Você está na página 1de 49

BZZ Um jumbo est indo em sua direo BZZ vire a BZZ imediatamente. Cambio.

Mdulo I Vulnerabilidades e Ataques

Evoluo da Segurana
Inicialmente, os computadores e redes foram desenvolvidos apenas como ferramentas de trabalho e produo.
A importncia da segurana nos projetos de computadores, software e redes ficou latente apenas na ltima dcada. A grande maioria dos protocolos usados nas redes atuais foram projetados a mais de 10 anos: ethernet, IP, TCP, etc. Os softwares possuem milhes de linhas de cdigo com diversos erros de programao.
Devido ao volume, praticamente impossvel corrigir todos os erros. Alteraes so feitas todo o tempo dificultando ainda mais o processo.

Evoluo da Segurana
A segurana da informao tambm est se adaptando:
Surgiram novas reas de segurana da informao:
Segurana de computadores; Segurana de redes; Segurana de base de dados.

O desenvolvimento de softwares, protocolos de redes e hardware possui um componente importante associado a segurana. Foram desenvolvidos sistemas para monitorar redes e computadores. Novos protocolos de rede esto sendo continuamente desenvolvidos para se adaptar a segurana.

Segurana de Redes
A segurana de rede procura garantir que a comunicao entre os equipamentos seja segura. A segurana de rede envolve:
Os protocolos usados na comunicao entre os equipamentos; Os ativos de rede que so usados para estabelecer essa comunicao; Os dados durante a transmisso; O software e hardware dos computadores que so usados para interagir com a rede.

Segurana de Redes
Os ataques a segurana das redes de computadores podem ser classificados por diversos mtodos.
Comunicao entre dois hosts.
Esse mtodo foi definido por Steve Kent em 1977 e ainda usado atualmente. Ele est descrito no anexo B da recomendao X.509 do ITU-T. Esse mtodo baseado no processo normal da comunicao entre dois hosts.
Usurio A Usurio B

Praticamente todo o trfego da Internet segue um mecanismo de cliente servidor e pode ser descrito atravs desse mtodo.

Segurana de Redes
Esse mtodo lista quatro tipos de ataques: Interceptao, Modificao, Interrupo e Fabricao. Interceptao. Nesse mtodo um intruso observa dados que no so destinados a ele. O intruso pode ser um programa, uma pessoa ou um computador. O objetivo desse ataque capturar alguma informao que no acessvel normalmente ao intruso.
Usurio A Intruso Usurio B

Segurana de Redes
Modificao: Nesse mtodo, um intruso no apenas intercepta uma comunicao legtima. Ele tambm altera essa informao.
Usurio A Intruso Usurio B

Interrupo: O intruso impede que a comunicao entre dois hosts seja efetuada. O intruso pode agir na estrutura do cliente (computador e link) ou na estrutura do servidor. Essa tcnica conhecida como Denial of Service (DoS).
Usurio A Intruso Usurio B

Segurana de Redes
Fabricao: O intruso insere dados ou objetos na rede. O intruso pode simular a identidade de um terceiro e gerar dados falsos ou retransmitir dados legtimos para duplicar os registros.
Usurio A Intruso Usurio B

Segurana de Redes
Alterao nos dados.
Esse classificao pode ser aplicado em conjunto com o mtodo anterior. Ele define o ataque de acordo com a atuao do intruso sobre os dados. Por esse mtodo, existem dois tipos de classificao para os ataques: passivos e ativos. Nos ataques passivos, nenhum dado do cliente alterado. As informaes apenas so lidas. Ele equivalente aos ataques de interceptao. Ataques ativos. Nesse tipo de ataque o intruso modifica o mecanismo normal de comunicao entre o cliente e o servidor. Os mtodos Interrupo, modificao e fabricao so enquadrados nessas categorias.

Criptografia
A criptografia a principal ferramenta para garantir uma comunicao segura. A criptografia est em uso desde o incio do desenvolvimento da escrita.Os primeiros relatos de escrita secreta vieram dos gregos no sculo V antes de Cristo.
A tcnica utilizada nessa poca era a esteganografia. Ela ainda usada nos dias de hoje, em alguns casos combinada com a criptografia.

Desde ento diversos povos usaram a exausto a criptografia para proteger seus segredos.

Criptografia
Dois exemplos histricos do uso da criptografia para garantir a segurana de mensagens so:
Cifra de Csar:
A cifra de Csar substitua cada letra do alfabeto por outra letra 3 posies a frente. Apesar de fraca, no existem indcios de que ela tenha sido descoberta.

Mquina Rotor:
Usada pelos alemes na segunda grande guerra, essa mquina realizava 3 substituies em srie das letras do alfabeto. Seu funcionamento foi descoberto pelas foras aliadas.

Criptografia
Existem dois modos de criptografar dados:
Criptografia simtrica:
Conhecida como criptografia clssica, usa uma nica chave para criptografar e descriptografar. Alguns protocolos de criptografia simtrica: DES, TripleDES, AES-128, AES192, AES-256, RC-2, RC-4, RC-6, Twofish, MARS e IDEA e o CAST 128.

Criptografia assimtrica.
Tambm conhecida como criptografia de chave pblica, utiliza uma chave para criptografar dados e outra chave para descriptografar. Os 2 exemplos so o algoritmo de RSA e a criptografia de chave elptica.

Criptografia Simtrica
A criptografia simtrica utiliza uma nica chave para criptografar e descriptografar as mensagens. O processo da criptografia simtrica segue os passos abaixo:
A mensagem original criptografada usando uma chave secreta. A mensagem transmitida por um meio inseguro. O destinatrio descriptografa a mensagem com a mesma chave secreta.
Transformao Secreta

Mensagem original

Meio de transmisso

Mensagem original

Transformao Secreta

Chave secreta

Mensagem criptografada

Chave secreta

Criptografia Simtrica
A criptografia simtrica executa dois tipos de transformaes nas mensagens:
Substituio
Na substituio, cada letra de um texto substituda por outra letra, por um nmero ou por um smbolo. A cifra de Csar o primeiro algoritimo de substituio conhecido. Nele cada letra substituda por outra letra 3 posies a frente. A frase vim, vi e venci seria escrita como ylj, yl h yhqcl A chave seria o nmero de casas deslocadas e o alfabeto utilizado. A cifra de Csar facilmente quebrada por tentativa e erro. Conhecendo o alfabeto existem apenas 26 opes de chaves.
A B C D E F G H I J K L MN O P Q R S T U VWX Y Z

D E F G H I J K L MN O P Q R S T U VWX Y Z A B C

Criptografia Simtrica
Uma melhoria na cifra de Csar utilizar a substituio aleatria das letras: O nmero de chaves igual a 4x1026 inviabilizando ataques de fora bruta.
A B C D E F G H I J K L MN O P Q R S T U VWX Y Z

C XMY A L J P V UD S B QE H I NO F K GR TWZ

Existem ainda uma diversidade de algoritimos que utilizam o conceito de substituio como: cifra de Playfair, cifra de Hill, cifras polialfabticas, etc. Todas as cifras de substituio so vulnerveis a criptoanalise apenas contendo o texto cifrado. A substituio mantm freqncia de letras do idioma original. Basta que seja identificada a letra com a maior freqncia no texto cifrado e relaciona-la a letra de maior freqncia de um determinado idioma.

Criptografia Simtrica
Transposio.
A transposio consiste de embaralhar as letras dentro de uma frase. A grande vantagem dessa tcnica reduzir a freqncia de digramas (seqncias de duas letras como: de, as, no, etc.) e trigramas (que, uma, com, etc.) no texto. Alguns exemplos de tcnicas de transposio so Rail Fence e maquina rotor. A Rail Fence consiste em separar o texto duas linhas alterando uma letra para cada linha e depois coloca-las em seqncia.

Eu tenho aquilo roxo

E t n o q i o o o u e h a u l r x

Etnoqiooo uehaulrx

Criptografia Simtrica DES


DES - Data Encryption Standard.
O DES o nome dado pelo NSA (National Security Agency) e o NBS (atualmente NIST-National Institue of Standard and Technology) para o algoritmo Lucifer na dcada de 70.
O Lucifer foi desenvolvido pela IBM nas dcadas de 60 e 70 como um padro de criptografia para bancos. O NBS/NSA publicaram o DES no FIPS-46. Esses rgos so responsveis por proteger toda a informao confidencial dos EUA.

O DES baseado em um conjunto de de substituies e transposies. O DES utiliza uma chave de 56 bits para criptografar e descriptografar blocos de 64 bits.

Criptografia Simtrica DES


O algoritmo do DES segue os passos abaixo:
O processo de criptografia do DES recebe 2 entradas:
Um bloco de texto com 64 bits. Uma chave secreta com 56 bits.

O primeiro passo gerar 16 chaves de 48 bits a partir da chave de 56 bits.


Chave com 56 bits Rotao 1 Transposio 1 Rotao 2 Transposio 2 .. Rotao 16 Transposio 16

Chave 1 com 48 bits

Chave 2 com 48 bits

Chave 16 com 48 bits

Criptografia Simtrica DES


O Segundo passo envolve duas substituies e 16 etapas e geram o texto cifrado: Chave 1 Chave 2 Chave 16
Texto original com 64 bits Transposio inicial Etapa 1 Etapa 2

...

Etapa 16

Transposio final

Texto cifrado com 64 bits

Cada etapa composta dos seguintes passos:


Chave Bloco A de 32 bits da etapa (n -1) Expanso/ 48 bits Substituio/ 32 bits reduo transposio

Substituio

XOR

Bloco A de 32 bits da etapa n

Bloco B de 32 bits da etapa (n -1)

Bloco B de 32 bits da etapa n

Criptografia Simtrica DES


Para descriptografar o DES basta executar os passos invertidos, usando a mesma chave.

Apesar de todas as crticas, o DES no vulnervel a criptoanlise ou seja, impossvel (por enquanto) obter um texto cifrado sem a chave.
Alguns estudos conseguiram reduzir o escopo do DES de 256 para 243 porm, no foi possvel descriptografar o DES apenas com criptoanalise.

O nico mtodo de atacar o DES atravs de fora bruta.


Um estudo de 1997 estimou o tempo necessrio para descobrir uma chave DES possuindo apenas um par texto original/texto cifrado:
Custo do computador (US$) 100.000 1.000.000 10.000.000 Tempo necessrio para obter a chave 6 horas 35 minutos 3,5 minutos

Criptografia Simtrica Triple DES


Triple DES.
O Triple DES uma variao do DES para reduzir as probabilidades de um ataque de fora bruta. Ele usa o hardware do DES, com 2 ou 3 chaves, reduzindo seu custo. Triple DES com 2 chaves.
Foi a primeira variao do Triple DES a ser desenvolvida em 1979. Utiliza 2 chaves de 56 bits possuindo o comprimento de 112 bits. Tcnicas de criptoanlise reduziram seu comprimento efetivo para 58 bits.
Bloco de texto com 64 bits Criptografia usando o DES Descriptografia usando o DES Criptografia usando o DES Bloco cifrado com 64 bits

Chave DES 1 com 56 bits

Chave DES 2 com 56 bits

Chave DES 1 com 56 bits

Criptografia Simtrica Triple DES


Triple DES com 3 chaves.
O Triple DES usa 1 chave DES para cada etapa de criptografia/descriptografia. O seu comprimento de chave efetivo de 168 bits. Ela a verso do 3DES normalmente usada em produtos de criptografia. Ele foi desenvolvido em 1996 para remover os ataques de criptoanlise existentes no Triple DES com duas chaves. Ele o protocolo oficial para documentos confidenciais, definido pelo NIST em 1999 com a publicao do FIPS 46-3. Apesar de segura e largamente difundida, a execuo do 3DES lenta.
Bloco de texto com 64 bits Criptografia usando o DES Descriptografia usando o DES Criptografia usando o DES Bloco cifrado com 64 bits

Chave DES 1 com 56 bits

Chave DES 2 com 56 bits

Chave DES 3 com 56 bits

Criptografia Simtrica AES


AES - Advanced Encryption Standard.
As limitaes existentes no DES levou o NIST a procurar um algoritmo alternativo para substitu-lo. Em 1997 foi feita uma consulta pblica para selecionar esse algoritmo. Em Agosto de 1999, foram definidos 5 finalistas: RC6, Twofish, MARS, Serpent e Rijndael. Em Outubro de 2000, o algoritmo de Rijndael foi selecionado como base para o protocolo AES. Em Novembro de 2001, o NIST publicou o FIPS 197 que definiu o padro AES. O Rijndael foi desenvolvido na Blgica por Rijndael-Daemen.

Criptografia Simtrica AES


O AES trata os dados em blocos com 4 grupos de 4 bytes (128 bits). Cada bloco pode passar por 9, 11 ou 13 etapas de acordo com o tamanho da chave usada.
AES-128: 9 etapas; AES-192:11 etapas; AES-256:13 etapas;

Em cada etapa, so executados substituies e transposies:


Substituio de bytes (byte substitution); Permutao de bytes entre grupos (shift rows); Substituio usando matrizes dos grupos (mix collumns); Execuo de um XOR com a chave (add round key);

Criptografia Assimtrica
A criptografia assimtrica considerada a nica novidade na criptografia desde sua inveno. Ela baseada em funes matemticas complexas e no nas tcnicas de substituio e transposio usadas na criptografia simtrica. A sua teoria foi descrita em 1976, por dois pesquisadores (Whitfield Diffie e Martin Hellman).

Criptografia Assimtrica
As bases da criptografia assimtrica so:
A criptografia assimtrica dever usar 2 chaves:
Uma chave privada, usada para criptografar a mensagem. Essa chave deve ser de conhecimento de apenas uma pessoa, o proprietrio da chave. Uma chave pblica, usada para descriptografar a mensagem. Essa chave foi criada pelo proprietrio da chave e de conhecimento pblico.

Deve ser impossvel, descobrir a chave privada, conhecendo: a chave pblica, um texto criptografado e o texto original. Os algoritimos de criptografia e descriptografia so diferentes.

Criptografia Assimtrica
As aplicaes para a criptografia assimtrica so vrias:
Assinatura Digital (autenticao):
Se uma mensagem foi criptografada usando a chave privada, ela s pode ter sido enviada pelo proprietrio da chave. No exemplo abaixo, quando o usurio A criptografou a mensagem, ele tambm assinou a mensagem uma vez que apenas ele tem acesso a chave privada. Qualquer pessoa com a chave pblica ter acesso ao seu contedo da mensagem assim, no est garantida a confidencialidade.
Algoritimo de criptografia Usurio A Mensagem criptografada Chave privada do usurio A Algoritimo de descriptografia Usurio B

Chave pblica do usurio A

Criptografia Assimtrica
Criptografia (confidencialidade):
A aplicao mais simples consiste em criptografar dados de modo a garantir a confidencialidade da comunicao. Quando o usurio A criptografa a mensagem com a chave pblica de B ele garante que apenas o usurio B poder ler a mensagem.
Mensagem criptografada Algoritimo de criptografia Usurio A Algoritimo de descriptografia Usurio B

Chave pblica do usurio B

Chave privada do usurio B

Criptografia Assimtrica
Autenticao com confidencialidade (protocolo Diffie-Hellman).
No exemplo abaixo, quando o usurio A criptografa uma mensagem com sua chave privada ele assina a mensagem. Quando ele criptografa a mensagem com a chave pblica do usurio B ele garante que apenas o usurio B, com a chave privada, poder ler a mensagem.
Mensagem criptografada Algoritimo criptografia Usurio A Algoritimo criptografia Algoritimo descriptografia Algoritimo descriptografia Usurio B

Chave privada Usurio A

Chave pblica Usurio B

Chave pblica Usurio A

Chave privada Usurio B

Criptografia Assimtrica RSA


RSA - Rivest Shamir Adleman.
A primeira formulao matemtica da criptografia assimtrica foi desenvolvida por Ron Rivest, Adi Shamir e Len Adleman. Eles utilizam nmeros primos, exponenciao e diviso modular. Para obter as chaves pblica e privada usadas no processo de criptografia, siga os passos:
Escolha dois nmeros primos muito grandes: p e q. Calcule n = p x q Calcule f(n) = (p - 1) x (q - 1)

Criptografia Assimtrica RSA


Escolha um nmero e cujo maior denominador comum com f(n) seja igual a 1: MDC (f(n), e) = 1. Calcule d = e-1 mod f(n). A chave pblica ser {e, n} e a chave privada {d, n}.

A criptografia/descriptografia executada seguindo os passos abaixo:


A funo de criptografia ser: C = Me mod n A funo de descriptografia ser M = Cd mod n M o bloco de bits de entrada. C o texto cifrado n um nmero menor que o valor binrio do bloco de bits de entrada.

Autenticao
O servio de autenticao garante que uma mensagem no foi modificada durante o seu percurso. A autenticao baseada em um mecanismo que produza um autenticador. Os algoritimos de autenticao so agrupados em 3 classes:
Message Autentication Code (MAC):
O MAC criptografa a mensagem e envia apenas uma pequena parte para o destino. Ela uma funo muitos para 1. Vrios textos geram o mesmo MAC. O DAA (Data Authentication Alghoithm) um exemplo desse tipo de cifra. Ele criptografa a mensagem com o DES e envia os ltimos 64 bytes do resultado.

Autenticao
Criptografia da mensagem:
Nesse caso o prprio texto cifrado serve como autenticador da mensagem. Um exemplo desse caso a criptografia de chave pblica.

Message Digest (One Way HASH Codes).


Nesse caso aplica-se uma funo Hash sem retorno para a mensagem de modo que seja gerado um texto com um tamanho pequeno (em relao ao tamanho da mensagem original). Esses mecanismos so os mais difundidos e, geralmente, operam em conjunto com algum tipo de criptografia da mensagem. Os cdigos usados no protocolo IPsec (MD e SHA) se encontram nessa categoria

Message Digests MD5


MD5 - Message Digest 5
O MD5 uma das verses da srie de protocolos Message Digests. Ele foi criado por Ron Rivest em 1991. O MD5 foi um dos protocolos mais utilizados na dcada de 90. Devido ao tamanho do hash final e vulnerabilidades descobertas no protocolo, o seu uso est sendo descontinuado. As funcionamento do MD5 segue as regras abaixo:
A mensagem dividida em blocos de 512 bits. A mensagem original pode possuir qualquer tamanho. Se for necessrio um padding adicionado para que o ltimo bloco contenha 512 bits.

Message Digests MD5


O MD5 define inicialmente quatro registradores de 32 bits conhecidos representados pelas letras A, B, C e D. O valor inicial dos registradores definido no protocolo MD5. Cada bloco de 512 bits sofre um total de 64 interaes. Em cada uma dessas interaes, o valor de A, B, C e D so modificados. O valor final dos registradores usado no prximo bloco de 512 bits. O estado final de A, B, C e D o valor do MD5.

Mensagem original

Algoritimo MD5

Cdigo HASH com 128 bits

A, B, C e D

Message Digests SHA


SHA - Secure Hash Algorithm
O SHA foi desenvolvido pelo NIST em 1994 como uma alternativa mais segura ao MD5. Foi publicado como o FIPS 180. Os protocolos MD5 e SHA operam de modo semelhante (ambos foram baseados no MD4). As principais diferenas so:
A mensagem original est limitada a 264-1 bits. Ela possui 5 registradores em lugar de 4 (A, B, C, D e E). Os blocos de 512 bits sofrem 80 interaes em vez de 64. As interaes sofreram pequenas modificaes para proteger contra os ataques existentes no MD5. O tamanho final do Message Digest de 160 bits.

Message Digests SHA


Em 1995 o NIST publicou o FIPS 180-1 com uma correo ao SHA. Essa verso ficou conhecida como SHA-1. Em Agosto de 2002 o NIST publicou a atualizao do SHA no FIPS 180-2. O FIPS 180-2 definiu trs novas algoritmos de hash baseados no SHA: SHA-256, SHA-384 e SHA 512.
SHA-1 Tamanho do Message Digest (bits) Tamanho mximo do texto inicial (bits) Tamanho do Bloco (bits) Tamanho dos registradores (bits) Nmero de etapas 160 <264 512 32 80 SHA-256 256 <264 512 32 80 SHA-384 348 <2128 1024 64 80 SHA-512 512 <2128 1024 64 80

PKI
PKI Public Key Infrastructure.
A PKI surgiu para resolver os problemas existentes na distribuio de certificados.
Como armazenar as chaves pblicas? Como distribuir as chaves pblicas? Como garantir a autenticidade das chaves pblicas? Como garantir a validade de uma chave pblica? Como cancelar uma chave pblica? Como armazenar as chaves pblicas e privadas?

PKI
A PKI formada pelos componentes necessrios para distribuir seguramente as chaves pblicas:
Certificados. Um repositrio para os certificados. Um mtodo para revogar certificados. Um mtodo para garantir a autenticidade dos certificados.

Certificados.
So a parte mais importante da estrutura do PKI. Eles foram criados usando a tecnologia de chave pblica e privada e o padro X.509. Os certificados armazenam entre outras informaes, a chave pblica associada ao usurio ou entidade.

PKI
Os Certificados possuem diversas informaes:
Version: verso do protocolo X.509 usada para criar o certificado. Serial Number: nmero de srie do certificado. Esse parmetro identifica unicamente cada certificado emitido por uma agncia certificadora. Algoritimo de Assinatura: identifica qual o protocolo usado para assinar o certificado: SHA1, SHA128, MD5, etc. Issuer: Nome da agncia certificadora que emitiu o certificado. Validade: Perodo de validade do certificado. Subject: Nome da entidade ou usurio associada com o certificado. Public Key: Chave pblica associada ao certificado. CRL Distribution Points: Locais onde possvel obter a CRL (lista com os certificados revogados).

PKI
Exemplo de um certificado.

PKI
Outra parte importante de um certificado a agncia certificadora. Tambm conhecida com o Certified Authority (CA) ou Cartrio. Em um mundo ideal, existiria uma nica agncia certificadora que forneceria certificados para todo o mundo. Na prtica as diferenas culturais e polticas levam a criao de diversas entidades certificadoras.
Em empresas podem existir uma ou mais entidades certificadoras. Os pases tambm possuem entidades certificadoras independentes. Existem empresas que fornecem certificados digitais para terceiros. Essa soluo largamente utilizada em pequenas e grandes empresas.

PKI
Todo certificado emitido por uma agncia certificadora possui uma assinatura digital feita com a chave privada da agncia certificadora. Todos os usurios que possurem o certificado dessa agncia conseguem verificar a autenticidade daquele certificado.
O Windows distribudo com diversos certificados das agncias certificadoras.

Frequentemente uma agncia certificadora delega a funo de emisso de certificados para outras agncias.
Essas outras agncias so conhecidas como Registration Authorities (RA). comum a existncia de uma ou mais RAs entre o certificado do usurio e a CA.

PKI
A lista da RA que emitiu o certificado e todas as RAs intermedirias, at a CA, conhecida como Certification Path. Para um certificado ser validado, o usurio dever possuir o certificado de todas as entidades do Certification Path.

PKI
Se a chave privada de uma CA ou RA estiver comprometida, todos os certificados emitidos por essa entidade tambm sero comprometidos. Uma funo importante da estrutura do PKI a revogao dos certificados invlidos. O Serial Number de todos os certificados revogados armazenado em um arquivo conhecido com o CRL ( Certification Revogation List).
O local de distribuio da CRL includo no certificado. A poltica de atualizao do CRL varia de acordo com a entidade certificadora. O uso da CRL tambm opcional na maioria das aplicaes.

VPNs
As VPNs mais comuns so baseadas no protocolo IPSec mas elas no so as nicas. Existem diversos protocolos desenvolvidos para fornecer conexes privada atravs de redes pblicas. Essas VPNs podem ser classificadas de acordo com a camada do modelo OSI onde os dados so criptografados:
Camada de rede.
O melhor exemplo dessa implementao o IPSec desenvolvido pelo IETF. Ele o protocolo de criptografia mais difundido na Internet.

VPNs
Ele pode ser usado por qualquer protocolo baseado no IP permitindo a sua implantao em diversos produtos e situaes. Entre as suas desvantagens, ns podemos citar: S pode ser usado com o protocolo IP. um recurso opcional no IPv4. Poucas implementaes do TCP/IP possuem esse recurso restringindo a sua aplicao.

Camada de enlace de dados.


Essas solues fornecem uma alternativa para a implementao de soluo em redes dial-up e baseadas em protocolos da camada 2, principalmente o PPP. Alguns exemplos dessa implementao so L2TP, L2F, PPTP com MPPE, etc. Na maioria das vezes esses protocolos criam tneis sem criptografia ou autenticao (com exceo do PPTP com MPPE).

VPNs
Camadas de Transporte/Sesso.
Esses protocolos foram desenvolvidos para fornecer servios de criptografia para diversos servios sem necessidade de alterar a pilha TCP/IP. Com a sobrevida do IPv4 fornecida pelo NAT, esses protocolos esto ganhando uma participao muito grande no mercado. Alguns exemplos de protocolos que implementa esse servio so o SSLv2, SSL v3 e TLS v1. A principal desvantagem desses protocolos a falta de um recurso para proteger a identidade dos hosts executando a comunicao.

VPNs
Camada de Aplicao.
Nessa camada so executados protocolos, na maioria das vezes proprietrios, que fornecem servios de criptografia para um servio especfico. A maior parte dos tneis criptografados so executados nessa camada. Alguns exemplos dos protocolos desenvolvidos para a camada de aplicao so: SSH (Secure Shell): Permite o terminal remoto. SFTP (Secure FTP): Permite a transferncia de arquivo. S/MIME e PGP (Pretty Good Privacy): Correio eletrnico seguro. SET: Criptografia para HTTP.