Segurança da Informação Tópico 23, 24, 25, 26 e 27 - Criptografia Criptografia Criptologia

Segurança da Informação

Tópico 23, 24, 25, 26 e 27 - Criptografia

•Criptografia•Criptologia•História•Certificado Digital•VPN•Controle de acesso

Prof.Davison Marques

• Ciência que permite tornar incompreensível uma informação, de forma a permitir que apenas pessoas autorizadas, consigam decifrá-la e compreendê-la.

• Conjunto de técnicas que permitem ocultar informações

Criptografia

Bruce Schneier

“Se você acha que a criptografia pode resolver todos os seus problemas de segurança.....ou você não conhece criptografia ou não conhece os seus problemas”

Criptografia

Não protege contra deleção de dados.

Algorítmos proprietários NÃO públicos NÃO são recomendados.

Algorítmos fracos podem comprometer a segurança.

Deve ser um dos recursos utilizados para a segurança e NÃO O ÚNICO.

Última linha de defesa.

Criptologia

• Disciplina científica que reúne e estuda os conhecimentos (matemáticos,computacionais, psicológicos, filológicos, etc.) e técnicas necessários à criptoanálise (solução de criptogramas) e à criptografia (escrita codificada).

Fonte: http://pt.wikipedia.org/wiki/Criptologia

Criptologia

CRIPTOLOGIA

CRIPTOGRAFIA CRIPTOANÁLISE

CÓDIGOS

CIFRAS

ESTEGANOGRAFIA

História

1 relato +-1900 a.CNo túmulo de Khnumhotep II, alguns hieróglifos

foram substituídos por outros mais "importantes

e bonitos“, esse é considerado o primeiro fato de

escrita cifrada.

Espartanos+- 400 a.C. Scytale cipher ou bastão de Licurgo é um sistema de criptografia utilizado pelos éforos

espartanos para envio de mensagens secretas. A cítala é formada por duas varas de espessura variável, mas ambas de espessura semelhante) e uma tira de couro ou papiro, que também se podem denominar cítalas.

Imperador César Cifra de César.

História

II Guerra máquina Enigma – Alemã.

Emuladores - http://homepages.tesco.net/~andycarlson/enigma/enigma_j.html

- http://russells.freeshell.org/enigma/

Algorítmos Criptográficos DES (56 bits) – 1974 IBM.

Quebrado em 1998 pela Eletronic Frontier Foundation.

3DES (3 x 56 = 168 bits)

AES (128, 192, 256 bits)

IDEA (128 bits)

Blowfish (até 448 bits)

História

• Futuro - Criptografia quântica.

• Destaca-se face aos outros métodos criptográficos por não necessitar de comunicações secretas prévias

•Permitir a detecção de intrusos e ser segura mesmo que o intruso possua um poder computacional ilimitado.

•Totalmente segura, exceto nas situações em que o intruso consiga remover e inserir mensagens do canal de transmissão (poder ler e remover a mensagem, criar uma cópia e reenviá-la). Assim, esta técnica criptográfica seria mais segura que as utilizadas atualmente, pois se baseia em leis da física, enquanto as atuais asseguram os dados com base em funções que são secretas somente porque o poder computacional é limitado.

História

•Confidencialidade.

•Integridade.

•Autenticação.

•Autenticidade.

•Não repúdio.

Serviços

Algoritmos Simétricos de Criptografia

• São algoritmos que utilizam a mesma chave para as operações de criptografia e decriptografia.

• Às vezes chamados de chave secreta ou chave privada.

Criptografia Simétrica

Encrypt Decrypt

CHAVE

CipherTextClearText ClearText

CHAVE

Criptografia Simétrica

Algoritmos de Fluxo

• São utilizados para a criptografia de um fluxo contínuo de bits.

• A criptografia deve ocorrer bit a bit.

Criptografia – Algoritmos Simétricos

One-Time-Pad

• É o único algoritmo teoricamente inquebrável.

• Para que seja inquebrável, deve-se ter chaves aleatórias e jamais re-utilizadas.

• A chave tem o tamanho da mensagem.

Criptografia – Algoritmos Simétricos

RC4• Gera bytes pseudo-aleatórios a partir de uma

chave de tamanho variável usados então para a criptografia com XOR.

• Jamais deve-se re-utilizar uma chave RC4!

• Largamente utilizado em conexões SSL.

Criptografia – Algoritmos Simétricos

Algoritmos de Bloco

•Trabalham em blocos de bits.

•Deve-se ter todos os bits do bloco para então se aplicar o algoritmo.

•Exemplos: DES, 3DES, IDEA, RC5.

Criptografia – Algoritmos Simétricos

DES (Data Encryption Standard)

• Criado em 1970.

• Utiliza uma chave de 56 bits (aprox. 73 quatrilhões de possibilidades) e blocos de 64 bits.

• A chave é utilizada para criar uma tabela de chaves para uma série de permutas sobre o texto puro.

• Em 1999, a Electronic Frontier Foundation “quebrou” uma chave DES em menos de 24 horas.

Criptografia – Algoritmos Simétricos

3DES

• Como o nome diz, executa-se o algoritmo DES três vezes.

• A chave resultante tem 168 bits.

Criptografia – Algoritmos Simétricos

IDEA (International Data Excryption Algorithm)

• Criado em 1992.

• Utiliza uma chave de 128 bits e blocos de 64 bits.

• Utiliza operações XOR, rotação, soma e multiplicação.

Criptografia – Algoritmos Simétricos

RC5

• Criado em 1995.

• É um algoritmo parametrizado: pode-se escolher o tamanho da chave, bloco e iterações.

• Utiliza as operações XOR, soma, subtração e rotação.

Criptografia – Algoritmos Simétricos

Criptografia Simétrica - Exemplos

ALGORITMO CHAVE – bits OBSERVAÇÃO

DES 56 Lúcifer / IBM / padrão mundial

Blowfish 32 a 448 Bruce Schneier alternativa DES

3 DES 168 Sobrevida ao DES segurança 112 bits

RC4 40 a 256 SSL, WEP, WPA

AES 128/102/256 Rijndael – 2001

RC6 Até 2040 Candidato AES da RSA

Twofish 128/192/256 Candidato AES Bruce Schneier

Criptografia Simétrica

VANTAGENS DESVANTAGENS

Velocidade Baixa escalabilidade

Bom nível segurança Canal seguro para trânsito da chave

Menor processamento Somente privacidade

• A criptografia de chave pública/de duas chaves/assimétrica envolve o uso de duas chaves:

• uma chave pública, que pode ser conhecida por qualquer um e pode ser usada para criptografar mensagens e verificar assinaturas

• uma chave privada, conhecida somente pelo destinatário, usada para decriptografar mensagens, e sinais (cria) assinaturas

Criptografia Assimétrica

CHAVE Publica

CHAVE Privada

Mary

CHAVE Publica

CHAVE Privada

Bob

Criptografia Assimétrica

CHAVE Publica

CHAVE PrivadaCHAVE Publica

Mary

CHAVE Privada

Encrypt Decrypt

CipherTextClearText ClearText

Bob

Criptografia Assimétrica

Criptografia Assimétrica

Criptografia Assimétrica

VANTAGENS DESVANTAGENS

Escalabilidade Menor Performance

Mais serviços além de privacidade

Maior processamento

Não necessita canal seguro para envio da chave

HASH

•Função matemática irreversível, se a informação for alterada o HASH original não é mais reproduzido.

Hash / Integridade

• Mensagem de tamanho invariável

•Mensagem de tamanho variável

• MD5 message-digest

• Hash de mensagem é usado para garantir que a mensagem não foi alterada.

Hash Function Hash Function

Clear Message

Hashed Message

Hash

Hash

Hash- Exemplos

ALGORITMO SAÍDA – bits OBSERVAÇÃO

MD4 Não recomendado

MD5 128 Deve ser evitado, colisões encontradas

SHA-1 160 Colisões já encontradas

SHA 256 256 Ainda não “quebrado”

SHA 384 384 Ainda não “quebrado”

SHA 512 512 Ainda não “quebrado”

Assinatura Digital

• Verificação da autenticidade da origem da informação

• Integridade da informação• Garante o não repúdio de mensagens• Autentica não apenas a origem da

informação como também o seu conteúdo

Assinatura Digital

Hash Function Hash Function

Clear Message

Hashed Message

CHAVE Privada

Assinatura de Mary

Assinatura

de Mary

Assinatura Digital

Classificação da InformaçãoPública

Internet

Pay to John Smith $100.00

One Hundred and xx/100 Dollars

Pay to John Smith $100.00

One Hundred and xx/100 Dollars

4ehIDx67NMop9

HashAlgorithm

HashAlgorithm

EncryptionAlgorithm

EncryptionAlgorithm

Hash

DecryptionAlgorithm

DecryptionAlgorithm

Hash

PrivateKey

PublicKey

Local Remote

Pay to John Smith $100.00

One Hundred and xx/100 Dollars

4ehIDx67NMop9

Hash

Match

Sistemas Híbridos

Utiliza-se das vantagens de ambos sistemas criptográficos simétrico e assimétrico, podendo garantir vários serviços simultaneamente:

1.Confidencialidade

2.Integridade

3.Autenticação e Autenticidade

4.Não Repúdio

Definição

Public Key Infrastructure (abrev. PKI)

1. Infra-estrutura de Chaves Públicas

2. Uma infra-estrutura de segurança difusa cujos serviços são implementados e realizados utilizando técnicas e conceitos de chaves-públicas.

PKI

PKI como Infra-estrutura

• Transparência para os usuários;• Escopo difuso e abrangente;• Que torna viáveis aplicações atuais e futuras;• Pontos de acesso padronizados;• Intervenção mínima dos usuários;

PKI

Root CA

SubordinateCA

Hierarchical

Root CA

Central

Jane Phil

Jane Phil Joe

PKI

Componente de uma PKI

• Entidade / Usuário final• Sujeito do certificado, empresa, pessoa ou aplicação;

• Autoridade Certificadora• Reponsávelpela emissão, renovação e revogação dos

certificados.• Assina digitalmente todos os certificados emitidos.

• Autoridade Registradora• Responsável pela validação de entidades / usuários

finais.• Requisita a revogação de certificados.

PKI

Repositório de certificados• Armazena certificados emitidos e listas de revogação.• Não constitui elemento obrigatório, mas contribui de

forma significativa com a disponibilidade e gerenciamento de uma PKI

• Usualmente utilizados diretórios X.500 com protocolo LDAP.

Certificados Digitais.• X.509(ITU-T) é o mais utilizado (SSL, IPSEC, S/MIME por

exemplo usam).• PGP tem formato próprio.

PKI

Nome único do proprietário

Número de série único

Período de validade

Informação de revogação

Chave pública

Nome da AC emissora

Assinatura digital

da AC

DN: cn=João Silva,

o=Anhanguera, c=BR

Serial #: 8391037

Start: 1/5/04 1:02

End: 7/5/05 1:02

CRL:cn=CRL2,

o=Anhanguera, c=BR

Key:

CA DN: o=Anhanguera, c=BR

PKI

Definição de modelo de confiança

• É a configuração de entidades de uma PKI(ACs, Entidade/ Usuário Final, etc.), e uma distribuicão particular de chaves de ACs, que determina quando uma dada Entidade Final poderá validar o certificado de outra Entidade Final.

PKI

Modelo de Confiança

• Hierárquico.• Oligárquico (Browsers).• Malha (Certificados Cruzados).• Anarquia (Cada entidade configura sua própria

trust AC-PGP).

PKI

PKI

• MP 2.200.• 24 de agosto de 2001.

• Comitê Gestor do Governo como Autoridade de políticas e gestão vinculado à Casa Civil

• Todas entidades nacionais vinculadas a uma única AC-Raíz

• AC-Raíz operacionaliza, fiscaliza e audita AC’s abaixo dela, mas não pode emitir certificados para usuários finais

• Certificação cruzada só permitida via AC-Raíz com AC-Raízes de entidades estrangeiras

ICP Brasil

Criptografia – ISO 17799:2005

•12.3.1 – Política para o uso de controles Criptográficos.

–...quais informações proteger.–...identificar o nível requerido de proteção.–...celulares, PDAs, mídias removíveis, linhas de comunicação.–...gerenciamento de chaves.–...papeis e responsabilidades.

Criptografia – ISO 17799:2005

•12.3.2 – Gerenciamento de Chaves.

–...geração de chaves.–...geração de certificados.–...armazenamento.–...revogação.–...recuperação.–...destruição.–...auditoria de gerenciamento.Gerenciamento é essencial para funcionamento efetivo

•ISO 11770•ISO 9796•ISO 14888

Criptografia – ISO 17799:2005

•12.2.3 – Integridade de mensagens.

–Convém que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações sejam identificados e os controles apropriados sejam identificados e implementados.

–Convém que seja efetuada uma análise/avaliação dos riscos de segurança para determinar se a integridade das mensagens é requerida e para identificar o método mais apropriado para a implementação da autenticação de mensagens.

VPN

Roteador de Borda

Site Principal

VPN

Firewall

SOHO

POP

Usuário Remoto

Parceiro

Escritório Remoto

Escritório Regional

Corporativa

Conexão através de uma infra-estrutura pública ou compartilhada existente (WAN/LAN)

VPN

Criação de um canal de comunicação SEGURO, garantindo a confidencialidade, disponibilidade e integridade da informação.

VPN - Objetivo

• A capacidade de encapsular o conteúdo de um pacote dentro do outro.

• É o encapsulamento ponto-a-ponto das transmissões dentro de pacotes IP.

Tunelamento

• VPN não necessariamente criptografa as informações, é que como uma VPN exige segurança, normalmente se criptografa os dados aumentando a segurança.

• Ex:

• Frame-Relay pode ser considerado VPN, bem como MPLS, porém em ambos os casos os dados não são criptografados.

VPN x Criptografia

VPN - OSI

VPN

Roteador de Borda

Site Principal

VPN

Firewall

SOHO

POP

Usuário Remoto

Parceiro

Escritório Remoto

Escritório Regional

Corporativa

• Site-to-Site• Client-to-Site• Host-to-Host

VPN - Categorização

Padrão do IETF que possibilita comunicação criptografada e segura entre pontos:

•Provê garantia de confidencialidade, integridade e autenticidade da informação.

•Criptografia em camada de rede

•Escalável para redes pequenas e grandes.

IPSec

Internet

IPSEC

Server

Server2000

Router

Solaris

Interoperabilidade

IPSEC

1. Navegador cliente inicia handshake – requisição SSL.

SSL Session

clientserver

2. Servidor retorna certificado para o cliente.

3. Cliente aceita e verifica se o certificado é autentico.

4. Cliente gera chave aleatória para criptografia simétrica.

5. Cliente criptorafa chave secreta simétrica usando chave pública do

servidor e a envia

,,

6. Chave secreta é usada para privacidade

, ,

7. Integridade garantida com MD5

SSL

Controle de Acesso

•É a capacidade de permitir e controlar o acesso a recursos apenas a usuários, programas e processos autorizados.

•Um conjunto de procedimentos executados por hardware, software e administradores para monitorar acessos, identificar requisições de acesso de usuários, registrar tentativas de acesso, e liberar ou bloquear acessos baseado em regras pré-estabelecidas

Controle de Acesso

Identificação: Meio de se receber uma informação sobre a identidade de um usuário

Autenticação: Capacidade de garantir que um usuário é de fato quem ele diz ser

Autorização: Decisão se um usuário pode ou não executar a atividade solicitada

Auditoria: Garantia que as atividades executadas pelos usuários são registradas de modo a possibilitar a monitoração e investigação.

Controle de Acesso

Tem como objetivo garantir que:

•Apenas usuários autorizados tenham acesso aos recursos necessários à execução de suas tarefas.

•O acesso a recursos críticos seja monitorado e restrito a poucas pessoas.

•Os usuários sejam impedidos de executar transações incompatíveis com sua função.

Controle de Acesso

Identificação do usuário:

•A identificação do usuário deve ser única, isto é, cada usuário deve ter uma identificação própria.

•É necessário que todos os usuários autorizados tenham uma identificação, seja um código de caracteres, um smart-card ou qualquer outro meio de identificação para permitir o controle das ações praticadas por meio de arquivos de registro (logs).

•Nome de usuário.

•Número de funcionário.

•Smart Card.

•Memory Card.

•Assinatura Digital.

•Biometria – Retina Scan, Iris Scan, Geometria da mão, impressão digital, reconhecimento de voz, Scaneamento Facial, Digitação dinâmica.

Identificação

Controle de Acesso

Autenticação do usuário:

•Autenticação é a capacidade de garantir que um usuário é de fato quem ele diz ser. É uma das funções de segurança mais importantes que um sistema operacional deve fornecer.

• Senha.

• One-time password – password dinâmico.

•Token device.

•Smart Card.

•Passphare.

•Memory Card.

Autenticação

Autenticação

• Smartcards• O que são?• Qual o nível de segurança?• Tipos:

• de contato• sem contato• híbrido

Autenticação

• Biométrica

• Utiliza uma de nossas características físicas para

autenticação:

• impressão digital (PDA´s)

• geometria das mãos

• geometria facial

• íris

• voz

Para maiores informações a respeito da tecnologia de biometria, acesse http://www.findbiometrics.com/

Para maiores informações a respeito da tecnologia de biometria, acesse http://www.findbiometrics.com/

Autenticação

• Tokens

• Autenticação usando dois fatores:

• senha e código gerado a cada 60 segundos pelo

token

• é associado a um servidor de autenticação que

valida a política de acesso dos usuários

• O que o usuário pode acessar ?

• Token de acesso.

• Kerberos.

• Regras de acesso.

Autorização

• O que FEZ ?

• Quem FEZ ?

• Como FEZ ?

• O que tentou FAZER ?

Auditoria

Controle de Acesso

Os mecanismos de autenticação podem ser divididos em quatro categorias:

• Algo que você sabe - O mecanismo mais utilizado é o onipresente, mas relativamente inseguro, par formado pelo nome do usuário e sua senha, assim como números PIN usados para acesso a Banco 24 Horas e combinações de cofres.

• Algo que você tem - cartões de banco 24 horas, cartões inteligentes e outros dispositivos físicos são mecanismos de autenticação que exigem a posse física de um dispositivo sem igual identificar um usuário.

Controle de Acesso

• Algo que você é - Impressões digitais, análise de retina e reconhecimento de voz são exemplos de mecanismos biométricos que podem ser usados para fornecer um nível bem alto de autenticação.

• Algum lugar onde você está - Endereços de adaptador de rede, caller-ID, e sistema baseado em Posicionamento Global via Satélite provêem informação de autenticação baseada na localização do usuário.

Controle de Acesso

Autorização

Para autorizar um acesso a um determinado recurso, pode-se adotar as seguintes abordagens:

•Individual (por usuário)

•Grupos (por perfil)

•Recursos (rede, base de dados, web)

•Contexto (local físico, período de tempo)

•Híbrida (combinação das anteriores)

• Fingerprint.

• Geometria da mão.

• Dinâmica assinatura / escrita.

• Reconhecimento Íris.

• Reconhecimento Face.

• Reconhecimento de Voz.

• Palmprint.

• Vascular Pattern.

Referência : http://www.biometrics.gov/default.aspx

Biometria

• Proteção das Informações.

• Velocidade dos leitores.

• Aceitação incorreta.

• Aceitação correta.

Biometria

• Acesso a recursos via rede pública, deve ser autenticado.

Objetivo: Garantir que o acesso a rede e serviços

seja feito por usuários legítimos e autorizados.

Servidores de autenticação: RADIUS, TACACS, TACACS+

AAA

Servidores de autenticação

• RADIUS (dados não criptografados)

• Protocolo UDP

• TACACS (dados não criptografados)

• Protocolo TCP

• TACACS+ (dados criptografados)

• Protocolo TCP

RADIUS / TACACS / TACACS+

RADIUS

Encrypted tunnel through public network

Corporate Network

Internet

VPN Client

VPN Gateway

VPN / Token

• Network Access Control.

• Network Access Protection.

• Tecnologia criada para auxiliar administradores a garantir a “saúde” de sistemas / ambientes de acessos remotos.

NAC / NAP

• Um cliente (suplicante) faz uma conexão inicial para um autenticador (switch de rede ou um ponto de acesso sem fio)

• O autenticador exige 802.1X de todos os suplicantes.• O autenticador solicita ao suplicante sua identidade, a

qual ele passará adiante para o authentication server (RADIUS – servidor de Passagem)

• O RADIUS segue qualquer mecanismo necessário para autenticar o cliente que está entrando (EAP - Extensible Authentication Protocol).

Referências: http://standards.ieee.org/getieee802/download/802.1X-2001.pdf ftp://ftp.rfc-editor.org/in-notes/rfc3748.txthttp://www.microsoft.com/brasil/technet/seguranca/colunas/sm0805.mspx

NAC / NAP

• Uma solução deve garantir:

• Validação da “saúde” do cliente.

• Conformidade com a política definida.

• Limitação de acesso à rede.

NAC / NAP

• Validação de segurança laptops.

• Validação de segurança desktops.

• Validação de segurança em computadores visitantes.

• Validação de segurança em computadores domésticos (acesso VPN).

NAC / NAP

NAC / NAP

Controle de Acesso – ISO 17799:2005

•11 – Política de Controle de Acesso.

–Risco que as informações estão expostas.–Requisitos de segurança de aplicações devem ser considerados.–Legislação pertinente e obrigação contratual, proteção de acesso a dados e serviços.–Consistência entre controle de acesso e classificação de informação.