Escolar Documentos
Profissional Documentos
Cultura Documentos
§ Definição
§ “Segurança de computadores: A proteção oferecida a um sistema de informação
automatizado para atingir os objetivos apropriados de preservação da integridade,
disponibilidade e confidencialidade de ativos de sistemas de informação (incluindo
hardware, software, firmware, informações/dados e telecomunicações).”
§ Outros objetivos de segurança: autenticidade e responsabilidade
§ Cenários de segurança
§ Segurança de redes, sistemas operacionais, softwares, nuvem
§ Ambientes não computacionais (ex. residencial, trabalho)
§ Motivação
§ Existência de Ameaças (fonte de ameaças)
§ Possibilidade de violação de algum objetivo de segurança
§ Exemplo: vazamento de dados
1
22/04/2024
§ Objetivos ou Propriedades
§ Confidencialidade
§ Limita o acesso apenas a usuários autorizados
§ Integridade
§ Proteção contra modificação (e destruição) não autorizada
§ Disponibilidade
§ Permite o acesso sempre que necessário a entidades autorizadas
§ Autenticidade
§ Identificação das entidades envolvidas (elas são autorizadas)
§ Verifica se origem dos dados é de uma entidade autorizada
§ Responsabilidade (accountability)
§ Capacidade de atribuir ações unicamente a determinada entidade
§ Auditoria, Irretratabilidade (Não Repúdio), Análise Forense
2
22/04/2024
3
22/04/2024
§ Conceitos e relacionamentos
§ Risco (Expectativa da perda de segurança)
§ Probabilidade vs Impacto
§ Segurança é um processo
§ As soluções não são definitivas e 100%
seguras
§ Plan-Do-Check-Act (ISO 27000)
§ Desafios
§ Segurança não é simples
§ Identificar potenciais fraquezas e detalhes sobre os ataques
§ É fácil esquecer de algum detalhe
§ Projeto vs Implementação
§ Para o atacante, basta encontrar uma brecha
§ Conjunto de mecanismos utilizados em conjunto
§ Particularidades dos ambientes de cada sistema
§ É necessário investimento
§ Segurança não pode ser visto como um custo
§ Preocupação constante (projeto e monitoramento)
§ Segurança vs Usabilidade/Eficiência
4
22/04/2024
§ Modelos de Segurança
§ Comunicação
§ Modelos de Segurança
§ Controle de Acesso
10
10
5
22/04/2024
§ Ameaças § Ataques
§ Revelação não autorizada § Passivos
§ Fraude § Leitura não autorizada
§ Usurpação § Análise de tráfego
§ Disrupção § Ativos
§ Interrupção/fabricação/modificação de
mensagens
§ Negação de serviço
§ Replay/delay
§ Internos ou Externos
11
11
12
6
22/04/2024
13
13
14
14
7
22/04/2024
15
15
16
16
8
22/04/2024
§ Conformidade de sistemas
§ Legislações
§ HIPAA, LGPD, etc
§ Padrões Internacionais
Desenvolvimento Seguro
17
Desenvolvimento Seguro
18
9
22/04/2024
§ Código de conduta
§ Diversas áreas possuem seus códigos
§ Julgamento dos pares
§ Computação (ACM)
§ Morais
§ Evitar danos a terceiros, não discriminar, dá crédito a propriedade intelectual, entre outros
§ Responsabilidades
§ Respeitar as leis, adquirir e manter competência, honrar contratos, entre outros
§ Gerenciais (Liderança)
§ Gerir pessoas e recursos, especificar e autorizar o uso adequado dos recursos, entre outros
Desenvolvimento Seguro
19
§ Código de conduta
§ Segurança (ISC)
§ Proteger a sociedade, a comunidade e a infraestrutura
§ Agir com honra, honestidade, justiça, responsabilidade e legalidade
§ Prover um serviço diligente e competente
§ Avançar e proteger a profissão
§ Testes de invasão (EC-Council)
Desenvolvimento Seguro
20
10
22/04/2024
§ Código de conduta
§ Testes de invasão (EC-Council)
§ Privacidade
§ Divulgação autorizada
§ Propriedade intelectual
§ Não realizar atividades ilegais
§ Possuir autorizações
§ Qualidade do serviço
§ Gerenciamento e área de expertise
§ Compartilhamento de conhecimento
Desenvolvimento Seguro
21
22
22
11
22/04/2024
§ Cifragem
§ Entrada: texto em claro + chave de cifragem
§ Saída: criptograma
§ Processo reverso: decifragem
23
23
24
24
12
22/04/2024
§ Técnicas
§ Esteganografia
§ Criptografia clássica
§ Transposição
§ Substituição
§ Criptografia moderna
§ Cifras simétricas
§ Gerenciamento de chaves
§ Cifras assimétricas
§ Funções hash
25
25
§ Computacionalmente Seguro
§ Força Bruta
§ Testar todas as chaves possíveis até obter um texto legível
26
26
13
22/04/2024
27
27
§ Esquema de criptografia
§ A chave de cifragem é igual a chave de decifragem (distribuição de chaves)
28
28
14
22/04/2024
29
29
30
30
15
22/04/2024
§ Modos de operação
§ ECB (electronic codebook)
§ Divisão em um número inteiro de blocos
§ Blocos cifrados de forma independente
§ Concatenção
31
31
§ Modos de operação
§ CBC (Cipher Block Chaining)
§ A saída da cifragem de um bloco é usada na cifragem do bloco seguinte
§ Cifragem: ci = ek ( pi Å ci -1 )
§ co: Vetor de inicialização
32
32
16
22/04/2024
§ Modos de operação
§ CBC (Cipher Block Chaining)
§ Decifragem: pi = d k (ci ) Å ci-1
§ co: Vetor de inicialização
33
33
§ Exemplos
34
34
17
22/04/2024
35
35
36
36
18
22/04/2024
§ Triplo DES
§ FIPS 46-3
§ 2 ou 3 Chaves
§ Compatibilidade com DES
§ Lento
37
37
§ https://www.youtube.com/watch?v=mlzxpkdXP58&feature=youtu.be
38
38
19
22/04/2024
39
39
40
20
22/04/2024
41
42
21
22/04/2024
43
44
22
22/04/2024
45
46
23
22/04/2024
47
§ Características
§ Mais eficientes do que as cifras de bloco
§ Geração da chave de cifragem (stream key) do tamanho da mensagem (em bytes)
§ Gerador pseudo-aleatório de uma sequência de bytes baseado na chave secreta
§ Geração contínua de bytes
§ O algoritmo de decifragem é igual ao de cifragem
§ O reuso de chaves não é recomendado
Chave de Fluxo
Texto em claro
48
48
24
22/04/2024
§ A5 (Usado no GSM)
49
49
§ Algoritmos
§ KSA
§ Inicialização de S com os valores de 0 a 255 em ordem crescente
§ Inicialização de um vetor temporário T de 256 bytes baseado na chave
§ A chave é repetida, periodicamente, caso seja menor que 256 bytes
§ Permutação inicial de S
50
50
25
22/04/2024
§ Algoritmos
§ PRGA
§ Seleciona o byte de saída e atualiza o vetor S
§ A chave não é mais utilizada
51
51
52
52
26
22/04/2024
53
53
54
54
27
22/04/2024
55
55
§ Requisitos
§ Baixa colisão à poucas mensagens geram o mesmo hash
§ Segurança
§ Resistência à pre-imagem): Dado h, é difícil encontrar x tal H(x) = h
§ Colisão fraca (segunda pre-imagem): Dado x, é difícil encontrar y tal H(x) = H(y)
§ Colisão forte: Dificuldade de encontrar duas mensagens quaisquer com o mesmo hash
§ Mudança de um bit altera completamente o código hash
§ Criptoanálise
§ Força Bruta
§ Ataque do Aniversário
56
56
28
22/04/2024
SHA-2: 512
§ https://youtu.be/FZeLKrQTZtE?list=PLvvVTirhNtUfulW5hzimbe2cvKPnouhGj
57
57
§ SHA-3
§ Paradigma esponja
§ f - 24 rodadas
§ Permutações e substituições
58
58
29
22/04/2024
§ Aplicações
§ Autenticidade de Mensagens
§ Criptografar o HASH
§ HMAC
§ Senhas
§ Integridade de arquivos
59
59
§ CMAC
§ Usado no WPA
SHA-2: 512
60
60
30
22/04/2024
§ Combinação de técnicas
§ Autenticação em dois fatores
61
61
62
62
31
22/04/2024
63
63
§ Exemplo
64
64
32
22/04/2024
65
65
§ Confidencialidade
66
66
33
22/04/2024
§ Irretratabilidade
§ Integridade
§ Autenticidade
67
67
§ RSA
§ Geração do par de chaves
§ Escolhe dois número primos p e q (mantidos em segredo)
§ N=p*q
§ Teste de primalidade
§ Chave pública (e, N)
§ Escolhe um número e , primo relativo a (p -1) * (q -1)
§ Chave privada (d, N)
§ e * d = 1 mod (p-1)*(q-1)
§ Utiliza-se algoritmo de Euclides Estendido
§ https://www.youtube.com/watch?v=yqo3Xa06tZc
68
68
34
22/04/2024
§ Exemplo RSA
§ Geração do par de chaves
§ p = 17 e q = 11
§ N = p *q = 187
§ e=7
§ MDC (160, 7) = 1
§ e *d = 1 (mod (p -1)*(q -1))
§ 7 * d = 1 (mod 160)
§ d = 23
§ Kp = {7, 187}
§ Ks = {23, 187}
69
69
EXTENDED EUCLID(m, b)
1. (A1, A2, A3)=(1, 0, m);
(B1, B2, B3)=(0, 1, b)
2. if B3 = 0
return A3 = gcd(m, b); no inverse
3. if B3 = 1
return B3 = gcd(m, b); B2 = b–1 mod m
4. Q = A3 div B3
5. (T1, T2, T3)=(A1 – Q B1, A2 – Q B2, A3 – Q B3)
6. (A1, A2, A3)=(B1, B2, B3)
7. (B1, B2, B3)=(T1, T2, T3)
8. goto 2
70
35
22/04/2024
§ RSA
§ Cifragem e Decifragem
§ Conversão da mensagem em números/blocos (menores que N)
§ C = M e (mod N )
§ M = C d (mod N )
71
71
§ Exemplo RSA
§ Cifragem
§ Kp = {7, 187} e Ks = {23, 187}
§ M = 88 (caractere ‘X’ em ASCII)
§ C = M e (mod N )
§ C = 887 (mod 187) = 881 * 882 * 884 (mod 187)
§ C = 88 * 77 * 132 (mod 187) = 11
§ Decifragem
§ M = C d (mod N )
§ M = 1123 (mod 187) = 111 * 112 * 114 * 1116 (mod 187)
§ M = 11 * 121 * 55 * 154 (mod 187) = 88
72
72
36
22/04/2024
§ RSA
§ É possível obter a chave privada a partir da chave pública?
§ A segurança reside na dificuldade de fatorar número grandes
§ Limite de segurança
§ Tempo para fatorar N
§ Chaves de pelo menos 1024 bits
§ Segurança equivalente a uma cifra de bloco de 80
§ Outros algoritmos
§ El-Gamal
§ Intratabilidade do problema do logaritmo discreto
§ Y = A x (mod B ) à calular x, conhecendo Y, A e B
§ Algoritmos baseados em curvas elípticas
73
73
§ Solução:
§ Função Hash + Cifra Assimétrica
74
74
37
22/04/2024
75
75
§ Envelope digital
§ Apenas confidencialidade
76
76
38
22/04/2024
Protocolos de Segurança:
Combinações de algoritmos para prover os serviços desejados
77
77
§ Autoridade Certificadora
§ Cartório Digital
§ Terceiro confiável
§ https://badssl.com/
78
78
39
22/04/2024
79
79
chave assinatura
+
pública +
digital K
B
de Bob K (cript.)
B
chave
certificado para
informação de privada -
K CA
identificação da CA chave pública de Bob,
de Bob assinada pela CA
80
40
22/04/2024
§ Outra solução
§ Cadeia de confiança (PGP)
81
81
§ Aplicações
§ As saídas dos algoritmos simétricos devem ser aleatórias
§ Geração de chaves
§ Simétricas temporárias
§ Cifras assimétricas
§ Impedir ataques de repetição
83
41
22/04/2024
84
84
42