Segurança nas redes

Prof.: Julio José da Silva Júnior

 Breve Histórico

 Preocupações com a segurança...

Cerca de Júlio César Cofre Backup

1900 a.C

Ambientes Militares
A Criptologia ajudou nos principais
conflitos da 2a Guerra Mundial
 Introdução

 Redes de Computadores e a Segurança

◼ As corporações (empresas, governos e escolas)
estão cada vez mais dependentes de seus
sistemas – exigem informações compartilhadas;
◼ Uso de informações sigilosas (comércio
eletrônico)
◼ Novas tecnologias (por exemplo, redes sem fio)
Necessidade de se manter a
Segurança das Informações
 As preocupações crescem....

 Aumento do uso da Internet

 Aumento do registro dos incidentes de
segurança (intrusos e funcionários
insatisfeitos)
 Numerosos relatos de vulnerabilidades de
softwares (inclusive os de segurança)
 Proteção física é dificilmente concretizada
Segurança de Redes é uma
tarefa árdua e complexa !
 O conceito de Segurança
Computacional
“Capacidade de assegurar a prevenção ao acesso e à
manipulação ilegítima da informação, ou ainda, de
evitar a interferência indevida na sua operação normal”.

Objetivos de Segurança
Manuseio

Confidencialidade

Armaz
e
Conf. Int.

cart

e n a me
INFORMAÇÂO

Des

nto
Disp.
Integridade Disponibilidade

Transporte
 Objetivos de Segurança
Garantir que as informações não serão
Confidencialidade reveladas a pessoas não autorizadas;

Garantir a consistência dos dados,

Integridade prevenindo a criação não autorizada e a
alteração ou destruição dos dados;
Garantir que usuários legítimos não terão o
Disponibilidade
acesso negado a informações e recursos;

Autenticidade Garantir que um sujeito usando uma

identificação é seu verdadeiro detentor
Garantir que o participante de uma
Não-repudiação comunicação não possa negá-la
posteriormente
 Violações e Ataques de
Segurança
 Quando os objetivos de segurança não são
alcançados – propriedades não são
garantidas – há uma violação da segurança !
◼ Revelação não autorizada da informação
◼ Modificação não autorizada da informação
◼ Negação indevida de serviço
 Ataques de Segurança
Passivo: ameaça a confidencialidade
Ativo: ameaça a integridade e/ou a disponibilidade
 Ataques de Segurança

A B A B
Fonte de Destino da
Informação Informação
I
Fluxo Normal Interceptação
A B

Interrupção

A B A B

M F
Modificação Fabricação
 9a Pesquisa Nacional de
Segurança da Informação
PRINCIPAIS AMEAÇAS À
SEGURANÇA DA INFORMAÇÃO

Vírus 66%

Funcionários insatisfeitos 53%

51%
Divulgação de senhas
49%
Acessos indevidos
Vazamento de informações 47%

41%
Fraudes, erros e acidentes
Hackers 39%

37%

Falhas na segurança física

31%
Uso de notebooks
Fraudes em e-mail 29%
 9a Pesquisa Nacional de
Segurança da Informação
35% das empresas no Brasil tiveram perdas financeiras
22% das empresas acima registraram perdas de até R$ 50 mil, 8% entre R$
50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milhão
65% não conseguem quantificar o valor dos prejuízos

De R$ 500 mil a
De R$ 50 mil a R$ 1 milhão Mais de
R$ 500 mil
PREJUÍZOS 8%
4% 1 milhão
1%
CONTABILIZADOS

Não foi possível

Até R$ 50 mil
quantificar
22%
65%
 Perfil dos Intrusos
 O Script Kid – Um atacante tecnicamente pouco
dotado que pesquisa aleatoriamente um grande
número de sistemas à procura de vítimas e depois as
explora de forma imprevista (destruição ou
subversão); tende a deixar muitos vestígios da sua
atividade no sistema
 O Cracker Intrusivo – Um atacante tecnicamente
avançado que orienta os seus ataques para vítimas
específicas, visando quase sempre apropriar-se de
informação valiosa sem deixar rastros; é o atacante
mais temido por qualquer administrador informático
 O Cracker Ético (Hacker) – Semelhante ao cracker
intrusivo mas com intenções totalmente opostas,
atuando muitas vezes ao serviço de empresas da área
da segurança na informática
Tipos de Ataques
Aplicativos Maliciosos
 Definição
Malware = Malicious Software

 Aplicativos/programas que exploram

vulnerabilidades nos sistemas
computacionais
 Podem ser divididos em duas categorias
◼ Os que precisam de um aplicativo hospedeiro
◼ Os que são independentes
 E também são diferenciados por poderem
ou não se replicar
 Taxonomia dos Malwares
Aplicativos
Maliciosos

Necessita
Independent
m
e
Hospedei
ro

Trapdoor Worms
Bombas Cavalo Vírus Bots
ou
Lógicas de Tróia
backdoor

Podem ser parte de um vírus ou worm Podem se replicar

 Necessitam de hospedeiro
Porta dos Fundos
(Trapdoors ou Backdoors)
Ponto de entrada secreto embutido em uma aplicação o
qual permite o acesso ao sistema sem que necessite
passar por procedimentos de acesso usuais
 Foi usada legitimamente para
que desenvolvedores
pudessem dar manutenção
nas aplicações, sem que
necessitasse passar por
processos de autenticação
demorados, etc.
 Geralmente o acesso ao sistema é
garantido através de uma
seqüência de códigos aceita pelo
Trapdoor
 Tornou-se ameaça -> programadores
inescrupulosos
 Porta dos Fundos
(Trapdoors ou Backdoors)
 Rootkits
◼ Tipo especial de backdoor (Unix e Linux)
◼ Pacotes para a substituição dos principais
binários de diversos sistemas operacionais
◼ Os principais objetivos dessas substituições são:
⚫ Ficar camuflado para o administrador (acessos não
ficam registrados nos logs)
⚫ Garantir outras portas de entrada no sistema (acesso
irrestrito)
⚫ Coletar informações confidenciais (poder de super-
usuário)
 Necessitam de hospedeiro

Bombas Lógicas
 Um dos mais velhos aplicativos maliciosos,
precedendo os vírus e worms
 Código embutido em programas legítimos
que quando certas condições forem atingidas
ele “explode”
◼ Data específica
◼ presença ou falta de arquivos
◼ determinado usuário que esteja rodando a
aplicação
 Quando é disparada, pode apagar e alterar
ou remover dados ou arquivos inteiros,
causar uma pane na máquina ou algum outro
 Necessitam de hospedeiro
Cavalo de Tróia (trojan
horse)
 Programa que além de executar as funções
para as quais foi projetado, também executa
outras funções maliciosas sem o
conhecimento do usuário
 Funções maliciosas que podem ser executadas
◼ alteração ou destruição de arquivos
◼ furto de senhas e outras informações sensíveis
◼ inclusão de backdoors, para permitir que um
atacante tenha total controle sobre o computador
 Arquivo único que necessita ser executado
 Cavalo de Tróia

 Ações semelhantes a dos Vírus e Worms

 Distingue-se por não se replicar, infectar
outros arquivos, ou propagar cópias de si
mesmo automaticamente
 Fotos, arquivos de música, protetores de
telas e jogos
 Enviados por email ou disponíveis em sites da
Internet
 Independentes

Vírus
 É um aplicativo que consegue “infectar” outros
programas e arquivos, modificando-os.
 A modificação inclui uma cópia do vírus, o qual
poderá infectar outros aplicativos.
 Vírus típicos, tomam o controle temporário do
sistema operacional, incluindo suas cópias em novos
aplicativos
 A contaminação entre máquinas pode ser realizada
através de dispositivos removíveis (pen-drives/ CDs)
ou pela rede (abrir arquivos anexos aos e-mails, abrir
arquivos Word, Excel, abrir arquivos em outros
computadores) – Arquivos precisam ser executados
 Antivírus

 Detectar e então anular ou remover os vírus

 Alguns procuram remover e detectar
cavalos de tróia e barrar programas hostis
 Verificar email (entrada e saída)
 Configure-o corretamente
 Algumas versões de antivírus são gratuitas
e podem ser obtidas pela Internet. Mas
antes, verifique sua procedência e
certifique-se que o fabricante é confiável
Não impede a exploração de alguma
vulnerabilidade e não é capaz de impedir o
acesso a um backdoor
 Ferramentas Antivírus

 Free AVG – usuários domésticos

 Free Avast Home Edition – somente
usuários domésticos
 Nod32
 Norton Anti-vírus
 Clam AntiVirus – toolkit anti-virus para
Unix, para integração com servidores de e-
mail (analisa os arquivos atachados)
◼ http://www.clamav.net/
 Worms

 Faz uma cópia dele mesmo e utiliza as conexões de

rede para se disseminar de sistemas em sistemas
 Diferente do vírus, não necessita ser
explicitamente executado para se propagar
 Sua propagação se dá através da exploração de
vulnerabilidades existentes ou falhas na
configuração de software instalados
 Geralmente, não gera os mesmos dados dos vírus
 São responsáveis por consumir muitos recursos
(podem lotar o disco rígido – grande quantidade de
cópias de si mesmo e enviar pela rede)
 Bots

 Similar aos Worms

 É capaz se propagar automaticamente,
explorando vulnerabilidades existentes ou
falhas na configuração
 Diferença: dispõe de mecanismos de
comunicação com o invasor, permitindo que
o bot seja controlado remotamente
◼ o bot se conecta a um servidor de IRC (Internet
Relay Chat) e entra em um canal (sala)
determinado
◼ O invasor, ao se conectar ao mesmo servidor de
IRC, envia mensagens compostas por seqüências
 Bots

 Um invasor pode enviar instruções para:

◼ desferir ataques na Internet;
◼ executar um ataque de negação de serviço
◼ furtar dados do computador onde está sendo
executado, como por exemplo números de cartões
de crédito;
◼ enviar e-mails de phishing
◼ enviar spam
 Botnets
◼ Redes formadas por computadores infectados com
bots
◼ Aumentar a potência dos ataques
Botnet
 Outras classificações de
aplicativos
 Capturadores de teclas/tela (Keyloggers,
Screenloggers)
◼ Ficam residentes em memória capturando todas as teclas/telas
que o usuário do sistema pressiona/visualiza
◼ Envia essas informações para um usuário malicioso
 Aplicativos de propaganda (Adwares)
◼ Ficam residentes em memória, lançando janelas Pop-Up com
propagandas
◼ As informações sobre as propagandas são atualizadas via rede
 Aplicativos espiões (Spywares)
◼ Residentes em memória, monitoram o comportamento do
usuário
⚫ Sites que ele navega, preferências, etc.
◼ Envia essas informações para preparar uma mala-direta ou
 Ferramentas

 Anti-keylogger™ for Microsoft® Windows®

NT/2000/XP Workstations
 Keylogger Hunter
 Ad-aware Standard Edition
– detects and removes spyware, adware, trojans,
hijackers, dialers, malware, keyloggers
 a2 Free – similar ao Ad-aware
 Spybot – software gratuito
◼ http://www.safer-networking.org
Criptografia
 O que é criptografia?

 Estudo da Escrita(grafia) Secreta(cripto)

 Esconder a informação
Verificar a exatidão de uma informação
 Base tecnológica para a resolução de problemas
de segurança em comunicações e em
computação
Criptografia na História
 Egípcios antigos cifravam alguns
de seus hieróglifos
 O barro de Phaistos (1600 a.c)
ainda não decifrado
 Cifrador de Júlio César,
aproximadamente 60 ac
 Tratado sobre criptografia por
Trithemius entre 1500 e 1600
 Criptografia: Histórico
Idade Antiga - Cerca de 487
a.C.

SCYTALE
 Criptografia: Histórico
Idade Média - Cerca de 1119-1311

Criptografia utilizada pelos Templários

 Criptografia: Histórico
Idade Moderna - (1453 a
1789)
 Muitas experiências, estudos, publicação de
trabalhos.

 Foi um período de grandes inovações e de

grande expansão na criptologia.

 Gottfried Wilhelm von Leibniz

 Roda Criptográfica

Thomas Jefferson e James Monroe cifravam as

suas cartas para manter em sigilo as suas
discussões políticas (1785)

Roda Criptográfica
 Criptografia: Histórico
História Recente

 Avanços na ciência e na tecnologia

 Intensa movimentação de pessoas

 Grandes Guerras
- Enigma, Maquina Púrpura
 Criptografia

 Kryptos: significa oculto, envolto, escondido,

secreto;

 Graphos: significa escrever, grafar.

 Portanto, criptografia significa escrita

secreta ou escrita oculta. As formas de
ocultar mensagens são as mais diversas.
 Controles Criptográficos

Texto em claro Chave Criptograma

Texto Algoritmo Texto

original cifrado

◼ Algoritmo: seqüência de passos e operações

matemáticas que transformam o texto em claro em
texto cifrado e vice-versa.
◼ Chave: número ou conjunto de números; é o
parâmetro variável do algoritmo; característica
singular/única; para cada chave existe um
criptograma diferente
◼ Tamanho das chaves: medido em bits (40,56, 128)
 Sistemas Criptográficos
 Estudo da Escrita (Grafia) Secreta (Cripto)
 Três dimensões para classificar os sistemas:
◼ Tipo de operações usadas para transformar o texto
⚫ Substituição – cada elemento é mapeado em outro
elemento
⚫ Transposição – elementos no texto em claro são re-
arrumados
◼ Número de chaves usadas
⚫ Simétrica (uma única chave)
⚫ Assimétrica (duas chaves – cifragem de chave pública)
◼ A forma na qual o texto em claro é processado
⚫ Block cipher (cifragem de bloco)
⚫ Stream cipher (cifragem de fluxo)
 Cifras de Substituição

 Cada símbolo ou grupo de símbolos é

substituído por um outro símbolo ou
conjunto de símbolos.

 a b c d e f ...
 Q W E R T Y ...
 Cifras de Substituição
 Princípio: O resultado da criptografia depende de
um parâmetro de entrada, denominado chave.
◼ Exemplo. Cifra de César

◼ Chave: N = número de letras deslocadas

ABC DE FGHIJKLMNOPQRSTUVWXYZ

D E FG HI J KLM N OPQR STUVWXYZAB C

Nada de novo N=3 Qdgd gh qryr qr

no front. iurqw.

N=4 Rehe hi rszs rs

jvstx.
 Cifras de Transposição

 Reordenam as letras da mensagem sem as

disfarçar.
 Cifra baseia-se numa chave que é uma
palavra ou frase que contém palavras
repetidas.
 Cifras de Transposição
◼ Os caracteres permanecem os mesmos no texto
cifrado, mas a ordem deles muda.
⚫ Os caracteres permanecem os mesmos
no texto cifrado mas a ordem deles muda

⚫ Omnmmsaoau n sdcet aacea rex amto c or

to d esce r im emf serd sae pmdl eooe
rs s
 Cifragem de bloco X
Cifragem de fluxo
 Cifragem de Bloco
◼ Divide o texto em blocos e opera sobre cada
bloco de maneira independente (8 ou 16 bytes
de comprimento)
◼ Tabela de chaves não é alterada
◼ Padding (preenchimento): adicionar bytes extras
a um bloco incompleto; quem decifra tem que
ser capaz de reconhecer (e ignorar) o
preenchimento
S E G U R O
 Cifragem de bloco X
Cifragem de fluxo
 Cifragem de Fluxo

◼ Semelhante ao enchimento de uma só vez

1. Utiliza a chave para construir uma tabela de
chaves

Texto simples Fluxo de Chave Texto Cifrado

47 28 119
Aula de 9%jZR+
3 187 120
segurança ^-wv6g
72 3 187 43
de redes ...
...
 Criptografia Convencional,
Simétrica ou de Chave
Secreta Chave Chave
Secreta Secreta
Compartilhada Compartilhada
Texto
original
Texto

cifrado
Texto
Algoritmo de Algoritmo de
original
Cifragem Decifragem
(inverso do algo. de cifragem)
Utiliza a mesma chave para encriptar e
decriptar uma mensagem.
• A segurança de cifragem convencional depende do segredo
da chave e não do segredo do algoritmo
• Implementações dos algoritmos de cifragem em chips
(baixo custo)
 Gerenciamento de Chaves
 Manter todas as suas chaves seguras e
disponíveis para utilização
 Chave de sessão - troca de e-mail, conexão da
Web ou armazenar dados em bancos de dados
KEK
Chave de criptografia de
chave Chave
protegid
a
Chave de Algoritmo de &(Ijaij(&¨9
To: sessão cifragem
From: 0j9¨{?(*2-0
Trata-se de Qh09124çl9
um assunto dn¨9~j2{
confidencial Algoritmo de
cifragem
 O Problema da Distribuição
de Chaves
 Duas partes precisam compartilhar chaves
secretas
 Como duas os mais pessoas podem, de
maneira
segura, enviar chaves por meio de linhas
inseguras?
 Trocas de chaves freqüentes são desejáveis
 A força de um sistema criptográfico também
está ligado a distribuição das chaves
 O Problema da Distribuição
de Chaves
 Compartilhamento de chaves
antecipadamente
◼ Uma chave pode ser selecionada por A e
entregue fisicamente a B (pen-drive, CD)
◼ A cifra a chave de sessão utilizando criptografia
baseada em senha e passa a senha por telefone
◼ Caso A e B já compartilham uma chave, a nova
chave pode ser enviada cifrada usando a chave
antiga (várias chaves) Chave
protegid
Chave de a
sessão
 O Problema da Distribuição
de Chaves
 Terceira Parte Confiável (TTP)
◼ Uma (TTP) pode gerar uma chave e entregar fisicamente
para A e B
◼ A e B confiam em TTP e compartilham uma chave com TTP
(entregue fisicamente). Quando A deseja se comunicar com
B, este pede uma chave para a TTP
Chave
Gera a chave de
sessão entre A e B
de A
Chave
protegid
a

TTP
Chave
de B
Chave
protegid
a
 Criptografia de Chave
Pública ou Assimétrica
 O uso do par de chaves tem consequência
na: distribuição de chaves,
confidencialidade e autenticação.
Decifra Cifra

Não são idênticas

mas são “parceiras”.
Estão matematicamente
relacionadas

Privada Pública
Cada usuário gera
o seu par de chaves
 Criptografia de Chave
Pública ou Assimétrica

Nesta implementação usuários podem

difundir a chave pública para todos que
queiram enviar mensagens para eles, visto
que apenas com a chave privada será
possível a decriptação.

Chave Pública é distribuída e a Privada

mantida em segredo.
Cifragem usando Sistema de
Chave Pública
(1) A chave pública
deve ser colocada em
(2) A chave
um registrador público
privada deve
ser muito
bem
guardada
 Requisitos para Algoritmos
de Criptografia de Chave
Pública
1. Computacionalmente fácil para A gerar o par de
chaves (pública KPUBb, privada KPRIVb)
2. Fácil para o emissor gerar o texto cifrado
3. Facil para o Receptor decifrar o texto cifrado com a
chave privada
4. Computacionalmente difícil determinar a chave
privada (KPRIb) conhecendo a chave pública (KPUBb)
5. Computacionalmente difícil recuperar a mensagem
M, conhecendo KPUBb e o texto cifrado C
6. Uma das chaves é usada para cifragem e com a outra
sendo usada para decifragem
 Vantagens e desvantagens

Vantagens
◼Não há necessidade de canal seguro na
troca de chaves, pois não há riscos.

Desvantagens
◼A performance do sistema cai
demasiadamente se existe uma grande
quantidade de dados para
decriptografar.
 Distribuição de Chaves
Bob Chave
Chave
pública
sessão
de Alice cifrada

Algoritmo de
Chave de Cifragem de
Sessão chave pública
Simétrica
To: Alice &(Ijaij(&¨9
From: João 0j9¨{?(*2-0
Trata-se de Qh09124çl9
um assunto dn¨9~j2{
confidencial Algoritmo de
Cifragem Alice
Simétrico
 Conceitos de Criptografia
na Web
 Assinatura Digital

 Resumo da mensagem

 Certificados Digitais

 Autoridades Certificadoras
 Assinatura Digital

 Usa uma informação única do emissor para

prevenir a negação do envio e a
possibilidade de forjar a mensagem
 Verificar o Autor e a data/hora da
assinatura
 Autenticar o conteúdo original (não foi
modificado e segue uma certa seqüência ou
tempo)
 A assinatura deve poder ser verificável por
terceiros (resolver disputas)
 Assinatura Digital

Mecanismo que pode garantir que uma mensagem

assinada só pode ter sido gerada com informações
privadas do signatário.
O mecanismo de assinatura digital deve:
A) Assegurar que o receptor possa verificar a
identidade declarada pelo transmissor
(assinatura);
B) Assegurar que o transmissor não possa mais
tarde negar a autoria da mensagem (verificação).
 Assinatura Digital
Bob Alice
Chave
Chave Chave
Chave
privada
privada pública
pública
do
do Bob
Bob do Bob
do Bob

Mensagem autenticada em termos da fonte e

da integridade do dado
Não garante a confidencialidade da Mensagem
 Assinatura Digital
Algoritmo
de assinatura
Mensagem
Mensagem digital
Assinatura
isto é
isto é digital
segredo
segredo
Chave privada
 Permite ao receptor verificar a integridade
da mensagem:
◼ O conteúdo não foi alterado durante a
transmissão.
◼ O transmissor é quem ele diz ser.
 Sumário de mensagem
(message digest)
 O baixo desempenho no uso da criptografia
assimétrica a torna ineficiente para
mensagens de tamanhos grandes.
 Para contornar o problema, a mensagem
não é criptografada por inteiro, mas na
verdade é criado um extrato (hash,
sumário) do documento
 propósito da função hash é produzir uma
impressão digital (fingerprint) - um
resumo
 Sumário de mensagem
(message digest)

 Gera um sumário de tamanho fixo para

qualquer comprimento de mensagem
 Efetivamente impossível adivinhar a
mensagem a partir do sumário
 Efetivamente impossível encontrar outra
mensagem que gere o mesmo sumário
 Uma pequena mudança na mensagem
muda muito o sumário
 Sumário de mensagem
(message digest)
•
•MD5 - Message Digest (RFC 1321) por Ron Rivest – digest
= 128 bits
SHA-1 - Security Hash Algorithm – NIST em 1995 – digest =
160 bits
RIPEMD-160 – digest = 160 bits

HMAC (RFC 2104) – MAC derivado de um código de

hash criptográfico, como o SHA-1

Funções hash se executam mais rápidas que o DES

Bibliotecas de código são amplamente disponíveis
Funções hash não tem restrição de exportação
 Sumário de mensagem
(message digest)

Sites que geram hashes de mensagens:

MD5 - http://www.md5.cz/

SHA1 - http://www.sha1.cz/
 Assinatura Digital com
Resumo
Algoritmo Algoritmo de ASSINATURA
ABFC01 DIGITAL
de Hashing DIGEST
Criptografia
FE012A0
2C897C
D012DF F18901B
41

MENSAGEM ASSINATURA
ABFC01 Mensagem
FE012A0
2C897C
com
D012DF Assinatura
41 aberta criptografada
Digital
 Função Hash de uma via
Forma mais eficiente Verifica a origem e
o conteúdo
H não usa uma chave como entrada

Mensagem autenticada em termos da fonte e

da integridade do dado
Não garante a confidencialidade da Mensagem
 Certificado Digital

 Resolve a distribuição de chaves

 Gerenciados pelas Autoridades Certificadoras
 A certificação das Autoridades Certificadoras
é feita através de uma Infra-estrutura de
chave pública (ICP)
 Certificado Digital

 Certificados digitais estabelecem uma

forte vinculação entre a chave pública e
algum atributo (nome ou identificação)
do proprietário
 Os certificados administram as questões
relacionadas com a obtenção,
reconhecimento, revogação,
distribuição, validação e, mais
importante, para que finalidade a chave
pública está associada a uma entidade
Certificado Digital
Certificado Digital
 Componentes de uma PKI
(ICP)
 Autoridade Certificadora (ACs ou CAs)
◼ Emite, gerencia e revoga certificados de usuários finais
◼ É responsável pela autenticidade dos seus usuários
◼ Fornece aos usuários os seus certificados auto-assinados
◼ Públicas (Internet) ou Privadas
 Autoridade Registradora (AR ou RA)
◼ Entidade intermediária entre uma AC e os usuários
finais, ajudando uma AC em suas atividades para
processamento de certificados
⚫ Aceitar e verificar as informações de registro
⚫ Gerar chaves em favor de usuários
⚫ Aceitar e autorizar solicitações para backup e recuperação
de chave
⚫ Aceitar e autorizar solicitações para revogação de
certificados
⚫ Distribuir ou recuperar dispositivos de hardware (tokens)
Revogação de um Certificado

 Um Certificado pode ser revogado, caso haja

comprometimento da chave privada da AC
ou da entidade final (usuário);
 Periodicamente, a AC emite e publica uma
Lista de Certificados Revogados (LCR).
 Razões
◼ Chave secreta do usuário está comprometida
◼ O usuário não é mais certificado por uma CA
(rompimento de contrato)
◼ O certificado da CA está comprometido
 Lista de Certificados Revogados
Criptografia de um
Certificado
 Autoridade Certificadora
Autoridade C.A.
Certificadora (Certification
(Verisign, Authority)
Certisign,
Etc.)

CHAVE
PRIVADA

I.D. do I.D. da CA Assinatura

Proprietário Digital

www.bancodobrasil.com.br
Banco do Brasil S.A.
Brasilia, DF, Brasil
www.verisign.com
Verisign, Inc.
Chave pública (e.g., Banco do Brasil)
 SSL
 Netscape: julho de 1994
 Propósito geral: autenticação, confidencialidade e
integridade de mensagens (TCP/IP)
 Autenticação entre cliente e servidor (mútua)
 Criptografia na troca de mensagens
 Suporta diversos algoritmos criptográficos
 Protocolo criptográfico mais utilizado na Internet
 IETF – padroniza o TLS (Transport Layer Security
– SSL v.3
 Pode rodar sobre qualquer protocolo orientado a
conexão (TCP, X.25)
 Implementado em todos os navegadores
 SSL
 Netscape: julho de 1994
 Propósito geral: autenticação, confidencialidade
e integridade de mensagens (TCP/IP)
 Autenticação entre cliente e servidor (mútua)
 Criptografia na troca de mensagens
 Suporta diversos algoritmos criptográficos
 Protocolo criptográfico mais utilizado na
Internet
 IETF – padroniza o TLS (Transport Layer
Security) – SSL v.3
 Pode rodar sobre qualquer protocolo orientado a
conexão (TCP, X.25)
 SSL

 SSL – Secure Socket Layer - é uma camada de

rede que pode ser usada por diversas aplicações,
equivale à camada 5 (sessão) do modelo OSI. O
mais comum é usá-lo para fornecer comunicação
privada entre servidores de páginas (web) e seus
clientes (navegadores).
 O protocolo HTTP com o SSL se chama HTTPS e
usa a porta 443 no lugar da porta 80.
 Diversas versões: SSL 2.0, SSL 3.0, TLS 2.0
 SSL

 Sessão SSL - Associação entre um cliente e o

servidor. Criada pelo protocolo handshake
(aperto de mão). Define os parâmetros
criptográficos de segurança.
 Protocolo Handshake - Parte mais complexa do
protocolo SSL
 Permite que servidor e cliente se autentiquem
(autenticação mútua)
 Negocia algoritmos de cifragem e negocia
chaves criptográficas de sessão (segredo
compartilhado)
 Sessão SSL Simplificada

 Seqüência cliente-servidor
 Negocia a Pilha de Codificação (Cipher Suite) a
ser usada para a transferência de dados
 Estabelece e compartilha uma chave de sessão
 Opcionalmente verifica a autenticidade do
servidor para o cliente
 Opcionalmente verifica a autenticidade do
cliente para o servidor
 Cipher Suite

 Uma pilha de codificação consiste em:

 Método de troca de chave
 Codificador para a transferência de dados
 Método de gerar o extrato de uma mensagem (Message
Digest) para a criação do Código de Autenticidade de
Mensagem (MAC – Message Authentication Code)
 3 opções
 Nenhum resumo (digest) (escolha nula)
 MD5, um extrato de 128 bits
 SHA – Secure Hash Algorithm, algoritmo seguro de
extrato, um extrato de 160 bits. O SHA foi projetado
para ser usado com o DSS – Digital Signature Standard,
padrão de assinatura digital.
Cipher Suite
SSL