Escolar Documentos
Profissional Documentos
Cultura Documentos
14/03/2010
Qualquer tipo de informao, independente do tipo de meio que esteja armazenada, que seja importante para a empresa e seus negcios. Exemplos desses ativos so:
Documentos Relatrios Manuais Correspondncias Patentes Informaes de mercado Cdigo de programao Linhas de comando Arquivos de configurao Planilhas de remunerao de funcionrios Planos de negcio de uma empresa, etc.
Disponibilidade
Integridade
Autenticidade
A informao computacional no ser aberta sem a devida autorizao, ou ainda, garantir que as informaes sejam acessveis apenas queles autorizados a terem acesso; Quebrando a Confidencialidade da Informao: Ex: algum obtm acesso no autorizado ao sua conta bancria via Internet Banking e tem acesso no autorizado as suas finanas.
Confidencialidade
No-Repdio
14/03/2010
A informao se manter inalterada ao longo da comunicao. Quebrando a Integridade dos dados: Ex: algum obtm acesso no autorizado ao informaes da sua seu computador e Declarao de Imposto de Renda, momentos antes de voc envi-la Receita Federal;
A informao estar acessvel para os usurios quando solicitada, ou ainda, garantir que os usurios autorizados tenham acesso s informaes e ativos associados quando necessrio. Quebrando a Disponibilidade de um servio: Ex: o seu provedor sofre uma grande sobrecarga de dados e por este ou um motivo voc fica impossibilitado de enviar sua Declarao de Imposto de Renda Receita Federal.
O atacante utiliza um computador para tirar de operao um servio ou computador conectado Internet
Confirma a identidade de um indivduo, ou ainda, certeza absoluta de que um objeto (em anlise) provm das fontes anunciadas.
Atacante
Quebra da Autenticidade de um indivduo: Ex: Algum envia uma mensagem de email se ). passando por outra pessoa (
Usurio Legtimo
14/03/2010
a garantia de segurana que impede uma entidade participante numa dada operao de essa participao. Exemplos: um vendedor de produtos ou servios por via eletrnica pode negar que recebeu um pagamento (adiantado) e recusar-se a fornecer o produto ou prestar o servio. Da mesma forma, um comprador desonesto pode recusar-se a pagar um produto (digital) que lhe foi fornecido, negando a sua recepo. A garantia de segurana destinada a combater este tipo de fraude chama-se
emissor? legtimos?
: Voc realmente quem esta afirmando ser? : A mensagem esta idntica quela enviada pelo
: Quem pode ler esta informao? : A informao est disponvel para os usurios
14/03/2010
Vrus Divulgao de senhas Hackers Funcionrios insatisfeitos Acessos indevidos Vazamento de informaes Erros e acidentes Falhas na segurana fsica Acessos remotos indevidos
Super poderes de acesso Uso de notebooks Pirataria Lixo informtico Divulgao indevida Roubo / Furto Fraudes
Para assegurar que os sistemas implantem as propriedades de segurana e sejam ditos seguros, existe a necessidade de adoo de
A poltica de segurana relaciona as e a um domnio, alm de definir o escopo e as caractersticas de cada servio que se pretende proteger. Ela determina regras que, quando seguidas corretamente, diminuem os riscos de incidentes de segurana organizao. um conjunto de leis, regras e prticas que regulam como a organizao gerencia, protege e distribui suas informaes e recursos.
14/03/2010
Mtodos usados para identificar um usurio: Alguma coisa que voc sabe . Alguma coisa que voc tem Alguma coisa que voc
Uma senha ( ) na Internet, ou em qualquer sistema computacional, serve para autenticar o usurio, ou seja, utilizada no processo de verificao da identidade do usurio, . assegurando que
. .
O que no se deve usar na elaborao de uma senha? Nomes; Sobrenomes; Nmeros de documentos; Pa$$w0rD Placas de Carro; Nmeros de Telefone; Datas!
Estabelecer a associao entre cada usurio e e privilgios. Indicar quem (ou o qu) pode ter acesso a algum objeto.
impressora. diretrio, arquivo ou servio de rede
Por que a autenticao uma condio prvia para a autorizao? No existe como estabelecer os direitos de uma entidade dentro de um sistema sem antes a sua identidade. Primeiro Autenticao Depois Autorizao
14/03/2010
sistema
Auditoria: a avaliao do comportamento dos sistemas analisando seus registros (logs), atividades e servios. Auditoria em um exame cuidadoso, sistemtico e independente das atividades desenvolvidas em determinada empresa ou setor, cujo objetivo averiguar se elas esto de acordo com as disposies planejadas e/ou estabelecidas previamente, se foram implementadas com eficcia e se esto adequadas (em conformidade) consecuo dos objetivos.
no tem privilgios para realizar determinadas aes: tarefas administrativas de manuteno, administrao e instalao de programas
Problema a ser combatido: Nas arquiteturas de comunicao atuais normal as mensagens passarem por pontos intermedirios at atingirem seus destinos Qualquer um destes pontos pode ler a mensagem enviada Como garantir a
Cincia matemtica que lida com a transformao de dados para mudar o seu significado em algo ininteligvel para o inimigo
14/03/2010
Torna a informao indecifrvel para invasores. Este mecanismo pode ser utilizado tanto para garantir a confidencialidade da informao, como tambm para prover a sua integridade, autenticidade.
(plaintext) : executa operaes de substituio e transformaes no texto claro : uma das entradas para o algoritmo de criptografia (cyphertext) : essencialmente, o reverso do algoritmo de criptografia
Tipos de Criptografia: Criptografia Simtrica - tambm conhecida como criptografia de Criptografia Assimtrica ou criptografia de
O termo vem do fato de que o nmero secreto que voc escolhe funciona da mesma maneira que uma chave convencional. Na criptografia, para proteger o contedo dos seus arquivos, voc instala uma fechadura ( ) na sua porta (o computador). Para operar a fechadura (encriptar os dados), voc insere a chave ( ) e a executa (em vez de girar essa chave, voc opera o programa dando um clique duplo, clicando em OK ou pressionando Enter).
14/03/2010
Na criptografia simtrica, a utilizada para cifrar e decifrar dados (da a palavra simetria). Garante a informao. (Sigilo) da
Algortmos de Criptografia simtrica so mais rpidos e exigem menos recursos computacionais que a Criptografia Assimtrica.
O emissor e o receptor devem: obter cpias da chave secreta de maneira segura; armazenar a chave de forma segura
Distribuio de Chaves
Como distribuir uma chave simtrica de forma segura sem comprometer o seu sigilo?
Exploso de chaves
Como gerenciar um quantidades muito grandes de chaves secretas?
Se algum descobrir a chave e conhecer o algoritmo, toda comunicao usando esta chave estar comprometida
14/03/2010
Cada usurio possui duas chaves: Uma Uma A chave privada deve ser particular e protegida dos demais usurios A chave pblica pode ser mantida pblica para os demais
Se deseja enviar uma mensagem para , ele cifra a mensagem com a chave pblica de Ningum pode decifrar a mensagem, pois possui a chave privada que somente permite decifrar a mensagem
O usurio gera duas chaves: uma ele torna pblico e a outra ele mantm privada Em alguns algoritmos, qualquer uma das chaves pode ser utilizada para cifrar. A outra chave ser utiliza para decifrar
14/03/2010
37
Como a mensagem foi cifrada com a chave de A, somente A pode ter preparado a mensagem impossvel alterar a mensagem sem ter acesso a chave de A, ento mensagem em termos de origem e em termos de dados
Mensagem
Alg. Hash
Resumo
Valor Fixo de 20 Bytes
Mensagem
dos
Resumo Assinado
Resumo Assinado
10
14/03/2010
Mensagem Chave Pblica Do Emissor Mensagem Algoritmo Assinatura Digital Resumo Assinado
Alg. Hash
Resumo
Valor Fixo de 20 Bytes
Resumo Assinado
Resumo Assinado
Resumo
=?
Mensagem Algoritmo de Hash Resumo Resumo Assinado
Resumo
=?
Mensagem Algoritmo de Hash Resumo
O processo de autenticao , pois qualquer pessoa com a chave pblica do emissor das chaves abre a mensagem!
A Criptografia de Chave Pblica pode ser utilizada para: Confidencialidade autenticidade as partes cooperam para a troca de uma chave de sesso
11
14/03/2010
Uma terceira parte confivel (Autoridade Certificadora - AC) assina um certificado atestando que uma determinada chave pblica pertence a tal usurio evitar a utilizao ou publicao falsa de chaves pblicas
As chaves pblicas assinadas digitalmente por uma AC confivel constituem os certificados digitais
Alm da chave pblica, um certificado pode conter outras informaes de uma entidade:
12
14/03/2010
um conjunto de hardware, software, pessoas, polticas e procedimentos necessrios para criar, gerenciar, armazenar, distribuir e revogar certificados digitais, com base na criptografia de chave pblica
Possibilita a associao entre chaves pblicas e usurios A Autoridade Certificadora assina os certificados com a sua chave privada O padro de certificados mais comum o ITU-T X.509
As operaes e processos referentes aos certificados e s chaves pblicas levaram a criao de uma PKI (ou ICP) Regras para emisso de certificados Regras para revogao de certificados Protocolos para troca de chaves Leis e jurisdio a respeito da ICP
Proteo contra
Interceptao de trfego de informao de uma maneira desautorizada.
Proteo contra
Intercepo fsica (do sinal, no dos dados) ocorrida num canal de transmisso.
Previnir Personificaes:
13
14/03/2010
um certificado no assinado que apresenta a chave pblica de uma AC (ou auto-assinado); Este certificado importantssimo para a PKI, pois a assinatura da AC ser verificada utilizando-se ele
Atesta que entidade possui determinados atributos (ex: nome completo, residncia, email, etc)
Os certificados raiz so implicitamente confiveis. Eles so includos em muitos programas conhecidos, como os Browsers. Voc precisa confiar que o fabricante acoplou ao programa certificados raiz legtimos
Processo no qual uma entidade se registra a uma autoridade certificadora, geralmente por meio da Autoridade de Registro (AR)
Processo em que uma AC envia um certificado digital para a entidade que a solicitou e o coloca em um repositrio.
14
14/03/2010
Em algumas situaes, uma organizao quer ter acesso a informaes que esto protegidas, quando um funcionrio no esta disponvel (ex: doente). A PKI deve fornecer um sistema que permita a recuperao de chaves, sem apresentar riscos inaceitveis de comprometimento da chave privada
Dependendo da poltica da AC, o par de chaves pode ser gerado pelo prprio usurio ou pela AC Se a AC gerar as chaves, elas podem ser distribudas para o usurio atravs de um ,
Entidade criadora dos certificados digitais Pode ser interna a uma organizao ou um terceiro confivel
15
14/03/2010
2 3. O usurio pega o certificado digital armazenado 1. Solicita o acesso a um recurso Valido ? 3 2. Requisita o Certificado Digital 4. Usurio apresenta o certificado 6. 7. Recusa o Certificado 7. Concede o acesso ao Recurso Certificado Valido ? Repositrio de chaves, Certificados, CRL
5. A aplicao autentica o certificado digital do usurio
Aplicao
Autoridade Certifcadora
16
14/03/2010
, pode modificar um
17