Autenticação – Aula 07

Profa Janniele Aparecida Soares Araujo

CSI463 – Segurança e Auditoria de Sistemas

2

Autenticação

● Questões decorrentes● Como garantir a autenticidade de quem envia a mensagem?● Como garantir a integridade do conteúdo?

● Assinatura Digital x Certificado Digital

3

Ameaças ao Ambiente Eletrônico

4

Ameaças ao Ambiente Eletrônico

5

Autenticação

● Assinatura Digital● Algumas vezes há a necessidade de se provar quem escreveu um

documento e manter as informações desse documento sem modificações

● Solução: serviços de autenticação e integridade dos dados● A autenticidade de muitos documentos é determinada pela presença

de uma Assinatura Digital

6

Autenticação

● Assinatura Digital● Item que acompanha um determinado dado e apresenta as seguintes

funções● Confirmar a origem do dado● Certificar que o dado não foi modificado● Impedir a negação da origem

7

Autenticação

● Vantagens do envio de mensagem “assinada”● O receptor poderá verificar a identidade alegada pelo transmissor● Posteriormente, o transmissor não poderá repudiar o conteúdo da

mensagem● O receptor não terá a possibilidade de forjar ele mesmo a mensagem

8

Autenticação

● Cenários de preocupações legítimas● Transferência eletrônica de fundos – o receptor aumenta a quantidade

de fundos transferidos e afirma que o valor maior chegou do emissor● E-mail com instruções para uma transação que no futuro foi um

fracasso – o emissor finge que o e-mail nunca foi enviado

9

Autenticação

● Tipos de assinatura digital● Assinaturas de Chave Pública● Resumo da mensagem (hash)

10

Autenticação

● Assinaturas de Chave Pública

11

Autenticação

● Assinaturas digitais com o uso de chave pública● Assume-se que os algoritmos de criptografia e decriptografia têm a

propriedade que:● EB(DA(P)) = P e DB(EA(P)) = P, onde DA(P) é a assinatura do texto plano P com a chave

privada DA e EA(P) é a verificação da assinatura com a chave pública EA.

12

Autenticação

● Assinaturas de Chave Pública – Problemas relacionados ao ambiente no qual operam● Bob só poderá provar que uma mensagem foi enviada por Alice

enquanto D permanecer secreta● Se Alice revelar sua chave secreta, o argumento deixará de existir -

qualquer um poderá ter enviado a mensagem

13

Autenticação

● Assinaturas de Chave Pública – Críticas● Reúnem sigilo e autenticação● Em geral, o sigilo não é necessário● Cifragem da mensagem inteira é lenta

● Solução: Resumo da mensagem (hash)

14

Autenticação

● Resumo da mensagem (hash)● Algoritmo Hash é usado quando a autenticação é necessária, mas o

sigilo não● Resumo de mensagens é um método de autenticação que não exige a

criptografia de um documento inteiro● É um método para agilizar algoritmos de assinatura digital

15

Autenticação

● Resumo da mensagem (hash)● Representante de uma mensagem maior● Verifica a integridade de dados● O método se baseia numa função hash unidirecional que extrai um

trecho qualquer do texto claro e a partir dele calcula uma string de bits de tamanho fixo

● Essa função de hash, chamada de resumo de mensagem, geralmente representada por MD (Message Digest), tem quatro propriedades

16

Autenticação

● Propriedades

1) Se P for fornecido, o cálculo de MD(P) será muito fácil.

2) Se MD(P) for fornecido, será impossível encontrar P.

3) Dado P, ninguém pode encontrar P’ tal que MD(P’) = MD(P)

4) Uma mudança na entrada de até mesmo de 1bit produz uma saída muito diferente

17

Autenticação

● Resumo da mensagem (hash)

18

Autenticação

● Resumo da mensagem (geração)● Entra-se com os dados a serem resumidos e o algoritmo (SHA –

Secure Hash Algorithm, por exemplo) gera um hash MD de 128 ou 160 bits (dependendo do algoritmo)

● Em seguida, computada uma MD, criptografa-se o hash gerado com uma chave privada do emissor

19

Autenticação

● Resumo da mensagem (verificação)

20

Autenticação

● Resumo da mensagem (verificação)

1) Executa-se a função MD (usando o mesmo algoritmo MD que foi aplicado ao documento na origem), obtendo- se um hash para aquele documento, e posteriormente, decifra-se a assinatura digital com a chave pública do emissor

2) A assinatura digital decifrada deve produzir o mesmo hash gerado pela função MD executada pelo receptor

3) Se estes valores são iguais é garantido que o documento não foi modificado após a assinatura do mesmo, caso contrário, o documento ou a assinatura, ou ambos foram modificados

21

Autenticação

● Resumo da mensagem (verificação)● A assinatura digital, como descrita no exemplo anterior, não garante a

confidencialidade da mensagem● Qualquer um poderá acessá-la e verificá-la, mesmo um intruso (Eve),

apenas utilizando a chave pública do emissor (Alice)

22

Autenticação – Assinatura Digital

● Observações importantes● A criptografia de chave simétrica fornece privacidade sobre os dados

sigilosos● A criptografia de chave pública resolve o problema da distribuição de

chaves● Resumo de mensagem assegura integridade● Uma assinatura oferece autenticação e não-repúdio

23

Autenticação – Assinatura Digital

● É importante saber que● Processo que tem como principal propósito garantir o sigilo,

integridade e autenticidade dos documentos eletrônicos e documentos envolvidos em transações eletrônicas

● Trabalha basicamente, com a captura e análise de dados biométricos (impressão digital, exame de fundo de olho, reconhecimento de fala, de locutor, etc.)

24

Autenticação – Assinatura Digital

● Assinatura digital é suficiente para garantir a segurança?

25

Autenticação – Assinatura Digital

● Assinatura digital é suficiente?● As assinaturas digitais, por si só, servem muito bem à verificação de

uma quantidade limitada de pessoas, com as quais você está familiarizado.

● E se você receber uma mensagem de alguém que você não conheça ou de uma empresa desconhecida?

● Qualquer pessoa pode obter um par de chaves e assinar uma mensagem, mas esta poderia estar se fazendo passar por outra.

26

Autenticação – Certificado Digitais

● Justificativa● É necessário que o usuário tenha certeza de que a chave pública que

está utilizando é autêntica● Pequeno grupo – poderia trocar as chaves públicas e guardá-las de

forma segura● Grande grupo – troca manual de chave é impraticável

27

Autenticação – Certificado Digitais

● Certificado Digital● Arquivo digital que contém as informações necessárias à identificação

de um indivíduo ou programa, equipamento, componente, produto, etc, incluindo sua chave pública

● Principal função de um certificado● Vincular uma chave pública ao nome de um protagonista (indivíduo,

empresa, etc.)● Os certificados em si não são secretos ou protegidos. Usualmente

estão disponíveis em uma base de acesso livre na Internet

28

Autenticação – Certificado Digitais

● Funcionamento● Autoridade Certificadora (AC)

● Entidade que emite certificados para possuidores de chaves públicas e privadas (pessoa, dispositivo, servidor)

● Autoridades de Registro (AR)● São as responsáveis pelo processo final na cadeia de Certificação Digital,

responsáveis por atender os interessados em adquirir certificados, coletar os documentos para encaminhá-los às ACs, responsáveis pela emissão

29

Autenticação – Certificado Digitais

● Funcionamento

30

Autenticação – Certificado Digitais

● Funcionamento● Atribuições de uma CA

● Gerar, entregar e armazenar a chave privada de forma segura● Distribuir a chave pública● Atualizar o par de chaves● Assinar a chave pública para gerar o certificado (ssinando certificados digitais, a CA

garante sua validade)● Manter e divulgar uma lista com os certificados revogados (Certificate Revocation

List – CRL)

● Exemplos de CAs: VeriSign, Cybertrust e Nortel

31

Autenticação – Certificado Digitais

● Funcionamento● Período de validade e revogação

● Os certificados definem períodos de validade para as chaves públicas● Certificados podem ser revogados antes de sua expiração

● Suspeita de corrupção da chave pública● Término de contrato● Mudança de nome

32

Autenticação – Certificado Digitais● Funcionamento

33

Autenticação – Certificado Digitais

● Funcionamento● Componentes básicos de um certificado digital

● A chave pública● Nome e endereço de e-mail● Data da validade da chave pública● Nome da autoridade certificadora (CA)● Número de série do Certificado Digital● Assinatura Digital da Autoridade Certificadora

34

Autenticação – Certificado Digitais

● Funcionamento● Para que serve um Certificado Digital?

● Correio Eletrônico seguro● Transações Bancárias sem repúdio● Compras pela Internet sem repúdio● Consultas confidenciais a cadastros● Arquivo de documentos legais digitalizados● Transmissão de documentos● Contratos digitais● Certificação de Equipamentos● Certificação de Programas de Computador

35

Autenticação – Certificado Digitais

● Tipos de Certificados● Certificados de CA: utilizados para validar outros certificados;

autoassinados ou assinados por outra CA● Certificados de servidor: utilizados para identificar um servidor

seguro; contém o nome da organização e o nome DNS do servidor● Certificados pessoais: contém nome do portador e, eventualmente,

informações como endereço eletrônico, endereço postal, etc● Certificados de desenvolvedores de software: utilizados para validar

assinaturas associadas a programas

36

Autenticação – Certificado Digitais

● Exemplos de uso● PROUNI – O sistema é acessado pela instituição de ensino superior por

meio de certificado digital, além disso, a Certificação Digital é exigida na tramitação de informações com as instituições de ensino

● Sisbacen – Sistema do Banco Central do Brasil. A certificação digital é utilizada na autenticação de remessa de informações das empresas com capital estrangeiro para o Banco Central

● Outros exemplos:● http://www.beneficioscd.com.br/cartilha_online/?pagina=ap01

37

Autenticação – Certificado Digitais

● ICP Brasil● O Instituto Nacional de Tecnologia da Informação - ITI é um órgão

federal vinculada à Casa Civil da Presidência da República● O ITI é a Autoridade Certificadora Raiz - AC Raiz da Infraestrutura de

Chaves Públicas Brasileira – ICP-Brasil ● Possui o papel de credenciar e descredenciar os demais participantes

da cadeia, supervisionar e fazer auditoria dos processos

38

Autenticação – Certificado Digitais

● ICP Brasil● Qualquer instituição pode criar uma ICP, independente de seu porte● Por exemplo, se uma empresa criou uma política de uso de

certificados digitais para a troca de informações entre a matriz e sua filiais, não vai ser necessário pedir tais certificados a uma AC controlada pela ICP-Brasil

● A própria empresa pode criar sua ICP e fazer com que um departamento das filiais atue como AC ou AR, solicitando ou emitindo certificados para seus funcionários

39

Autenticação – Aplicações

● Correio eletrônico● Utilização

● Autenticação de origem● Integridade do conteúdo● Confidencialidade● Não-repúdio

● Protocolos● PEM (Public Enhanced Mail)● Security Multiparts for MIME/MOSS (Mime Object Security Services)● S/MIME (Secure/Multipurpose Internet Mail Extensions)● PGP (Pretty Good Privacy)

40

Autenticação – Aplicações

● WEB● Utilização

● Autenticação do servidor● Autenticação do cliente● Integridade de conteúdo● Confidencialidade

● Protocolos● SSL (Secure Socket Layer)● Secure HTTP (Secure HyperText Transfer Protocol)● Kerberos (protocolo de autenticação)

41

Autenticação – Aplicações

● WEB● SSL (Secure Socket Layer)

● Protocolo para criptografia e autenticação baseado em sessão● Fornece um canal seguro entre cliente e servidor● Funciona na camada de transporte● Certificados SSL são muito usados na web

42

Autenticação – Aplicações

● WEB● SSL (Secure Socket Layer)

43

Bibliografia básica

● NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec

● Stallings, William. Criptografia e Segurança de Redes - Princípios e Práticas. 4a edição. Prentice-Hall

● LIMA, Helen .C.S. Notas de aula. Segurança e auditoria de sistemas. Universidade Federal de Ouro Preto