Apostila_Criptografia_e_Segurança_na_Informática_MDaniel

UnB - UNIVERSIDADE DE BRASLIA INSTITUTO DE CINCIAS EXATASDEPARTAMENTO DE CINCIA DA COMPUTAO

Criptografia e Segurana na InformticaPedro A. D. Rezende

Pedro A. D. Rezende 1998 CopyMarket.comCopyMarket.com

Criptografia e Segurana na Informtica Pedro Antonio Dourado de Rezende

i

"Quem tem ouvidos, oua o que o Esprito diz s igrejas. Ao vencedor darei um prmio: o man escolhido. Darei tambm uma pedrinha branca a cada um. Nela est escrito um nome novo, que ningum conhece. S quem recebeu."

Apocalipse de So Joo, Captulo 2 Versculo 17

CopyMarket.com


ii

CopyMarket.com Todos os direitos reservados. Nenhuma parte desta publicao poder ser Reproduzida sem a autorizao da Editora.

Ttulo: Criptografia e Segurana na Informtica Autor: Pedro Antonio Dourado de Rezende Editora: CopyMarket.com, 2000

ndicePedro Antonio Dourado de Rezende

Introduo..........................................................................................................................ix 1: 2: 3: 4: 5: 6: 7: Fundamentos..............................................................................................................1 Elementos de Protocolos....................................................................................... 21 Protocolos Importantes ......................................................................................... 34 Tcnicas Criptogrficas.......................................................................................... 59 Algoritmos Criptogrficos Importantes .............................................................. 79 Enfoques para Implementao........................................................................... 123 Exemplos de Aplicaes...................................................................................... 155ndice alfabtico de tradues de termos tcnicos ............................................... 161 Tabela para comparao de grandes nmeros ...................................................... 162 Exemplo de execuo do protocolo Diffie & Hellman ....................................... 163 Exemplo de execuo da primitiva Exponeciao Modular ................................ 164 Exemplo de propriedades da aritmtica finita ...................................................... 165 Exemplo de gerao de chaves para o RSA ......................................................... 166 Exemplo de implementao de curva elptica ..................................................... 167 Exemplo de execuo de protocolo de conhecimento zero ................................ 168 Lista de exerccios ................................................................................................. 170

Apndices....................................................................................................................... 161

NotaoConceito: Explicao; Termo a definir; Anglicismo: Descrio de algoritmo: Objeto matemtico; Cdigo fonte em C: Canal previamente seguro (sigilo e/ou integridade): Canal de comunicao digital inseguro: Agente ou objeto de confiana:iii

Negrito Itlico Font Arial Font Courier

CopyMarket.com


ndice alfabtico de tpicosAlgoritmos criptogrficos de chave pblica.............................................................. 114 Algumas topologias para segurana ........................................................................... 154 Anlise de risco na internet ......................................................................................... 142 Anlise do DES............................................................................................................... 83 Anlise do RSA ............................................................................................................. 116 Aplicaes de fatorao e logaritmo discreto assinatura digital ............................ 47 Aposta Encoberta (comprometimento de bits).......................................................... 51 Application gateways ......................................................................................................... 151 Arquitetura de firewalls .................................................................................................. 147 Assinaturas digitais para autenticao .......................................................................... 27 Ataque de nmero sequencial ao TCP....................................................................... 141 Ataques a sistemas computacionais.................................................................................3 Ataques ao DES por texto pleno adaptativo .............................................................. 85 Atualizao e informaes sobre segurana na internet.......................................... 161 Autenticao e Distribuio de chaves via sistemas assimtricos............................ 41 Autenticao e Distribuio de chaves via sistemas simtricos ............................... 38 Autoridades de Certificao na Internet.................................................................... 137 Cara ou Coroa ................................................................................................................. 52 Cenrio atual da criptografia (1998) ........................................................................... 123 Cenrio inicial da padronizao em criptografia ........................................................ 79 Cifras Encadeadas........................................................................................................... 98 Cifras para sigilo.............................................................................................................. 14 Construo de funes de hash .................................................................................. 104 Construo de geradores pseudo-randmicos e cifras encadeadas ......................... 70 Controle de acesso.......................................................................................................... 11 Controles de segurana para a Internet ..................................................................... 143 Criptoanlise diferencial................................................................................................. 84 Criptografia na transmisso de dados .......................................................................... 76 Criptografia para armazenamento de dados ............................................................... 77 Criptografia Pr-computacional.................................................................................... 15 Critrios de projeto para cifras de bloco ..................................................................... 96 Critrios para escolha de chaves ................................................................................... 60 Derivao de chaves via funes unidirecionais com segredo................................. 44 Descrio do algoritmo padro DES........................................................................... 80 Descrio resumida do SET........................................................................................ 157CopyMarket.com


iv

Digital Signature Algorithm......................................................................................... 129 Distribuio de freqncia de letras ............................................................................. 20 Elementos de Protocolos............................................................................................... 21 Elementos de um modelo de segurana interna......................................................... 10 ElGamal ......................................................................................................................... 121 Entropia em Criptoanlise............................................................................................. 19 Escolha de algoritmos criptogrficos........................................................................... 75 Escolhas de plataforma .................................................................................................. 78 Escritura de Chaves (key escrow)..................................................................................... 53 Especificao de polticas de segurana..........................................................................7 Esquema de autenticao de Feige-Fiat-Shamir....................................................... 131 Esquema Meta-ElGamal.............................................................................................. 130 Estimativas para comprimento seguro de chaves ...................................................... 59 Estrutura bsica de protocolos criptogrficos ............................................................ 25 Exemplo de um algoritmo criptogrfico ..................................................................... 16 Exemplos de configurao de filtragem .................................................................... 148 Exemplos de protocolo baseado em conhecimento zero......................................... 57 Fatorao e logaritmo discreto aplicados esteganografia ........................................ 49 Ferramentas e utilitrios de segurana ....................................................................... 159 Funes de Hash........................................................................................................... 103 Funes Unidirecionais (one-way functions).................................................................... 29 Futuro da criptografia assimtrica .............................................................................. 127 Gerao de primos para criptografia assimtrica ....................................................... 64 Hash usando algoritmos para cifra de bloco............................................................. 109 Histrico da criptografia na internet .......................................................................... 155 Implementao de servios de assinatura digital...................................................... 128 Implementao de servios de chave pblica ........................................................... 124 Infra-estrutura para controle de trfego .................................................................... 144 Jurisdio da informao em meio eletrnico ...............................................................1 LFSRs de perodo mximo............................................................................................ 71 Limitaes dos firewalls ................................................................................................. 153 Login................................................................................................................................. 35 MACs: Cdigos de autenticao de mensagens ....................................................... 113 MD5................................................................................................................................ 105 Mecanismos de autenticao ......................................................................................... 30 Mecanismos e modos para construo de cifras ........................................................ 65 Mecanismos para uso de certificados em redes pblicas ........................................ 136 Modelos de segurana interna..........................................................................................9 Modo CBC....................................................................................................................... 67CopyMarket.com


v

Modo CFB ....................................................................................................................... 68 Modo ECB....................................................................................................................... 66 Modo OFB....................................................................................................................... 69 Necessidade de protocolos criptogrficos................................................................... 34 Operaes de filtragem ................................................................................................ 146 Outros algoritmos assimtricos................................................................................... 122 Outros Algoritmos Simtricos ...................................................................................... 87 Outros esquemas de autenticao .............................................................................. 132 Padres para assinatura digital e gerenciamento de chaves .................................... 133 Padres para certificados digitais................................................................................ 135 Polinmios primitivos mdulo 2 .................................................................................. 72 Primitivas de algoritmos assimtricos .......................................................................... 61 Principais padres de protocolos criptogrficos ...................................................... 134 Projeto e anlise de cifras encadeadas.......................................................................... 73 Protocolos criptogrficos............................................................................................... 24 Protocolos em modelos de segurana externa............................................................ 22 Protocolos esotricos ..................................................................................................... 58 Provas com conhecimento zero (0-knowledge)............................................................. 55 Questes ticas sobre escriturao de chaves............................................................. 54 Rabin............................................................................................................................... 120 Riscos segurana externa .......................................................................................... 139 RSA ................................................................................................................................. 115 Segurana de Algoritmos Criptogrficos..................................................................... 17 Seqncias randmicas................................................................................................... 33 Servios bsicos de segurana computacional ...............................................................8 Servios de validao de selo temporal........................................................................ 50 SHA................................................................................................................................. 107 Sistemas de chave pblica usando curvas elpticas .................................................. 125 Sistemas de segurana de dados.......................................................................................2 Tcnicas de filtragem.................................................................................................... 145 Tcnicas de robustecimento do DES .......................................................................... 86 Teoria da informao ..................................................................................................... 18 Tipos de Ataque ao TCP/IP ............................................................................................5 Transferncia de confiana atravs de protocolos ..................................................... 23 Uso de Tokens em segurana externa ......................................................................... 138 Vulnerabilidade na ausncia de segredos na autenticao......................................... 32 Vulnerabilidades e pontos de ataque...............................................................................4

CopyMarket.com


vi

ndice alfabtico de protocolosAssinatura Digital (arbitrado) ........................................................................................ 28 Assinatura Digital (auto-verificvel)............................................................................. 27 Assinatura Digital parcialmente irrefutvel de Chaum............................................. 47 Assinatura Digital sobre digesto e selo temporais...................................................... 31 Autenticao Fiat-Shamir............................................................................................. 129 Autenticao por protocolos de conhecimento zero iterativos ............................... 55 Autenticao por protocolos de conhecimento zero no iterativos........................ 57 Autenticao via conhecimento zero baseado em isomorfismo de grafo .............. 56 Cara ou coroa usando chaves assimtricas comutativas............................................ 52 Cara ou coroa usando hash ........................................................................................... 52 Cifragem de mensagem assinada .................................................................................. 28 Comprometimento de bits............................................................................................. 51 Derivao de chaves de Bellovin-Merrit (A-EKE).................................................... 46 Derivao de chaves de Diffie-Hellman fortificado .................................................. 45 Derivao de chaves de Diffie-Hellman...................................................................... 44 Distribuio de chaves certificadas para envelopes digitais...................................... 31 Distribuio de chaves DASS (DEC) .......................................................................... 41 Distribuio de chaves de Denning-Sacco.................................................................. 42 Distribuio de chaves Kerberos.................................................................................. 39 Distribuio de chaves de Needham-Schroeder ........................................................ 38 Distribuio de chaves de Neuman-Stubblebine ....................................................... 40 Distribuio de chaves de Woo-Lam........................................................................... 42 Distribuio interlock de chaves Rivest-Shamir......................................................... 43 Envelope Digital ............................................................................................................. 25 Exemplo de protocolo no computacional arbitrado................................................ 23 Handshake para abertura de sesso TCP .................................................................. 141 Login: autenticao mtua usando desafios................................................................ 37 Login: autenticao usando hash com salt .................................................................. 36 Login: autenticao usando hash.................................................................................. 35 Login: autenticao usando senhas ocasionais ........................................................... 37 Privacidade usando algoritmo assimtrico ................................................................ 142 Privacidade usando algoritmo simtrico...................................................................... 25 Secure Eletronic Transactions (SET)......................................................................... 157 Selo temporal arbitrado.................................................................................................. 50 Sistema criptogrfico justo de Micali (key escrow) ........................................................ 53

CopyMarket.com


vii

ndice alfabtico de algoritmosA5 .................................................................................................................................... 100 Algoritmo de Leeman para teste de Monte Carlo sobre primalidade ..................... 63 Algoritmo probabilstico para gerao de nmeros primos extensos ..................... 64 Blowfish............................................................................................................................ 90 CAST .............................................................................................................................. 95 Cifra de Csar .................................................................................................................. 15 Cifra de Vigenre ............................................................................................................ 16 Cript(1) ........................................................................................................................... 102 Data Encription Standard (DES)...................................................................................... 80 Digital Signature Algorithm (DSA) ................................................................................. 129 ElGamal ......................................................................................................................... 121 Encadeamento Davies-Meier ...................................................................................... 111 Exponenciao modular ................................................................................................ 61 FEAL .............................................................................................................................. 95 Filtro de pacotes bsico................................................................................................ 146 Gerador de sequncia usando Linear Feedback register................................................. 71 Gerador stop-and-go de sequncia usando Linear Feedback registers ............................. 74 Gosudarstvenyi Standard (GOST) ..................................................................................... 91 International Data Encription Algorithm (IDEA) ............................................................. 89 Khafre .............................................................................................................................. 88 Khufu .............................................................................................................................. 88 LOKI .............................................................................................................................. 95 MDC-2............................................................................................................................ 111 MDC-4............................................................................................................................ 112 Message Digest 5 (MD5).................................................................................................. 105 NewDES .......................................................................................................................... 87 PKZip ............................................................................................................................ 101 Rabin............................................................................................................................... 120 RC2 ................................................................................................................................... 88 RC4 ................................................................................................................................... 98 RC5 ................................................................................................................................... 94 Rivest, Shamir & Adleman (RSA) .............................................................................. 116 SEAL ................................................................................................................................ 99 Secure Hash Algorithm (SHA)......................................................................................... 107 Skipjack............................................................................................................................. 95

CopyMarket.com


viii

CopyMarket.com Todos os direitos reservados. Nenhuma parte desta publicao poder ser reproduzida sem a autorizao da Editora.


IntroduoPedro Antonio Dourado de Rezende

No mundo hoje, somos levados a crer que podemos comprar solues prontas de preferncia feitas sob medida para atender nossas necessidades. Mas a essncia do que se busca nem sempre pode ser encontrada na prateleira, embrulhada em pacote. Desejo iniciar essas notas com um comentrio sobre a natureza da busca de segurana para a informtica. Creio que a essncia dessa busca no pode ser encapsulada e apresentada em forma de algoritmo. Por isso, no posso me propor apresentar-lhes roteiros ou receitas para segurana na informtica. Proponho, ao invs disso, ajud-los a desenvolver sensibilidade sobre como usar o conhecimento e as ferramentas at hoje acumulados, nessa busca. Para explicar minha crena sobre a natureza do assunto que iremos tratar, escolhi introduzi-lo pelas palavras de um experiente criptlogo, Bruce Schneier, divulgadas em uma lista de discusso eletrnica em novembro de 96 ([email protected]), cuja traduo transcrevo abaixo. Para guiar-nos em minha proposta, compilei nas sesses seguintes um resumo dos conceitos, tcnicas e procedimentos mais eficazes hoje conhecidos para a construo de mecanismos criptogrficos de proteo informao digital, e de meios para esses mecanismos se integrarem a sistemas que se quer proteger. {Na sesso 1 veremos os principais conceitos tcnicos ou cientficos relacionados com a construo e funcionamento de ferramentas para a proteo informao os servios bsicos de segurana computacional. Na sesso 2 abordaremos como mecanismos de proteo contra ameaas os protocolos so concebidos, para tornarem vivel o uso destas ferramentas. Na sesso 3 estudaremos o funcionamento dos mecanismos que tem se mostrado eficazes, ou seja, os principais protocolos criptogrficos de padro aberto hoje em uso. Em seguida exploraremos na sesso 4 as formas como os servios bsicos so escolhidos e montados em protocolos especficos, para ento examinarmos em mais detalhes, na sesso 5, as peas principais desses protocolos os algoritmos criptogrficos inclusive quanto s formas mais elementares de se avaliar sua segurana. Detalhes de segurana externos aos protocolos que influem nas suas escolhas so abordados na sesso 6, e uma viso do estado atual da aplicao da criptografia, principalmente na internet, ser oferecida na sesso 7. Enquanto discorro sobre conceitos, protocolos e algoritmos criptogrficos, buscarei situ-los, por meio de comentrios, no cenrio real, onde deve configurar-se claro o carter global e integrador do significado da segurana na informtica, de cuja compreenso evolui tal sensibilidade. Estas notas representam portanto apenas um esforo para resumir descries de conceitos, protocolos e algoritmos, no havendo a pretenso de faze-las passar por texto didtico autnomo. Referncias bibliogrficas esto espalhadas ao longo das notas e devem ser buscadas por quem julgar necessria uma apresentao textual mais discursiva do assunto. Espera-se do leitor algum conhecimento da aritmtica modular (aritmtica dos processadores digitais), do funcionamento bsico de sistemas operacionais e das redes de computadores, e noes de complexidade de algoritmos.

CopyMarket.com


ix

Porque a criptografia mais difcil do que pareceDo correio eletrnico telefonia celular, do acesso seguro a servidores WEB moeda eletrnica, a criptografia parte essencial dos sistemas de informao de hoje. A criptografia ajuda a imputar responsabilidade, promover a justia, prover acurcia e privacidade. Pode prevenir fraudes em comrcio eletrnico e garantir a validade de transaes financeiras. Usada apropriadamente, protege a anonimidade e fornece provas de identidade de pessoas. Pode impedir vndalos de alterarem sua pgina na internet e competidores industriais de lerem seus documentos confidenciais. Com o comrcio seguindo sua marcha pelas redes de computadores, a criptografia se tornar cada vez mais vital. Mas a criptografia hoje existente no mercado no fornece a segurana que apregoa seu marketing. A maioria desses sistemas so projetados e implementados no por criptgrafos, mas por engenheiros que pensam que a criptografia como qualquer outra tecnologia de computadores. No . Voc no pode tornar um sistema seguro simplesmente acrescentando criptografia como uma medida adicional. Voc precisa saber o que est fazendo a cada passo do caminho, da concepo at a implementao do sistema. Bilhes de dlares so gastos em segurana de computadores, e quase todo este dinheiro desperdiado em produtos inseguros. Afinal, criptografia fraca parece idntica criptografia forte na vitrine de software. Dois produtos de encriptao de correio eletrnico no mercado tm interface de usurio praticamente idnticas, enquanto um deles seguro e o outro permite bisbilhotagem. Uma tabela contendo comparaes entre recursos pode sugerir que dois produtos tenham funcionalidade similar, embora um possa ter furos comprometedores de segurana e o outro no. Um criptgrafo experiente pode reconhecer a diferena. Determinados tipos de criminosos tambm podero. A segurana de computadores hoje em dia um castelo de cartas; pode se manter de p por agora, mas no vai durar. Muitos produtos inseguros ainda no foram quebrados porque ainda esto em sua infncia, mas medida em que se tornem mais e mais usados, tornar-se-o alvos atraentes para criminosos. A imprensa divulgar os ataques, minando a confiana do pblico nesses sistemas. No final, produtos sobrevivero no mercado de acordo com a robustez de sua segurana. Os ataques a sistemas de informao so dos mais variados tipos. Toda forma de comrcio j inventado tem sido alvo de fraudes, desde as balanas propositadamente descalibradas, o dinheiro falso, as faturas frias, etc. O comrcio eletrnico tambm sofrer fraudes, personificao, bloqueio de servio, e falsificaes. No se pode caminhar pelas ruas usando uma mscara que imita o rosto de outra pessoa sem ser percebido, mas no mundo digital muito fcil personificar outrem. Ocorre que a informatizao torna os riscos maiores ainda, permitindo ataques automatizados, impossveis de serem conduzidos contra sistemas no automatizados. Um ladro pode se sustentar retirando um centavo por ms de cada dono de carto de crdito Visa. Apenas com a criptografia forte pode-se proteger tais sistemas contra estes tipos de ataques. Violaes contra a privacidade constituem outro tipo de ataque. Alguns ataques contra a privacidade so direcionados: algum da imprensa pode tentar ler a correspondncia eletrnica de uma figura pblica, ou uma companhia pode tentar interceptar as comunicaes de um competidor. Pode-se tambm tentar ataques de colheita, buscando informaes interessantes num mar de dados: vivas ricas, usurios de AZT, pessoas que visitam determinada pgina na internet, etc. O vandalismo eletrnico um problema cada vez mais srio. J foram pichadas as pginas digitais da agncia de servio secreto dos EUA, enviadas cartas-bomba digitais a provedores da internet, e cancelados centenas de listas de discusso eletrnicas, alm de ataques que bloqueiam o acesso a computadores que se comunicam por meio de determinados protocolos. E como divulgado, ladres e vndalos rotineiramente invadem redes de computadores. Quando as salvaguardas de segurana noCopyMarket.com


x

so adequadas, os invasores correm poucos riscos de serem flagrados. Os atacantes no seguem regras, podendo atacar sistemas usando tcnicas no antecipadas pelos projetistas e analistas de sistemas, como no exemplo de arrombadores que entram numa casa abrindo um buraco na parede, evitando os alarmes e trancas das portas e janelas. Vndalos cibernticos tambm abrem buracos em paredes de bits. Roubam dados tcnicos, subornam agentes, modificam programas e mancomunam. Tiram vantagens de tecnologias mais avanadas que a dos sistemas que querem atacar, e at descobrem novos mtodos matemticos para atac-los. Geralmente dispem de mais tempo do que algum honesto normalmente teria para desmontar e examinar um sistema. O SecurID foi usado durante anos at que algum olhou mais atentamente dentro de seu gerenciador de chaves: seus cdigos binrios ainda continham rtulos!. As chances favorecem os atacantes, que s precisa encontrar um ponto vulnervel no sistema, enquanto os defensores precisam proteger seu sistema de toda vulnerabilidade possvel.

O que a criptografia pode e no pode fazerA garantia de 100% de segurana uma falcia, mas podemos trabalhar em direo a 100% de aceitao de riscos. Fraudes existem nas formas usuais de comrcio: dinheiro pode ser falsificado, cheques adulterados ou roubados, nmeros de carto de crdito copiados. Mesmo assim esses sistemas ainda tm sucesso porque seus benefcios e convenincias compensam as perdas. Cofres, fechaduras e cortinas mecanismos de privacidade no so perfeitos mas com freqncia so bons o suficiente. Um bom sistema criptogrfico atinge o equilbrio entre o que possvel e o que aceitvel. A criptografia forte pode resistir com sucesso a ataques que lhe so direcionados at um certo ponto o ponto onde se torna mais fcil obter, de alguma outra maneira, a informao que ele protege. Um sistema criptogrfico, no importa quo seguro, no ir impedir que algum vasculhe seu lixo. Mas pode perfeitamente prevenir ataques de colheita de dados: ningum conseguir vasculhar suficientes latas de lixo para montar a lista de todos os usurios de AZT do pas. A boa notcia sobre criptografia que j temos os algoritmos e protocolos para proteger nossos sistemas. A m notcia que esta foi a parte mais fcil: implementaes bem sucedidas requerem especializao considervel. As reas de segurana na informtica que interagem com pessoas gerncia de chaves, segurana da interface homem/mquina e controle de acesso freqentemente desafiam anlise. As disciplinas de infra-estrutura de chaves pblicas, segurana do software, segurana de computadores, segurana de redes e projeto de hardware inviolvel so tambm pouco compreendidas. Companhias muitas vezes fazem mal a parte fcil e implementam algoritmos e protocolos inseguros. Mas mesmo assim, na prtica raramente a criptografia quebrada por causa, ou atravs, de sua matemtica; outras peas do sistema so mais fceis de serem quebradas. O protocolo mais seguro j inventado poder facilmente sucumbir a um ataque simples se no for dado ateno a detalhes mais complexos e sutis sobre sua implementao. A segurana do browser Netscape 1.0 caiu devido a uma falha no seu gerador de nmeros randmicos. As falhas podem estar em qualquer lugar: no modelo de ameaas, no projeto do sistema, na implementao do software ou do hardware, ou na gerncia do sistema. Segurana uma cadeia, onde um nico elo fraco pode quebrar todo o sistema. Bugs fatais segurana podem estar em partes do software distantes dos mdulos que implementam servios de segurana, e uma deciso de projeto que no tenha nada a ver com segurana poder criar uma falha de segurana.

CopyMarket.com


xi

Uma vez encontrada uma falha de segurana, pode-se consert-la. Mas encontrar as falhas, para incio de conversa, pode ser extremamente difcil. Segurana diferente de qualquer outro requisito de projeto, porque nele funcionalidade no igual a qualidade: se um editor de texto imprime corretamente, sabe-se que a funo de impresso funciona. Segurana diferente: s porque um cofre reconhece a combinao correta para abri-lo, no significa que seu contedo est seguro contra um chaveiro ou arrombador. Nenhuma quantidade de testes beta revelar todas as falhas de segurana de um sistema, e no haver nenhum teste possvel que prove a ausncia destas falhas.

Modelos de ameaasUm bom projeto comea por um modelo de ameaas. O que o sistema est sendo concebido para proteger, de quem e durante quanto tempo? O modelo de ameaas deve levar em considerao todo o sistema, no apenas os dados que est sendo projetado para proteger, mas tambm e principalmente as pessoas que iro us-lo e como iro us-lo. O que motivar os atacantes? Que tipo de abusos podem ser tolerados? Deve um tipo de ataque ser prevenido ou basta que seja detectado? Se o pior acontecer e alguma hiptese fundamental sobre a segurana do sistema for violada, que tipo de salvamento psdesastre pode ser conduzido? Respostas a estas questes no podem ser padronizadas, como os algoritmos e protocolos. So diferentes para cada sistema, e com freqncia, projetistas no dedicam tempo a construir um modelo realista das ameaas ou a analisar os riscos. Modelos de ameaas permitem a desenvolvedores de produtos e consumidores determinar quais medidas de segurana so necessrias: ter sentido encriptar todo seu disco rgido se voc no guarda seus documentos de papel num cofre? Como pode algum de dentro da companhia fraudar o sistema de comrcio? Qual exatamente o custo para se neutralizar a inviolabilidade de um carto inteligente? No se pode especificar um sistema seguro sem conhecimento sobre contra o que, e de quem, se deseja proteg-lo.

Projeto de sistemasO projeto de um sistema criptogrfico seguro deve ser feito somente aps o modelo de ameaas ter sido compreendido. Este trabalho o tema central da criptologia, e muito especializado. A criptografia mescla vrias reas da matemtica: teoria dos nmeros, teoria da complexidade, teoria da informao, teoria da probabilidade, lgebra abstrata, anlise formal, dentre outros. Poucos podem contribuir apropriadamente para esta cincia, onde um pouco de conhecimento muito perigoso: criptgrafos inexperientes quase sempre projetam sistemas falhos. Bons criptgrafos sabem que nada substitui a reviso extensiva feita por colegas e anos de anlise. Sistemas de qualidade usam algoritmos e protocolos publicados e bem compreendidos: usar elementos no provados em um projeto no mnimo arriscado. O projeto de sistemas criptogrficos tambm uma arte. O projetista precisa atingir um equilbrio entre segurana e acessibilidade, anonimidade e responsabilizao, privacidade e disponibilidade. A cincia sozinha no garante segurana: somente a experincia e a intuio nascida da experincia podem guiar o criptgrafo no projeto de sistemas criptogrficos e na busca de falhas em sistemas existentes. Bons sistemas de segurana so feitos de pequenos mdulos independentemente verificveis (e que tenham sido verificados!), cada um provendo algum servio que claramente se resuma a uma primitiva. Existem vrios sistemas no mercado que so muito grandes para serem verificados em tempo razovel.

CopyMarket.com


xii

ImplementaoExiste uma distncia enorme entre um algoritmo matemtico e sua implementao concreta em hardware ou em software. Projetos de sistemas criptogrficos so muito frgeis. S porque um protocolo logicamente seguro, no significa que permanecer seguro quando o implementador comear a definir estrutura de dados e a descrever a passagem de bits de um lado para outro. Fechado nunca ser totalmente fechado: esses sistemas tm que ser perfeitamente implementados, seno iro falhar. Uma interface mal projetada pode tornar um encriptador de arquivos de disco completamente inseguro. Uma interface de sincronizao mal projetada pode deixar um furo num sistema para comunicaes seguras. Confiana excessiva na inviolabilidade de hardware, tais como os chips de cartes selados, pode tornar intil um sistema de comrcio eletrnico. Como estes problemas no aparecem em testes, por vezes aparecem em produtos j lanados no mercado. Implementadores esto sempre sob presso de oramentos e prazos. Cometem os mesmos erros vezes a fio, em muitos produtos diferentes. Usam geradores de seqncias randmicas ruins, no checam condies de erro apropriadamente, e deixam informaes secretas em arquivos de swap. Muitas destas falhas no podem ser estudadas em livros acadmicos porque no so tecnicamente interessantes. A nica maneira de aprender sobre estas falhas fazendo e quebrando sistemas de segurana, um aps o outro, numa corrida sem fim.

Procedimentos e GernciaNo final da estria, muitos sistemas de segurana so quebrados por pessoas que os usam, e a maioria das fraudes contra sistemas de comrcio so praticadas por quem os opera. Usurios honestos tambm causam problemas, porque geralmente no ligam para segurana. Eles querem simplicidade, convenincia, e compatibilidade com sistemas legados (inseguros) e em uso. Eles escolhem senhas fracas, anotam-nas, passam-nas para parentes e amigos, largam computadores com sesses abertas, etc. muito difcil vender fechaduras para pessoas que no querem ser molestadas pela responsabilidade de carregar chaves. Sistemas bem projetados tm que levar em conta as pessoas, e as pessoas so os elementos mais difceis de serem abstrados no projeto. A onde est realmente o custo com segurana. No est nos algoritmos. A criptografia forte no mais cara que a fraca. O grosso do custo tambm no est em projeto e implementao: sai bem mais barato projetar e implementar um bom sistema do que cobrir as perdas com um sistema inseguro. A maior parte de seu custo est em fazer com que as pessoas o utilizem. difcil convencer o consumidor sobre a importncia de sua privacidade financeira, quando o mesmo est disposto a trocar um detalhado registro de suas compras por um milsimo de uma viagem ao Hava. difcil construir um sistema de autenticao robusto sobre um outro sistema que permite ser penetrado por meio do conhecimento do nome de solteira da me de algum. A segurana rotineiramente ultrapassada por vendedores, gerentes, executivos e qualquer um que esteja querendo apenas tocar o servio. Mesmo quando o usurio compreende a necessidade de um sistema de segurana robusto, no ter meios de comparar dois sistemas. Revistas de computao comparam produtos de segurana listando seus recursos e funcionalidade, e no avaliando sua segurana. Propagandas de produtos fazem asseres que simplesmente no se sustentam. Um produto mais robusto, isto , melhor testado (e portanto mais caro), estar nestas condies em desvantagem para a comercializao. As pessoas confiam no governo para zelar pela sua segurana e bem estar, em coisas para as quais no detm conhecimento suficiente para fazerem sua prpria avaliao industrializao de alimentos, aviao, medicamentos, medicina, etc. Com a criptografia entretanto, os governos fazem geralmente o contrrio.CopyMarket.com


xiii

Problemas no futuroQuando cai um avio, so abertos inquritos, feitas anlises e laudos tcnicos. Informao sobre o acidente amplamente divulgada, e muitos aprendem algo com o acidente. Pode-se obter das autoridades, laudos sobre acidentes areos desde o incio da histria da aviao. Mas quando o sistema eletrnico de transaes financeiras de um banco penetrado e fraudado, quase sempre o episdio acobertado. Se alguma informao chega at os jornais, os detalhes so omitidos. Ningum analisa o ataque, e ningum aprende nada com os erros. O banco tenta remendar o problema em segredo, na esperana de que a clientela no perca a confiana num sistema que no merece esta confiana. Remendar sistemas de segurana para tapar furos em resposta a ataques bem sucedidos no suficiente. A informao move muito depressa. Uma falha em algum sistema, descrita na internet, pode ser explorada por milhares em um dia. Os sistemas para hoje precisam antecipar futuros ataques. Qualquer sistema de grande porte seja para comunicaes autenticadas, armazenamento seguro de dados ou comrcio eletrnico deveria ter vida til de cinco anos ou mais. Para permanecer seguro, precisa ser capaz de resistir ao futuro: ataques mais inteligentes, com maior capacidade computacional e motivaes crescentes para se subverter um sistema que est consolidado por longo uso. No haver tempo para se fazer upgrades enquanto este estiver em uso. A histria tem nos ensinado: nunca subestime a quantidade de recursos em dinheiro, tempo e esforo que algum esteja disposto a gastar para subverter um sistema. Use sistemas de defesa ortogonais, com vrias maneiras de se fazer a mesma coisa. Autenticao segura pode significar assinaturas digitais pelo usurio via teclado, SSL para proteger a transmisso, IPSec pelo firewall para o destino, junto com pontos de auditoria mltiplos ao longo do caminho para gerar rastros e produzir evidncias. A quebra de alguma parte dar ao atacante uma alavanca, mas no causar o colapso de todo o sistema. sempre melhor assumir o pior. Assuma que seus adversrios so melhores do que realmente so. Assuma que a cincia e a tecnologia podero em breve fazer coisas que hoje ainda no podem. D a si mesmo um margem de erro. D a si mesmo mais segurana do que hoje precisa. Quando o inesperado acontecer, voc estar contente por ter agido assim. (Bruce Schneier) Creio ser a busca de segurana para a informtica semelhante busca metafsica do homem pelo significado da vida. Um movimento de impulso difuso entre o compreensvel e o desejvel, no horizonte cambiante do possvel. Terei atingido meu objetivo se ao final pudermos reconhecer o contexto onde as ferramentas criptogrficas podem ser teis. Este contexto formado pelas esferas de atitude, motivao e compreenso dos riscos por parte de quem usa a informtica, para dela se obter confiabilidade. Poderemos ento conviver, e convencer outros da necessidade de convivncia, com o dilema que h na verso digital da segunda lei da termodinmica, expressa pela equao de Nemeth Segurana = 1 / Convenincia A sabedoria de cada um ser enriquecida na medida em que puder discernir a dose certa com que uma outra fora humana relacionada segurana a parania pode contribuir ao delicado equilbrio desta lei.

CopyMarket.com


xiv



1. FundamentosPedro Antonio Dourado de Rezende

Jurisdio da informao em meio eletrnico Classificada Governos Organizaes militares Interna Sistemas operacionais Bancos de dados Sensvel Comrcio, Indstria Comunidades Externa Redes de computadores Telecomunicaes

Necessidades sociais surgidas na era da informtica 1 - Padronizao de mecanismos e protocolos nas reas com interesse comum em segurana de dados: Instituies financeiras...Transaes eletrnicas. Corporaes .........Gerncia, Comrcio eletrnico, etc. Telecomunicaes Provimento de servios. Comunidades........Internet, Redes proprietrias, etc. Governo................Administrao, Militar, Espionagem, etc.

2 - Mudana na cultura da impunidade em crimes por computador: (Estudo por Securicor Consult. Ltd, Londres, 1993) Crimes rastreados dentre ocorridos............ ~ 1% ; Crimes denunciados dentre rastreados....... ~15% ; Crimes denunciados com suspeito(s)......... ~61% ; Suspeitos julgados e condenados ............... ~ 3% ;

Crimes punidos com priso.................................................... ~0,0003% (habilidade do cracker, publicidade negativa, legislao omissa, etc.)1

CopyMarket.com


Sistemas de segurana de dados Demanda bsica de segurana em sistemas computacionais:Tipo de proteo Privacidade ou sigilo Integridade Legitimidade Disponibilidade Ameaa bsica Vazamento ou desvalorizao Fraude, adulterao ou perda Acesso indevido execuo Bloqueio indevido de servio Ao(Read) (Write) (eXec) (eXec)

Componentes principais de um sistema de segurana:1 - Poltica de segurana de dados Planejamento - Avaliao e anlise de riscos e custos. Especificao para implementao de salvaguardas e servios. Atribuio documentada de autorizaes e responsabilidades. 2 - Servios bsicos de segurana computacional Controle de acesso...................identificao e autorizao. Cifragem ..................................codificao para sigilo. Autenticao ............................validao de origem ou integridade. Certificao .............................autenticao recursiva com verificao aberta. 3 - Controle e Auditoria Monitoramento ..........gerenciadores (rede, backup) logs, ids, etc. Rastreamento .............vacinas, firewalls, wrappers, proxies, etc. Avaliao...................anlise estatstica, relatrios, reviso de polticas de segurana, etc.

CopyMarket.com


2

Ataques a sistemas computacionais Classificao hierrquica de ataques (Warwick Ford):Subjacentes Primrios Ameaas bsicas

Por penetrao 1-

Por Implantao

Ataques primrios por penetrao Personificao: .................... invaso no permetro de login Desvio de controle:.............. explorao de falhas no sistema Violao de autoridade:....... uso indevido de privilgios

2-

Ataques primrios por implantao Gancho: (backdoor).....uso de recurso no documentado Infeco: ......................exploit, verme, vrus. Embuste:......................programa troiano, spoof

Quadro-resumo (Warwick Ford)

Ameaas: Vazamento Ataques Primrios:Penetrao

Fraude

Bloqueio

Uso indevido

Personificao, Desvio, Violao.

Gancho, Virus, Spoof, Troiano, etc.

Implantao

Ataques Subjacentes:Escuta passiva, Anlise de trfego, Descuido, Grampo, Varredura. Escuta ativa, Refutao. Sobrecarga intencional, Fraude. Furto de sesso, Replay, Espelhamento, Fraude.

CopyMarket.com


3

Vulnerabilidades e pontos de ataque Ataques mais freqentes a sistemas computacionais em 89(em ~3000 casos; Computer Security Conference, ordem decrescente) 1 2 3 4 5 Violao de autoridade:..........abuso de usurio legtimo. Personificao: .......................uso de senha vazada. Desvio de Controle:................hacking. Gancho ou Embuste: ..............mascaramento de funcionalidade. Grampo, Escuta, Varredura:...garimpagem no trfego de dados.

Meios externos de ataque (Counterintelligence DoD, 94) via Internet: ............................................................ 80% dos casos outros meios: .......................................................... 20% dos casos

Riscos de invaso de redes (NCSA, 95) Redes de companhias conectadas Internet: ......... 24% invadidas Redes privadas no conectadas Internet:............. 3% invadidas

Recursos que demandam proteo especfica Cabeamento Dispositivos de interconexo (gateways, routers, bridges, etc). Estaes. Servidores (de autenticao, de terminais, de aplicativos, etc). Software de rede e aplicativos Arquivos de configurao e de Banco de Dados.

CopyMarket.com


4

Tipos de Ataque ao TCP/IPCamada AplicFTP SMTP TELNET transf. e-mail login arquivo RIP NTP TFTP HTTP Gopher DNS nome sincro- transf. roteawww diretrio domino nizao arquivo mento UDP IP ISO 8802-2

Hierarquia de servios e protocolos hoje usados na InternetNFS PMAP arquiv portas XDR RPC procedimento remoto NIS

Transp Rede

TCP

Enlace Ethernet

ISO 8802-3

ISO 8802-5 Token Ring

ISO 9314 FDDI

CSMA/CD

LAP-D: HDLC: LAP-B: ITU ITU ITU ISO Q.921/2 X.25 Q.921 3309 .8885 Frame Relay ISDN

SLIP

PPP: rfc 1331 Assncrona

ATM: ITU I.361

.

Riscos de segurana nos protocolos de enlace Escuta passiva (sniffers) ............ via interfaces em modo promscuo Sobrecarga (denial of service) .... via escuta ativa (broadcast storm)

Riscos de segurana nos protocolos de rede Spoofing de endereo IP:....identificao falsa da origem do pacote Ataques ao ICMP: ..............uso malicioso de mensagens de controle do IP (Redirect, Destination Unreachable,Source Quench, etc) Ataques de fragmentao: .subverso dos filtros de firewall em redes cuja implementao TCP pode reconstruir pacotes fragmentados.

CopyMarket.com


5

Riscos de segurana nos protocolos de rede (continua) Ataques de roteamento (source routing): .... uso de opes do IP para habilitar ataques de escuta ativa, espelhamento ou roubo de sesso.

Riscos de segurana nos protocolos de transporte Ataques de nmero sequencial:... simulao do handshake para abertura de sesso TCP, conjugado ao spoofing de endereo IP. Spoofing de UDP: .........................simulao de datagramas para abertura ou roubo de sesso (sequestro) em aplicativos que usam UDP e que no implementam autenticao e criptografia .

Riscos de segurana nos protocolos de aplicao Ataques a login remoto: .escuta passiva de sesses TELNET ou "servios r-" vazam senhas que podem habilitar ataques de personificao Ataques ao DNS:.....................modificaes fraudulentas de tabelas

in-addr.arpa, podem habilitar ataques via servios remotos "r-". Ataques ao RIP ou EGP: roteadores com filtragem deficiente podem sofrer spoofings que habilitam espelhamento e escuta ativa nas redes. Ataques via SMTP, HTTP: falta de autenticao habilita mensagens forjadas. Extenses habilitam ataques por implantao contra cliente. FTP, TFTP: .....................configurao e filtragem seguras so complexas. Protocolo usado em quase todo ataque externo via IP. NIS, NFS, NTP: ..............fraudes no NTP podem habilitar ataques de replay na rede. Servios baseados em RPC podem ser alvo de sniffers. X-Windows, Finger, Whois: aplicativos que facilitam outros ataques se mal configurados ou indevidamente habilitados.

CopyMarket.com


6

Especificao de polticas de segurana Roteiro Tpico de planejamento de segurana Quais recursos devem ser protegidos? De quem e de que se quer proteger tais recursos? Qual a chance ou probabilidade de ameaas? Quo importante so os recursos? Quais medidas podem proteger ativos com custo/benefcio aceitvel? Quais planos de contingncia e roteiros de reavaliao decorrem?

Salvaguardas no computacionais 1 - Segurana fsica: ................portas, fechaduras, controles, etc. 2 - Segurana funcional: ..........recrutamento e treinamento, motivao 3 - Segurana administrativa: ..auditoria, fiscalizao, contingncia 4 - Segurana de mdia: ...........backup, destruio de material, etc. 5 - Radiao ou engenharia reversa: blindagem no encapsulamento 6 - Controle de ciclos:..............reavaliao da poltica de segurana

Servios de segurana computacional so implementados atravs de mecanismos que usam servios bsicos 1 - Controle de acesso:.....................servio bsico para legitimidade. 2 - Cifragem:....................................servio bsico para sigilo. 3 - Autenticao:..............................servio bsico para integridade. 4 - Certificao: ...............................servio integrador de segurana.

CopyMarket.com


7

Servios bsicos de segurana computacional Controle de acesso: (segurana interna)AgenteProcesso Funo bloqueadora

ObjetoRecurso

usurio, programa, etc.

Funo decisria

mdia, dado, servio, etc.

Cifragem: (transferncia de sigilo ou integridade)Origem Achave e chave d

Alvo BFuno decriptadora Texto pleno original

Texto pleno

m

Funo encriptadora

criptograma

e(m) = c

d(c) = d(e(m)) = m

Autenticao: (confiana em sigilo para identificao)Autenticador VerificadorFuno verificadora token/ticket identificao de origem da transao

identificao da transao

senha/contra-senha Funo autenticadora

Certificao: (autenticao recursiva)Autoridadecertificado

Participantecertificado pblico

Chave de assinatura Funo Funo certificadora Chave de verificao verificadora de origem registro

CopyMarket.com


8

Modelos de segurana interna Sistemas de controle de acesso discricionrios Baseados no modelo de matriz de acesso de Lampson, vem o sistema como um conjunto de estados formados por sujeitos, objetos e autorizaes. As propriedades de segurana so definidas como transies de estado permitidas. Inclui a abordagem do problema do armazenamento de autorizaes. (Lampson, B.: "Protection". Operating System Riview, Jan 1974 ).

Sistemas de controle de acesso mandatrios Baseados no modelo de classificao sujeito-objeto de Bell e LaPadula, vem o sistema como um conjunto de estados onde as transies possveis so determinadas por axiomas e regras. Facilita a abordagem do problema do fluxo seguro de informaes. (Bell, D. & LaPadula, J.: Lampson: "Security ComputerSystems. Mathematical Foundation". MITRE Corp., Bedford, 1974

Possveis elementos em um modelo de segurana interna Sujeitos: ........ agentes ativos do sistema computacional, que podero requerer acesso a objetos e que representam ameaas potenciais; Objetos:......... agentes passivos, contem informao a ser protegida; Modos de acesso: tipos de acesso que sujeitos podem exercer, causando fluxo de informao entre objeto e sujeito ou vice-versa. Polticas: ....... regras para o estabelecimento de controle de acesso; Autorizaes: conjuntos de acessos que o sujeito pode exercer; Direitos administrativos: privilgios p/ modificao de autorizaes Axiomas:. propriedades da transio de estados embutidas no sistema

CopyMarket.com


9

Elementos de um modelo de segurana internaQuadro-resumo (Castano, Fugino, Martela, Samarati)Sujeitos: UsuriosRequisio de acesso

Administradores de seguranaRequisio para operao administrativa

Processos

Cotrole sobre operaes administrativas Acesso autorizado Autorizaes e polticas Axiomas

Acesso negado Controle de acesso (Funo decisria) Acesso autorizado Objetos:

Modelos de segurana especficos (C.,F.,M.& S.: "Database Security") Modelos para bancos de dados podem exigir adequaes, como para tratar mltiplas instncias de um objeto com distintos requisitos de proteo. Vrias extenses dos modelos bsicos esto descritos na literatura Harrison-Ruzzo-Ullman: modelo de matriz dependente de contexto. Take-Grant: generaliza o modelo de matriz usando grafos, com enfoque no controle da propagao de autorizaes e privilgios; Wood et al.: orientado para a gerncia do controle de acesso em BDs multi-camadas que seguem a arquitetura ANSI/SPARC. Biba, Dion e outros: estendem o modelo mandatrio para BDs

CopyMarket.com


10

Controle de acesso Mecanismos para implementao de controle de acesso:1Listas de controle de acesso: banco de dados associado a objetos do sistema, descrevendo relaes de acesso com sujeitos. 2Capacidades: ......................... banco de dados associado a objetos, descrevendo as relaes de outros objetos consigo. 3Rtulos de segurana: ..........atributo associado ao objeto que restringe seu acesso segundo classificao de segurana.

Funes do controle de acesso discricionrio 1 - Alocao de autorizaes (critrio de necessidade de conhecimento). 2 - Autorizao e gerncia de direitos administrativos (privilgios). 3 - Identificao e autenticao de agentes. 4 - Monitoramento de acesso. 5 - Preveno contra acesso no autorizado.

Mecanismos para identificao: (ordem crescente de segurana)12O que o usurio sabe: .............senha, chave criptogrfica, passphrase; O que o usurio possui: ..........carto magntico, carto inteligente, token (elemento gerador de senhas ocasionais); 3O que o usurio ................atributo biomtrico inconfundvel e mensurvel (impresso digital, padro de retina, etc);

CopyMarket.com


11

Classificao de sistemas quanto a segurana Arco-ris (publicaes do National Computer Security Center) -Definempadres de segurana computacional de sistemas para o Department of Defense dos EUA (DoD): 12"Orange book" .........DoD 5200.28 STD,. "Red Book"...............NCSC-TG-005, interpreta o orange book no contexto de redes de computadores.

Trusted Computer Standards Evaluation Criteria:O orange book classifica sistemas em classes e nveis de segurana. Classe D - Untrusted Nenhuma proteo para o hardware ou para o sistema operacional (Ex. MS DOS, Win95, MacOS, etc) Nvel C1 - Discrecionary Security Protection Identifica usurios por login e senha, com permisses de acesso a recursos e dados. Login nico "root" para administrao (Ex.Unix) Nvel C2- Discrecionary Access Controls C1 com controles adicionais: de acesso por nveis de autorizao, de auditoria, e de direitos administrativos. (Ex.Unix comerciais, WinNT) Nvel B1- Labeled Security Protection Objetos sob controle de acesso mandatrio tem suas permisses prcodificadas no sistema. (Ex: AT&T V/LMS, UNISYS 1100, HP UX ) Nvel B2- Structured Protection Todos os objetos acessveis so rotulados para controle mandatrio. Modelo formal de segurana documentado (Ex: Honeywell Multics).

CopyMarket.com


12

Trusted Computer Standards Evaluation Criteria (cont) Nvel B3- Security Domains Level Mecanismos de segurana devem ser modularmente testveis. Controle e gerenciamento de memria por hardware. Mecanismo de restaurao e canais de comunicao confiveis. Classe A - Verified Design Level B3 com especificao formal do projeto de software e consistncia do modelo de segurana formalmente verificvel. Controle na fabricao e transporte do hardware (Ex: Honeywell SCOMP)

O nvel de segurana C2 Esta classe, que se tornou critrio aceitvel para padro de segurana na maioria das aplicaes comerciais, tem como caracterstica principal as seguintes propriedades: 1Domnio: ..........................sistema operacional auto-protegido atravs de compartimentao de memria. 23Kernel do sistema: ..........protegido contra adulteraes em disco. Poltica de segurana: ....parmetros configurveis dos nveis de segurana, globalmente aplicveis no controle de acesso. 4Controle de acesso: .........implementa listas de permisses, com registro configurvel de acessos em arquivo de log 5Autenticao: ..................com granularidade a nvel de objeto, por mdulo protegido, com suas operaes rastreveis via log . 6Log: ................................acesso restrito a nveis de administrao e protegido de adulteraes em disco.

CopyMarket.com


13

Cifras para sigilo Criptografia + Criptoanlise = Criptologia1- Cifra: uma coleo E de funes inversveis e: M C, onde pares (e,e1

), e E so indexados por pares de chaves (e, d) K, (K=espao de

chaves, M = mensagens e C = criptogramas) e onde

E grande, M* contm todos os textos de uma linguagem;mM,eE[e-1(e(m))= m onde c = e(m) despista m ] (c esconde o contedo lingustico veiculado em m);

2- Algoritmo criptogrfico: implementao de um servio bsico por meio demquina ou programa. Ex: uma cifra executa encriptao [dado (e,m) calcula e(m)] ou decriptao [dado (d,c) calcula e-1(c)]

3- Criptografia: a arte de construir algoritmos criptogrficos seguros. 4- Criptoanlise: a arte de atacar e quebrar algoritmos criptogrficos.

Classificao de algoritmos criptogrficos quanto s premissas sobre sigilo 1 - Restrito: Algoritmo no divulgado. Segurana da cifra deriva da ocultao do algoritmo e das chaves. 2 - Simtrico (cifra de chave secreta): Algoritmo descrito por f:KMC onde f divulgado e d = e ou facilmente derivvel (notao: e=k) Segurana da cifra deriva de propriedades de f e ocultao de k. 3 - Assimtrico (cifra de chave pblica): Algoritmo descrito por f:KMC onde f, e so divulgados e d = g(e). Segurana da cifra deriva de propriedades de f, g e ocultao de d.

CopyMarket.com


14

Criptografia Pr-computacional Cifras de substituio 1 - Monoalfabtica:......M== alfabeto da linguagem [ = { ,A,B,...,Z}]. Ex: rotao de k posies em . (cifra do imperador Csar) 2 - Homofnica:............monoalfabtica contendo escolhas. (parecida com cdigos de recuperao de erros) 3 - Poligrmica: ............M=C= onde o alfabeto da linguagem. Ex.: cdigo de compactao de Huffman, onde = ASCII. 4 - Polialfabtica: .........composta por n substituies monoalfabticas, onde n chamado perodo da cifra. Usadas a partir de 1538. Ex: Caso especial da cifra de Vigenre onde M=C=K= , f= (f = soma bit a bit mdulo 2 = ou exclusivo = XOR). 5 - One-time pad: .........polialfabtica onde n limite para o tamanho das mensagens m, e cada chave k usada apenas uma vez.n n

Cifras de transposio (usadas na 1 guerra mundial) M=C= ; E ( ): cifra onde a encriptao e uma permutao de n caracteres de m, e d sua inversa.n n

Cifras calculadas com rotores eletromecnicos (Usadas de 1920 at o final da 2 guerra mundial) Mquinas inspiradas no odmetro, implementam substituies polialfabticas de perodos extremamente longos.

CopyMarket.com


15

Exemplo de um algoritmo criptogrfico Implementao em C da cifra de Vigenre onde f(k,m) = k XOR m/* uso:cripto chave arquivo_entrada arquivo_saida */

void main (int argc, char *argv[]) { FILE *entrada, *saida; char *key; int c; /*programa*/ if ((key = argv[1]) && *key!=\0) { if ((entrada = fopen(argv[2],rb))!=NULL) { if ((saida = fopen(argv[3],wb))!=NULL) { while((c = getc(entrada))!=EOF) { if (!*key) key = argv[1]; c ^= *(key++); putc(c,saida); } fclose(saida); } fclose(entrada); } } } Considerada segura at 1920, quando foi descoberto mtodo de ataque estatsticobaseado na frequncia de coincidncias em deslocamentos sucessivos. /*XOR*/

CopyMarket.com


16

Segurana de Algoritmos Criptogrficos

Ameaas da Criptoanlise:Neutralizao do despiste lingstico ou da ocultao de chaves que constituem a segurana de uma cifra.

Tipos de ataques a cifras (em ordem cresceste de severidade) 1 - Criptograma conhecido: acesso a instncias e(mi) [i = 1,2,3...] 2 - Texto pleno conhecido: ..acesso a instncias de pares mi, e(mi) 3 - Texto pleno escolhido:....acesso a escolhas de mi em e(mi) 4 - Texto pleno adaptativo: .escolhas iterativas de mi em e(mi) 5 - Chave comparada:..........acesso a instncias mi, e1(mi), e2(mi),... 6 - Chave comprometida:....suborno, extorso, roubo, vazamento de d.

Tipos de ameaa a algoritmos criptogrficos (em ordem crescente de severidade) 1 - Deduo de informao: ..analista ganha informao sobre bits de uma chave, formato ou estatstica de um texto encriptado. 2 - Deduo local:...................analista descobre o texto pleno de um criptograma c interceptado. 3 - Deduo global: ................analista descobre algoritmo alternativo que calcula e-1(c), sem conhecimento de d. 4 - Quebra total:.....................analista descobre mtodo eficiente para obter as chaves de decriptao d

CopyMarket.com


17

Teoria da informao Estruturas de linguagens naturais num alfabeto :LexL = LxicaCadeias de palavras de L

* = sequncias de letras do alfabeto

SinL = SintticaSubconjunto de LexL

L

SemL = SemnticaRelao de equivalncia em SinL

Cdigo: ................representao de um subconjunto de SemL. Cifra:....................representao de um superconjunto de LexL.

Entropia (incerteza) lingstica - (Shannon, 1949)Definies de "Medida de informao" H(m): 1Dada uma mensagem m *, H(m) = mnimo de bits necessrios para distinguir os possveis significados na sintaxe de m em L.Contexto da mensagem Contedo semntico de m Mensagem m H(m) Exemplo: H("sexta-feira") =log2(7) rvore de derivao Sinttica de L

2-

Medida logartmica ponderada do inverso da probabilidade dos possveis contedos de m: (si = significado possvel de m). H(m) = p(si ) log(i =1 j

1

p(si )

)

CopyMarket.com


18

Entropia em Criptoanlise Taxa r de uma linguagem natural:r = H(m)/|m| Razo mdia entre entropia e comprimento de sentenas m na linguagem.

Redundncia DL de uma linguagem L:DL = log2( || )-rL A redundncia relativa dL = DL/log2(||) proporcional ao desvio padro na distribuio de freqncia de letras em sentenas, e densidade de sentenas de L em *.

Estimativas de taxa e redundncia da lingua inglesa (Schneier)rENG 1.3 bits / letra [ = { ,A,B,...,Z}] DENG 3.4 bits / letra [ = { ,A,B,...,Z}]; 6.7 bits / caracter [ = ASCII]

Distncia de Unicidade UK de um sistema criptogrficoO quantidade de possveis significados de um criptograma gerado por uma chave de K e uma mensagem de comprimento n dado pela formula 2(H(K)- dLn)

+1.

UK o valor estimado para n aproximar de 1 esta quantidade: UK = H(K)/dL Cifragens de comprimento menor que UK no podem ser deduzidas.

CopyMarket.com


19

Distribuio de freqncia de letrasFrequncias do Portugus (arquivo genrico de 64KB)0,18 0,16 0,14 0,12 0,1 0,08 0,06 0,04 0,02 0 a A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

0,18 0,16 0,14 0,12 0,1 0,08 0,06 0,04 0,02 0 ascii 32 E S R D M U L G B H J K Y

frequncia do ingls0,18 0,16 0,14 0,12 0,1 0,08 0,06 0,04 0,02 0 ascii 32 T I O R D U F W P G K J Z

CopyMarket.com


20



2. Elementos de ProtocolosPedro Antonio Dourado de Rezende

O que um Protocolo? um algoritmo distribudo, onde a execuo dos passos alternada entre dois ou mais agentes executores.AlgoritmoINCIO

Protocolo com 2 agentesINCIO

Tempo

FIM Seqncia de passos do agente executor Agente A

FIM Agente B

Premissas implcitas em um protocolo:0 - H um propsito especificado que motiva a execuo do protocolo; 1 - Os agentes envolvidos devem conhecer completamente o protocolo, 2 - e devem tambm concordar em seguir (executar) o protocolo; 3 - O protocolo deve ser isento de ambigidades, sem margem para mal entendidos, e 4 - completo, com uma ao especificada para cada situao possvel;Agentes: 1-COMPLETOS Especificao: 3-DETERMINANTE Propsito 4-FECHADA

2-DETERMINADOS

Premissas do protocolo 21

CopyMarket.com


Protocolos em modelos de segurana externa Especificao de protocolo:Uma especificao abstrai o processo, que consuma o propsito do protocolo, dos mecanismos pelos quais este propsito consumado. (descrio do protocolo em nvel independe de implementaes)

Protocolos criptogrficos So protocolos que se servem da criptografia, e cujo propsito envolve o conceito de confiana, visando atingir um ou mais dos seguintes objetivos: 1234Transferir sigilo ou verificar integridade: ...... relativo ao propsito. Prevenir vazamentos: ..................................... relativo execuo. Prevenir ou detectar trapaas e desavenas: .. relativo aos agentes. Prevenir inferncias ou conluios: ................... relativo s premissas.

Alocao de confiana Conforme seu propsito e premissas, um protocolo pode prever a ao de um agente auxiliar (i.e., desinteressado em seu propsito) para resolver impasses entre agentes principais. ( i.e., interessados em seu propsito) 1Protocolo arbitrado: .............usa agente auxiliar para preveno, durante a execuo, de trapaa entre agentes principais. 2Protocolo ajuizvel:...............usa agente auxiliar para deteco, aps sua execuo, de trapaa entre agentes principais. 3Protocolo auto-verificvel: ...na sua construo j h eliminao das possibilidades de trapaas e desavenas na execuo.

CopyMarket.com


22

Transferncia de confiana atravs de protocolos Resoluo de impasses Quando no possibilita a um agente deduzir, ao longo da execuo, a lisura dos outros participantes, um agente auxiliar cumpre, no protocolo, papel semelhante a alguma instituio de f pblica (cartrio, tribunal, etc.) 1Arbitragem:.............decises quanto lisura dos agentes principais em transaes no confiveis, aceitas por estes como condio de continuidade na execuo do protocolo arbitrado. 2Mediao: ................julgamentos de disputas que possam surgir aps a execuo do protocolo ajuizvel, baseados em evidncias inviolveis e irrefutveis produzidas na execuo.

Exemplo de protocolo no computacional arbitrado Compra de Automvel

6- Novo DUT

7-Crdito 5- Deposito cheque

Detran

4- DUT, Vistoria

Banco

8- Veculo, Novo DUT

rbitro (Agncia)

8- Transferncia do crdito menos taxa

3- Cheque

3- Veculo, DUT

2- Resposta

Comprador A1- Proposta

Vendedor B

CopyMarket.com


23

Protocolos criptogrficos Dificuldades na implementao de arbitragem em protocolos criptogrficos 1Impessoalidade:........programas-rbitro executando em algum ponto na rede dificilmente inspiram a confiana necessria. 2Custo: ...................... rede de computadores recai o custo de criao e manuteno de um servio de arbitragem. 3Tempo de execuo........a arbitragem consome tempo considervel, um fator crucial para sistemas computacionais. 4Gargalo ...........................a arbitragem trata toda transao, formando grandes gargalos em implementaes de larga escala. 5Vulnerabilidade ......................ponto fraco para ataques ao sistema computacional onde implementado.

Dificuldades na mediao em protocolos criptogrficos Em menor escala, os itens 1, 2 e 5 descritos acima.

Dificuldades na construo de auto-verificao em protocolos criptogrficos 1Natureza do problema: ...........nem todos os problemas de segurana tem soluo em protocolos auto-verificveis. 2Anlise exaustiva: ............a auto-verifio s existe enquanto formas de ataque ao protocolo forem desconhecidas.

CopyMarket.com


24

Estrutura bsica de protocolos criptogrficos Sigilo na comunicao em rede I: privacidade e controle de acesso usando algoritmo simtrico

(Comunicao via canal seguro)

2: Solicita chave (A,B)

Gerenciador de chaves

2: Solicita chave (A,B)

3: Chave k

3: Chave k

1: Escolhe algoritmo

Agente A7: decripta m= k(c)

4: criptograma c = k(m) 6: criptograma c' = k(m)

Agente B5: decripta m= k(c)

Premissas e problemas do protocolo I: abcOs agentes confiam no gerenciador de chaves e um no outro. As chaves devem ser distribudas em segredo. A privacidade da comunicao requer muitas chaves, com uma chave individual para cada par de agentes. [n2-n pares] dSe a chave for comprometida (roubada, vazada, quebrada, subornada, extorquida ou vendida), o possuidor da chave poder fraudar a comunicao personificando-se como A ou B, promovendo escuta ativa, spoofing, espelhamento, replay. eNo h verificao de fraude por comprometimento de senha.

CopyMarket.com


25

Sigilo com uso de chave pblica II: protocolo para privacidade usando algoritmo assimtrico

2: cadastra chave pblica EA

Banco de chaves3:l Chave EB

2: cadastra chave pblica EB

3: l Chave EA

0: Escolhe algoritmo assimtrico

Agente A1: Gera par DA , EA 7: decripta m= DA (EA (m))

4: criptograma EB (m) 6: criptograma EA (m)

Agente B1: Gera par DB , EB 5: decripta m= DB (EB (m))

Premissas e problemas do protocolo II: abTransforma confiana na integridade da origem de EA em sigilo. O protocolo vulnervel a ataques de texto pleno escolhido (M pequeno), e a ataques por spoofing, espelhamento e replay. cDentre os algoritmos criptogrficos robustos conhecidos, os assimtricos so mais lentos 103 a 104 vezes que os simtricos.

Envelope Digital: protocolo hbrido para soluo de I.b e II.c III: Envelope digital1: Escolha de algoritmos para I e II

Agente A2: l EB, gera k; encripta k e m

3: Envelope = criptogramas de chave de sesso + mensagem EB(k), k(m)

Agente B4: k= DB (EB (k)) m= k(k(m))

CopyMarket.com


26

Assinaturas digitais para autenticao Premissas implcitas no conceito ideal de assinatura 0Autenticidade:.............confiana do verificador na inteno do autor da assinatura, de identificar-se e de vincular-se ao contedo informativo da mensagem que assinou. 1Inforjabilidade:...........confiana do verificador na impossibilidade de falsificao. (i.e, de personificao da autoria da assinatura) 2Inviolabilidade ................confiana do verificador na integridade do contedo informativo vinculado ao autor da assinatura. 3Irrecuperabilidade ...........confiana do verificador na impossibilidade de reuso da assinatura. (de transferncia da autenticao) 4Irrefutabilidade ..........confiana do verificador na impossibilidade de negao, pelo assinante, da autoria da assinatura.Objetos: Funes: 3-VNCULO Autenticao 4-PROVA Premissas da Assinatura 1-AUTOR

2-CONTEUDO

Autenticao usando sistemas de chave pblica:IV: protocolo auto-verificvel de assinatura digital1: Escolha de algoritmo assimtrico 3: Publica A,EA;

Agente A2: Gera EA, DA; 4: gera m; calcula s = DA(m)

5: mensagem assinada: m,s s = Assinatura digital de A sobre m = DA(m)

Agente B6: Identifica A em m verifica se m =? EA (s)

CopyMarket.com


27

Autenticao usando sistemas de chave secreta V: protocolo arbitrado de assinatura digital(Canal seguro)

rbitro J autentica A, m

r = "comprovante" de data e origem de m; s = r, kA(m) = assinatura 2: Solicita chave (B,J)

2: Solicita chave (A,J)

3: Chave kA 4: kA(m) 5: c = kB (m,s)

3: Chave kB

1:Escolha de rbitro e algoritmo simtrico

Agente A encripta m

Arbitragem:B solicita a J verificar se s = r, kA(m)

Agente B decripta c6: m, s = kB (c)

Sigilo e autenticao usando chaves pblicas:VI: cifragem de mensagem assinada1: Escolha de algoritmo assimtrico

Agente A assina2: Gera EA, DA; publica EA;

3: Pubica B,EB ; Publica A,EA 5: A,c

Agente B verifica2: Gera EB, DB; publica EB.

4: gera m, calcula s = DA(m); c = EB (m,s)

6: m, s = DB (c); m =? EA(s)

Premissas e problemas do protocolo VI: II.a,b,c, com II.c agravado. No alcana totalmente a irrefutabilidade.28

CopyMarket.com


Funes Unidirecionais (one-way functions) DefinioConceito subjetivo, referente a funes matemticas para as quais fcil (rpido) calcular a imagem de um argumento, e difcil (muito caro, demorado) calcular um argumento (pr-imagem) a partir de um valor de imagem.

Funo unidirecional com segredo (trapdoor) uma funo unidirecional, para a qual existe alguma informao acerca da imagem que torna fcil o clculo de sua inversa (elemento central na criptografia assimtrica).One-way function h(m) fcil Argumento m

c Imagemh-1(c) difcil

Funo de mistura (Hash) -

Sinnimos: .....................Digest; Fingerprint; Checksum criptogrfico; Cheque de integridade, Cdigo de deteco de violao, etc.

-

Definio:....................... uma funo unidirecional com imagens de tamanho fixo e argumentos de tamanho varivel.

-

Cdigo de autenticao de mensagem (MAC): Quando o hash usado com argumentos formados por concatenao de uma mensagem e uma senha. Neste caso, somente um portador da senha poder verificar a integridade da mensagem associada ( m,h(m,k) )

-

Hash Livre de coliso:..Caso seja difcil calcular uma pr-imagem a partir de outro argumento da mesma imagem da funo de hash.Hash livre de coliso h-1(c)

m

m

h

c

h(m)=h(m) difcil

CopyMarket.com


29

Mecanismos de autenticao Checksum, CRC (Check redundancy code): Destinado a validar dados contra erros involuntrios de transmisso. No serve para autenticao em canais sujeitos a escuta ativa ou adulterao.

Hash, Checksum criptogrfico, digest, fingerprint: Funo unidirecional h( ) com imagem de tamanho fixo, usada em protocolos de autenticao cujos propsitos incluem a inviolabilidade e a preveno contra transferncia forjada de autenticao (irrecuperabilidade). Esses protocolos geralmente associam uma mensagem a um MAC; MAC: mensagem m, h(m,k) autenticao da mensagem ou uma mensagem a uma assinatura digital da imagem do hash.mensagem m, DA(h(m),..) autenticao da mensagem

MAC (Message authentication code): Usado em protocolos de autenticao cujas premissas restrigem a capacidade de verificao da integridade de uma mensagem, ao possuidor de um segredo usado para gerar a autenticao (verificao retrita).

Assinatura digital: Usado em protocolos de autenticao cujas premissas no restrigem a capacidade de verificao da integridade de uma mensagem (verificao aberta). No so totalmente irrefutveis, pois o assinante pode subverter o protocolo alegando vazamento de sua chave privada ou quebra do algoritmo.

CopyMarket.com


30

Preveno contra ataque de replay II.b e gargalo VI.c:VII: assinatura sobre digesto e selo temporal digitais1: Acordo sobre uso do protocolo 3: Publica B,EB ; Publica A,EA 5: A,c

Agente A assina

Agente B verifica2: Gera EB, DB; 6: m,s = DB(c); 7: h(m),t =? EA(s)

2: Gera EA, DA; 4: gera m, calcula digesto h(m), data, assina e encripta c = EB( m,DA( h(m),t) ) ) t = selo temporal;

h( ) = funo hash; DA( h(m),t) = assinatura

Preveno contra personificao em II.b e III.bVIII: distribuio de chaves certificadas (esboo do SSL):(confiana na integridade da origem e contedo) 2: A Cadastra chave pblica EA; Recebe ES 2: B Cadastra chave pblica EB;

Certificadora de chaves S Chaves pblicas certificadas

Recebe ES

3: cA= A,EA DS(A,EA)

3: cB= B,EB,DS (B,EB)

1: Escolhe autenticador de chaves S

A gera (DA, EA )6: verifica B,EB =? ES (cB); gera k. 8: k = DA EA (k))

4: Solicita EB 4: Solicita EA 5: cA 5: cB

B gera (DB, EB )6: verifica A,EA =? ES (cA) ; gera k. 8: k = DB (EB (k))

7: EB (k) 7: EA (k) EB (k) Envelope digital k, = chave de sesso

CopyMarket.com


31

Vulnerabilidade decorrente da ausncia de segredo compartilhado durante a autenticaoAtaque por espelhamento em II.b, VI.b:Intruso X oculto para A finge ser B6: m1 = DX (EX (m1))

para B finge ser A9: m2 = DX (EX (m2)) [ = perda de integridade]

3: escuta chave pblica EA

5: EX(m1) 10: EA(m2)

8: EX (m2) 7: EB (m1) (Conexo no autenticada)

3: escuta chave pblica EB

4: Falsifica chave EB (= EX)

4: Falsifica chave EA (= EX)

1: Escolhe algoritmo, solicita chave pblica

Agente A vaza m1

2: X intercepta troca de chaves pblicas

Agente B vaza m2

Resumo do problema da distribuio de chaves criptogrficasaEspelhamento nos protocolos I e V pode ser feito por personificao do gerenciador de chaves, e em II, III, IV, VI e VII por escuta ativa. A segurana dos protocolos que usam chaves pblicas depende portanto da autenticao destas chaves. b - No protocolo VIII, o intruso precisa antes atacar S falsificando as chaves de A e B, ou fazer spoofing do servidor de chaves, forjando ES para habilitar o espelhamento de conexes entre A e B. cUm certificado digital um documento eletrnico assinado por agente confivel, cujo propsito transferir confiana na autenticidade, por ele verificada, de um dado ali contido. (Ex.: chaves pblicas em VIII.4)

CopyMarket.com


32

Seqncias randmicas ConceitoSe existisse, uma definio formal de randomicidade ou aleatoriedade seria paradoxal. A ocorrncia ou no do conceito na natureza uma discusso de escopo filosfico, mas que produz uma lista de propriedades necessrias ao ser aleatrio. Algumas dessas propriedades so mensurveis (entropia mxima), enquanto outras no (i.e., irreprodutibilidade).

Seqncias pseudo-randmicas (B. Schneier)Seqncias binrias que possuem as propriedades de aleatoriedade mensurveis conhecidas. So usadas na criptografia, geralmente onde um protocolo requer um sigilo inicial, e suas principais propriedades so: Distribuio plana:...satisfaz medidas estatscas de aleatoriedade, incluindo os modelos de Markov de qualquer ordem. Subcadeia da seqncia de bits 0, 1 00, 11 000, 111 0000, 1111 Probabilidade de ocorrncia 1/2 1/4 1/8 1/16

0..00, 1..11 1/2n

Entropia mxima:.....a seqncia no deve ser comprimvel. (exceto sua semente, por seu gerador pseudo-randmico, se h)

Aperiodicidade: ........relativavemte ao tamanho do segmento da seqncia a ser usado, no deve conter perodo (repetio)

CopyMarket.com


33



3. Protocolos ImportantesPedro Antonio Dourado de Rezende

Necessidade de protocolos criptogrficosOs quatro servios bsicos de segurana computacional so capazes apenas de transformar caractersticas elementares de segurana - em operaes envolvendo confiana - mas no de cri-las a partir do nada: Controle de acesso ....transforma premissa de posse de segredo ou objeto irrefutvel por um agente em verificao de sua identidade. Cifragem....................transfere e amplifica o sigilo de uma chave criptogrfica para o sigilo da informao em uma mensagem. Autenticao .............transforma um sigilo em verificao de algum tipo de integridade (de origem e/ou de contedo). Certificao ...............transforma um sigilo em autenticao recursiva, com verificao aberta por meio de objeto irrefutvel. Os protocolos criptogrficos buscam construir, a partir de seus elementos e da capacidade transformadora dos servios bsicos, o tipo de funcionalidade de segurana exigida de um componente do sistema a proteger

Autenticao para controle de acesso e auditoriaProtocolo bsico para segurana na informtica que requer, para atingir grau mnimo de confiabilidade, construo distinta nos casos de acesso local (via terminal) ou acesso remoto (via rede). Normalmente so chamados de Login ................................autenticao para acesso local; Distribuio de chaves ...autenticao para acesso em rede fechada. Public Key Infrastructure autenticao para acesso em rede aberta.

CopyMarket.com


34

Login Autenticao de usurio por senha:IX: Autenticao usando hash Agente AA, senha k

Recurso

1: A,k

Clculo do hash h(k) 2: A,h(k) 3: T/F

4: If True

Sesso a A

Arquivo de senhas

A,h(k) no arquivo?

(Sistema protegido)

Premissas e problemas do login aOs passos IX.1, IX.2 , IX.3 e o arquivo de senhas devem ser protegidos. A funo de hash escolhida deve ser livre de coliso. bEm geral, o passo IX.1 o elo mais fraco de qualquer sistema de segurana, principalmente se usado em rede ou sistema distribudo. Os passos IX.2 e IX.3 so tambm vulnerveis escuta passiva. cAtaques de personificao podem seguir do vazamento do arquivo de senhas, aps estas sofrerem ataqu

Apostila_Criptografia_e_Segurança_na_Informática_MDaniel

Documents

Transcript of Apostila_Criptografia_e_Segurança_na_Informática_MDaniel