanho da Chave(bits)

AutorCifra

Fonte: Tanenbaum

www.i

natel.br

54

www.i

natel.br


Criptografia de Chave Pblica

Cripto. de chave simtricaRequer que o remetente e o

destinatrio compartilhemuma chave secreta.

P: como estabelecer umachave, a primeira vez(particularmente se nunca sereuniram)?

Cripto. de chavepblicaEnfoque radicalmente diferente

[Diffie-Hellman 76, RSA 78].O remetente e o destinatrio

no compartilham uma chavesecreta.

Chavepblica de cifragem conhecida por todos.

Chaveprivadade decifragem conhecida somente pelodestinatrio.


12/31

www.i

natel.br

55

www.i

natel.br


Criptografia de Chave Pblica

texto em claro

mensagem, m

criptogramaalgoritmo decifragem

algoritmo dedecifragem

chave pblicade Bob

texto em claromensagem

K (m)B+

KB+

chave privadade Bob

K B-

m = K (K (m))B+B-

www.i

natel.br

56

www.i

natel.br


Algoritmos de chave pblica

funes K ( ) e K ( ) tais que

dada uma chave pblica K , deveser impraticvel computar-se achave privada K .

Requisitos (Diffie e Hellman, 1976):

1

2

Algoritmo RSA: Rivest, Shamir, Adelson (1978)

B .-

K (K (m)) = mBB

- +

B+

B-

B .+


13/31

www.i

natel.br

57

www.i

natel.br


RSA: Escolha das chaves

1. Selecione dois nmeros primos grandesp, q.

2. Compute n= pq, z = (p-1)(q-1).

3. Escolha e(com e


14/31

www.i

natel.br

59

www.i

natel.br


RSA: Exemplo

Bob escolhep=3, q=11. Ento, n=33, z=20.e=3 (logo, e & z so primos entre si).d=7 (logo, ed-1 divisvel por z.)

letra m me c = m mod ne

E 05 125 26

c m = c mod nd

26 8031810176 05

cd letraE

cifragem:

decifragem:

www.i

natel.br

60

www.i

natel.br


RSA: Exerccio

cifragem decifragem


15/31

www.i

natel.br

61

www.i

natel.br


RSA: Por que ?m = (m mod n)e mod nd

Teorema de Euler: Sep, q so primos e n = pq, ento:

(m mod n)e mod n = m mod nd ed

x mod n = x mod ny ymod (p-1)(q-1)

= m mod ned mod (p-1)(q-1)

= m mod n1

= m

(usando o teorema acima)

(j que escolhemos ed divisvel por(p-1)(q-1) com resto 1)

www.i

natel.br

62

www.i

natel.br


RSA: outra propriedade importante

A seguinte propriedade ser muitotil adiante:

K (K (m)) = mBB- +

K (K (m))BB+ -

=

usa a chave pblicaantes, seguida da

chave privada

usa a chave privadaantes, seguida da

chave pblica

O resultado o mesmo!


16/31

www.i

natel.br

63

www.i

natel.br


RSA: Segurana A segurana do RSA se baseia na dificuldade em se fatorar

grandes nmeros rapidamente. Em 1977, Rivest lanou um desafio pela revista Scientific

American, usando uma chave (n) de 129 dgitos ( 428 bits), quena poca levaria 40 quatrilhes de anos para ser fatorado.

Em 1994 Lenstra anunciou a quebra do RSA-129. Para conseguiressa proeza, ele recrutou 600 voluntrios pela Internet.

O nmero RSA-129 e seus dois fatores:

114381625757888867669235779976146612010218296721242362562561842935706935

245733897830597123563958705058989075147599290026879543541 =

3490529510847650949147849619903898133417764638493387843990820577

32769132993266709549961988190834461413177642967992942539798288533

www.i

natel.br

64

www.i

natel.br


RSA: Desempenho

Atualmente, considera-se que o RSA seguro se n da ordemde 768 bits para aplicaes domsticas, e 1024 bits para

aplicaes corporativas. As operaes de exponenciao de nmeros de centenas de bits

requeridas pelo RSA demandam muito tempo de processamento.Tipicamente, para computadores pessoais obtm-se taxas dealgumas dezenas de kilobits por segundo.

Os algoritmos simtricos DES ou AES permitem a operaocentenas ou milhares de vezes mais rpida.

comum se adotar um sistema misto RSA + DES.


17/31

www.i

natel.br

65

www.i

natel.br


Sistema Misto RSA/DESObjetivo: Alice quer enviar uma grande quantidade de

dados cifrados para Bob.chave pblicade Bob

KB+

chave privadade Bob

KB-

KB

(KS)

+

chave de sesso(DES), sorteadapor Alice

KS

KS (m) m = KS (KS (m))

KS = KB (KB (KS))+-

mensagem, m

www.i

natel.br

66

www.i

natel.br


Autenticao

Objetivo: Bob quer que Alice prove sua identidadepara ele.

Protocolo ap1.0: Alice diz Eu sou Alice.

Falha nasegurana??

Eu sou Alice


18/31

www.i

natel.br

67

www.i

natel.br


Identidade falsa:- Numarede de dados, Bob no pode

ver Alice, assim Trudysimplesmente se declaracomo sendo Alice!

Eu sou Alice

Objetivo: Bob quer que Alice prove sua identidadepara ele.

Protocolo ap1.0: Alice diz Eu sou Alice.

Autenticao

www.i

natel.br

68

www.i

natel.br


Autenticao: outra tentativa

Protocolo ap2.0: Alice diz Eu sou Alice em um pacote IP

contendo seu endereo IP.

Eu sou AliceEndereoIP de Alice Falha nasegurana??


19/31

www.i

natel.br

69

www.i

natel.br


Spoofing:- Trudypode criar

um pacote com o

endereo IP de Alice.

Eu sou AliceEndereoIP de Alice


Protocolo ap2.0: Alice diz Eu sou Alice em um pacote IPcontendo seu endereo IP.

www.i

natel.br

70

www.i

natel.br


Eu souAlice

End. IPde Alice

Senhade Alice

OKEnd. IPde Alice


Protocolo ap3.0: Alice diz Eu sou Alice e envia suasenha secreta para prov-lo.

Falha nasegurana??


20/31

www.i

natel.br

71

www.i

natel.br


Ataque playback:- Trudy grava o pacotede Alice e o envia para

Bob mais tarde.

Eu souAlice

End. IPde Alice

Senhade Alice

OKEnd. IP

de Alice

Eu souAlice

End. IPde Alice

Senhade Alice


Protocolo ap3.0: Alice diz Eu sou Alice e envia suasenha secreta para prov-lo.

www.i

natel.br

72

www.i

natel.br


Autenticao: ainda outra tentativa

Protocolo ap3.1: Alice diz Eu sou Alice e envia sua senhasecreta criptografadapara prov-lo.

Eu souAlice

End. IPde Alice

Senhacifrada

OKEnd. IPde Alice

Falha nasegurana??


21/31

www.i

natel.br

73

www.i

natel.br


Ataque deplayback

ainda funciona!

Eu souAlice

End. IPde Alice

Senhacifrada

OKEnd. IP

de Alice

Eu souAlice

End. IPde Alice

Senhacifrada

Autenticao: ainda outra tentativa

Protocolo ap3.1: Alice diz Eu sou Alice e envia sua senhasecreta criptografadapara prov-lo.

www.i

natel.br

74

www.i

natel.br


Autenticao: mais outra tentativaObjetivo: evitar o ataque de playback.Nonce: nmero (R) usado s uma vez na vida.

ap4.0: para provar que Alice est viva, Bob envia paraAlice um nonce (R). Alice deve retornar R, cifrado com achave secreta conhecida apenas por eles.

Eu sou Alice

R

K (R)AB

Alice est viva, es ela conhece a

chave para cifraro nonce, logo eladeve ser Alice!


22/31

www.i

natel.br

75

www.i

natel.br


Autenticao: mais outra tentativa

ap4.0 requer chave simtrica compartilhada. possvel efetuar autenticao usando tcnicas dechave pblica?ap5.0: usa nonce e criptografia de chave pblica.

Eu sou Alice

RBob computa

K (R)A-envie a sua chave pblica

KA+

(K (R)) = RA-KA

+

e sabe que s Alicepoderia ter a chave

privada que cifraria Rtal que(K (R)) = RA

-KA

+

www.i

natel.br

76

www.i

natel.br


Ataque homem no meio: Trudy se passa por Alice(para Bob) e como Bob (para Alice).

Eu sou Alice Eu sou AliceR

TK (R)-

Envie a sua chave pblica

TK+

AK (R)-

Envie a sua chave pblica

AK+

TK (m)+

Tm = K (K (m))+

T-Trudy obtm

e envia mcifrada para

Alice

AK (m)+

Am = K (K (m))+

A-

R

ap5.0: furo na segurana


23/31

www.i

natel.br

77

www.i

natel.br


Difcil de detectar: Bob recebe tudo que Alice transmite, e vice-versa. (i.e., Bob e

Alice podem se encontrar uma semana mais tarde e lembrar daconversa.

O problema que Trudy recebe todas as mensagens tambm!

ap5.0: furo na seguranaAtaque homem no meio: Trudy se passa por Alice

(para Bob) e como Bob (para Alice).

www.i

natel.br

78

www.i

natel.br


Assinaturas Digitais

Tcnica criptogrfica anloga s assinaturas a mo livre.

O remetente (Bob) assina digitalmente o documento,estabelecendo que ele o autor/proprietrio domesmo.

O destinatrio (Alice) pode provar que Bob, e ningummais (inclusive Alice), deve ter assinado o documento.


24/31

www.i

natel.br

79

www.i

natel.br



Assinatura digital simples da mensagem m:Bob assina mcifrando-a com sua chave privada KB,criando a mensagem assinada, KB(m).

Querida Alice

Ah, como sinto sua

falta. Eu penso em voc

o tempo todo! (blah

blah blah)

Bob

mensagem de Bob, m

Algoritmo dechave pblica

chave privadade Bob

KB-

Mensagem deBob, m, assinada

(cifrada) com sua

chave privada

KB-(m)

-

-

www.i

natel.br

80

www.i

natel.br



Suponha que Alice receba a mensagem me a corres-

pondente assinatura digital KB(m).Alice verifica se mest assinada por Bob aplicando achave pblica de Bob e verificando se KB(KB(m) ) = m.

Alice verifica que: Bob assinou m. Ningum mais assinou m.

Bob assinou me no m.Bob no pode negar: Alice pode apresentar m, e a assinatura KB(m) em juzo e

provar que Bob assinou m.

-

-+

-


25/31

www.i

natel.br

81

www.i

natel.br


Resumo de mensagem

Cifragem de mensagenslongas com algoritmo de chavepblica ineficiente.

Objetivo:Obter uma impresso digitalda mensagem, de tamanhofixo e de cmputo simples.Aplica-se a funo hash Hem m, obtendo-se o resumo damensagem, H(m).

Propriedades funes Hash:Funo muitos-para-um,produzem resumos de mensagensde tamanho fixo (impressodigital)Dado o resumo x, impra-ticvelencontrar mtal que x= H(m).

mensagem(longa)

m

funoHash

H(m)

www.i

natel.br

82

www.i

natel.br


Checksum: uma funo hash fraca

O checksum, muito usado na Internet, tem algumas propriedadesde uma funo hash: produz resumos de mensagens de tamanho fixo (soma de 16-bit). Funo do tipo muitos-para-um.

Mas, dada uma mensagem com um certo checksum, fcilencontrar outra mensagem com o mesmo checksum:

I O U 1

0 0 . 9

9 B O B

49 4F 55 31

30 30 2E 39

39 42 4F 42

mensagem formato ASCII

B2 C1 D2 AC

I O U 9

0 0 . 19 B O B

49 4F 55 39

30 30 2E 3139 42 4F 42

mensagem formato ASCII

B2 C1 D2 ACmensagens diferentescom checksum idnticos!


26/31

www.i

natel.br

83

www.i

natel.br


Bob envia uma mensagem assinada

digitalmente:

Alice verifica a assinatura e a

integridade da mensagem assinadadigitalmente:mensagem

mH: funo

Hash H(m)

assinaturadigital

(cifragem)

chaveprivadade Bob KB

-

+ KB(H(m))-resumocifrado

KB(H(m))-

resumocifrado

mensagemm

H: funoHash

H(m)

assinaturadigital

(decifr.)

H(m)

Bobspublic

keyKB

+

igual?

Assinatura digital = resumo da mens. assinado

www.i

natel.br

84

www.i

natel.br


MD5 (RFC 1321):

Fornece resumos de 128 bits computados em quatro passos. Dada uma seqncia arbitrria de 128 bits x, difcilconstruir uma mensagem m cujo hash MD5 seja igual a x.

SHA-1: Padro nos EUA [NIST, FIPS PUB 180-1]. Resumos de 160 bits.

Algoritmos de Funes Hash


27/31

www.i

natel.br

85

www.i

natel.br


Intermedirios ConfiveisProblema chave simtrica:

Como duas entidadesestabelecem uma chave secretacompartilhada pela rede?

Soluo:Centro de distribuio de chavesconfivel (KDC - Key DistributionCenter) atuando comointermedirio entre as entidades.

Problema chave pblica:

Quando Alice obtm a chavepblica de Bob (a partir de umweb site, e-mail, disquete), qual a garantia que essa real-mente a chave pblica de Bob,no a de Trudy?

Soluo :Autoridade de certificaoconfivel (CA - CertificationAuthority)

www.i

natel.br

86

www.i

natel.br


Centro de Distribuio de Chaves (KDC)

Alice e Bob necessitam de uma chave simtrica.

KDC: servidor compartilha diferentes chaves secretascom cadausurio registrado (muitos usurios).

Alice e Bob tm chaves simtricas individuais, KA-KDC eKB-KDC , para a comunicao com o KDC.

KB-KDC

KX-KDCKY-KDC

KZ-KDC

KL-KDC

KB-KDC

KA-KDC

KA-KDC

KL-KDC

KDC


28/31

www.i

natel.br

87

www.i

natel.br


Centro de Distribuio de Chaves (KDC)

Como o KDC permite que Bob e Alice estabeleam uma chavesimtrica para que eles se comuniquem com segurana?

Alice e Bob utilizam R1 como chave de sessocompartilhada para acifragem simtrica dos dados.

Alicerecebe

R1

Bob recebeR1 para se

comunicarcom Alice

KDC gera R1

KB-KDC(A,R1)

KA-KDC(A,B)

KA-KDC(R1, KB-KDC(A,R1) )

www.i

natel.br

88

www.i

natel.br


Autoridades Certificadoras (CA)

Autoridade certificadora (CA): guarda e certifica achave pblica de uma identidade particular, E. Usurio Eregistra sua chave pblica junto ao CA.

Efornece uma prova de identidade ao CA. CA cria um certificado digital ligando E sua chave pblica. O certificado contm a chave pblica de Eassinada digital-

mente pela CA. (CA garante: esta a chave pblica de E ).

chavepblica

de Bob KB+

Assinaturadigital

(cifragem)chave

privadada CA KCA

-

KB+

certificado da chavepblica de Bob, assinado

pela CA


29/31

www.i

natel.br

89

www.i

natel.br


Autoridades Certificadoras (CA)

Quando Alice necessita da chave pblica de Bob: acessa o certificado digital de Bob, aplica a chave pblica da CA sobre o certificado de Bob e

obtm a chave pblica de Bob.

chavepblicade BobKB

+

Assinaturadigital

(decifragem)

Chavepblicada CA

KCA+

KB+

www.i

natel.br

90

www.i

natel.br



30/31

www.i

natel.br

91

www.i

natel.br


www.i

natel.br

92

www.i

natel.br


Um certificado contm:

Informaes doproprietrio docertificado

Informaes doemissor docertificado

Validade


31/31

www.i

natel.br

93

www.i

natel.br


Um certificado contm:

www.i

natel.br

94

www.i

natel.br


Lista de Exerccios 02:

tp316 - p2 - criptografia e certificação digital

Documents