Auxilio a Resolução da Lista de Exercícios

Exercício 5 ALGORITIMO CARACTERISTICAS

Criptografia Assimétrica

• Algoritmo de Chave Pública • Duas chaves: chave privada e chave pública • Segurança unidirecional: criptografar com a chave pública e decifrar com a

chave privada • Espaço de chaves (usa números primos) <<< 2N (chaves de 1024 a 2048)

• Exemplo: RSA

Criptografia Simétrica

• Algoritmo de chave secreta • Uma chave compartilhada entre dois computadores • Segurança Bidirecional • Espaço de chaves = 2N (chaves de 128 a 256 bits)

• Exemplo: DES, RC2, RC4, AES

Hashing

• Gera um Digest (Cógido de tamanho fixo) único para mensagens de qualquer tamanho (one-way-hash)

• Usado para integridade • Exemplo: SHA, MD5

Assinatura Digital

• Digest criptografado com uma chave privada • Integridade e Autenticação • Exemplos: RSA+SHA, RSA+MD5, SHA-HMAC, MD5-HMAC

Exercício 6: Modo CBC

• O Metodo CBC torna a criptografia de um bloco dependente do bloco anterior.

DADOS

BLOCO 64 bits

CRIPTOGRAFIA

BLOCO 64 bits (cipher text)

BLOCO 64 bits

CRIPTOGRAFIA

BLOCO 64 bits (cipher text)

XOR

BLOCO 64 bits

CRIPTOGRAFIA

BLOCO 64 bits (cipher text)

XOR

Exercício 7

FASE OFF LINE

1. O servidor gera um par de chaves (pública e privada) 2. O servidor gera um CSR (Certificate Server Request) que contem a CHAVE

PUBLICA DO SERVIDOR + sua identificação 3. O servidor envia o CSR para a CA (Autoridade Certificadora) 4. A CA gera o certificado digital assinado o CSR com a CHAVE PRIVADA DA CA

FASE ON LINE

1. O servidor envia o certificado digital para o cliente 2. O cliente valida o certificado digital usando CHAVE PUBLICA DA CA 3. O cliente gera uma chave simétrica aleatória (também chamada de CHAVE

SECRETA ou CHAVE DE SESSÃO) 4. O cliente envia a chave secreta criptografada com a CHAVE PUBLICA DO

SERVIDOR para o servidor 5. O servidor decifra a chave do cliente usando a CHAVE PRIVADA DO

SERVIDOR 6. A transmissão de dados entre o cliente e os servidor ocorrer usando a CHAVE

SECRETA

Exercício 8

Internet

cliente

servidor MAC Roteador

MAC Cliente – MAC Roteador – IP Cliente – IP Servidor - 1023 -443 – HTTP/DADOS - FCS

>1023 >443

Exercício 9

• VPN Camada 2

– Pode transportar vários tipos e protocolo de rede dentro do IP (IPx, NETBEUI, IP)

– PPTP: faz autenticação e criptografia

– L2TP: faz apenas autenticação

– IPSEC/L2TP: faz autenticação e criptografia

• VPN Camada 3

– Pode transportar apenas outro pacote IP em seu interior

– IPsec em modo Túnel

Exercício 9

FISICA

ENLACE

REDE

TRANSPORTE

APLICAÇÃO

FISICA

ENLACE

REDE

SSL

APLICAÇÃO

FISICA

ENLACE

REDE (IP)

TRANSPORTE

APLICAÇÃO

FISICA

ENLACE

REDE)

TRANSPORTE

APLICAÇÃO

TRANSPORTE

REDE IP

(TUNEL)

REDE IP

(TUNEL)

ENLACE PPP

Aplicação

S.O.

Placa de

Rede

Pilha

Normal SSL

Tunelamento

Camada 3

Tunelamento

Camada 2

Exercícios 10 a 14 • IP Autentication Header (AH)

– Autenticação e Integridade • IP Encapsulating Security Payload (ESP)

– Confidencialidade, Autenticação e Integridade

• Modo Tranporte – Protege o pacote sem tunelamento

– Acrescenta os campos de segurança no pacote IP original

• Mode Túnel – Protege o pacote com tunelamento

– Encapsula o pacote IP original em outro pacote IP que contém os campos de segurança.

Estrutura Geral do IPsec

Enlace

IP/IPsec(AH,ESP)

Transporte (TCP/UDP)

Sockets

Protocolo Aplicação

Aplicação IKE

Base de SAs

Base de Políticas

consulta refere

consulta

Administrador

configura

Solicita criação do SA

SA: Associação de Segurança (par de chave secretas entre dois computadores)

SA = Associação de Segurança • IKE: (Internet Key Exchange):

– negocia automaticamente um par de chaves secretas entre dois computadores usando IPsec (estabelece uma SA - Associacao de Seguranca)

• SPI (Secure Parameter Index) – Identifica a associação de segurança para a conexão segura

• Sequence Number: – Numero incremental, que começa a contagem quando o SA é criada.

Host A Host B

negociam SA e definem SPI

SPI=deAparaB e SN=1

SPI=deAparaB e SN=2

...

SPI=deBparaA SPI=daAparaB.

SPI=deAparaB SPI=deBparaA

SPI=deBparaA e SN=1

AH (Authentication Header)

IP TCP/UDP DADOS

IP TCP/UDP DADOS AH

IP TCP/UDP DADOS AH IP

IPv4

IPv4 com autenticação

IPv4 com autenticação e tunelamento

Especifica os Gateways nas Pontas do Tunnel

Especifica os Computadores

IP Normal

Modo Transporte

Modo Tunel

AH Modo Tunel e Transporte

SA

Internet

SA

SA Internet SA

Conexão IPsec em modo Túnel

IPsec AH IPsec AH IPsec AH IPsec AH IPsec AH

Conexão IPsec em modo Transporte

IPsec AH IPsec AH IPsec AH

IP

IP

IP

IP

ESP: Encryption Security Payload

TCP

UDP

DADOS

ESP

HEADER

ESP

TRAILER

ESP

AUTH

criptografado

autenticado

TCP

UDP

DADOS

IP

IP

TCP

UDP

DADOS

ESP

HEADER

ESP

TRAILER

ESP

AUTH

criptografado

autenticado

IP

IP

MODO TRANSPORTE

MODO TUNNEL

ESP Modo Tunel e Transporte

SA

INTERNET

SA

SA INTERNET SA

Conexão IPsec em modo Túnel

IPsec ESP IPsec ESP IPsec ESP IPsec ESP IPsec ESP

Conexão IPsec em modo Transporte

IPsec ESP IPsec ESP IPsec ESP

IP

IP

IP

IP

Respostas EXERCICIO 11: AH 1) b - a - 192.168.0.2 - 192.168.1.2 - AH - tcp/udp - dados 2) c - e - igual 3) g - f - igual EXERCICIO 12: ESP 1) b - a - 192.168.0.2 - 192.168.1.2 - ESPH - tcp/udp - dados - ESPT - ESPA 2) c - e - igual 3) g - f - igual EXERCICIO 13: AH 1) b - a - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados 2) e - c - 200.0.1.1 - 200.0.1.3 - AH - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados 3) b - a - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados EXERCICIO 14: ESP 1) b - a - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados 2) e - c - 200.0.1.1 - 200.0.1.3 - ESPH - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados - ESPT - ESPA 3) b - a - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados