NetworkSecurityEssentials_Resumo_Livro

7/29/2019 NetworkSecurityEssentials_Resumo_Livro

1/53

CAPTULO 1 INTRODUOOs requisitos de segurana de informao dentro das organizaes teve 2 grandesmudanas nos ltimos anos. antes era feita por meios fsicos e administrativos.O nome genrico para a coleco de ferramentas desenhada para proteger os dados edemover os hackers a segurana de computadores.

Medidas de segurana de redes so precisas para proteger os dados durante a suatransmisso - network security e internet security.No h fronteiras claras entre estas2 formas de segurana.este livro foca-se na segurana de internet, a qual consiste em medidas para deter,

prevenir, detectar, e corrigir violaes de segurana que envolvem a transmisso deinformao.A segurana interredes ao mesmo tempo fascinante e complexa. Eis algumas dasrazes.1. preciso confidencialidade, autenticao, no renncia, integridade. mas osmecanismos usados para obter esses requisitos podem ser muito complexos.2. Em muitos casos, ataques com sucesso so desenhados olhando para o problema

duma forma completamente diferente, e assim explorando um fraqueza inesperada nomecanismo.3. devido ao ponto 2., os procedimentos usados para fornecer servios particulares sofrequentemente contra-intuitivos.4. Tendo desenhado vrios mecanismos de segurana, necessrio decidir onde os usar.5. Os mecanismos de segurana envolvem habitualmente mais do que um algoritmo

particularou protocolo. Tambm requerem usualmente que os participantes estejam naposse de alguma informao secreta (e.g. uma chave de encriptao), o que faz emergirquestes acerca da sua criao, distribuio, e proteco desa informao secreta.1.1. A ARQUITECTURA DE SEGURANA OSIA recomendao X.800 do ITU-T, Security Architecture for OSI, define talaproximao sistemtica. A arquitectura de segurana OSI til para gestores comomaneira de organizar a tarefa de prover segurana.Ameaa - Um potencial para violao da segurana, o qual existe quando houver umacircunstncia, capacidade, aco, ou evento que pode brechar a segurana e causar

prejuzo. Isto , uma ameaa um perigo possvel que pode explorar umavulnerabilidade.Ataque - Um assalto segurana do sistema que deriva de uma ameaa inteligente; isto, um acto inteligente que uma tentativa deliberada (especialmente no sentido de ummtodo ou tcnica) para ultrapassar os servios de segurana e violar a poltica desegurana e um sistema.

Ataque Segurana - Qualquer aco que compromete a segurana da informao naposse da organizao.Mecanismo de Segurana - Um mecanismo que desenhado para detectar, prevenir,ou recuperar de um ataque segurana.Servio de Segurana - Um servio que enriquece a segurana dos sistemas de

procesamento de dados e as transferncias de informao de uma organizao.; fazemuso de um ou mais mecanismos de segurana para fornecer o servio.1.2. ATAQUES SEGURANAClassificao de ataques segurana. Um ataque passivo tenta aprender ou fazer usosda informao do sistema, mas no afecta os recursos do sistema. Um ataque activotenta alterar os recursos do sistema ou afectar a sua operao.

ATAQUES PASSIVOSH 2 tipos:


2/53

- A libertao do contedo de mensagens. Queremos prevenir que um oponenteapanhe/aprenda o contedo destas transmisses.- A anlise de trfego. Se tivermos a usar uma proteco por encriptao, um oponente

pode ainda ser capaz de observar o padro das mensagens transmitidas e assimdeterminar a localizao e identidade dos hosts comunicantes e pode observar a

frequncia e o tamanho das mensagens trocadas.Os ataques passivos so muito difceis de detectar porque no envolvem a alterao dosdados. possvel prevenir, usualmente por encriptao. Assim, a nfase em lidar comos ataques passivos na preveno em vez e na deteco.ATAQUES ACTIVOSH 4 categorias:- Uma mascarada/disfarce tem lugar quando uma entidade pretende ser/passar-se poruma entidade diferente.- Uma repetio/replay envolve a captura passiva de uma unidade de dados e a suasubsequente retransmisso para produzir um efeito no autorizado.- Modificao de Mensagens significa simplesmente que alguma poro de uma

mensagem legtima alterada, ou que mensagens so atrasadas ou reordenadas.- A negao de servio/denial of service previne/evita/impede ou inibe o uso normal ougesto, de facilidades de comunicao. Ex. a supresso de todas as mensagens para umdestino particular, ou a disrupo de uma rede inteira, quer disablando a rede quersobrecarregando-a.As caractersticas so opostas s do ataque passivo. muito difcil prevenirabsolutamente. Em vez disso, a meta detectar e recuperar de uma disrupo ou atrasoscausados por eles.1.3. SERVIOS DE SEGURANA um servio de processamento ou comunicao que fornecido por um sistema paradar um tipo especfico de proteco aos seus recursos de sistema; os servios desegurana implementam polticas de segurana e so so implementados pormecanismos de segurana.Essses servios so divididos em 5 categorias e 14 servios especficos.AUTENTICAOConcerne com o assegurar que uma comunicao autntica. No caso de umamensagem nica, assegura ao recipente de que a mensagem da fonte de que reclamaser. No caso de uma interaco contnua, h 2 aspectos envolvidos. Primeiro asseguraque as 2 entidades so autnticas, segundo assegura que a conexo no interferidaduma forma que um terceiro se possa mascarar como um dos 2.2 servios de autenticao especficos so definidos no standard:

- Autenticao entre Entidades Par- Autenticao de Origem dos Dados - suporta aplicaes como o correio electrnico.CONTROLO DE ACESSO a capacidade de limitar e controlar o acesso a sistemas host e aplicaes via ligaesde comunicao.CONFIDENCIALIDADE DOS DADOS a proteco de dados transmitidos de ataques passivos. O servio mais lato protegetodos os dados de utilizador transmitidos entre 2 utilizadores num dado perodo detempo. O outro aspecto da confidencialidade a proteco de fluxo de trfego daanlise.INTEGRIDADE DE DADOS

Tal como com a confidencialidade, a integridade pode aplicar-se a uma stream demensagens, uma nicva mensagem, ou campos seleccionados dentro da mensagem.


3/53

Assegura que as mensagens so recebidas como enviadas, sem duplicao, insero,modificao, reordenao, ou repeties. Assim, o servio de integridade orientado--conexo tem a ver com modificao de mensagens de stream e denial of service. poroutro lado, numa ligao sem conexo assegura-se proteco apenas contra modificaode mensagens.

Alternativamente podemos recuperar. A incorporao de mecanismos de recuperaoautomtica , em geral, a alternativa mais atractiva.NO REPDIOPrevine que o receptor ou emissor de negar uma mensagem transmitida.DISPONIBILIDADE DE SERVIO a propriedade de um sistema ou de um recurso de sistema ser acessvel e utilizvelsob procura por uma entidade de sistema autorizada, de acordo com as especificaes de

perfomance.Tabela 1.3. Relao entre Servios de segurana e Ataques

AtaqueServio Viso do

contedodasmensagens

Anlise

deTrfego

Mascarada Repetio Modificao

emensagens

Denial

deService

Autenticao deentidades pares

Y

Autenticao deorigem de dados

Y

Controlo deacesso

Y

Confidencialidade

confidencialidadede fluxo detrfego

Y Y

Integridade deDados

Y Y

No repdioDisponibilidade Y1.4. MECANISMOS DE SEGURANAUm mecanismo de cifra reversvel simplesmente um algoritmo de encriptao que

permite que os dados sejam encriptados e subsequentemente desencriptados.Mecanismos de cifra irreversvel incluem algoritmos de hash e cdigos de autenticao

de mensagens, os quais so usados em aplicaes e assinatura digital e autenticao demensagens.1.5. UM MODELO PARA SEGURANA DE REDESTodas as tcnicas para fornecer segurana tm 2 componentes:- Uma transformao relacionada com a segurana, nas informaes a serem enviadas.Ex. a encriptao, e a adio de um cdigo baseado no contedo da mensagem, o qual

pode ser usado para verificar a identidade do emissor.- Alguma informao secreta partilhada pelos 2 intervenientes, como por ex. uma chavede encriptaoUma terceira parte, de confiana, pode ser precisa para atingir a transmisso segura, porex. sendo responsvel pela distribuio da informao secreta.

Tabela 1.4. Mecanismos de Segurana (X.800)Tabela 1.5. Relaes entre Servios de Segurana e Mecanismos


4/53

Mecanismoervio Cifra Assinatura

DigitaControlodeAcesso

Integridadede Dados

Troca deAutenticao

CaminhodoTrfego

Controlo deRoteamento

Notariazao

Autenticao

ntre entidadesares

Y Y Y

Autenticao derigem de dados

Y Y

ontrolo decesso

Y

onfidencialidade Y Yonfidencialidadee fluxo defego

Y Y Y

ntegridade deados

Y Y Y

No repdio Y Y YDisponibilidade Y Y

O modelo geral mostra que h 4 tarefas bsicas no desenhjo de um servio de seguranaparticular:1. Desenhar um algoritmo para executar a transformao relacionada com a segurana.2. Gerar a informao secreta para ser usada com o algoritmo3. Desenvolver mtodos para a distribuio e partilha da informao secreta4. Especificar um protocolo a ser usado pelos 2 intervenientes que faz uso do algoritmo

de segurana e da informao secreta para atingir um servio de segurana particular.Um modelo geral preocupa-se com a proteco de um sistema de informao contra oacesso indesejado, que pode ser um hacker ou um empregado despedido, por ex. Umoutro tipo de acesso indesejado o que afecta programas de aplicao assim comoutilitrios, que podem apresentar 2 tipos de ameaa:- Ameaas de acesso informao- Ameaas ao servioOs vrus e os worms so 2 exemplos de ataques de software.Os mecanismos de segurana tm de ter um gatekeeper (ex. password de login), e numasegunda linha, uma srie de controlos internos.1.6. STANDARDS DE INTERNET E A SOCIEDADE DA INTERNET

PARTE UM - CRIPTOGRAFIA

CAPTULO 2 ENCRIPTAO SIMTRICA E CONFIDENCIALIDADE DASMENSAGENSA simtrica mantm-se, de longe, como a mais largamente usada dos 2 tipos deencriptao.2.1. PRINCPIOS DA ENCRIPTAO SIMTRICATem 5 ingredientes:- Plaintext - isto , a mensagem original ou dados que alimenta o algoritmo como input- Algoritmo de Encriptao - feito de substituies e transformaes

- Chave Secreta - tambm um input do algoritmo. As substituies e transformaesexactas executadas pelo algoritmo dependem da chave.


5/53

- Texto Cifrado - esta a mensagem misturada produzida como output.- Algoritmo de Desencriptao - essencialmente o algoritmo de encriptao corridoreversamente.H 2 requisitos para o uso seguro da encriptao simtrica:1. Um algoritmo de encriptao forte. O oponete deve ser incapaz de desencriptar texto

cifrado ou descobrir a chave mesno que esteja na posse de um n de textos cifradosjuntamente com o texto original que produziu cada texto cifrado.2. O emissor e o receptor devem ter obtido cpias da chave secreta duma forma segura.O principal problema de segurana manter o segredo da chave.CRIPTOGRAFIAOs sistemas criptogrficos so geralmente classificados ao longo de 3 dimensesindependentes:1. O tipo de operaes usadas para transformar texto em texto cifrado - Todos osalgoritmos de encriptao so baseados em 2 princpios gerais: substituio etransposio.2. O nmero de chaves usadas - simtricos, chave-nica, chave-secreta; ou

assimtrica, 2-chaves, chave-pblica.3. A maneira em que o texto processado - Uma cifra por blocos ou uma cifra porstream.ANLISE CRIPTOGRFICA o processo de tentar descobrir o texto original ou a chave. A estratgia usada pelocriptoanalista depende da natureza do esquema de encriptaa e da informaodisponvel a ele.Apenas os algoritmos relativamente fracos falham a oposio a ataques a apenas-texto-cifrado. Geralmente, um algoritmo de encriptao desenhado para se opor a um ataquecom texto conhecido.Um esquema de encriptao computacionalmente seguro se o texto cifrado gerado

pelo esquema encontra um ou ambos os seguintes critrios_- O custo de brechar a cifra excede o valor da informao encriptada.- O tempo requerido para brechar a cifra excede o tempo de vida til da informao.Tabela 2.1. Tipos de Ataques a mensagens EncriptadasTipo de Ataque Sabido do CriptanalistaApenas texto cifrado - Algoritmo de encriptao

- Texto cifrado a ser descodificadoTexto originalconhecido

- Algoritmo de encriptao- Texto cifrado a ser descodificado- Um ou mais pares texto cifrado-texto original formados

com a chave secretaTexto original escolhido - Algoritmo de encriptao- Texto cifrado a ser descodificado- Mensagem de texto escolhida pelo criptanalista, juntamentecom o seu correspondente texto cifrado gerado com a chavesecreta

Texto cifrado escolhido - Algoritmo de encriptao- Texto cifrado a ser descodificado- Texto cifrado propositado escolhido pelo criptanalista,

juntamente com o seu texto correspondente desencriptado,gerado pela chave secreta

Texto escolhido - Algoritmo de encriptao- Texto cifrado a ser descodificado


6/53

- Mensagem de texto escolhida pelo criptanalista, juntamentecom o seu correspondente texto cifrado gerado com a chavesecreta- Texto cifrado propositado escolhido pelo criptanalista,

juntamente com o seu texto correspondente desencriptado,

gerado pela chave secretaUma abordagem fora-bruta envolve tentar todas as chaves possveis at uma traduointeligvel do texto cifrado seja obtida.ESTRUTURA DE CIFRA FEISTEL um bloco de texto de comprimento 2w bits e uma chave K. O texto dividido em 2metades, L0 e R0. As 2 metades destes dados passam atravs de n voltas de

processamento e depois combinam-se para produzir o bloco de texto cifrado. Cada voltai tem entradas Li-1 e Ri-1, derivadas da volta anterior, tal como uma subchave Ki,derivada da geral K.Todas as voltas tm a mesma estrutura: Uma substituio executada na metadeesquerda dos dados. Isto feito aplicando a funo de round F ao lado direito dos

dados e depois fazendo o XOR da sada daquela funo e da metade esquerda dosdados. A funo de round tem a mesma estrutura geral para cada volta mas

parametrizada pela subchave de volta Ki. Seguidamente a esta substituio, executadauma permutao que consiste na troca dos dois lados dos dados.Caractersticas:- Tamanho do Bloco: Tamnhos maiores de bloco significam maior segurana, masreduzem a velocidade de encriptao/desencriptao. Um tamanho e bloco de 64 bits um razovel equlbrio.- Tamanho da Chave: normalmente de 128 bits.- Nmero de voltas: Tpico so 16- Algoritmo de gerao de subchave: Grande complexidade para dificultar- Funo de round: Tambm de grande complexidade.Outras consideraes no design da cifra de Feistel:- Software de encriptao/desencriptao rpido- Facilidade de Anlise - O DES, por ex., no tem uma funcionalidade facilmenteanalisvel.A desencriptao com uma cifra de Feistel usa o texto cifrado como input do algoritmo,mas usa as subchaves Ki na ordem inversa. Isto , usa Kn na primeira volta, Kn-1 nasegunda volta, e assim sucessivamente at K1 que usada na ltima volta.2.2. ALGORITMOS DE ENCRIPTAO SIMTRICOSSo os mais comuns.

DATA ENCRYPTION STANDARDDESCRIO DO ALGORITMOO texto original tem 64 bits de tamanho e a chave tem 56 bits de tamanho. a estrutura doDES uma variao menor da rede Feistel. H 16 volats de processamento. O processode desencriptao, usa o texto cifrado como input do algoritmo DES, mas usa assubchaves Ki na ordem inversa.A FORA DO DESCabe em 2 categorias: preocupaes acerca do algoritmo ele prprio e preocupaesacerca do uso da chave de 56 bits.Apesar de numerosas aproximaes, ningum at agora teve sucesso em descobrir umafraqueza fatal no algoritmo DES.

Uma preocupao mais sria o tamanho da chave. Com um tamanho de 56 bits, h 256

chaves possveis, o que aproximadamente 7,2 x 1016 chaves, o que pode ser atacvel


7/53

com redes de computadores. Assim, usa-se agora uma chave de 128 bits, o que inbrechvel pela fora bruta.DES TRIPLO3DES usa 3 chaves e 3 execues do algoritmo. A funo segue uma sequnciaencripta-desencripta-encripta (EDE).

C = EK3 [DK2 [EK1 [P]]]onde:C = Texto cifradoP = Texto originalEK[X] = encriptao de X usando a chave KDK[Y] = desenriptao de Y usando a chave XA desencriptao simplesmente a mesma operao com as chaves revertidasP = DK1 [EK2 [DK3 [C]]]A vantagem de usar a desencriptao no 2 passo s para que os utilizadores antigosdo DES possam desencriptar mensagens encriptadas no triplo DES.C = EK1 [ DK1 [EK1 [P]]] = EK1 [P]

Com 3 chaves distintas, o 3DES tem um tamanho efectivo de chave de 168 bits. fcil de ver que o 3DES um algoritmo formidvel; os ataques fora-bruta soefectivamente impossveis.ADVANCED ENCRYPTION STANDARDO principal defeito do 3DES que muito vagaroso em software. Um defeitosecundrio que ambos o DEA e o 3DES usam um tamanho de bloco de 64 bits. Porrazes de eficincia e segurana um bloco maior desejvel.Ento o AES foi proposto, o qual tem uma fortaleza de segurana igual ou melhor que o3DES e muito maior eficincia. O tamanho do bloco de 128 bits e suporta tamanhosde chave de 128, 192 e 256 bits. Os critrios de avaliao incluem segurana, eficinciacomputacional, requisitos de memria, compatibilidade de software e hardware, eflexibilidade.VISO GERAL DO ALGORITMOA entrada um bloco de 128 bits. Este bloco copiado para o array State, o qual modificado a cada estgio da encriptao ou desencriptao. Depois do estgio final, oState copiado para uma matriz de sada. Similarmente, a chave de 128 bits descritacomo uma matriz quadrada de bytes. Esta chave ento expandida num array de

palavras de agendamento de chave; cada palavra 4 bytes e a agenda total de cahves 44 palavras para a chave de 128 bits. A ordem dos bytes dentro da matriz por coluna.1. No uma estrutura Feistel, mas processa o bloco inteiro de dados em partalelodurante cada volta usando substituies e permutao

2. A chave que fornecida como entrada expandida num array de 44 palavras de 32bits, w[i]. 4 palavras distintas (128 bits) servem como chave de volta para cada volta.3. 4 diferentes estgios so usados, um de permutao e 3 de substituio:

- Bytes de Substituio: Usam uma tabela, referida como uma s-box, paraexecutar uma substituio do bloco, byte-a-byte.- Shift Rows: uma permutao simples que executada linha a linha- Mix Columns: Uma substituio que altera cada byte numa coluna comofuno de todos os bytes na coluna.- Adicionar a Chave de Volta: um simples XOR do bloco corrente com uma

poro da chave expandida.4. A estrutura muito simples: comea com um estgio Add Round Key, seguido por 9

voltas, cada com 4 estgios, seguido por 10 voltas de 3 estgios.


8/53

5. Apenas o estgio Add Round Key faz uso da chave. Todos os outros estgios noadicionam segurana.6. Podemos ver a cifra como operaes alternadas de encriptao XOR (Add RoundKey) e um bloco, seguido de uma mistura do bloco (os outros 3 estgios), seguido euma encriptao XOR, e assim sucessivamente. Este esquema ambos eficiente e

altamente seguro.7. Cadfa estgio facilmente reversvel.OUTRAS CIFRAS DE BLOCO SIMTRICASEm vez de reinventar totalmente a roda, virtualmente todos os algoritmos de encriptaode blocos simtricos contemporneos usam a estrutura de bloco bsico de Feistel.IDEAUsa uma chave de 128 bits. Difere marcadamente do DES na funo de round e nafuno de gerao de subchaves. usado no Pretty Good Privacy (PGP).Tabela 2.3. Algoritmos de Encriptao ConvencionaisAlgoritmo Tamanho da

Chave (bits)Tamanho deBloco (bits)

Nmero deVoltas

Aplicaes

DES 56 64 16 SET, KerberosTriple DES 112 ou 168 64 48 gesto de

chavesfinanceiras;PGP, S/MIME

AES 128, 192, ou256

128 10, 12, ou 14 Com intenode substituir oDES e 3DES

IDEA 128 64 8 PGPBlowfish Varivel at

448

64 16 Vrios pacotes

de softwareRC5 Varivel at2048

64 Varivel at255

Vrios pacotesde software

BLOWFISHTornou-se rapidamente uma das mais populares alternativas ao DES. Foi desenhado

para ser de fcil implementao e ter uma alta velocidade de execuo. Pode correrainda em menos de 5K de memria.RC5...2.3. MODOS DE OPERAO DOS BLOCOS DE CIFRAA maneira mais simples de proceder a que conhecida como modo de livro de cdigo

electrncio (ECB), no qual o texto original manuseado a 64 bits de cada vez e cadabloco de texto original encriptado usando a mesma chave.Para ultrapasar as deficincias de segurana do ECB, gostaramos de uma tcnica naqual o mesmo bloco de texto original, se repetido, produzisse um bloco de texto cifradodiferente.MODO DE CADEIA DE BLOCO DE CIFRAA entrada para o algoritmo de encriptao o XOR do bloco de texto original corrente eo bloco de texto cifrado precedente. Asim, padres repetidos de 64 bits no ficamexpostos.Para desencriptao, cada bloco cifrado passado atravs o algoritmo dedesencriptao. O resultado XORado com o bloco de texto cifrado precedente para

produzir o bloco de texto original:Ci = EK[Ci-1 + Pi] o + XOR (com circunferncia volta, pois)


9/53

Ento:DK[Ci] = DK[EK(Ci-1 + Pi]DK[Ci] = (Ci-1 + Pi)C i-1 + DK[Ci] = C i-1 + C i-1 + Pi = PiPara produzir o primeiro bloco de texto cifrado, um vector de inicializao (IV)

XORado com o primeiro bloco de texto original. Na desencriptao, o IV XORadocom a sada do algoritmo de desencriptao para recuperar o primeiro bloco de textooriginal.O IV tem de ser conhecido pelo emissor e pelo receptor, pelo que deve ser to bem

protegido como a chave.MODO DE FEEDBACK DA CIFRA possvel converter qualquer bloco cifrado numa stream cifrada usando o modofeedback de cifra (CFB). A unidade de transmisso s bits; um valor comum s=8.Como, no CBC, as unidades de texto original so encadeadas juntas, de modo a que otexto cifrado de qualquer unidade de texto original uma funo de todo o textooriginal precedente.

C1 = P1 + Ss(E(IV))Ento: P1 = C1 + (Ss(E(IV))2.4. LOCALIZAO DOS DISPOSITIVOS DE ENCRIPTAOH 2 alternativas fundamentais: Encriptao por ligao e encriptao fim-a-fim.Com a primeira, cada ligao de comunicao vulnervel equipada em ambos os finaiscom um dispositivo de encriptao. Apesar de este mtodo requerer um monte dedispositivos de encriptao numa rede grande, ele fornece um alto nvel de segurana.Uma desvantagem desta abordagem que a mensagem precisa de ser desencriptadacada vez que entra num packet switch para rotear o packet. Assim, a mensagem vulnervel em cada switch. Se esta uma rede public-packet switching, o utilizador notem controlo sobre a segurana de cada n.Com a encriptao fim-a-fim parece que mais segura contra ataques nas ligaes ouswitchs. Mas h ainda um ponto fraco. O host pode apenas encriptar a poro de dadosdo utilizador do pacote e tem de deixar o cabealho em claro, de modo a que possa serlido pela rede. Assim, os dados do utilizador esto seguros. Contudo, o padro detrfego no est.Para atingir grande segurana, preciso ambos.2.5. DISTRIBUIO DE CHAVESMudanas de chave frequentes so usualmente desejveis para limitar a quantidade dedados comprometidas se o atacante aprende a chave. Ento, a fora de qualquer sistemacriptogrfico est na tcnica de distribuio de cahves. H vrias formas:

1. Uma chave pode ser escolhida por A e entregue fisicamente a B.2. Um terceiro pode escolher a chave e entrega-la fisicamente a A e B3. Se A e B usaram previamente e recentemente uma chave, uma parte pode transmitir anova chave ao outro, encriptando-a com a chave antiga.4. Se A e B tiverem ambos uma ligao encriptada um terceiro C, o C pode entregar achave nas ligaes encriptadas a A e B.As opes 1 e 2 so de entrega manual. Para encriptao de ligao, este um requisitorazovel. Contudo, para encripato fim-a-fim, a entrega manual inepto. A opo 3 uma possibilidade para ambos os caso, mas se um atacante tiver sucesso em ganharacesso a uma chave, ento todas as chaves subsequentes esto reveladas. Para fornecerchaves para uma encriptao fim-a-fim, a opo 4 prtefervel.

A figura 2.10 ilustra uma implementao que satisfaz a opo 4 para encriptao fim-afim. Dois tipos de chave so identificados:


10/53

- Chave de Sesso: Quando 2 sistemas terminais (hosts, terminais, etc.) queremcomunicar, estabelecem uma ligao lgica (e.g. circuito virtual). No fim da sesso, ouligao, a chave de sesso destruda.- Chave Permanente: Uma chave permanente uma chave usada entre entidades como propsito de distribuir chaves de sesso.

- Centro de Distribuio de Chaves: O Centro de Distribuio de Chaves (KDC)determina quais os sistemas que esto permitidos comunicar um com o outro. Quando apermisso est garantida para 2 sistemas estabelecerem uma onexo, o centro forneceuma chave de sessa de uma vez para essa conexo.- Processador Front-End: FEP executa encriptao fim-a-fim e obtm chaves desesso em benefcio do seu host ou terminal.Um pacote de requisio-de-conexo (passo 1). O FEP grava esse pacote e pede aoKDC permisso para estabelecer a conexo (passo 2). A comunicao entre o FEP e oKDC encriptada usando uma chave mestra partilhada apenas pelo FEP e pelo KDC.Se aprovado, gera uma chave de sesso e entrega-a aos dois apropriados front-end

processors usando uma chave permanente nica para cada front-end (passo 3).

2.1. Quais so os ingredientes principais de uma cifra simtrica?2.2. Quais so as 2 funes bsicas usadas nos algoritmos de encriptao?2.3. Quantas chaves so precisas para 2 pessoas comunicarem via uma cifra simtrica?2.4. Qual a diferena entre uma cifra de bloco e uma cifra de stream?2.5. Quais so as 2 abordagens gerais para atacar uma cifra?2.6. Porque que alguns modos de operao de cifra de bloco apenas usam encriptaoenquanto outros usam encriptao e desncriptao?2.7. O que encriptao tripla?2.8. Porque a parte do meio do 3DES uma desencriptao em vez de uma encriptao?2.9. Qual a diferena entre encriptao link e end-to-end?2.10. Liste maneiras nas quais as chaves secretas podem ser distribudas a 2 parceiroscomunicantes.2.11. Qual a diferena entre uma chave de sesso e uma chave master?2.12. O que um Centro de Distribuio de Chaves?

CAPTULO 3 CRIPTOGRAFIA DE CHAVE-PBLICA E AUTENTICAODE MENSAGENS3.1. ABORDAGENS DA AUTENTICAO DE MENSAGENSA encriptao protege contra ataques passivos (escuta). Um requisito diferente

proteger contra ataque activo (falsificao de dados e transaces). Proteco contra tais

ataques conhecida como autenticao de mensagens.Os 2 importantes aspectos so verificar que o contedo da mensagem no foi alterado eque a fonte autntica. Tambm podemos querer verificar se a mensagem no foiatrasada e repetida artificvialmente e se est em sequncia.AUTENTICAO USANDO ENCRIPTAO CONVENCIONAL possvel executar autenticao simplesmente pelo uso e encriptao convencional.AUTENTICAO D MENSAGENS SEM ENCRIPTAO DE MENSAGENS

Nesta seco, examinamos vrias abordagens autenticao de mensagens que no sebaseiam na encriptao. Em todas estas abordagens, uma tag de autenticao gerada eanexa a cada mensagem para transmisso.DAV sugere 3 situaes nas quais a autenticao de mensagem sem confidencialidade

prefervel:


11/53

1. H um n de aplicaes nas quais a mesma mensagem emitida (broadcast) para umn de destinos.2. Uma troca na qual um lado tem uma carga elevada e no consegue ter tempo dedesencriptar todas as mensagens que chegam.3. Autenticao de um programa de computador texto original um servio atractivo.

CDIGO DE AUTENTICAO DE MENSAGENSUma tcnica de autenticao envolve o uso de uma chave secreta para gerar umpequeno bloco de dados, conhecido como um cdigo de autenticao de mensagens, que anexo mensagem. Quando A tem uma mensagem para enviar a B, ele calcula ocdigo de autenticao da mensagem como funo da mensagem e da chave: MAC M =F(KAB, M).1. O receptor tm a segurana que a mensagem no foi alterada.2. O receptor tem a certeza que a mensagem do laegado emissor.3. Se a mensagem inclui um n de sequncia, grante-se sequncia de mensagens.Usa-se muito o DES. Um cdigo de 16 ou 32 bits tpico.FUNO HASH DE UM SENTIDO

Uma alternativa a funo de hash de um sentido. Ela aceita uma mensagem Mtamanho varivel como entrada e produz uma mensagem de digest de tamanho fixoH(M) como sada. Ao contrrio do MAC no toma como entrada tambm uma chavesecreta. Para autenticar uma mensagem, o digest da mensagem enviado com amensagem de tal maneira que o digest da mensagem autntico.H 3 maneiras. O digest da mensagem pode ser encriptado usando encriptaoconvencional. a mensagem pode tambm ser encriptada usando uma encriptao dechave pblica, o que tem 2 vantagens: fornece uma assinatura digital para alm daautenticao da mensagem, e no requer a distribuio de chaves para os parceiroscomunicantes.Estas 2 abordagens tm uma vantagem em relao que encripta a mensagem toda -menos computao. Mas ainda h vantagens em no haver encriptao de todo:- O software de encriptao muito lento;- O hardware de encriptao caro- O hardware de encriptao optimizado voltado para tamanhos de dados grandes- Os algoritmos de encriptao podem estar cobertos por patentes- Os algoritmos de encriptao podem estar sujeitos a controlo de exportao.A figura 3.2c mostra uma tcnica que usa uma funo de hash mas no encriptao paraa autenticao de mensagens. O A e o B partilham um valor secreto comum S AB.Quando A tem uma mensagem para enviar, calcula a funo de hash sobre aconcatenao do valor secreto e da mensagem: MDM = H(SAB||M). Envia ento [M||

MDM]. O B possui o valor secreto e recomputa H(SAB||M) e verifica ento MDM. como ovalor secreto no enviado, o atacante no pode modificar nem alterar uma mensagem.Uma variao desta tcnica, chamada HMAC adoptada para segurana IP.3.2. FUNES HSAH SEGURAS E HMACREQUISITOS DAS FUNES DE HASHO propsito de uma funo de hash produzir uma impresso digital de um ficheiro,mensagem, ou outro bloco de dados. Propriedades:1. H pode ser aplicada a um bloco de dados de qualquer tamanho2. H produz uma sada de comprimento fixo3. H() relativamente fcil de computar4. Para qualquer valor h, computacionalmente infazvel encontrar x tal que H(x) = h.

Propriedade de um sentido.


12/53

5. Para qualquer bloco x, computacionalmente infazvel encontrar y != x com H(y) =H(x) - Propriedade de resistncia coliso fraca.6. computacionalmente infazvel encontrar qualquer par (x,y) tal que H(x) = H(y) -Propriedade de resistncia coliso forte.As que satisfazem as 5 primeiras propriedades so conhecidas por funes de hash

fracas; se a 6 propriedade satisfeita uma funo de hash forte. Em adio a fornecerautenticao, um digest de mensagem tambm fornece integridade de dados.FUNES DE HASH SIMPLESPrincpios gerais: A entrada vista como uma sequncia de blocos de n-bits. A entrada processada um bloco de cada vez duma forma iterativa para produzir uma funo dehash de n-bits.Uma das mais simples o XOR bit-a-bit. Uma maneira de melhorar acrescentar umarotao do valor de hash depois de cada bloco ser processado:1. Inicialmente pe o valor do hash dos n-bits a zero2. Processe cada sucessiveo bloco de n-bits de dados, como se segue:

a. Rode o valor de hash corrente esquerda, de um bit

b. XORe o bloco no valor de hashIsto tem o efeito de randomizar a entrada e evitar regularidades da entrada. Emborafornea uma boa medida para integridade de dados, intil para segurana de dadosquando um cdigo de hash encriptado usado com uma mensagem de texto original:Dada uma mensagem, fcil produzir uma nova mensagem que tenha o mesmo cdigode hash. Mas ainda til quando a mensagem, como o cdigo de hash so encriptados. usado um XOR simples aplicado a blocos de 64-bits da mensagem e depois umaencriptao da mensagem inteira que usa o bloco de cifra em cadeia (CBC).O SHA-1: FUNO DE HASH SEGURAO algoritmo toma como entrada uma mensagem com um comprimento mximo demenos de 264 bits e produz como sada um digest de 160-bits.Passo 1: Acescentar bits de enchimento (padding) - semprePara ter comprimento = 448 mod 512. assim, o n de bits de enchimento de 1 a 512. Oenchimento consiste de um 1 e o resto 0s.Passo 2: Acrescentar comprimento: Um bloco de 64 bits adicionado mensagem econtm o comprimento da mensagem original. A sada dos 2 primeiros passos umamensagem que um inteiro mltiplo de 512 bits em comprimento (Lx512 bits).Equivalentemente, o resultado um mltiplo de 16 palavras de 32 bits (N=Lx16).Passo 3: Inicilaizr o buffer MD: Um buffer de 160 bits usado para manter os valoresintermdios e finais da funo de hash. O buffer pode ser rtepresentado como 5 registosde 32-bits (A,B,C,D,E). Estes registos so inicializados com os seguintes inteiros de 32-

bits (valores hexadecimais): A=67452301; B=EFCDAB89; C=98BADCFE;D=10325476; E=C3D2E1F0Passo 4: Processa a mensagem em blocos de 512-bits (16 palavras): O corao doalgoritmo um mdulo, conhecido como funo de compresso, que consiste de 4voltas de processamento de 20 passos cada.Passo 5: Sada - Um digest de 160-bitsO algoritmo SHA-1 tem a propriedade de que cada bita do cdigo de hash uma funode todos os bits da entrada.OUTRAS FUNES DE HASH SEGURASTal como no caso dos blocos de cifra simtricos, os desenhadores de funes de hashseguras so relutantes em sair de uma estrutura com provas dadas.


13/53

Se a funo de compresso resistente coliso, ento tambm o a funo de hashiterada resultante, pelo que a estrutura pode ser usada para produzir uma funo de hashsegura para mensagens de qualquer tamanho.ALGORITMO DE DIGEST DE MENSAGEM MD5Toma como entrada uma mensagem de um tamanho qualquer e produz como sada um

digest de mensagem de 128-bits. A entrada processada em blocos de 512-bits. Para 2mensagens terem o mesmo digest o n de operaes necessario da ordem das 264, oque pouco para segurana.RIPEMD-160 muito similar em estrutura ao SHA-1. O algoritmo toma como entrada umamensagem de tamanho arbitrrio e produz como output um digest de 160-bit. A entrada processada em blocos de 512-bits.Tabela 3.1. - Uma comparao de Funes de Hash Seguras

MD5 SHA-1 RIPEMD-160Tamanho do digest 128 bits 160 bits 160 bitsUnidade bsica de

processamento

512 bits 512 bits 512 bits

Nmero de passos 64 (4 voltas de 16) 80 (4 voltas de 20) 160 (5 pares devoltas de 16)

Tamanho mximode mensagem

infinito 264 - 1 bits infinito

Funes lgicasprimitivas

4 4 5

Constantes aditivasusadas

64 4 9

HMAC

Tem crescido o interesse em desenvolver um MAC derivado de um cdigo de hashcriptografado. As motivaes:- As funes de hash criptogrficas geralmente executam-se mais rapidamente emsoftware do que os algoritmos de encriptao convencionais tasi como o DES.- Bibliotecas de cdigo para funes de hash criptogrficas est largamente disponvel.- No h restries de exportao.O HMAC foi escolhido como mandatrio para implementar o MAC para segurana IP.OBJECTIVOS DE DESENHO DO HMAC- Usar, sem modificaes, funes de hash disponveis- Permitir substituio fcil da funo de hash emebebida- Preservar a perfomance original da funo de hash

- Usar e manusear chaves duma forma simples- Ter uma anlise criptogrfica bem-percebida.ALGORITMO HMACH = funo de hash embebida (e.g. SHA-1)M = mensagem de entrada para o HMACYi = bloco de ordem i de M, 0 i (L-1)L = n de blocos de M

b = n de bits num blocon = tamanho do cdigo de hash produzido pela funo de hash embebidaK = chave secretaK+ = K enchida com zeros esquerda, de forma a que o resultado b bits em

comprimento.ipad = 00110110 (36 em hexadecimal) repetido b/8 vezes


14/53

opad = 01011100 (5C em hexadecimal) repetido b/8 vezesEnto o HMAC pode ser expresso:HMACK(M) = H[(K+ opad) || H[K+ ipad) || M]]Em palavras:1. Adiciona zeros esquerda do fim de K para criar uma string K+ de b-bits (e.g. se K

do tamanho de 160 bits e b=512, ento K ser adicionado com 44 bytes zero 0x00)2. XOR K+ com o ipad para produzir o bloco de b-bit Si3. Adiciona M a Si4. Aplica H stream gerada no passo 3.5. XOR K+ com o opad para produzir o bloco de b-bit So6. Adiciona o resultado hash do passo 4 a So7. aplica H stream gerada no passo 6 e sai o resultado.3.3. PRINCPIOS DE CRIPTOGRAFIA DE CHAVE-PBLICADe igual importncia encriptao convencional a encriptao de chave-pblica, queencontra uso nas autenticaes de mensagens e distribuies de chaves.ESTRUTURA DA ENCRIPTAO DE CHAVE-PBLICA

a primeira verdadeiramente revolucionrio avano na encriptao em milhares deanos. So baseados em funes matemticas, assimtrica, envolve o uso de 2 chavesseparadas.Uma confuso comum, que convm esclarecer: no h nada que faa uma superior outra. Outra confuso que a convencional seria agora obsoleta, o que falso. Devidoao overhead computacional da chave-pblica, no ser abandonada. H tambm a ideiaque a distribuio de chaves trivial, mas de facto procedimentos e protocolosenvolvidos no so simples ou mais eficientes.Um esquema de encriptao por chave-pblica tem 6 ingredientes:- Texto Original: a mensagem de entrada- Algoritmo de Encriptao - so as transformaes- Chaves Pblica e Privada: Se uma usada para encriptao, a outra usada paradesencriptao. As transformaes exactas que o algoritmo executa dependem da chave

pblica ou da privada.- Texto Cifrado- Algoritmo de DesencriptaoOs passos essenciais so:1. Cada utilizador gera um par de chaves para ser usado na encriptao e desencriptaodas mensagens2. Cada utilizador coloca uma das 2 chaves num registo pblico ou outro ficheiroacessvel

3. Se o Bob quer enviar uma mensagem privada a Alice, encripta a mensagem usando achave pblica de Alice4. Quando Alice recebe a mensagem, ela desencripta-a usando a sua chave privada.Em termos globais, podemos classificar o uso de sistemas de criptografia e chave-

pblica em 3 categorias:- Encriptao / Desencriptao- Assinatura Digital: o emissor assina uma mensagem com a sua chave privada- Troca de ChavesREQUISITOS PARA CRIPTOGRAFIA DE CHAVE-PBLICAOs algoritmos devem preencher:1. computacinalmente fcil para um B gerar um par (chave pblica KUb, chave

privada KRb)


15/53

2. computacionalmente fcil para um emissor A, sabendo a chave pblica e amensagem a ser encriptada, M, gerar o correspondente texto cifrado:C = EKub (M)3. computacionalmente fcil para o receptor B desencriptar o texto cifrado usando achave privada para recuperar a mensagem original: M = DKRb(C) = DKRb[EKub(M)]

4. computacionalmente infasvel para um oponente, sabendo a chave pblica, KUb,determinar a chave privada, KRb.5. computacionalmente infasvel para um oponente, sabendo a chave pblica, KUb, eo texto cifrado, C, recuperar a mensagem original, M.6. Qualquer uma das chaves relacionadas pode ser usada para encriptao, com a outrausada para desencriptao. M = DKRb[EKub(M)] = DKub[EKRb(M)]Tabela 3.2. Aplicaes para os sistemas de encriptao de chave-pblicaAlgoritmo Encriptao/Desencriptao Assinatura

DigitalTroca de Chaves

RSA Sim Sim SimDiffie-Hellman No No Sim

DSS No Sim NoElliptic Curve Sim Sim Sim3.4. ALGORITMOS DE CRIPTOGRAFIA DE CHAVE PBLICAO ALGORITMO DE ENCRIPTAO DE CHAVE PBLICA RSAC = Me mod nM = Cd mod n = (Me)d mod n = Med mod nAmbos o emissor e o receptor tm de saber os valores de n e e, e apenas o receptor sabeo valor de d. Requisitos que devem ser encontrados:1. possvel encontrar valores de e, d, n tais que Med = M mod n para todo o M < n2. relativamente fcil calcular Me e Cd para todos os valores de M


16/53

112 mod 187 = 121114 mod 187 = 14641 mod 187 =55118 mod 187 = 214358881 mod 187 = 331123 mod 187 = (11x121x55x33x33) mod 187 = 79720245 mod 187 = 88H 2 abordagens para desfeitear o RSA: A fora bruta: Tenatr todas as chaves possveis.

Assim, quanto maior for o n de bits em e e d, mais seguro o algoritmo. Contudo issodiminui a velocidade do sistema. Outra a criptoanlise. Correntemente usa-se umachave do tamanho dos 1024-bits.TROCA DE CHAVES DE DIFFIE-HELLMANO propsito do algoritmo permitir 2 utilizadores trocarem uma chave secretaseguramente e que possa ser usada na encriptao de subsequentes mensagens.O algoritmo depende da dificuldade que h em computar logaritmos discretos, que so:

primeiro definimos uma raiz primitiva de um n primo p como um cujas potnciasgeram todos os inteiros de 1 a p-1. Isto , se a uma raiz primitiva de n primo p, entoos ns a mod p, a2 mod p,..., ap-1 mod pso distintos e consistem nos inteiros de 1 a p-1 numa qualquer permutao.

Para qualquer inteiro b menor que p e uma raiz primitiva a do n primo p, podemosencontrar um nico expoente i tal que

b = ai mod p onde 0 i (p-1)O expoente i referido como o logaritmo discreto, ou index, de b para a base a mod p.Este valor denotado por inda,p(b).H 2 ns pblicos: um primo q e um inteiro que a raiz primitiva de q. Suponha queos utilizadores A e B querem trocar uma chave. O A selecciona um inteiro randmicoXA < q e computa YA = XA mod q. Similarmente B selecciona randmicamente ointeiro XB < q e computa YB = XB mod q. Cada lado mantm o valor X privado e faz ovalor Y disponvel publicamente para o outro lado. O A computa a chave como K =

(YBXA

) mod q e o B K = (YAXB

) mod q. Estes 2 clculos produzem resultados idnticos:A segurana do Diffie-Hellman para troca de chaves baseia-se em que enquanto relativamente fcil calcular exponenciais mdulo um primo, muito difcil calcularlogaritmos discretos. Por ex: seleccionando q=71 e =7. a e B seleccionam XA = 5 eXB=12. Cada um computa a sua chave:YA = 75 mod 71 = 51YB = 712 mod 71 = 4Depois de trocarem as chaves pblicas, cada qual pode computar a chave secretacomum:K = (YBXA) mod 71 = 45 mod 71 = 30K = (YAXB) mod 71 = 512 mod 71 = 30

Um atacante no consegue computar facilmente 30 de {51,4}.Um protocolo simples . A quer usar uma chave secreta para encriptar. gera uma chaveXA, calcula YA, e envia-a a B. O B responde gerando o seu valor privado XB, calculandoYB e enviando-o a A. ambos podem agora calcular a chave. Os necessarios valores

pblicos q e devem ser conhecidos antecipadamente. Alternativamente o A pode picarvalores para q e e inclu-los na primeira mensagem.OUTROS ALGORITMOS CRIPTOGRFICOS DE CHAVE-PBLICADIGITAL SIGNATURE STANDARDFaz uso do SHA-1ELLIPTIC-CURVE CRIPTOGRAFIAA principal atraco do ECC comparado com o RSA que parace ter a mesmasegurana para um muito mais pequeno tamanho.3.5. ASSINATURAS DIGITAIS


17/53

Bob usa a sua chave privada para encriptar a mensagem. Quando Alice recebe o textocifrado, ela sabe que pode desencript-la usando a chave pblica do Bob, assim

provando que que a mensagem foi encriptada pelo Bob. Tambm autenticada emtermos de integridade de dados, para alm da fonte.Uma maneira mais eficiente de atingir os mesmos resultados encriptar um pequeno

bloco de bits que uma funo do documento. Tal bloco, cahamado autenticador deveter a propriedade de que infazvel mudar o documento sem mudar o autenticador.Mesmo no caso de encriptao completa, no h proteco de confidencialidade porquequalquer observador pode desencriptar a mensagem usando a chave pblica do emissor.3.6. GESTO DE CHAVES2 distintos aspectos:- A distribuio e chaves pblicas- O uso de encriptao de chave-pblica para distribuir chaves privadas.CERTIFICADOS CHAVE-PBLICAQualquer um pode forjar tal anncio pblico. a soluo o certificado chave-pblica.Consiste numa chave pblicamais um ID de utilizador do dono da chave, com todo o

bloco assinado por uma parte de confiana. Um utilizador pode apresentar a sua chavepblica autoridade de uma maneira segura e obter um certificado. O utilizador podeento publicar o certificado. Qualquer um precisando esta chave pblica pode obter ocertificado e verificar que vlido pela assinatura de confiana anexada.DISTRIBUIO DE CHAVES SECRETAS POR CHAVE PBLICAOu entrego mo.Uma abordagem usar a troca de chaves por Diffie-Hellman. Embora muito usada temum defeito que no prover aurtenticao dos 2 pares comunicantes. Uma alternativamais forte o usos de certificados de chave-pblica. bob quer alice:1. Prepara a mensagem2. Encripta-a usando encriptao convencional com um chave de sesso convencionalde uma-vez.3. encripta a chave de sesso usando a encriptao de chave-pblica com a chave

pblica da Alice.4. Anexa a chave de sesso encriptada mensagem e envia-a a Alice.

3.1. Liste 3 abordagens da autenticao de mensagens.3.2. O que um cdigo de autenticao de mensagem?3.3. Descreva brevemente os 3 esquemas ilustrados na figura 3.2.3.4. Que propriedades deve uma funo de hash ter para ser til para a autenticao demensagens?

3.5. No contexto de uma funo de hash, o que uma funo de compresso?3.6. Quais so os principais ingredientes de um criptosistema de chave-pblica?3.7. Liste e defina brevemente 3 utilizaes de um criptosistema de chave-pblica.3.8. Qual a diferena entre uma chave privada e uma chave secreta?3.9. O que uma assinatura digital?3.10. O que um certificado de chave-pblica?3.11. Como pode a encriptao de chave-pblica ser usada para distribuir uma chavesecreta?

PARTE 2 - APLICAES DE SEGURANA DE REDESCAPTULO 4 APLICAES DE AUTENTICAO

4.1. KERBEROS


18/53

um servio de autenticao. O problema que trata : Assume um ambiente distribudoe aberto no qual utilizadores nas estaes de trabalho querem aceder a servios emservidores distribudos pela rede. Em particular as seguintes 3 ameaas existem:- Um utilizador pode ganhar acesso a uma workstation particular e pretender ser outroutilizador

- Um utilizador pode alterar o endereo de rede de uma workstation- Um utilizador pode apanhar, mudar e usar um ataque de replicao para entrar numservidor ou disromper operaes.O Kerberos fornece um servidor de autentyicao central cuja funo autenticarutilizadores a servidores e vice-versda. Baseia-se exclusivamente na encriptaosimtrica, ao contrrio de outros.MOTIVAOO mais comum uma arquitectura distribuda, ambiente no qual pode ser divisadas 3abordagens segurana:1. Baseada em cada workstation cliente individual para assegurar a identidade do seuutilizadora ou utilizadores e basear em cada servidor o forar e uma poltica de

segurana baseada na identificao do utilizador (ID).2. Requerer que sistemas cliente se autentiquem aos servidores, mas confiar no sistemacliente no que concerne identidade do seu utilizador.3. Requerer ao utilizador que prove a sua identidade para cada servio invocado.Tambm rquer que os servidores provem a sua identidade aos clientes.Requisitos para o Kerberos:- Seguro- Fivel- Transparente- EscalvelKERBEROS VERSO 4UM DILOGO DE AUTENTICAO SIMPLES

Num ambiente e rede no protegido h o perigo da personificao. Cada servidor podeser obrigado a tomar conta desta tarefa para cada interaco cliente/servidor, mas numambiente aberto, isso coloca uma substancial carga em cada servidor. Uma alternativa usar um servidor de autenticao (AS) que conhece as passwords de todos osutilizadores e armazena-as numa base de dados centralizada. Em adio, o AS partilhauma nica chave secreta com cada servidor.(1) C AS: IDC || IDV(2) AS C: Ticket(3) C V: IDC || Ticket

Ticket = EKv[IDC || ADC || IDV] com:C = ClienteAS = Servidor de AutenticaoV = ServidorIDC = Identificador do Utilizador em CIDV = Identificador de VPC = Password do Utilizador em CADC = Endereo de Rede de CKV = Chave de Encriptao Secreta partilhada por AS e V|| = concatenaoO AS checa a sua base de dados para ver se o utilizador forneceu a password prpria

para este ID de utilizador e se este utilizador permitido aceder a servidor V.Porque o ticket est encriptado, ele no pode ser alterado por C ou por um oponente.


19/53

Com este ticket, C pode agora aplicar-se a V para servio. V desencripta o ticket everifica que o ID de utilizador no ticket o mesmo que o ID de utilizador no-criptadona mensagem. Se estes 2 baterem, o servidfor considera o utilizador autenticado egarante o servio pedido.Finalmente ADC serve para contarriar a seguinte ameaa: Um oponente pode capturar o

ticket transmitido na mensagem (2), depois usar o nome IDC e transmitir umamensagem da forma (3) de outra workstation.UM DILOGO DE AUTENTICAO MAIS SEGUROH 2 problemas que permanecem. Primeiro, gostaramos d eminimizar o n de vezesque um utilizador tem de entrar um password. Se C quer checar o mail vrias vezesdurante o dia. Podemos melhorar dizendo que os tickets so reutilizveis. Para umaseso de logon simples. Contudo, permanece o caso que o utilizador precisa de um novoticket para cada um novo servio diferente.O segundo problema que o cenrio anterior envolvendo uma transmisso do passwordem pleno texto [mensagem (1)]. Um escuta pode capturar o password e utilizar qualquerservio acessvel vtima.

Para resolver estes problemas adicionais, introduzimos um esquema para evitarpasswords em pleno texto e um novo servidor, conhecido como servidor garantia-de-tickets (TGS):Uma vez por sesso de logon de utilizador:(1) C AS: IDC || IDtgs(2) AS C EKC [Tickettgs]Uma vez por tipo de servio:(3) C TGS: IDC || IDV | Tickettgs(4) TGS C: TicketvUma vez por sesso de servio

(5) C --Z V: IDC || TicketvTickettgs = EKtgs [IDC || ADC || IDtgs || TS1 || Lifetime1]Tickettgs = EKv [IDC || ADC || IDv || TS2 || Lifetime2]1. O cliente requisita um ticket-de-garantia on behalf do utilizador enviando o ID deutilizador ao AS, junto com o ID de TGS, indicando um pedido para usar o servio doTGS.2. O AS responde com um ticket encriptado com uma chave que derivada do passworddo utilizador. Quando esta resposta chega ao cliente, o cliente prompt ao utilizador parao seu password, gera a chave, e tenta desencriptar a mensagem que chegou. se o

password correcto fornecido o ticket recuperado com sucesso.Assim, o ticket granting-ticket reutilizvel. Contudo, no queremos que um oponente

seja capaz de capturar o ticket e us-lo. Para contarriar isso o ticket inclui umtimestamp, indicando a data e hora qual o ticket foi editado, e um tempo de vida,indicando otamanho do tempo para o qual vlido (e.g. 8 horas).3. O cliente requisita um ticket de garantia-de-servio on behalf do utilizador.4. O TGS desencripta o ticket que chegou e verifica o sucesso da desencriptao pela

presena do seu ID. De novo, o ticket contm um timestamp e lifetime.5. O cliente requisita acesso ao servio on behalf do utilizador.O DILOGO DE AUTENTICAO DA VERSO 42 problemas permanecem. O corao do primeiro o tempo de vida associado com oticket granting-ticket. Assim, chegamos a um requisito adicional. Um servio de rede (oTGS ou um servio de aplicao) deve ser capaz de provar que a pessoa usando o ticket

a mesma pessoa a quem o ticket foi editado.


20/53

O segundo problema que pode haver um pedido para servidores para se autenticaremeles prprios aos utilizadores.O AS fornece a ambos o cliente e o TGS com uma pea secreta de informao de umamaneira segura. Uma maneira eficiente de conseguir isso usar uma chave deencriptao como informao segura; isto referido como uma chave de sesso no

Kerberos.Como antes, o cliente envia uma mensagem ao AS requisitando acesso ao TGS. O ASresponde com uma mensagem, encriptada com uma chave derivada do password doutilizador (KC), que contm o ticket. A mesnagem encriptada tambm contm uma cpiada chave de sesso.Armado com o ticket e a chave de sesso, C est pronto para a aproximao ao TGS.Como antes, C envia ao TGS uma mensagem que inclui o ticket mais o ID do serviorequisitado. Em adio, C transmite um autenticador, o qual inclui o ID e endereo doutilizador de C e um timestamp.A ameaa de que um oponente roube o ticket e o autenticador para apresentar mais tardeest contrariada.

Se autenticao mtua for requerida, o servidor retorna o valor do timestamp doautenticador, incrementada de 1, e encriptada na chave de sesso. C pode desencriptaresta mensagem para recuperar o timestamp incrementado. Porque a mensagem foiencriptada pela chave de sesso, C est seguro que ela s pode ter sido criada por V.REALMS DO KERBEROS E KERBERI MLTIPLOSUm ambiente Kerberos de servio-completo consistindo de um servidor Kerberos, umn de clientes, e um n de servidores de aplicao requer:1. O servidor Kerberos deve ter o ID do utilizador (UID) e passwords hashed de todosos utilizadores participantes na base de dados.2. O servidor Kerberos deve partilhar uma chave secreta com cada servidor.Tal ambiente referido como tendo uma realm.Para 2 realms suportarem autenticao inter-realm, um 3 requisito acrescentado:3. O servidor Kerberos em cada realm interoperacional partilha uma chave secreta como servidor na outra realm.DIFERENAS ENTRE AS VERSES 4 E 5A verso 5 foi intendida para enderear as limitaes da verso 4 em 2 reas:insuficincias de ambiente e deficncias tcnicas.Insuficincias de ambiente:1. Dependncia do Sistema de Encriptao: A verso 4 requer o uso do DES.Restries de exportao do DES asim como dvidas acerca da sua fora so assimconcernadas. Na 5, qualquer tcnica de encriptao pode ser usada.

2. Dependncia do Protocolo de Internet: A verso 4 requer o uso de endereos IP; a5 permite que qualquer tipo de endereo de rede poe ser usado.3. Ordenao dos Bytes da Mensagem4. Tempo de Vida do Ticket: na verso 4 os valores so codificados numa quantidadede 8-bits em unidades de 5 minutos. Assim, o mximo 28 x 5 = 1280 minutos, ou cercade 21 horas. No 5 arbitrrio5. Encaminhamento de Autenticao: A 4 no permite que credenciais editadas paraum cliente possam ser encminhadas para outro host e usadas por outro cliente.6. Autenticao Inter-Realm: A 5 requer menos relaes.Deficincias Tcnicas:1. Encriptao Dupla: Os tickets fornecidos aos clientes so encriptados 2 vezes.

2. Encriptao PCBC: A encriptao na verso 4 faz uso de um modo no-standadr doDES conhecido como cadeia depropagao de blocos (PCBC). Foi demonstrado que


21/53

este modo vulnervel a um ataque envolvendo a intermutabilidade de blocos de textocifrado.3. Chaves de Sesso: Cada ticket inclui um chave de sesso que usada pelo cliente

para encriptar o autenticador enviado para o servio associado com esse ticket. Emadio, a chave de sesso pode subsequentemente ser usada pelo cliente e pelo servidor

para proteger mensagens passadas durante essa sesso. Contudo, porque o mesmo ticketpode ser usado repetidamente para ganhar servio de um servidor particular, h o riscoque um oponente repita mensagens de um sesso velha para o cliente ou para o servidor.

Na verso 5 h possibilidade de uma chave de subsesso, a qual para ser usada apenaspara aquela conexo.4. Ataques de Password: Ambas as verses so vulnerveis.4.2. SERVIO DE AUTENTICAO X.509Define um servio de directrio, que um servidor ou um conjunto distribudo deservidores que mantm uma base de dados de informao acerca dos utilizadores.O X.509 define uma framework para a proviso e servios de autenticao. O directrio

pode servir como repositrio de certificados de chaves-pblicas.

X.509 um importante standard, usado em S/MIME, Segurana IP e SSL/TLS e SET.X.509 baseado no uso de criptografia de chave-pblica e assinatura digital, com usode funo de hash.CERTIFICADOSO corao do esquema X.509 o certificado de chave pblica associado com cadautilizador. O certificado inclui os elementos:- Verso: do formato do certificado- Nmero de Srie- Identificador de Algoritmo de Assinatura- Nome do Editor: Nome X.500 do CA que criou e assinou este certificado.- Perodo de Validade- Nome do Sujeito: o nome do utilizador- Informao da Chave-Pblica do Sujeito- Assinatura: Cobre todos os outros campos do certificado; contm o cdigo de hashdos outros campos, encriptado com a chave privada do CA. Este campo inclui oidentificador de algoritmo de assinatura.OBTENO DE UM CERTIFICADO DE UTILIZADOROs certificados de utilizador gerados por um CA tem as seguintes caractersticas:- Qualquer utilizador com acesso chave pblica do CA pode verificar a chave deutilizador que foi certificada.- Nenhuma outra parte a no ser a autoridade de certificao poe modificar o certificado

sem isso ser detectado.Os certificados so infalsificveis. Cada utilizador participante tem de ter uma cpia dachave pblica do CA para verificar assinaturas. Esta chave pblica tem de ser fornecidaa cada utilizador duma forma absolutamente segura. Assim, com muitos utilizadores,

pode ser mais prtico para eles haver um n de CAs, cada qual fornece de forma seguraa sua chave pblica a alguma fraco de utilizadores.Se 2 Cas trocaram seguramente as suas prprias chaves pblicas, o seguinte

procedimento permitir A a obter a chave pblica de B:1. A obtm, do directrio, o certificado de X2 assinado por X1. Porque A seguramenteconhece a chave pblica de X1, A pode obter a chave pblica de X2 do seu certificado everific-la por meio da assinatura de X1 no certificado.


22/53

2. A ento volta ao directrio e obtm o certificado d eB assinado por X 2. Porque Aagora tem uma cpia de confiana da chave pblica de X2, A pode verificar a assinaturae seguramente obter a chave pblica de B.Esta cadeia tem a notao: X1X2este esquema no limitado a uma cadeia de 2 certificados. O X.509 sugere que os Cas

devem ter uma forma hierrquica.A entrada de directrio para cada CA inclui 2 tipos de certificados:- Certificados de Encaminhamento: Certificados de X gerados por outros Cas- Certificados Reversos: Certificados gerados por X que so certificados de outros Cas.REVOGAO DE CERTIFICADOSRazes:1. A chave privada do utilizador foi comprometida.2. O utilizador j no certificado por este CA3. O certificado do CA foi comprometidoQuando um utilizador recebe um certificado numa mensagem, o utilizador tem dedeterminar se o certificado foi revogado, mantendo uma cache de revogados para no se

perder tempo na busca.PROCEDIMENTOS DE AUTENTICAOAUTENTICAO ONE-WAYEnvolve uma nica transferncia de informao e estabelece:1. A identidade de A e que a mensagem foi gerada por A2. Que a mensagem era intendida para B3. A integridade e originalidade (no foi enviada mltiplas vezes) da mensagem.

No mnimo, a mensagem inclui um timestamp tA, um nonce rA, e a identidade de B e assinada com a chave privada de A.AUTENTICAO TWO-WAYEm adio:4. A identidade de B e que a mensagem de resposta foi gerada por B5. Que a mensagem foi intendida para A6. A integridade e originalidade da respostaAUTENTICAO THREE-WAYUma mensagem final de A para B contm uma cpia assinada do nonce rB.

4.1. Que problema foi o Kerberos desenhado para resolver?4.2. Quais so as 3 ameaas associadas com a autenticao de utilizador sobre uma redeou Internet?4.3. Liste 3 abordagens para autenticao de utilizador segura num ambiente distribudo.

4.4. Que 4 requisitos foram definidos para o Kerberos?4.5. Que entidades constituem um ambiente Kerberos de servio-completo?4.6. No contexto do Keberos, o que um realm/domnio/rea?4.7. Quais so as principais diferenas entre a verso 4 e a verso 5 do Kerberos?4.8. Qual o propsito do standard X.509?4.9. O que uma cadeia de certificados?4.10. Como revogado um certificado X.509?

CAPTULO 5 SEGURANA DE CORREIO ELECTRNICO5.1. PRETTY GOOD PRIVACYPGP fornece um servio de confidencialidade e autenticao que pode ser usado por

aplicaes de e-mail e armazenamento de ficheiros. O que foi feito:


23/53

1. Seleccionar os melhores algoritmos de encriptao disponveis como blocos deconstruo.2. Integrar estes algoritmos numa aplicao de uso geral que independente do SO e

processador e que baseada num pequeno conjunto de comandos fceis de usar.3. Fazer o pacote e a sua documentao, incluindo o cdigo fonte, livre e disponvel via

Internet4. Entrar num acordo com uma companhia para fornecer uma completamentecompatvel, e de baixo custo, verso comercial do PGP.Razes do crescimento de uso:1. Est disponvel livremente em todo o mundo em verses que correm numa variedadede paltaformas.2. baseado em algoritmos que sobreviveram extensivamente a revises pblicas e soconsiderados extremamente seguros.3. Tem um largo escopo de aplicabilidade.4. No foi desenvolvido, nem controlado, por qualquer organizao governamental oude standards.

5. PGP est agora na calha para ser um standard de Internet.NOTAOKS = chave de sesso usada num esquema de encriptao simtricoKRa = chave privada do utilizador A, usada num esquema de encriptao de chave-

pblicaKUa = chave pblica do utilizador A, usada num esquema de encriptao de chave-

pblicaEP = encriptao de chave pblicaDP = desencriptao de chave-pblicaEC = encriptao simtricaDC = desencriptao simtricaH = funo de hash|| = concatenaoZ = compresso usando o algoritmo ZIPR64 = converso para o formato ASCII radix 64DESCRIO OPERACIONALConsiste em 5 servios: autenticao, confidencialidade, compresso, compatibilidadee-mail e segmentao.AUTENTICAOA sequncia da assinatura digital :1. O emissor cria uma mensagem

2. O SHA-1 usado para gerar um cdigo hash da mensagem de 160-bit3. O cdigo hash encriptado com RSA usando a chave privada deo emissor, e oresultado preposto mensagem.4. O receptor usa o RSA com a chave pblica do emissor para desencriptar e recuperar ocdigo hash5. O receptor gera um novo cdigo hash para a mensagem e compara-o com o cdigo dehash desencriptado. Se baterem a mensagem aceite como autntica.A combinao do SHA-1 e RSA fornece um efectivo esquema de assinatura digital.Assinaturas depositadas (detached) so suportadas. Por ex. quando um utilizador podequerer manter um log separado de assinaturas de todas as mensagens enviadas ourecebidas; Mais de um parceiro tem de assinar um documento, tal como num contrato

legal.CONFIDENCIALIDADE


24/53

fornecida encriptando mensagens a ser transmitidas ou a serem armazenadaslocalmente como ficheiros. O algoritmo o CAST-128 ou, alternativamente, o IDEA ou3DES. No PGP, cada chave simtrica usada paenas uma vez e, por isso, a chave desesso junta mensagem e transmitida com ela, encriptada com a chave pblica doreceptor. A sequncia :

1. O emissor gera uma mensagem e um n randmico de 128-bit para ser usado comochave de sesso apenas para essas mensagem.2. A mensagem encriptada, usando o CAST-128 (ou IDEA ou 3DES) com a chave desesso.3. A chave de sesso encriptada com RSA, usando a chave pblica do receptor e

prpendida mensagem.4. O receptor usa o RSA com a sua chave privada para desencriptar e recuperar a chavede sesso.5. A chave de sesso usada para desencriptar a mensagem.Obs: Primeiro, para reduzir o tempo de encriptao, usa-se o CAST-128 que sosubstancialmente mais rpidos que o RSA ou ElGamal. Segundo, o uso do algoritmo de

chave-pblica resolve o problema da distribuio da chave de sesso. Alm disso, dadaa natureza store-and-forward do e-mail, o uso de aperto-de-mo para assegurar queambos os lados tm a mesma chave de sesso no prtico.Desde que o algoritmo de chave-pblica seja seguro, todo o esquema seguro.CONFIDENCIALIDADE E AUTENTICAOPrimeiro, uma assinatura gerada para a mensagem original e prpendida mensagem.Depois a mensagem original mais a ssinatura encriptada usando o CAST-128 (ouIDEA ou 3DES), e a chave de sesso encriptada usando o RSA (ou ElGamal).COMPRESSOComo defeito, o PGP comprime a mensagem depois de aplicar a assinatura mas antes daencriptao. Isto tem o benefcio de salvar espao quer para a transmisso de e-mailquer para armazenamento:1. A assinatura gerada antes da compresso por 2 razes:a) Podemos assim armazenar apenas a mensagem no comprimida junto com aassinatura para verificao futura.

b) A compresso PGP no-determinstica2. A encriptao mesnagem aplicada depois da compresso para reforar a seguranacriptogrfica. O algoritmo de compresso usado o ZIP.COMPATIBILIDADE DE EMAILContudo, muitos sistemas de e-mail apenas permitem o uso de blocos consistino detexto ASCII. Ento o PGP fornece o servio de converter o stream rstico de 8-bit em

um stream de caracteres ASCII imprimveis.SEGMENTAO E REASSEMBLAGEMAs facilidades de e-mail esto frequentemente restringidas a um tamanho mximo demensagem, por ex. 50000 octetos.CHAVES CRIPTOGRFICAS E ANIS DE CHAVESO PGP faz uso de 4 tipos de chaves: chaves simtricas de sesso vez-nica; chaves

pblicas; chaves privadas; chaves simtricas baseadas em frase passe.Estas cahves apresentam 3 requisitos:1. preciso um meio de gerar chaves de sesso no adivinhveis2. Gostaramos de permitir que um utilizador tivesse mltiplos pares de chave-

pblica/chave-privada. Assim, algum meio preciso para ientificar chaves particulares.

3. Cada entidade PGP tem de manter um ficheiro dos seus pares chave pblica/privadaassim como um ficheiro de chaves-pblicas dos seus correspondentes.


25/53

GERAO DE CHAVES DE SESSOIDENTIFICADORES DE CHAVESANIS DE CHAVES

GESTO DE CHAVES-PBLICASAPROXIMAES GESTO DE CHAVES PBLICAS

O USO DA CONFIANAREVOGAO DE CHAVES PBLICAS5.2. S/MIMES/MIME (Secure/Multiprupose Internet Mail Extension) emergir como o standard daindstria para uso comercial e organizacional.RFC 822Define um formato para mensagens de texto que so enviadas usando e-mail. Asmensagens so vistas como um envelope e contedo, contendo o primeiro a informaonecessaria para atingir a transmisso e entrega. O RFC 822 standard aplica-se apenasao contedo. Contudo, o contedo standard inclui um conjunto de campos de cabealhoque pode ser usado pelo sistema de mail para criar o envelope.

Uma mensagem consiste de algum n de linhas de cabealho (the header) seguido detexto irrestrito (the body). So separados por uma linha em branco. Uma linha decabealho consiste numa palavra chave, seguida de uma vrgula e dos argumentos dachave. As palavras chave mais usadas so: From, To, Subject, e Date. Um outro campo o Message-ID.EXTENSES MULTIPROPSITO DE MAIL INTERNETMIME uma extenso ao RFC 822 e tem a inteno de tratar alguns problemas elimitaes do uso do SMTP. Limitaes:1. O SMTP no pode transmitir ficheiros executveis ou outros objectos binrios2. SMTP no pode transmitir dados de texto que incluam caracteres de linguagemnacionais.3. Os servidores de SMTP podem rejeitar mensagens de mail acima de um dadotamanho.4. Transmisses entre ASCII e EBCDIC pelos gateways de SMTP do problemas detransmisso5. Os gateways de SMTP para redes de e-mail X.400 no conseguem lidar com dadosno-textuais, incluindo mensagens X.4006. Algumas implementaes de SMTP no aderem completamente aos standards SMTPVISO GLOBALA especificao MIME inclui os seguintes elementos:1. 5 novos campos de cabealho so definidos. Fornecem informao acerca do corpo

da mensagem2. Um n de formatos de contedo so definidos, para suportar multimedia3. Codificaes de transferncia so definidas para permitir a conversoOs 5 campos so:- MIME-Version- Content-Type- Content-Transfer-Encoding- Content-ID- Content-DescriptionTIPOS DE CONTEDO MIMESo 7 tipos e 15 subtipos:

Para o tipo texto, os subtipos so plain text (strings de caracteres ASCII ou ISO) e oenriched, que permite grande flexibilidade de formatao.


26/53

O multipart type indica que o corpo contm mltiplas partes, independentes. H 4subtipos: mixed subtype usado quando preciso enviar as partes por uma dadaordem; no parallel subtype a ordem no significativa (ex: uma imagem com msicade fundo); No alternative subtype, as vrias partes so diferentes represenat~eos damesma informao (tem a ver com as capacidades do sistema do receptor, por ex. de

formatao); o digest subtype permite a construo de uma mesnagem cujas partes somensagens individuais, por ex. para moderadores de grupos.O message type fornece um n de capacidades importantes no MIME. O message/rfc822 subtype indica que o corpo uma mensagem inteira incluindo um cabealho e umcorpo; o partial subtype permite fragmentao de uma mensagem grande em partes; oexternal-body subtype indica que o corpo contm a informao necessaria para acederaos dados.O application type refere-se a outros tipos de dados, binrios.CODIFICAES DE TRANSFERNCIA MIMEO outro componente maior da especificao MIME a definio de codificaes etransferncia para corpos de mensagem. O objectivo fornecer entrega fivel atravs do

maior espectro de ambientes.Para a transferncia SMTP, seguro usar a forma 7bit. As formas 8bit e binria pode serusvel em outros contextos de transporte de mail. Outro valor o x-token, que indicaque algum outro esquema de codificao foi usado, para o qual um nome fornecido.Os 2 esquemas de codificao usados so o quoted-printable e o base64.A codificao de transferncia quoted-printable til quando os dados consistemlargamente em octetos que correspondem a caracteres ASCII printveis.A codificao de transferncia base64, tambm conhecida porradix-64, comum paracodificar dados binrios arbitrrios.FORMA CANNICA um formato, apropriado ao tipo do contedo, que est standardizado para uso entresistemas.FUNCIONALIDADE S/MIMEEm termos de funcionalidade o SMIME similar ao PGP. Ambos oferecem acapacidade de assinar e/ou encriptar mensagens.FUNES- Enveloped Data: Contedo encriptado- Signed Data: Uma assinatura digital formada tomando o digest da mensagem docontedo da mensagem a ser assinada e depois encriptando isso com a chave privada doassinante. O contedo mais a assinatura so depois codificados usando o cdigo base64.Uma mensagme de dados assinada pode apenas ser vista por um receptor com

capacidade S/MIME- Clear-Signed Data: Apenas a assinatura digital codificada usando base64- Signed and Eveloped Data: Podem ser aninhadosALGORITMOS DE CRIPTOGRAFIAO S/MIME incorpora 3 algoritmos de chave-pblica. O Digital Signature Standard(DSS). O Diffie-Hellman o preferido para encriptar chaves de sesso (ElGamal).Como alternativa temos o RSA. Estes so os mesmos algoritmos que usa o PGP. Para afuno de hash usada para criar a assinatura digital requer-se o SHA-1 de 160-bit. Para aencriptao da mensagem, usa-se o 3DES.As seguintes regras, por ordem, devem ser seguidas por um emissor:1. Se o agente emissor tem uma lista de capacidades de desencriptao preferidas por

um intendido receptor, DEVE escolher a primeira prefernncia


27/53

2. Se no tem tal lista mas recebeu uma ou mais mensagens desse receptor, ento amensagem a enviar DEVE usar o mesmo algoritmo de encriptao que foi usado naltima mensagem assinada e encriptada recebida desse receptor3. Se no tem conhecimento das capacidade de desencriptao e quer tomar riscos,DEVE usar o 3DES

4. ... Se no quer tomar riscos TEM de usar o RC2/40MENSAGENS S/MIMEO S/MIME faz uso de um n de novos tipos de contedo MIME. Preparao de umamensagem S/MIME:SEGURAR UMA ENTIDADE MIMEO S/MIME segura uma entidade MIME com uma assinatura, encriptao, ou ambas. Aentidade pode ser uma mensagem inteira, ou se o tipo de contedo MIME multipart,ento uma entidade MIME uma ou mais das subpartes da mensagem. A entidadeMIME preparada de acordo com as regras normais para o MIME. Ento a entidademais alguns dados relacionados com a segurana, tais como identificadores de aloritmose certificados, so processados pelo S/MIME para prouzir o que conhecido como um

objecto PKCS.DADOS ENVELOPADOSOs passos para preparar uma entidade MIME envelopedData so:1. Gerar uma chave de sessa pseudo-randmica para um algoritmo particular deencriptao (RC2/40 ou 3DES)2. Para cada receptor, encriptar a chave de sesso com a chave pblica RSA do receptor3. Para cada receptor, preparar um bloco conhecido como RecipientInfo, que contmum ientificador do certificado de chave-pblica do receptor, um identificador doalgoritmo usado para encriptar a chave de sesso, e a chave de sesso encriptada.4. Encriptar o contedo da mensagem com a chave de sessoSIGNEDDATAPassos:1. Seleccionar um algoritmo de digest de mensagem (SHA ou MD5)2. Computar o digest da mensagem, ou funo de hash, do contedo a ser assinado3. Encriptar o digest da mensagem com a chave privada do assinante4. Peparar um bloco conhecido como SignerInfo que contm o certificado de chave-

pblica do assinante, um identificador do algoritmo do digest da mensagem, umientificador do algoritmo usado para encriptar o digest da mensagem, e o digest damensagem encriptado.

5.1. Quais so os 5 principais servios fornecidos pelo PGP?

5.2. Qual a utilidade de uma assinatura detached/objectiva?5.3. Porque que o PGP gera uma assinatura antes de aplicar compresso?5.4. O que a converso R64?5.5. Porque que a converso R64 til para uma aplicao de e-mail?5.6. Porque que a funo de segmentao e o reagrupamento precisa no PGP?5.7. Como que o PGP usa o conceito de trust/confiana?5.8. O que o RFC 822?5.9. O que o MIME?5.10. O que o S/MIME?

CAPTULO 6 SEGURANA IP

6.1. D exemplos de aplicaes de IPSec6.1. SEGURANA IP - VISO GERAL


28/53

APLICAES DO IPSECO IPSec fornece a capacidade de segurar comunicaes atravs de uma LAN, atravs deWANs pblicas e privadas, e atravs da Internet. Exemplos:- Conectividade entre Escritrios Seguros sobre a Internet: Uma companhia podeconstruir uma rede privada virtual segura sobre a Internet ou sobre uma WAN pblica.

Isto permite que um negcio se baseie largamente na Internet e reduzir as suasnecessidades de redes privadas, poupando custos e esforo de gesto de redes.- Acesso Remoto Seguro sobre a Internet: Um utilizador final cujo sistema estequipado com os protocolos de segurana IP pode fazer uma chamda local para um ISPe ganhar acesso seguro a uma rde de uma companhia. Isto reduz o custo das taxas dechamada para empregados em viagem- Estabelecimento de Conectividade Extrarede e Intrarede com Parceiros: O IPSec

pode ser usado para segurar comunicaes com outras organizaes, assegurandoautenticao e confidencialidade e fornecendo um mecanismo de troca de chaves.- Enriquecimento de Segurana no Comrcio Electrnico: Mesmo pensando quealgumas aplicaes de comrcio electrnico e Web tm protocolos de segurana em si,

o uso de IPSec aumenta a segurana.A principal caracterstica do IPSEc que permite que suporte estas variadas aplicaes que pode encriptar e/ou autenticar todo o trfego no nvel IP. Assim, todas as aplicaesditribudas, incluindo o logon remoto, cliente/servidor, e-mail, trnasferncia deficheiros, acesso Web, etc., podem ser seguros.6.2. Que servios so fornecidos pela IPSec?6.2. ARQUITECTURA DA SEGURANA IPSERVIOS IPSECO IPSec fornece servios de segurana na camada de IP por permisso e um sistema aseleccionar os protocolos requeridos de segurana, determinar os algoritmos a usar paraos servios e colocar em aco qualquer chave criptogrfica requerida para fornecer osservios requeridos. 2 protocolos so usados para fornecer segurana: um protocolo deautenticao designado por cabealho do protocolo, Authentication Header (AH); e um

protocolo combinado de encriptao/autenticao designado pelo formato do pacotepara esse protocolo, Encapsulating Security Payload (ESP).Os servios fornecidos por cada protocolo, so:

AHESP (apenasencriptao)

ESP (encriptao maisautenticao

Controlo de Acesso SIM SIM SIMIntegridade da Ligao SIM SIMAutenticao da Origem dos

Dados

SIM SIM

Rejeio de Pacotes Replayed SIM SIM SIMConfidencialidade SIM SIMConfidencialidade de Fluxo de

Trfego LimitadoSIM SIM

6.3. Que parmetros identificam uma SA e que parmetros caracterizam a natureza deuma SA particular?ASSOCIAES DE SEGURANAUm conceito chave que aparece nos mecanismos de autenticao e de confidencialidadedo IP a Associao de Segurana (SA). uma relao de um sentido entre o emissor e

o receptor que fornece servios de segurana ao trfego sobre ela. Se uma relao entre


29/53

pares precisa, para trocas de 2 sentidos, ento 2 Sas so requeridas. Os servios desegurana so fornecidos para uma SA pelo uso do AH ou ESP, mas no ambos.Uma SA unicamente identificada por 3 parmetros:- ndice de Parmetros de Segurana (SPI): Uma string de bits associada a esta SA, etendo significado local apenas. O SPI carregado nos cabealhos de AH ou ESP para

permitir que o sistema de recepa seleccione o SA sob o qual um pacote recebido serprocessado.- Endereo de Destino IP: Correntemente, apenas endereos de unicast so permitidos;

pode ser um sistema d utilizador final ou um sistema de rede tal como um firewall ourouter.- Identificador de Protocolo de Segurana: AH ou ESP.PARMETROS SAEmcada implementao de IPSec, h uma Base de Dados Associao de Segurananominal que define os parmetros associados com cada SA. Uma SA normalmentedefinida pelos seguintes parmetros:- Contador Nmero de Sequncia (SNC): Um valor de 32-bit usado para gerar o

campo N de Sequncia nos cabealhos AH ou ESP (requerido)- Contador de Sequncia Overflow: Uma flag indica se o overflow ou o SNC devemgerar um evento auditvel e prevenir transmisso futura de pacotes nesta SA (requerido)- Janela Anti-Replay: Usada para determinar se um pacore AH ou ESP a chegar umarepetio (requerido)- Informao AH: Algoritmo de autenticao, chaves, tempos de vida das chaves, e

parmetros relacionados sendo usados com AH (requerido)- Informao ESP: Algoritmo de encriptao e autenticao, chaves, valores deinicailizao, tempos de vida das chaves, e parmetros relacionados sendo usados comAH (requerido)- Tempo de Vida desta SA: Um intervalo de tempo ou contagem de bytes depois daqual uma SA deve ser substituda por uma nova (e novo SPI) ou terminada, mais umaindicao de qual destas aces deve ocorrer (requerido)- Modo de Protocolo IPSec: Tnel, Transporte, ou Wildcard (requerido)- Caminho MTU: Qualquer tamanho mximo de caminho observado de unidade detransmisso (tamanho mximo de um pacote que pode ser transmitido semfragmentao) e variveis de idade (requerido)6.4. Qual a diferena entre modo de transporte e modo de tnel?MODO TRANSPORTEO modo Transporte fornece proteco primariamente para protocolos de camadassuperiores. Isto , extende a carga de pagamento de um pacote IP. Exemplos incluem

um segmento TCP ou UDP ou um pacote ICMP, todos os quais operam directamentesobre IP numa pilha de protocolos do host. Tipicamente usado para comunicaesfim-a-fim entre 2 hosts (ex: 2 workstations; cliente/servidor). Quando um host corre oAH ou ESP sobre Ipv4, o payload os dados que normalmente se seguem ao cabealho.O ESP no modo de transporte encripta e opcionalmente autentica o payload IP mas noo cabealho. O AH autentica tambm partes seleccionadas do cabealho.MODO DE TNELO modo de tnel fornece proteco ao pacote IP inteiro. Para isso, depois dos camposAH ou ESP serem adicionados o pacote inteiro mais os campos de segurana tratadocomo payload para o novo pacote IP a sair, com um novo cabealho IP. O pacoteoriginal, ou inteiror, viaja atravs de um tnel de um ponto de uma rede IP para outro.;

Os routers ao longo do caminho no so capazes de examinar o cabealho interior IP.Porque o pacote original encapsulado, o novo, maior pacote, pode ter endereos de


30/53

origem e destino completamente diferentes, adicionados para segurana. usadoquando um ou mais fins de uma SA um gateway seguro, tal como um firewall ourouter que implementa IPSec. No modo de tnel, um n de hosts de redes sob o firewall

podem ter comunicaes seguras em implementar o IPSec.6.5. O que um ataque de replay?

6.3. CABEALHO DE AUTENTICAOSERVIO DE ANTI-REPLAY um em que um atacante obtm uma cpia de um pacote autenticado e mais tardetransmite-o para o estino intendido. A recepo de pacotes IP autenticados duplicados

pode disromper o servio de alguma forma ou pode ter outras cosequncias nodesejadas. O campo N de Sequncia usado para ultrapassar tais ataques.6.6. Porque inclui o ESP um campo de padding?6.4. ENCAPSULAMENTO DA PAYLOAD DE SEGURANAPADDINGO campo de padding serve vrios propsitos:- Se um algoritmo de encriptao requer que o texto original seja mltiplo de algum n

de bytes (e.g. o mltiplo de um bloco para uma cifra de blocos) o campo de padding usado para expandir o texto original (consistindo dos Dados de Payload, Padding,Tamanho de Padding, e campos Next Header).- O formato ESP requer que os campos Pad Lenght e o Next Header sejam alinhados direita dentro de uma palavra de 32 bits. Igualmente o texto cifrado tem de srr ummltiplo inteiro de 32 bits. O campo de Padding usado para assegurar estealinhamento.- Padding adicional pode ser adicionado para fornecer confidencialidade parcial aofluxo de trfego conciliando o tamanho real do payload.6.7. Quais so as abordagens bsicas para bundling SAs?6.5. COMBINAO DE ASSOCIAES DE SEGURANABUNDLE DE TRANSPORTE-TNELO uso de autenticao antes da encriptao pode ser prefervel por vrias razes.Primeiro, porque os dados de autenticao so protegidos por encriptao, impossevl

para algum interceptar a mensagem e alterar os dados de autenticao sem serdetectado. Segundo, pode ser desejvel armazenar a informao de autenticao com amensagem no destino para referncia futura. mais conveniente fazer isso se ainformao de autenticao se aplica a uma mensagem no-encriptada; doutra maneira amesnagem ter de ser reencriptada para verificar a informao de autenticao.Uma abordagem usar um bundle consistindo de um transporte AH interior SA e umtnel ESP de sada SA. Neste caso, a autenticao aplicada ao pacote payload IP mais

ao cabealho IP (e extenses) excepto para campos mutveis. O pacote IP resultante ento procesado no modo tnel pelo ESP; o resultado que o inteiro pacote interiorautenticado encriptado e um novo cabealho IP de sada (e extenses) adicionado.6.8. Quais so os papis do protocolo de determinao da chave de Oakley e ISAKMPna IPSec?6.6. GESTO E CHAVESO protocolo de defeito de hesto de chaves automatizado para IPSec referido comoISAKMP/Oakley e consiste nos seguintes elementos:- Protocolo de Determinao de Chaves de Oakley - um protocolo de troca de chaves

baseado no algoritmo Diffie-Hellman mas fornecendo segurana adicional. genricopelo que no dita formatos especficos.


31/53

- Internet Security Association and Key Management Protocol: fornece a frameworkpara a gesto de chaves Internet e fornece o protocolo especfico, incluindo formatos,para negociao de atributos de segurana.

CAPTULO 7 SEGURANA WEB

7.1. Quais so as vantagens de cada uma das 3 abordagens mostradas na figura 7.1?7.1. CONSIDERAES SOBRE SEGURANA WEBABORDAGENS SEGURANA DO TRFEGO WEBUm n variado de abordagens para fornecer segurana Web so possveis. As vriasabordagens que foram consideradas so similares nos servios que fornecem e, dealgum modo, nos mecanismos que usam, mas diferem com respeito ao seu escopo deaplicabilidade e sua localizao relativa dentro da pilha do protocolo TCP/IP.A figura 7.1. ilustra esta diferena. Uma maneira De fornecer segurana segurana web usar segurana IP. a vantagem de usar IPSec que transparente aos utilizadoresfinais aplicaes e fornece uma soluo de propsito geral. Alm disso, a IPSec incluiuma capacidade e filtragem e assim apenas o trfego seleccionado precisa de incorrer nooverhead do processamento do IPSec.Uma outra relativamente soluo de propsito geral implementar segurana apenasacima do TCP. O exemplo mais comum desta abordagem o Secure Sockets Layer(SSL) e o standard Internet conhecido por Transport Layer Security (TLS). Neste nvel,h 2 escolhas de implementao. Para generalidade completa, o SSL (ou TSL) podemser fornecidos como parte da suite de protocolo de base e assim ser transparente saplicaes. Ex: Netscape e Internet Explorer vm equipados com SSL.Servios de segurana especficos-de-aplicaes so embebidos dentro da palicao

particular. a vantagem que o servio pode ser talhado para as necessidades especficasde uma dada aplicao. No contexto da segurana web, um importante exemplo desta

abordagem o Secure Electronic Transaction (SET).7.2. Que protocolos cumpre o SSL?7.2. SSL E TSLARQUITECTURA SSLO SSl desenhado para fazer uso do TCP para fornecer um servio de segurana fim-a-fim fivel. No um protocolo nico mas antes duas camadas de protocolos.O SSL Record Protocol fornece servios de segurana bsicos para vrios protocolos decamadas mais altas. Em particular, o HTTP, o qual fornece o servio de transferncia

para uma interaco cliente/servidor, pode operar sobre o SSL. 3 protocolos de de alto-nvel so definidos como parte do SSL.- CHANGE CIPHER SPEC PROTOCOL

um dos 3 protocolos especficos-SSL que usa o SSL Record Protocol, e o maissimples. Consiste de uma mensagem nica, a qual consiste de um nico byte com ovalor 1. O nico propsito causar que o estado pendente seja copiado para o estadocorrente, o qual actualiza a suite de cifra para ser usada nesta conexo.- ALERT PROTOCOL usado para obter alertas relacionados-SSL para a entidade par. Como em outras

palicaes que usam SSL, mensagens de alerta so comprimidas e encriptadas, comoespecificado pelo estado corrente. Cada mensagem consiste em 2 bytes. O primeirotoma o valor warning (1) ou fatal (2) para dar a severidade da mensagem. Se o nvel forfatal, o SSL termina imediatamente a ligao. Outras ligaes d amesma sesso podemcontinuar, mas no so permitidas novas conexes nesta sesso. O segundo byte contm

um cdigo que indica o alerta especfico.- HANDSHAKE PROTOCOL


32/53

O mais complexo Este protocolo permite que o servidor e cliente se autentiquem enegociar um algoritmo de encriptao e MAC e chaves criptogrficas a ser usadas para

proteger os dados enviados num registo SSL. usado antes que qualquer dado deaplicao seja transmitido. Consiste de uma srie de mensagens trocadas por cliente eservidor, cada uma com 3 campos.

7.3. Qual a diferena entre uma ligao SSL e uma sesso SSL?7.2. SSL E TSLARQUITECTURA SSLLigao: um transporte (na definio do modelo de camdas OSI) que fornece um tipode servio adequado. Para o SSL, tais conexes so relaes par-a-par. Estas conexesso transientes. Todas as conexes esto associadas com uma determinada sesso.Sesso: uma associao entre um cliente e um servidor. As sesses so criadas pelo

protocolo handshake. Sesses definem um conjunto de parmetros de seguranacriptografados, os quais podem ser partilhados entre mltiplas conexes. So usadasparaevitar a cara negociao de novos parmetros de segurana para cada ligao.7.4. Liste e defina brevemente os parmetros que definem um estado de uma sesso

SSL.7.2. SSL E TSLARQUITECTURA SSL- Identificador de Sesso: uma sequncia arbitrria de bytes escolhida pelo servidor

para identificar uma sesso activa ou resumvel.- Certificado de Par: Um certificado X509.v3 do par. Pode ser nulo.- Mtodo de Compresso: o algoritmo usado para comprimir dados antes daencriptao- Chipher Spec: Especifica o algoritmo de encriptao de dados base (por ex. null,DES, etc.) e o algoritmo de hash (ex. MD5 ou SHA-1) usado para o clculo MAC.Tambm define atributos criptogrficos tais como o hash_size.- Master Secret: 48-bytes secretos partilhados entre o cliente e o servidor- Is Resumable: uma flag indicando se a sesso pode ser usada para iniciar novasligaes.7.5. Liste e defina brevemente os parmetros que definem uma conexo de sesso SSL.7.2. SSL E TSLARQUITECTURA SSLServer And Client Random: Sequncias de bytes que so escolhidas pelo servidor ecliente para cada conexo.Server Write MAC Secret: A chave secreta usada nas operaes MAC nos dadosenviados pelo servidor.

Client Write MAC Secret: A chave secreta usada nas operaes MAC nos dadosenviados pelo servidor.Server Write Key: A chave de encriptao convencional para dados encriptados peloservidor e desencriptados pelo cliente.Client Write Key: A chave de encriptao convencional para dados encriptados pelocliente e desencriptados pelo servidor.Initialization Vectors: Quando um bloco de cifra no modo CBC usado, um IV mantido para cada chave. Este campo primeiro inicializado pelo protocolo handshakedo SSL. Depois o bloco de texto cifrado final de cada registo preservado para usocomo IV com o registo seguinte.Sequence Numbers: Cada parte mantm ns de sequncia separados para mensagens

recebidas e transmitidas para cada ligao. Quando uma parte envia ou receb uma


33/53

mensagem change cipher spec, o n e sequncia apropriado setado a zero. No podemexceder o 264-17.6. Que servios so fornecidos pelo Protocolo de Registo SSL?7.2. SSL E TSLPROTOCOLO DE REGISTO SSL

- Confidencialidade: O Protocolo Handshake define uma chave secreta partilahda que usada para encr

NetworkSecurityEssentials_Resumo_Livro

Documents

Transcript of NetworkSecurityEssentials_Resumo_Livro