Escolar Documentos
Profissional Documentos
Cultura Documentos
Para Encriptar e Decriptar Os Dados.: Criptografia Simétrica (Ou Criptografia de Chave Única)
Para Encriptar e Decriptar Os Dados.: Criptografia Simétrica (Ou Criptografia de Chave Única)
Como j foi dito, a criptografia (Cripto=enigma, grafia=escrever A arte de escrever por enigmas)
um processo matemtico usado para embaralhar os dados de uma mensagem que deve ser secreta
(confidencial).
Criptografia Simtrica
DES: usa chaves de 40 e 56 bits. J est obsoleto, mas o mais usado ainda;
3DES (Triple DES): usa chaves de 168 bits. 3 vezes mais pesado e mais seguro que o
DES, porque criptografa a mensagem 3 vezes seguidas, usando DES. Ento, em suma, ele usa
trs chaves diferentes de 56 bits que, combinadas, resultam numa chave de 168 bits.
AES: usa chaves de 256 bits. o substituto do DES e 3DES (ainda est ganhando fama).
Na criptografia assimtrica no criada uma nica chave, mas um par delas. Uma das
chaves serve SOMENTE PARA ENCRIPTAR mensagens. A outra chave serve SOMENTE PARA
DECRIPTAR mensagens.
As duas chaves so matematicamente relacionadas, no podendo haver uma delas sem a outra
(ou seja, quando um programa gera um par de chaves A e B, por exemplo -, ele no poder
gerar A sem B, nem B sem A). como gentica: as duas chaves tm o mesmo DNA, uma delas
no pode ser criada em conjunto com uma terceira, s existir com aquela outra chave
especificamente. As duas chaves so geradas exatamente no mesmo momento!
Por sua vez, a chave que decripta mensagens (chamada chave de decodificao
criptogrfica, ou chave de decriptao) ser armazenada secretamente com seu titular (dono).
Essa a Chave Privada ou Chave Secreta.
1) Eu gero um par de chaves para mim (usando um programa apropriado para isso);
2) Depois de geradas, guardo, seguramente, o arquivo que contm minha chave privada;
3) Envio para todos os meus amigos a minha chave pblica (posso at publicar numa
pgina da Internet para ficar mais fcil);
4) Quando voc quiser me enviar um e-mail SIGILOSO, vai usar seu programa de e-mail
(Outlook Express, por exemplo) e pedir que ele criptografe a mensagem usando a minha
chave pblica. Quando a mensagem for cifrada e enviada, ningum no meio poder
decifr-la!
5) Quando o e-mail chegar minha caixa postal, todo embaralhado, eu uso minha chave
privada para decifr-lo. Como os algoritmos de Criptografia Assimtrica definem isso:
do par de chaves criado, uma delas CIFRA e a outra DECIFRA (apenas isso!).
Mesmo que outra pessoa tenha a minha chave pblica (o que ser normal, visto que ela
pblica), no ser capaz de entender um e-mail interceptado que era direcionado a mim... S
quem poder decifrar a mensagem sou eu, usando a minha chave privada!
Em suma: todos os usurios vo ter que possuir um par de chaves: uma que dever
ser mantida em segredo com cada um deles (a privada, para decifrar mensagens) e
uma que dever ser publicada, ou, pelo menos, enviada a todos aqueles de quem o
usurio deseja receber mensagens sigilosas (a pblica, mas cifrar mensagens).
Dentre os algoritmos mais usados para criptografia assimtrica, est o RSA, usado em vrias
aplicaes na Internet, como E-mails, pginas seguras, acesso a arquivos seguros. O Algoritmo
RSA utiliza chaves de 256, 512, 1024 e 2048 bits(comercialmente, s at o 1024, porque o
Departamento de Defesa Americano probe, at agora, o uso de chaves de 2048 bits s eles
podem usar!).
Usa uma nica chave para encriptar e Usa chaves diferentes para encriptar e
decriptar mensagens; decriptar mensagens;
Existe apenas uma nica chave para todos os Cada usurio que ir se comunicar possui
envolvidos na comunicao. um par de chaves prprio;
ALGORITMOS DE CRIPTOGRAFIA
SIMTRI
HASH ASSIMTRICO CO
ECC (CURVAS
MD5 ELPTICAS) DES
SHA-1 DIFFIE-HELLMAN RC4
RIPEMD-
160 DSA RC5
BLOWFIS
TIGER EL GAMAL H
RSA IDEA
AES
RC6
Ex: SSL O RSA forma o canal segura e o RC4 usado para o sigilo das informaes.
Como a criptografia tem como intuito fazer com que uma mensagem no seja lida por pessoas
no autorizadas, o princpio da segurana atingido por essa tcnica , sem dvidas, a
Confidencialidade (privacidade).
"[...] h divergncia entre o que prega a literatura consagrada e o que vemsendo
adotado pelo CESPE em suas questes acerca do tema em tela. A saber:
1) Para o CESPE:
Criptografia Simtrica Confidencialidade e Integridade
Criptografia de Chave Pblica Confidencialidade, Integridade, Autenticao e
Irretratabilidade (No-Repdio)
O nico servio que no pode ser obtido por meio do uso da criptografia a
disponibilidade.
2-CERTIFICADO DIGITAL
Um certificado digital, ou identidade digital, pode ser visto como uma carteirade identidade
para uso na internet. Tecnicamente, um certificado digital umconjunto de dados (um
arquivo), assinado digitalmente pela autoridade certificadora e contento tipicamente
informaes como: Chave pblica do certificado; Nome e endereo de e-mail do dono do
certificado; Nome e assinatura digital daautoridade certificadora; Privilgios de acesso a sites
seguros; Outras.
O padro mais comum para certificados digitais no mbito de uma Infra-estrutura de Chaves
Pblicas (ICP) o ITU-T X.509. O X.509 foi adaptado para a Internet pelo grupo da Internet
EngineeringTask Force (IETF), onde mais conhecido pelo padro PKIX.
Modelo hierrquico.
Vantagens:
- A infraestrutura fsica para manter esse modelo mais simples que a do modelo hierrquico;
- Se a chave de uma das entidades que autenticam o certificado for comprometida, no h
interferncia nas demais chaves. S ocorre apenas a sua excluso na rede de confiana.
Desvantagens:
- O gerenciamento dessa estrutura complicado
- E menos seguro, pois uma pessoa pode mudar seu comportamento se valendo da confiana
adquirida;
- O certificado digital precisa da assinatura de todas as entidades que confiam na sua validade,
ou seja, quanto mais as pessoas confiam em voc, maior ser o seu certificado.
b) Modelo hierrquico
Vantagens:
- Possui um gerenciamento mais simples e prtico
- muito mais seguro, pois a confiana parte de uma entidade governamental;
- Se o certificado no estiver revogado, ele tem validade em toda a jurisdio a qual ele est
ligado perante terceiros;
- Permite que assinaturas digitais seja consideradas juridicamente vlidas desde que seja
garantida a segurana de toda a infraestrutura da AC-Raiz e das demais ACs.
Desvantagens:
- Se a chave de uma AC for comprometida, todos os certificados emitidos por ela tem sua
validade comprometida;
- O custo de montagem da infraestrutura maior, devido a necessidade de investimentos
pesados em segurana para se manter uma AC (geralmente uma AC est instalada em uma
sala-cofre protegida contra catstrofes naturais, com acesso restrito e cheio de procedimentos
de segurana, possuindo uma cpia da mesma sala em outra cidade);
Padro X.509padro da ITU-T para a criao de uma infraestrutura de chaves pblicas (ICP).
O X.509, atualmente, est na verso 3, e padroniza os formatos das chaves pblicas e atributos
para os certificados, listas de revogao de certificados (certificate revocation lists CRL), e
algoritmos para procura do caminho de validao. O X.509 um padro derivado da famlia de
padres X.500, que definiram o Directory Access Protocol DAP (que originou o LDAP), e por
isso, ele organizado por uma por meio de uma estrutura de diretrios em rvore, cujos
elementos podem ser identificados pelos Distinguished Names (DN).
Certificado (informaes)
o Verso;
o Nmero de Srie;
o Algoritmo de Assinatura;
o Certificador;
Validade;
o Extenses (opcional);
Assinatura do certificado.
DICA: Segundo o padro X.509, o certificado digital no deve conter a chave privada do
usurio.Isso ocorre justamente para que ela no seja comprometida. Para se armazenar a
chave privada, usa-se dispositivos fsicos que evitam o acesso direto chave, como Tokens e
Smart Cards.
3-ASSINATURA DIGITAL
1) O Remetente (Joo), escreve um e-mail para Jos e o assina, usando, para isso, sua chave privada;
2) A mensagem no criptografada, apenas assinada, ou seja, o remetente usa sua chave privada
para gerar um valor numrico associado ao e-mail. Esse valor nico para cada chave (ou seja, no
h duas pessoas no planeta ou ser muito difcil que tenham mesma assinatura);
3) Quando a mensagem chegar ao destino, Jos usar a chave pblica de Joo (bvio que Jos tem que
possu-la antes de qualquer outra coisa) para confirmar, matematicamente, que trata-se da
assinatura feita pela chave de Joo.
4) Quando confirmada, Jos pode ter certeza de que a mensagem de e-mail realmente veio de Joo
(pois muito difcil que outra pessoa possua sua chave privada, a menos que ela a chave tenha
sido extraviada).
Assinatura Digital
O Algoritmo DSA usa as chaves criptogrficas de um usurio para assinar mensagens. Esse
algoritmo no pode ser usado para criptografia, somente para assinatura digital.
O Ambiente, formado por vrios nveis (ACs, Usurios, ACs Raiz, ARs) chamado PKI, ou ICP:
Infra-estrutura de Chaves Pblicas. Uma PKI um conjunto de regras, tcnicas, prticas e
procedimentos que existe para gerar garantias aos seus usurios. Uma PKI , em
suma, uma grande cadeia de confiana em que, quando se confia em um de seus
componentes, se est confiando tambm, em toda a PKI.
Definio da PKI de acordo com o livro de Nakamura uma infraestrutura de
segurana na qual os servios so implementados e utilizados, por meio de conceitos e
tcnicas de chaves pblicas. tambm um conjunto de HW, SW, pessoas, polticas e
procedimentos necessrios para criar, gerenciar, armazenar, distribuir e revogar certificados
digitais, c/ base na criptografia de chave pblica.
Componentes da PKI:
1-Autoridade Certificadora (CA)
2-Organizational RegistrationAuthorities (ORAs) ou Autoridade de Registro (RA)
3-Servio de diretrio, ex: LDAP
4-Certificate Holders (quem pode assinar digitalmente)
5-Clientes/Usurios
Cifras em Bloco
(DES-64 bits, sendo 56 bits realmente utilizados pelo algoritmo e 8 bits para checar a paridade)
(AES, o algoritmo possui uma chave principal e, a partir dela, so geradas Nr + 1 chaves)
Um algoritmo que toma uma string de tamanho fixo de um texto plano e a transforma, atravs de uma srie de
complicadas operaes, em um texto cifrado de mesmo tamanho.
Na cifra em bloco, um bloco de determinado tamanho deve ser cifrado de cada vez e o conjunto de operaes
matemticas envolvendo a chave repetido a cada bloco, como mostra a Figura 2. No possvel cifrar menos do que
o tamanho de um bloco. Os algoritmos que operam com blocos efetuam operaes de substituio e transposio
simultaneamente.
No caso da cifra da figura anterior, o tamanho do bloco 64 bits. Como o arquivo no mltiplo de 64 bits, um
enchimento, chamado de padding, foi inserido no bloco 5. Cabealhos inseridos no arquivo cifrado devem informar qual
foi o algoritmo usado, qual o tamanho de bloco e qual o tamanho real do arquivo para que no momento da decriptao
o padding seja descartado.
As cifras em bloco so melhores para criptografar dados estticos, onde j se sabe antecipadamente o tamanho e se
podem dividir em blocos de M bits. Um possvel problema com cifras em bloco o fato da existncia de blocos
repetitivos que acabam por criar um padro. Para evitar o reconhecimento de padres repetitivos usam-se os feedback
modes:
Electronic Code Book (EBC) - Neste modo, a mensagem dividida em blocos de tamanho adequado, cada
bloco cifrado em separado e os blocos cifrados so concatenados na mesma ordem (Figura 3). O grande
inconveniente desta tcnica que blocos da mensagem original idnticos vo produzir blocos cifrados idnticos, o
que pode no ser desejvel.
Cipher Block Chaining (CBC) - Neste modo feita uma operao OU EXCLUSIVO (XOR) do bloco de texto plano
com o texto cifrado antecedente, e ento ocorre a codificao (Figura 4). utilizado um vetor de inicializao para
iniciar o processo, j que no existe texto cifrado para o bloco inicial.
Figura 4 - Modo CBC
Cipher Feedback Block (CFB) - Neste modo, cada bloco de texto cifrado antecedente codificado, e o resultado
combinado com o bloco de texto plano atravs do operador XOR para produzir o bloco cifrado atual (Figura 5).
Tambm se utiliza um vetor de inicializao para iniciar o processo.
Output Feedback Block (OFB) - Este modo muito similar ao CFB, exceto pelo fato de que a quantidade de XOR
com cada bloco de texto plano gerada independentemente do bloco de texto plano ou do bloco de texto cifrado
(Figura 6).
Cifras em bloco operam em blocos de dados. Cifras de fluxo, tambm conhecidas como cifras em cadeia, operam em
unidades menores, geralmente bits, o que as torna bem mais rpidas.
Cifras de fluxo geram uma seqncia de bits que ser usada como chave, conhecida como keystream, a partir de uma
chave inicial. A encriptao ocorre pela combinao do texto plano com a keystream atravs de operaes XOR
(Figura 7).
Na cifra de fluxo, no necessrio ter um bloco para cifrar. Cifra-se o que se tem e, se desejar, no momento que se
quiser. Por exemplo, os algoritmos de substituio usados no passado permitiam cifrar letra a letra e no precisavam
ser agrupadas para completar um bloco. De fato, todos os algoritmos histricos so considerados como cifras de fluxo.
Gab: A
6-AMEA X VULNERABILIDADE
Quando existem uma vulnerabilidade E uma ameaa simultaneamente, ocorre o que se chama, em
segurana da informao, um RISCO. Risco o produto vulnerabilidade X ameaa. Assim, se h
uma vulnerabilidade (falta de proteo contra terremotos), mas no h ameaa (sabe-se que na rea no
ocorrem terremotos), o risco minimizado. O objetivo das contra-medidas preventivas minimizar o
risco. Isso se consegue ou diminuindo as vulnerabilidades (instalar anti-virus, atualizar as verses, treinar
os funcionrios) ou - mais raramente - diminuindo as ameaas (seguir regras de segurana, cultivar boas
relaes).
7-TIPOS DE ATAQUES
O IP spoofing uma tcnica na qual o endereo real do atacante mascarado, de forma a evitar que ele seja
encontrado. Essa tcnica muito utilizada em tentativas de acesso a sistemas nos quais a autenticao tem como
base endereos IP, como a utilizada nas relaes de confiana em uma rede interna. Alguns autores, adotam a
seguinte definio para spoofing Este ataque consiste em "mentir" o nmero IP da mquina, geralmente trocando-o
por um nmero IP qualquer. Isto pode ser feito atravs de manipulao direta dos campos do cabealho do pacote.
A tcnica de IP spoofing tambm utilizada juntamente com um ataque de negao de servio, o qual consiste em
disparar algum processo que sobrecarregue a mquina ou algo que ela no consiga finalizar. Um bom exemplo de
ataque, que junta IP Spoofing com ataque de negao de servio o Syn flood.
O ataque buffer overflow funciona inserindo muitos dados dentro da pilha de memria, o que causa que outra
informao que est na pilha seja sobrescrita. Como voc pode imaginar, informaes importantes, so armazenadase
acessadasa partir das pilhas da memria, por exemplo, todas as informaes manipuladas pelo sistema operacional.
Condies de buffer overflow podem geralmente ser usadas para executar cdigos arbitrrios nos sistemas, sendo
considerados, portanto, de alto risco. interessante notar que grande parte das vulnerabilidades encontradas nos
sistemas referente a buffer overflow, como as que foram reportadas ultimamente em 2003, que envolvem rotinas da
biblioteca do Sun RPC, DLL do Windows, ou o servidor de e-mail Sendmail.
HijackingAttacks - Seqestro de sesso o processo de tomar posse de uma sesso ativa existente. Os ataques
de seqestro de sesso entre mquinas so os ataques mais complexos dentre os demais e exploram bastante as
vulnerabilidades dos protocolos de rede. Neste tipo de ataque, existe uma terceira mquina, entre duas mquinas que
esto trocando informaes, que ir seqestrar a comunicao. Esta mquina denominada de homem no meio, do
ingls, man-in-a-middle.
Como voc pode ver, Bob no executa nenhum papel no ataque spoofing. No h problema se a mquina de Bob est
ligada ou at mesmo conectada ou no na rede. No ponto de vista de um ataque de sequestro de sesso, Bob
desempenha um papel ativo.
Os ataques de negao de servio (Denial of service) fazem com que recursos sejam explorados de maneira
agressiva, de modo que usurios legtimos ficam impossibilitados de utiliz-los, por estarem indisponveis, ou por terem
tido sua performance extremamente reduzida. O Denial of service pode ser executado intencionalmente ou
acidentalmente. Ele causado intencionalmente quando um usurio no autorizado sobrecarrega um recurso; e
acidentalmente quando os usurios executam alguma atividade que torna o ambiente indisponvel. O Denial of
service pode ser efetuado de diversas formas. Abaixo apresentaremos algumas formas comuns nas quais o DOS
efetuado.
SYN Flooding Esse ataque explora o mecanismo de estabelecimento de conexes TCP, baseado em handshake
em trs vias (three way handshake). A caracterstica dos ataques de SYN Flooding que um grande nmero de
requisies de conexo (pacotes SYN) enviado, de tal maneira, que o servidor no capaz de responder a
todas elas. A pilha de memria sofre um overflow e as requisies de conexes legtimas so, ento, desprezadas.
Essa tcnica utilizada em diversos ataques.
Smurf O Smurf um ataque no nvel de rede, pelo qual um grande trfego de pacotes ping (ICMP echo)
enviado para o endereo IP de broadcast da rede, tendo como origem o endereo de IP da vtima (IP Spoofing).
Assim, com o broadcast, cada host da rede recebe a requisio de iCMP echo, passando todos eles a responderem
para o endereo de origem, que falsificado. A rede afetada, pois todos os seus host s respondem requisio
ICMP, passando a atuar como um amplificador. E a vtima, que teve seu endereo IP falsificado, recebe os pacotes de
todos esses host s, ficando desabilitada para executar suas funes normais, sofrendo assim uma negao de servio.
Alguns equipamentos, como os roteadores da CISCO, possuem mecanismos como o Committed AccessRate (CAR),
que pode limitar o trfego de determinados pacotes a uma determinada banda. Sua utilizao para limitar o nmero de
pacotes ICMP echo e echo replay so, assim, interessantes para no compromete completamente a rede. O CAR
tambm pode impedir o ataque de TCP SYN Flooding.
QUESTES DE CONCURSOS:
1 - Q219990 ( Prova: FCC - 2012 - TRE-CE - Analista Judicirio - Anlise de Sistemas / Segurana da Informao / Criptografia; )
a) Em uma rede privada virtual no possvel enviar dados criptografados atravs da Internet.
b) A criptografia de chave simtrica utiliza uma chave pblica e uma chave privada para codificar e decodificar a mesma
informao.
2 - Q220593 ( Prova: FCC - 2012 - TRE-CE - Tcnico Judicirio - Programao de Sistemas / Segurana da Informao / Criptografia; )
a) Na criptografia/descriptografia simtrica, a chave privada que usada para criptografia diferente da chave pblica usada para
decriptografia. A chave pblica est disponvel ao pblico geral; a chave privada fica disponvel apenas para um indivduo.
b) Na criptografia de chave assimtrica, a mesma chave usada pelo emissor (para criptografia) e pelo receptor (para
descriptografia). A chave compartilhada.
c) A cifra de Csar uma cifra de substituio que troca um smbolo por outro na mensagem, mantendo a mesma posio.
d) Embora o algoritmo RSA possa ser usado para criptografar e descriptografar mensagens reais, muito lento se a mensagem for
longa. , portanto, til para mensagens curtas como pequeno resumo de mensagem ou uma chave simtrica a ser usada para um
criptosistema de chave simtrica.
O padro de criptografia que uma cifra simtrica de bloco que usa um tamanho de bloco de 128 bits e um tamanho de chave de
128, 192 ou 256 bits conhecido como:
4 - Q214865 ( Prova: FCC - 2012 - TJ-PE - Analista Judicirio - Anlise de Suporte / Segurana da Informao / Criptografia;
)
a) Todos os algoritmos de criptografia so baseados na substituio, em que cada elemento do texto claro mapeado em outro
elemento.
b) A tcnica para esconder uma mensagem secreta dentro de uma maior, de modo que outros no possam discernir a presena ou o
contedo da mensagem oculta conhecida como esteganografia.
c) Um ataque criptoanaltico a um sistema de criptografia envolve a tentativa de cada chave possvel at que seja obtida uma
traduo inteligvel de texto cifrado para texto claro.
d) Se tanto o emissor quanto o receptor utilizarem a mesma chave, o sistema considerado como criptografia assimtrica ou de
chave nica.
e) Uma cifra de bloco processa os elementos da entrada continuamente, produzindo a sada de um elemento de cada vez, enquanto
prossegue.
5 - Q215401 ( Prova: FCC - 2012 - TJ-PE - Tcnico Judicirio - Programador de Computador / Segurana da Informao / Criptografia; )
Analise o texto:
Pedro envia uma mensagem codificada para Ana. Para codificar o texto, Pedro usa a chave pblica de Ana. Para Ana decodificar e
ler a mensagem que recebeu de Pedro, ela ter que usar a chave privada, relacionada chave pblica usada por Pedro no
processo de codificao. Somente Ana conhece a chave privada.
a) criptografia de chave secreta. b) criptografia simtrica. c) criptografia assimtrica. d) cifra de Csar. e) esteganografia.
6 - Q215073 ( Prova: FCC - 2012 - TJ-PE - Tcnico Judicirio - Suporte Tcnico / Segurana da Informao / Criptografia; )
I. O algortimo RSA de caracterstica simtrica, pois se d pela utilizao de chaves pblicas e privadas.
II. O algortimo oferece as funcionalidades de criptografia e assinatura digital de mensagens pela utilizao de chaves pblicas e
privadas.
III. O RSA se baseia na utilizao de nmeros primos para a gerao das chaves, sendo que sua segurana garantida pela
dificuldade atual de fatorao de grandes nmeros.
7 - Q215074 ( Prova: FCC - 2012 - TJ-PE - Tcnico Judicirio - Suporte Tcnico / Segurana da Informao / Criptografia; )
Para se enviar uma mensagem criptografada do usurio A para o usurio B com a utilizao de infraestrutura de chaves pblicas,
necessrio que antes do envio o usurio A cifre a mensagem com
a) a chave privada de B.
8 - Q215075 ( Prova: FCC - 2012 - TJ-PE - Tcnico Judicirio - Suporte Tcnico / Segurana da Informao / Criptografia; )
Para se enviar uma mensagem digitalmente assinada do usurio A para o usurio B com a utilizao de infraestrutura de chaves
pblicas, necessrio que antes do envio, o usurio A cifre a mensagem com
c) a chave privada de B.
d) a chave pblica de B.
9 - Q213486 ( Prova: FCC - 2012 - TRT - 11 Regio (AM) - Analista Judicirio - Tecnologia da Informao / Segurana da
Informao / Criptografia; )
Corresponde a uma funo de hash criptogrfico, a um algoritmo de criptografia simtrica e a um algoritmo de chave pblica,
respectivamente,
10 - Q214093 ( Prova: FCC - 2011 - TCE-PR - Analista de Controle - Informtica / Segurana da Informao / Criptografia; )
a) garantir que todas URLs e funes de negcio sejam protegidas por um mecanismo de controle de acesso efetivo que verifique as
funes e direitos do usurio antes que qualquer processamento ocorra.
b) usar algoritmos de criptografia fortes como MD5 e SHA1 ou um algoritmo de criptografia prprio.
d) usar APIs seguras, como por exemplo, queries parametrizadas e bibliotecas de mapeamento objeto relacional em aplicaes que
acessem bancos de dados, caso haja a necessidade de invocar um interpretador.
e) usar somente algoritmos de criptografia aprovados publicamente como, AES, criptografia de chaves pblicas RSA, SHA-256 etc.
Comentrios da questo 1:
Redundncia
O primeiro princpio que todas as mensagens criptografadas devem conter alguma
redundncia, ou seja, informaes que no so necessrias para a compreenso da
mensagem.
Atualidade
O segundo princpio criptogrfico tomar algumas medidas para assegurar que cada
mensagem recebida possa ser confirmada como uma mensagem atual, isto , enviada
muito recentemente. Essa medida necessria para impedir que intrusos ativos reutilizem
mensagens antigas.
O protocolo TLS usa o algoritmo HMAC (keyed- Hashing for Message Authentication Code), que
produz hashes mais seguros que o MAC, utilizado pelo SSL.
O HMAC descreve o procedimento de anexar uma chave secreta aos dados antes de calcular o
resultado do funo de resumo, garantindo que as entidades que desejem computar um
resultado idntico para um mesmo conjunto de dados devam ambos utilizar a mesma chave
secreta.
PROVA DISCURSIVA
Sabemos que o IPSec, padro de fato das VPNs, utiliza 2 cabealhos e opera
em 2 modos. Comente sobre os cabealhos, os modos e suas diferenas.
O IPSec possui dois cabealhos, o AH (authentication header) e o ESP (encapsulating
security payload).
Ambos os protocolos de segurana (AH ou ESP) podem operar por meio de dois modos,
o modo transporte e o modo tnel.
O modo tnel cria um novo cabealho IP encapsulando o antigo cabealho junto com os
protocolos de camada superior. O protocolo de segurana fica entre o novo cabealho
IP e o antigo, garantindo segurana (criptografia e/ou autenticao) para o antigo
protocolo IP e os demais protocolos de camadas superiores (transporte e aplicao). o
modo utilizado em VPNs, geralmente sendo aplicado em um gateway de hosts
(roteador) ou em um gateway de segurana (firewall).