MBA – Gestão e Tecnologia em Segurança da Informação

CPK Criptografia

Professor Ms. Rodolfo Avelino

 SSL
Secure Socket Layer
DESCRIÇÃO

O protocolo SSL provê a privacidade e a integridade de dados

entre duas aplicações que comuniquem pela internet. Isso ocorre
por intermédio da autenticação das partes envolvidas e da
cifragem dos dados transmitidos entre as partes.
Descrição

Ajuda a prevenir que intermediários entre as duas extremidades

das comunicações obtenham acesso indevido ou falsifiquem os
dados que estão sendo transmitidos.
SSL

Padrão global em tecnologia de segurança desenvolvida pela

Netscape em 1994. Ele cria um canal criptografado entre um
servidor web e um navegador (browser) para garantir que todos
os dados transmitidos sejam sigilosos e seguros.
SSL
● Serviço de segurança na camada de transporte;
● o SSL versão 3.0 foi lançado em 1996 com a contribuição do público;
● posteriormente tornou-se padrão da Internet conhecido como TLS
(Transport Layer Security)-RFC 2246
● usa o TCP para fornecer um serviço confiável end-to-end;
SSL
● O SSL executa a autenticação das 2 partes envolvidas nas
comunicações (cliente e servidor) baseando-se em certificados
digitais;
● utiliza-se do conceito introduzido por Diffie-Hellman nos anos 70
(criptografia de chave pública) e Phil Zimmermann (criador do
conceito PGP);
● Autenticação entre cliente e servidor (mútua)
SSL

É possível reconhecer um web server com SSL, por meio da

indicação https e o cadeado na URL do website acessado.
SSL
HTTP SMTP POP3 HTTPS SSMTP SPOP3
80 25 110 443 465 995

Secure Sockets Layer

Transport

Network

Link
SSL e chaves públicas
● Cada cliente-servidor usa um par de chaves
– 2 chaves públicas
● uma para o cliente (browser)

– criado quando o navegador é instalado na máquina

● uma para servidor (http servidor)

– Geralmente criado na instalação do servidor

– 2 chaves privadas
● um para o browser do cliente

● uma para servidor (http servidor)

Arquitetura SSL
● SSL – Secure Socket Layer - é uma camada de rede que pode ser
usada por diversas aplicações, equivale à camada 5 (sessão) do
modelo OSI. O mais comum é usá-lo para fornecer comunicação
privada entre servidores de páginas (web) e seus clientes
(navegadores).
● O protocolo HTTP com o SSL se chama HTTPS e usa a porta 443 no
lugar da porta 80.
Arquitetura SSL
● Sessão SSL - Associação entre um cliente e o servidor. Criada pelo
protocolo handshake (aperto de mão). Define os parâmetros
criptográficos de segurança.
● Protocolo Handshake - Parte mais complexa do protocolo SSL
● Permite que servidor e cliente se autentiquem (autenticação mútua)
● Negocia algoritmos de cifragem e negocia chaves criptográficas de
sessão (segredo compartilhado)
● Usado antes de qualquer dado da aplicação ser transmitido
HTTPS

HTTPS (Hyper Text Transfer Protocol Secure) é a versão segura

do HTTP (Hyper Text Transfer Protocol). Meios seguros de
transferência de dados usando o protocolo https na internet são
necessários para efetuar transações online seguras, como os
serviços bancários ou compras online.
HTTPS

o HTTPS criptografa a sessão com um certificado digital,

utilizando o HTTP sobre SSL (Secure Sockets Layer) utilizado
pelos navegadores.
HTTPS

Fonte Imagem: http://www.tecmundo.com.br/seguranca/1896-o-que-e-ssl-.htm

HTTPS
Certificação Digital

A certificação digital funciona com base em

um documento eletrônico chamado
certificado digital. Mas, para entender a
função desse recurso, convém estudarmos
antes outro conceito: a assinatura digital.
Assinatura Digital
Assinatura
Manuscrita
Assinatura Manuscrita

A semelhança da assinatura
digital e da assinatura
manuscrita restringe-se ao
princípio de atribuição de autoria a
um documento.
Assinatura Manuscrita

As assinaturas seguem um padrão ,

sendo semelhantes entre si e possuindo
características pessoais e
biométricas de cada indivíduo.
Assinatura Manuscrita

tangível, o
Ela é feita sobre algo
papel, responsável pela
vinculação da informação
impressa à assinatura.
Assinatura
Manuscrita
A veracidade da
assinatura
manuscrita é feita
por uma comparação
visual a uma
assinatura verdadeira
tal como aquela do
documento de
identidade oficial.
Assinatura Digital

Nos documentos eletrônicos não existe um

modo simples para relacionar o documento com a
assinatura. Ambos são compostos apenas pela
representação eletrônica de dados (0s e 1s), que
necessitam de um computador
para a sua visualização e conferência.
Assinatura Digital – Transmissão
Assinatura Digital – Recepção
 Assinatura Digital
• Garante a identificação do assinante e/ou remetente
(autenticidade e não repúdio)
• Possibilita a qualquer momento verificar se o conteúdo foi
alterado (integridade)
• Pode garantir o sigilo (com criptografia)

• É o principal componente de uma ICP

Protocolos, padrões e serviços para aplicação de

criptografia de chaves públicas e estabelece a
identidade de um usuário para autenticação
Certificado Digital
Basicamente, trata-se de um documento eletrônico com
assinatura digital que contém dados como:
• nome do utilizador (que pode ser uma pessoa, uma
empresa, uma instituição, etc.);
• entidade emissora (você saberá mais sobre isso adiante);
• prazo de validade e;
• chave pública.

Fonte: Infowester
Certificado Digital
Com o certificado digital, a parte interessada
obtém a certeza de estar se relacionando
com a pessoa ou entidade esperada.

Fonte: Infowester
Certificado Digital
Para que possa ser aceito e utilizado por
pessoas, empresas, governos e qualquer tipo
de instituição, os certificados digitais precisam
ser emitidos por entidades apropriadas. No
Brasil, essas entidades se dividem em duas
categorias: Autoridade Certificadora(AC)e
Autoridade de Registro(AR).
Fonte: Infowester
AC
Uma AC pode ser pública ou privada e tem a função de
associar uma identidade a uma chave e "inserir" esses
dados em um certificado digital. Para tanto, o
solicitante deve fornecer documentos que comprovem
a sua identificação.
AR
Tem uma função intermediária: ela pode solicitar
certificados digitais ou a revogação destes a uma AC,
por exemplo, mas não pode emitir esse documento
diretamente.
PKI/ICP
É conveniente que cada nação conte com uma
Infraestrutura de Chaves Públicas(ICP) ou, em inglês,
Public Key Infrastructure(PKI), isto é, um conjunto de
políticas, técnicas e procedimentos para que a
certificação digital tenha amparo legal e forneça
benefícios reais.
O Brasil conta com a ICP
Brasil para essa finalidade.

Quem gerencia esta

estrutura é o ITI.
Infraestrutura ICP-Brasil
Certificados Digitais
Smart Card Vs Cartão Magnético

Armazena Informações
Armazena Informações

Processa Informações
Não Processa Informações
Dados Certificado Digital Nome da Pessoa

CPF ou CNPJ
CPF do Resp. CNPJ

PIS / PASEP
Titulo Eleitor
Registro Geral
Chave Pública
Data de Validade
Nome Autoridade Certificadora

Chave Privada Ident. Sistema Criptográfico

Hardware Certificado Digital

Desktop
Leitora Smart Card

Smart Card

Notebook
Token USB
 Classificação Certificado Digital

A1 A2 A3 A4

Mídia

Geração Software Hardware Hardware Hardware

Chave

Bits da
1024 1024 1024 2048
Chave

Validade 1 ano 2 anos 3 anos 3 anos

Certificados para Servidores Web
Tipos de Certificado SSL- Validação de
Domínio (DV)
Os certificados com validação de domínio
(Domain Validation) são os mais simples e
também os que tem o processo de emissão mais
rápido, levando em média 30 minutos para ativá-
lo.
Tipos de Certificado SSL- Validação
Organizacional (OV)
Os certificados com validação para organização (Organization
Validation) já são mais completos e precisam de maiores informações
para finalizar o processo de emissão.
Neste tipo de certificado é validado se sua organização realmente
existe, confirmando via telefone seus dados empresariais como
telefone, endereço, CNPJ e nome fantasia.
Tipos de Certificado SSL- Validação Estendida
(EV)
Estes certificados possuem maior grau de validação, pois é necessário
enviar documentos físicos da sua organização, além dos dados já
citados no Certificado OV.

É o único responsável por deixar a barra de endereços do seu

navegador totalmente verde (Green Bar), nesse caso não é apenas um
cadeado e realmente uma barra verde que contém o nome fantasia da
sua organização.
Certificados para Domínios (Single Domain)
Os certificados comuns (Single Domain) são utilizados quando é preciso
certificar apenas 1 domínio, este domínio poder ser uma aplicação
online, um site institucional ou até mesmo uma loja virtual como por
exemplo:

www.avelinux.com.br
Certificados para Domínios (WildCard)
certificados coringa são aqueles que validam todos os
subdomínios de um determinado domínio, normalmente são
utilizados quando você precisa de diversos nomes antes do
seu domínio, por exemplo:

www.avelinux.com.br
blog.avelinux.com.br
ead.avelinux.com.br
Certificados para Domínios (WildCard)
• Este tipo de certificado vai garantir a proteção de TODOS os
servidores e nomes que forem emitidos desta forma
https://*.rodolfoavelino.com.br.

• Certificados coringa (Wildcard) são necessários em

ambientes com diversos servidores, ou com nomes em seus
subdomínios pertencentes a uma determinada aplicação.
Certificados para Domínios (Multi Domain)
• São utilizados quando você deseja proteger mais de um site,
aplicação ou servidor com o mesmo certificado.

• Nesse caso ao adquirir o certificado você pode proteger 3

domínios diferentes por exemplo:
https://www.seudominio1.com.br,
https://www.seudominio2.com.br e
https://www.seudominio3.com.br.

com a possibilidade de proteger até 100 domínios com o mesmo

certificado.
Prazo de validade
Até março de 2015 os certificados poderiam ser emitidos com períodos
maiores de até 5 anos, porém a legislação mudou e agora é desta
forma:

Todos os Certificados SSL podem ser emitidos por um prazo de até 2

anos, seja para validação de domínio (DV), validação de organização
(OV) ou validação estendida (EV).
Aplicando a criptografia
 ccrypt

Exemplo de ferramenta simples de criptografia simétrica em modo

texto para criptografar: fotos, vídeos, imagens entre outros arquivos.
Instalando CCRYPT

apt-get install ccrypt

Criando um arquivo
Criando um arquivo simples com o nome teste

Digitando Olá Salve o arquivo digitando

simultâneamente as teclas
”CTRL e O”. Digite a tecla
ENTER e em seguida
”CTRL e X” para sair do
editor de arquivos.
Criptografando o arquivo
l Criptografando o arquivo criado (teste)

l Inserindo a chave simétrica

Mão na massa!
l O arquivo teste agora está criptografado e o arquivo
agora se chama teste.cpt

l Olha como o conteúdo do texto que é ”Olá” está

criptografado:

0
Descriptografando
Criptografando Email
PGP

•Em 1991, Phil Zimmermann desenvolveu um

software de criptografia de e-mail chamado
Pretty Good Privacy, ou PGP. Ele concebeu o
software para ser usado ativistas pela paz na
organização do movimento anti-nuclear.
 PGP

•PGP (Pretty Good Privacy), não é um algoritmo de criptografia,

embora muitas pessoas tendem a pensar nisso dessa forma. PGP
é na verdade um programa de criptografia que utiliza ambos os
algoritmos simétricos e assimétricos para criptografar dados. Ele é
mais frequentemente usado para o e-mail por existir alguns
programa e plugins, mas também pode ser usado para
criptografia de disco e apagar com segurança os dados de um
disco.
Aplicativos necessários
Cliente de Complemento
email do cliente email

OU +

Caso você use o Sistema

Operacional Windows
também será necessário
instalar o programa GPG
Abrindo Enigmail
Abrindo Gerenciamento de chaves
Gerando seu par de chaves
Gerando par de chaves
Criptografando Mensagem Instantânea
 OTR

O Off-the-Record (OTR) é uma camada de criptografia

que pode ser adicionada a qualquer sistema existente
de mensagem instantânea (bate-papo), desde que
você se conecte no sistema de bate-papo usando um
cliente de conversa que suporte OTR, como o Pidgin,
Chat Secure ou o Adium.
 OTR

O OTR utiliza uma combinação do algoritmo de chave simétrica

AES, a troca de chaves Diffie-Hellman além da função hash SHA-
1. O OTR não depende de chaves de longo prazo, como
normalmente é usado em chaves públicas. Por sua vez, usa
chaves curto espaço de tempo, para evitar a decodificação das
mensagens.
PIDGIN
l Aplicativo livre
l Multiplataforma
l Suporta redes de
mensagens como:
Gtalk, FacebookTalk,
MSN, entre outras
The guardian project
Alguns projetos

K9 - Criptografia de e-mail
por dispositivos móveis

CHAT SECURE -
Criptografia de mensagens
instantâneas em protocolo
XMPP por meio do OTR
Alguns projetos

ORWEB- navegando WEB

por meio da rede TOR

OSTEL - Criptografia de
ligações telefônicas por
celular
Fontes
• www.inf.ufsc.br/~bosco.sobral/extensao/material.../Criptografia-
Chave-Simetrica.ppt
 Grato!

Facebook: rodolfoavelino
Twitter: rodolfo_avelino