Autenticação – Aula 05

Profa Paulo Lopes da Silva Junior

Segurança e Auditoria de Sistemas

 AUTENTICAÇÃO

● Questões decorrentes
● Como garantir a autenticidade de quem envia a mensagem?
● Como garantir a integridade do conteúdo?
● Assinatura Digital x Certificado Digital

2
AMEAÇAS AO AMBIENTE
ELETRÔNICO

3
AMEAÇAS AO AMBIENTE
ELETRÔNICO

4
 AUTENTICAÇÃO

● Assinatura Digital
●
Algumas vezes há a necessidade de se provar quem escreveu um
documento e manter as informações desse documento sem
modificações
● Solução: serviços de autenticação e integridade dos dados
● A autenticidade de muitos documentos é determinada pela presença
de uma Assinatura Digital

5
 AUTENTICAÇÃO

● Assinatura Digital
●
Item que acompanha um determinado dado e apresenta as seguintes
funções
● Confirmar a origem do dado
●
Certificar que o dado não foi modificado
●
Impedir a negação da origem

6
 AUTENTICAÇÃO

● Vantagens do envio de mensagem “assinada”

● O receptor poderá verificar a identidade alegada pelo transmissor
● Posteriormente, o transmissor não poderá repudiar o conteúdo da
mensagem
● O receptor não terá a possibilidade de forjar ele mesmo a mensagem

7
 AUTENTICAÇÃO

● Cenários de preocupações legítimas

●
Transferência eletrônica de fundos – o receptor aumenta a quantidade
de fundos transferidos e afirma que o valor maior chegou do emissor
●
E-mail com instruções para uma transação que no futuro foi um
fracasso – o emissor finge que o e-mail nunca foi enviado

8
 AUTENTICAÇÃO

● Tipos de assinatura digital

● Assinaturas de Chave Pública
● Resumo da mensagem (hash)

9
 Autenticação

● Assinaturas de Chave Pública

10
 AUTENTICAÇÃO

● Assinaturas digitais com o uso de chave pública

●
Assume-se que os algoritmos de criptografia e decriptografia têm a
propriedade que:
● EB(DA(P)) = P e DB(EA(P)) = P, onde DA(P) é a assinatura do texto plano P com a chave
privada DA e EA(P) é a verificação da assinatura com a chave pública EA.

11
 AUTENTICAÇÃO

●
Assinaturas de Chave Pública – Problemas
relacionados ao ambiente no qual operam
●
Bob só poderá provar que uma mensagem foi enviada por Alice
enquanto D permanecer secreta
●
Se Alice revelar sua chave secreta, o argumento deixará de existir -
qualquer um poderá ter enviado a mensagem

12
 AUTENTICAÇÃO

● Assinaturas de Chave Pública – Críticas

● Reúnem sigilo e autenticação
● Em geral, o sigilo não é necessário
● Cifragem da mensagem inteira é lenta
● Solução: Resumo da mensagem (hash)

13
 AUTENTICAÇÃO

● Resumo da mensagem (hash)

●
Algoritmo Hash é usado quando a autenticação é necessária, mas o
sigilo não
●
Resumo de mensagens é um método de autenticação que não exige a
criptografia de um documento inteiro
● É um método para agilizar algoritmos de assinatura digital

14
 AUTENTICAÇÃO

● Resumo da mensagem (hash)

● Representante de uma mensagem maior
● Verifica a integridade de dados
●
O método se baseia numa função hash unidirecional que extrai um
trecho qualquer do texto claro e a partir dele calcula uma string de
bits de tamanho fixo
●
Essa função de hash, chamada de resumo de mensagem, geralmente
representada por MD (Message Digest), tem quatro propriedades

15
 AUTENTICAÇÃO

● Propriedades
1) Se P for fornecido, o cálculo de MD(P) será muito fácil.
2) Se MD(P) for fornecido, será impossível encontrar P.
3) Dado P, ninguém pode encontrar P’ tal que MD(P’) = MD(P)
4)Uma mudança na entrada de até mesmo de 1bit produz uma saída
muito diferente

16
 Autenticação

● Resumo da mensagem (hash)

17
 AUTENTICAÇÃO

● Resumo da mensagem (geração)

● Entra-se com os dados a serem resumidos e o algoritmo (SHA –
Secure Hash Algorithm, por exemplo) gera um hash MD de 128 ou 160
bits (dependendo do algoritmo)
●
Em seguida, computada uma MD, criptografa-se o hash gerado com
uma chave privada do emissor

18
 Autenticação

● Resumo da mensagem (verificação)

19
AUTENTICAÇÃO
 Resumo da mensagem (verificação)
1) Executa-se a função MD (usando o mesmo algoritmo
MD que foi aplicado ao documento na origem),
obtendo- se um hash para aquele documento, e
posteriormente, decifra-se a assinatura digital com a
chave pública do emissor

2) A assinatura digital decifrada deve produzir o mesmo

hash gerado pela função MD executada pelo
receptor
3) Se estes valores são iguais é garantido que o documento
não foi modificado após a assinatura do mesmo, caso
contrário, o documento ou a assinatura, ou ambos
foram modificados
20
 AUTENTICAÇÃO

● Resumo da mensagem (verificação)

●
A assinatura digital, como descrita no exemplo anterior, não garante a
confidencialidade da mensagem
●
Qualquer um poderá acessá-la e verificá-la, mesmo um intruso (Eve),
apenas utilizando a chave pública do emissor (Alice)

21
 AUTENTICAÇÃO –
ASSINATURA DIGITAL
● Observações importantes
●
A criptografia de chave simétrica fornece privacidade sobre os dados
sigilosos
●
A criptografia de chave pública resolve o problema da distribuição de
chaves
● Resumo de mensagem assegura integridade
● Uma assinatura oferece autenticação e não-repúdio

22
 AUTENTICAÇÃO –
ASSINATURA DIGITAL
● É importante saber que
● Processo que tem como principal propósito garantir o sigilo,
integridade e autenticidade dos documentos eletrônicos e
documentos envolvidos em transações eletrônicas

●
Trabalha basicamente, com a captura e análise de dados biométricos
(impressão digital, exame de fundo de olho, reconhecimento de fala,
de locutor, etc.)
23
 Autenticação – Assinatura Digital

●
Assinatura digital é suficiente para garantir a
segurança?

24
 AUTENTICAÇÃO –
ASSINATURA DIGITAL
● Assinatura digital é suficiente?
 As assinaturas digitais, por si só, servem muito bem à
verificação de uma quantidade limitada de pessoas,
com as quais você está familiarizado.

 E se você receber uma mensagem de alguém que

você não conheça ou de uma empresa
desconhecida?
 Qualquer pessoa pode obter um par de chaves e
assinar uma mensagem, mas esta poderia estar se
fazendo passar por outra.

25
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● Justificativa
●
É necessário que o usuário tenha certeza de que a chave pública que
está utilizando é autêntica
●
Pequeno grupo – poderia trocar as chaves públicas e guardá-las de
forma segura
● Grande grupo – troca manual de chave é impraticável

26
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● Certificado Digital
● Arquivo digital que contém as informações necessárias à identificação
de um indivíduo ou programa, equipamento, componente, produto,
etc, incluindo sua chave pública
● Principal função de um certificado
●
Vincular uma chave pública ao nome de um protagonista (indivíduo,
empresa, etc.)
●
Os certificados em si não são secretos ou protegidos. Usualmente
estão disponíveis em uma base de acesso livre na Internet

27
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● Funcionamento
● Autoridade Certificadora (AC)
●
Entidade que emite certificados para possuidores de chaves públicas e privadas
(pessoa, dispositivo, servidor)
●
Autoridades de Registro (AR)
●
São as responsáveis pelo processo final na cadeia de Certificação Digital,
responsáveis por atender os interessados em adquirir certificados, coletar os
documentos para encaminhá-los às ACs, responsáveis pela emissão

28
 Autenticação – Certificado Digitais
● Funcionamento

29
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● Funcionamento
● Atribuições de uma CA
● Gerar, entregar e armazenar a chave privada de forma segura
● Distribuir a chave pública
●
Atualizar o par de chaves
●
Assinar a chave pública para gerar o certificado (ssinando certificados digitais, a CA
garante sua validade)
●
Manter e divulgar uma lista com os certificados revogados (Certificate Revocation
List – CRL)

● Exemplos de CAs: VeriSign, Cybertrust e Nortel

30
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● Funcionamento
● Período de validade e revogação
● Os certificados definem períodos de validade para as chaves públicas
● Certificados podem ser revogados antes de sua expiração
● Suspeita de corrupção da chave pública
● Término de contrato
●
Mudança de nome

31
 Autenticação – Certificado Digitais
● Funcionamento

32
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● Funcionamento
● Componentes básicos de um certificado digital
● A chave pública
●
Nome e endereço de e-mail
● Data da validade da chave pública
● Nome da autoridade certificadora (CA)
● Número de série do Certificado Digital
●
Assinatura Digital da Autoridade Certificadora

33
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● Funcionamento
● Para que serve um Certificado Digital?
● Correio Eletrônico seguro
● Transações Bancárias sem repúdio
● Compras pela Internet sem repúdio
● Consultas confidenciais a cadastros
● Arquivo de documentos legais digitalizados
● Transmissão de documentos
● Contratos digitais
● Certificação de Equipamentos
●
Certificação de Programas de Computador

34
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● Tipos de Certificados
 Certificados de CA: utilizados para validar outros
certificados; autoassinados ou assinados por
outra CA
 Certificados de servidor: utilizados para identificar um
servidor seguro; contém o nome da organização e o
nome DNS do servidor
 Certificados pessoais: contém nome do portador e,
eventualmente, informações como endereço
eletrônico, endereço postal, etc
 Certificados de desenvolvedores de software: utilizados
para validar assinaturas associadas a programas 35
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● Exemplos de uso
● PROUNI – O sistema é acessado pela instituição de ensino superior por
meio de certificado digital, além disso, a Certificação Digital é exigida
na tramitação de informações com as instituições de ensino
●
Sisbacen – Sistema do Banco Central do Brasil. A certificação digital é
utilizada na autenticação de remessa de informações das empresas
com capital estrangeiro para o Banco Central
● Outros exemplos:
● http://www.beneficioscd.com.br/cartilha_online/?pagina=ap01

36
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● ICP Brasil
 O Instituto Nacional de Tecnologia da Informação -
ITI é um órgão federal vinculada à Casa Civil da
Presidência da República

 O ITI é a Autoridade Certificadora Raiz - AC Raiz da

Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil

 Possui o papel de credenciar e descredenciar os demais

participantes da cadeia, supervisionar e fazer auditoria
dos processos

37
 AUTENTICAÇÃO –
CERTIFICADO DIGITAIS
● ICP Brasil
● Qualquer instituição pode criar uma ICP, independente de seu porte
●
Por exemplo, se uma empresa criou uma política de uso de
certificados digitais para a troca de informações entre a matriz e sua
filiais, não vai ser necessário pedir tais certificados a uma AC
controlada pela ICP-Brasil
● A própria empresa pode criar sua ICP e fazer com que um
departamento das filiais atue como AC ou AR, solicitando ou emitindo
certificados para seus funcionários

38
 AUTENTICAÇÃO –
APLICAÇÕES
● Correio eletrônico
● Utilização
● Autenticação de origem
● Integridade do conteúdo
● Confidencialidade
●
Não-repúdio
● Protocolos
● PEM (Public Enhanced Mail)
● Security Multiparts for MIME/MOSS (Mime Object Security Services)
● S/MIME (Secure/Multipurpose Internet Mail Extensions)
●
PGP (Pretty Good Privacy)

39
 AUTENTICAÇÃO –
APLICAÇÕES
● W EB
● Utilização
● Autenticação do servidor
● Autenticação do cliente
● Integridade de conteúdo
● Confidencialidade
● Protocolos
● SSL (Secure Socket Layer)
● Secure HTTP (Secure HyperText Transfer Protocol)
● Kerberos (protocolo de autenticação)

40
 AUTENTICAÇÃO –
APLICAÇÕES
● W EB
● SSL (Secure Socket Layer)
● Protocolo para criptografia e autenticação baseado em sessão
● Fornece um canal seguro entre cliente e servidor
● Funciona na camada de transporte
● Certificados SSL são muito usados na web

41
 AUTENTICAÇÃO –
APLICAÇÕES
● W EB
● SSL (Secure Socket Layer)

42
BIBLIOGRAFIA
BÁSICA
 NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de
redes em ambientes cooperativos. 3a edição.
Editora Novatec

 Stallings, William. Criptografia e Segurança de Redes -

Princípios e Práticas. 4a edição. Prentice-Hall

 LIMA, Helen .C.S. Notas de aula. Segurança e auditoria

de sistemas. Universidade Federal de Ouro Preto

43