Escolar Documentos
Profissional Documentos
Cultura Documentos
Ambientes Militares
A Criptologia ajudou nos principais
conflitos da 2a Guerra Mundial
Introdução
Objetivos de Segurança
Manuseio
Confidencialidade
Armaz
e
Conf. Int.
cart
e n a me
INFORMAÇÂO
Des
nto
Disp.
Integridade Disponibilidade
Transporte
Objetivos de Segurança
Garantir que as informações não serão
Confidencialidade reveladas a pessoas não autorizadas;
A B A B
Fonte de Destino da
Informação Informação
I
Fluxo Normal Interceptação
A B
Interrupção
A B A B
M F
Modificação Fabricação
9a Pesquisa Nacional de
Segurança da Informação
PRINCIPAIS AMEAÇAS À
SEGURANÇA DA INFORMAÇÃO
Vírus 66%
51%
Divulgação de senhas
49%
Acessos indevidos
Vazamento de informações 47%
41%
Fraudes, erros e acidentes
Hackers 39%
37%
De R$ 500 mil a
De R$ 50 mil a R$ 1 milhão Mais de
R$ 500 mil
PREJUÍZOS 8%
4% 1 milhão
1%
CONTABILIZADOS
Necessita
Independent
m
e
Hospedei
ro
Trapdoor Worms
Bombas Cavalo Vírus Bots
ou
Lógicas de Tróia
backdoor
Bombas Lógicas
Um dos mais velhos aplicativos maliciosos,
precedendo os vírus e worms
Código embutido em programas legítimos
que quando certas condições forem atingidas
ele “explode”
◼ Data específica
◼ presença ou falta de arquivos
◼ determinado usuário que esteja rodando a
aplicação
Quando é disparada, pode apagar e alterar
ou remover dados ou arquivos inteiros,
causar uma pane na máquina ou algum outro
Necessitam de hospedeiro
Cavalo de Tróia (trojan
horse)
Programa que além de executar as funções
para as quais foi projetado, também executa
outras funções maliciosas sem o
conhecimento do usuário
Funções maliciosas que podem ser executadas
◼ alteração ou destruição de arquivos
◼ furto de senhas e outras informações sensíveis
◼ inclusão de backdoors, para permitir que um
atacante tenha total controle sobre o computador
Arquivo único que necessita ser executado
Cavalo de Tróia
Vírus
É um aplicativo que consegue “infectar” outros
programas e arquivos, modificando-os.
A modificação inclui uma cópia do vírus, o qual
poderá infectar outros aplicativos.
Vírus típicos, tomam o controle temporário do
sistema operacional, incluindo suas cópias em novos
aplicativos
A contaminação entre máquinas pode ser realizada
através de dispositivos removíveis (pen-drives/ CDs)
ou pela rede (abrir arquivos anexos aos e-mails, abrir
arquivos Word, Excel, abrir arquivos em outros
computadores) – Arquivos precisam ser executados
Antivírus
SCYTALE
Criptografia: Histórico
Idade Média - Cerca de 1119-1311
Roda Criptográfica
Criptografia: Histórico
História Recente
Grandes Guerras
- Enigma, Maquina Púrpura
Criptografia
original cifrado
a b c d e f ...
Q W E R T Y ...
Cifras de Substituição
Princípio: O resultado da criptografia depende de
um parâmetro de entrada, denominado chave.
◼ Exemplo. Cifra de César
ABC DE FGHIJKLMNOPQRSTUVWXYZ
cifrado
Texto
Algoritmo de Algoritmo de
original
Cifragem Decifragem
(inverso do algo. de cifragem)
Utiliza a mesma chave para encriptar e
decriptar uma mensagem.
• A segurança de cifragem convencional depende do segredo
da chave e não do segredo do algoritmo
• Implementações dos algoritmos de cifragem em chips
(baixo custo)
Gerenciamento de Chaves
Manter todas as suas chaves seguras e
disponíveis para utilização
Chave de sessão - troca de e-mail, conexão da
Web ou armazenar dados em bancos de dados
KEK
Chave de criptografia de
chave Chave
protegid
a
Chave de Algoritmo de &(Ijaij(&¨9
To: sessão cifragem
From: 0j9¨{?(*2-0
Trata-se de Qh09124çl9
um assunto dn¨9~j2{
confidencial Algoritmo de
cifragem
O Problema da Distribuição
de Chaves
Duas partes precisam compartilhar chaves
secretas
Como duas os mais pessoas podem, de
maneira
segura, enviar chaves por meio de linhas
inseguras?
Trocas de chaves freqüentes são desejáveis
A força de um sistema criptográfico também
está ligado a distribuição das chaves
O Problema da Distribuição
de Chaves
Compartilhamento de chaves
antecipadamente
◼ Uma chave pode ser selecionada por A e
entregue fisicamente a B (pen-drive, CD)
◼ A cifra a chave de sessão utilizando criptografia
baseada em senha e passa a senha por telefone
◼ Caso A e B já compartilham uma chave, a nova
chave pode ser enviada cifrada usando a chave
antiga (várias chaves) Chave
protegid
Chave de a
sessão
O Problema da Distribuição
de Chaves
Terceira Parte Confiável (TTP)
◼ Uma (TTP) pode gerar uma chave e entregar fisicamente
para A e B
◼ A e B confiam em TTP e compartilham uma chave com TTP
(entregue fisicamente). Quando A deseja se comunicar com
B, este pede uma chave para a TTP
Chave
Gera a chave de
sessão entre A e B
de A
Chave
protegid
a
TTP
Chave
de B
Chave
protegid
a
Criptografia de Chave
Pública ou Assimétrica
O uso do par de chaves tem consequência
na: distribuição de chaves,
confidencialidade e autenticação.
Decifra Cifra
Privada Pública
Cada usuário gera
o seu par de chaves
Criptografia de Chave
Pública ou Assimétrica
Vantagens
◼Não há necessidade de canal seguro na
troca de chaves, pois não há riscos.
Desvantagens
◼A performance do sistema cai
demasiadamente se existe uma grande
quantidade de dados para
decriptografar.
Distribuição de Chaves
Bob Chave
Chave
pública
sessão
de Alice cifrada
Algoritmo de
Chave de Cifragem de
Sessão chave pública
Simétrica
To: Alice &(Ijaij(&¨9
From: João 0j9¨{?(*2-0
Trata-se de Qh09124çl9
um assunto dn¨9~j2{
confidencial Algoritmo de
Cifragem Alice
Simétrico
Conceitos de Criptografia
na Web
Assinatura Digital
Resumo da mensagem
Certificados Digitais
Autoridades Certificadoras
Assinatura Digital
MD5 - http://www.md5.cz/
SHA1 - http://www.sha1.cz/
Assinatura Digital com
Resumo
Algoritmo Algoritmo de ASSINATURA
ABFC01 DIGITAL
de Hashing DIGEST
Criptografia
FE012A0
2C897C
D012DF F18901B
41
MENSAGEM ASSINATURA
ABFC01 Mensagem
FE012A0
2C897C
com
D012DF Assinatura
41 aberta criptografada
Digital
Função Hash de uma via
Forma mais eficiente Verifica a origem e
o conteúdo
H não usa uma chave como entrada
CHAVE
PRIVADA
www.bancodobrasil.com.br
Banco do Brasil S.A.
Brasilia, DF, Brasil
www.verisign.com
Verisign, Inc.
Chave pública (e.g., Banco do Brasil)
SSL
Netscape: julho de 1994
Propósito geral: autenticação, confidencialidade e
integridade de mensagens (TCP/IP)
Autenticação entre cliente e servidor (mútua)
Criptografia na troca de mensagens
Suporta diversos algoritmos criptográficos
Protocolo criptográfico mais utilizado na Internet
IETF – padroniza o TLS (Transport Layer Security
– SSL v.3
Pode rodar sobre qualquer protocolo orientado a
conexão (TCP, X.25)
Implementado em todos os navegadores
SSL
Netscape: julho de 1994
Propósito geral: autenticação, confidencialidade
e integridade de mensagens (TCP/IP)
Autenticação entre cliente e servidor (mútua)
Criptografia na troca de mensagens
Suporta diversos algoritmos criptográficos
Protocolo criptográfico mais utilizado na
Internet
IETF – padroniza o TLS (Transport Layer
Security) – SSL v.3
Pode rodar sobre qualquer protocolo orientado a
conexão (TCP, X.25)
SSL
Seqüência cliente-servidor
Negocia a Pilha de Codificação (Cipher Suite) a
ser usada para a transferência de dados
Estabelece e compartilha uma chave de sessão
Opcionalmente verifica a autenticidade do
servidor para o cliente
Opcionalmente verifica a autenticidade do
cliente para o servidor
Cipher Suite