Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Serviços de Comunicações
1
Módulo 6 – Segurança e Privacidade
6.1. A segurança nas redes informáticas
6.2. Soluções de segurança
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
2
6.1. Segurança e Privacidade
● Anos 50 (início da era informática)
● Número reduzido de computadores
● Número limitado de pessoas com acesso
● Computadores usados principalmente para tratar informação confidencial
● Ameaça: espionagem e invasão da privacidade
● Segurança informática <-> segurança da informação
● Proliferação das redes (partilha da informação e de recursos computacionais)
● Necessidade de sistemas operativos seguros
● Ao roubo de informação acrescenta-se o manter a integridade da informação
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
3
6.1. Segurança e Privacidade
● Conceitos:
● Integridade
● Existe quando os dados não podem ser modificados sem que tal seja detectado
● Confidencialidade:
● Só o expedidor e o destinatário é que conhecem o conteúdo das mensagens entre eles trocadas
● Autenticação
● O expedidor e o destinatário são quem dizem ser
● Controlo de acesso
● Processo concebido para que as entidades autenticadas apenas possam aceder ao que devem poder aceder
● Disponibilidade
● Possibilidade de comunicação
● Não repudiação
● Existe quando uma das partes não pode negar ter recebido ou acedido a algo da outra
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
4
6.1. Segurança e Privacidade
● Definições de segurança informática:
● Impedir que alguém ou algo faça algo que não queremos a ou a partir de computadores ou outros dispositivos periféricos
● Um computador é seguro se podemos depender dele e o seu software se comporta como é esperado (confiança)
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
5
6.1. Segurança e Privacidade
● Definição do CERT/CC (www.cert.org):
● Segurança informática é impedir os agressores de alcançar os seus objectivos
através do acesso não autorizado, ou do uso não autorizado de computadores
ou de redes de computadores
● Exclui:
● Roubo do equipamento
● Ameaças ambientais
● Questões de software, a não ser que possam ser aproveitadas para fornecer
acesso ou uso não autorizado
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
6
6.1. Segurança e Privacidade
● Alvos – Proteger o quê?
● Processos que estão a ser executados em computadores
● Informação armazenada nos computadores
● Informação em trânsito nas redes
●Agentes agressores e motivações – proteger de quem?
● Hackers -> desafio, notoriedade
● Espiões -> benefícios políticos
● Terroristas -> benefícios políticos
● Criminosos -> benefícios financeiros
● Vândalos -> danos
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
7
6.1. Segurança e Privacidade
● O acesso não autorizado consiste na exploração de Vulnerabilidades:
● Vulnerabilidade de implementação (bug de software)
● Vulnerabilidade de concepção
● Vulnerabilidade de configuração
● Principais objectivos:
● Corrupção da informação
● Divulgação da informação
● Roubo de serviço
● Rejeição de serviço (denial of service)
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
8
6.1. Segurança e Privacidade
● Escuta da rede: obtenção de acesso a dados ou passwords
● Disfarce: para obtenção de acesso não
autorizado a dados ou criação não autorizada
de e-mails, etc
● Rejeição de serviço (Denial-of-service):
tornar recursos de rede não funcionais
● Resposta a mensagens: obter acesso a
informação em trânsito e alterá-la
● Problemas de segurança mais comuns, nas redes informáticas:
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
9
6.1. Segurança e Privacidade
● Problemas de segurança mais comuns, nas redes informáticas (cont.):
● Obtenção indevida de passwords: para ter acesso a informação e serviços
que normalmente seriam negados
● Obtenção indevida de chaves: para ter acesso a dados e passwords cifrados
(ataques de força bruta)
● Vírus: para destruição de dados
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
10
6.1. Segurança e Privacidade
● Com o mesmo zelo com que os intrusos procuram formas de entrar em redes informáticas, os administradores destas redes devem tentar protege-las
● Pegando nalgumas vulnerabilidades, existe um conjunto de soluções, que
defendem as redes contra esses ataques
● De notar que cada uma destas soluções resolve apenas um ou um número
limitado destes problemas
● Apenas uma combinação das soluções propostas pode ser considerada para
garantir algum nível de segurança
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
11
6.1. Segurança e Privacidade
● Principais soluções para problemas/vulnerabilidades:
● Como prevenir “escutas da rede”?
● Cifragem de mensagens, usando tipicamente uma chave secreta partilhada
● Como distribuir chaves de forma segura?
● Usando uma técnica de cifragem diferente, tipicamente de chaves publicas/privadas
● Como prevenir o “envelhecimento” das chaves e a dedução de futuras chaves pela descoberta das actuais?
● Refrescar chaves com frequência, e não derivar novas chaves a partir das antigas
● Como ter a certeza que uma mensagem não foi alterada em trânsito?
● Usando sumários de mensagens (funções de hash ou funções one-way)
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
12
6.1. Segurança e Privacidade
● Principais soluções para problemas/vulnerabilidades:
● Como ter a certeza que o sumário de uma mensagem (message digest) não foi comprometido?
● Usando assinaturas digitais para cifragem do sumário com chave secreta ou privada
● Como ter a certeza que a mensagem e a assinatura tiveram origem no agente correcto?
● Usando two-way handshakes envolvendo números aleatórios cifrados (autenticação mútua)
● Como ter a certeza que as handshakes são trocadas entre os agentes certos (man-in-the-middle attack)?
● Usando certificados digitais (associando chaves públicas a entidades fixas)
● Como prevenir uso impróprio de serviços por utilizadores não correctamente autenticados?
● Usando modelos de controlo de acesso multi-layer
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
13
6.1. Segurança e Privacidade
● Principais soluções para problemas/vulnerabilidades:
● Como realizar protecção contra vírus?
● Restringindo o acesso a fontes exteriores; correr software antivírus (devidamente actualizado)
● Como obter protecção contra mensagens não solicitadas ou maliciosas?
● Restringindo o acesso à rede interna, usando filtros, firewalls
● Como obter protecção contra ataques de negação de serviço?
● Usando dissimulação de endereços
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
14
6.2. Segurança e Privacidade – Tecnologias e Protocolos
●Network Address Translation (NAT)
● IP filtering
● Firewalls
● IP Security Architecture (IPSec)
● Secure Sockets Layer (SSL)
● Proxies Aplicacionais
● Cifragem dos Dados
● ...
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
15
6.2. Segurança e Privacidade – NAT
● NAT – Network Address Translation (RFC 3022) surgiu como uma solução de recurso para o problema da exaustão do espaço de endereçamento, verificado àalguns anos atrás
● Escassez de endereços IP’s
● Pequenas/médias empresas (também utilizadores domésticos) com ligação ADSL (ou cabo), querem IP’s para as suas máquinas
● Cada um pode ter mais do que uma máquina por trás
● Faz a tradução de endereços privados para um endereço válido, permitindo assim o acesso à Internet
● Este mecanismo é completamente transparente para os hosts e para as aplicações
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
16
6.2. Segurança e Privacidade – NAT
● Endereços privados não são permitidos na Internet
● Routers não fazem routing destes IP’s
● 10.0.0.0 – 10.255.255.255
● 172.16.0.0 – 172.31.255.255
● 192.168.0.0 - 192.168.255.255
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
17
6.2. Exemplo – NAT
Engenharia Informática ESTiG/IPB
18
NAT - TerminologiaServiços de Comunicações
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
19
6.2. NAT - Notas Cisco
● Global – endereços que são vistos na rede externa
● Local – endereços que são vistos na rede interna
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
20
● Inside local address – endereço IP de uma máquina na rede interna. É o endereço alocado/definido na configuração de rede de um máquina interna
● Inside global address – endereço IP legítimo que representa um ou mais endereços IPs inside local para o exterior
● Outside local address – endereço IP de uma máquina exterior como é visto na rede interna, não necessariamente legítimo. É um endereço “roteável” internamente
● Outside global address – endereço IP de uma máquina na rede externa que églobalmente “roteável”
Engenharia Informática ESTiG/IPB
6.2. NAT - Notas Cisco
Serviços de Comunicações
21
● Inside Local – endereço interno à rede que será traduzido
● Inside Global – endereço IP de um máquina da rede interna como é visto no exterior (após a tradução)
Engenharia Informática ESTiG/IPB
6.2. NAT - Notas Cisco
22
NAT – Tipos de Mapeamento
● Static NAT:
● Na sua forma mais simples, o NAT traduz apenas endereços IP privados para
endereços IP públicos
● Tabela construída administrativamente
● Tradução estática e permanente, numa relação de um-para-um
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
23
NAT – Exemplo Cisco
● Static NAT:
● ip nat inside source static 10.10.10.1 171.16.68.5
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
24
NAT – Exemplo Cisco
● Static NAT:
● ip nat outside source static 171.16.68.1 10.10.10.5
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
25
NAT – Exemplo Cisco
● Static NAT:
● ip nat inside source static 10.10.10.1 171.16.68.5
● ip nat outside source static 171.16.68.1 10.10.10.5
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
26
NAT – Modos de Operação
● NAT Overlapping (Twice NAT):
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
27
NAT – Tipos de Mapeamento
● Dynamic NAT:
● Mapeamento dinâmico de um endereço privado para um endereço público, a
partir de uma pool de endereços públicos disponíveis
● criação dinâmica baseada nos pacotes que saem
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
28
NAT – Modos de Operação
● NAT Unidireccional (Outbound):
● Tradução de endereços no sentido do exterior
● Conexões sempre iniciadas no interior
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
29
NAT – Modos de Operação
● NAT Bi-direccional (Two-way/Inbound):
● Conexões podem ser iniciadas em qualquer dos lados
● Problema: endereços privados no lado Inside
● Existem duas soluções:
● Mapeamento estático de dispositivos na rede interna (p.e. Servidores) para
um endereço público
● Redireccionamento de portas usando PAT estático
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
30
NAT – Modos de Operação
● NAT Bi-direccional (Two-way/Inbound):
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
31
PAT – Port Address Translation (ou NAT-PT)
● Utilização das portas da camada TCP ou UDP para multiplexagem de endereços
● sport e dport definem os processos nos 2 extremos (IP dá a máquina)
● O novo sport é usado como index para a tradução sendo único na caixa NAT
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
32
NAT – Modos de Operação
● NAT-PT ou Overloaded NAT
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
33
6.2. Segurança e Privacidade – IP Filtering
● Filtragem de pacotes: normalmente efectuada no Encaminhador de fronteira da organização com o exterior
● Análise do cabeçalho dos pacotes e posterior tomada de decisões (pacote
reencaminhado ou descartado) de acordo com as regras de filtragem definidas
● Endereço IP de Origem
● Endereço IP de destino
● Porto TCP/UDP de origem
● Porto TCP/UDP de destino
● Tipos de mensagens ICMP
● Informação de protocolos encapsulados (TCP, UDP, ICMP ou túneis IP)
Engenharia Informática ESTiG/IPB
34
Segurança e Privacidade – IP Filtering
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
35
6.2. Segurança e Privacidade – Firewall
● O mecanismo primário da firewall é a filtragem de pacotes
● Para ser segura, a firewall precisa três sistemas:
● Filtro de pacotes 1: para pacotes vindos da Internet
● Filtro de pacotes 2: para pacotes saindo da intranet
● Computador seguro na firewall executando as aplicações
● Os routers firewall executam os filtros e encaminham os pacotes para o computador seguro
● O computador seguro executa proxies de aplicações
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
36
6.2. Segurança e Privacidade – Firewall
● Exemplos de firewalls:
● Firewall de filtragem de pacotes • Screened subnet
● Dual firewalls
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
37
6.2. Segurança e Privacidade – IP Sec
● Arquitectura IP Sec: framework que tem por objectivo introduzir mecanismos de segurança, ao nível da camada de rede da arquitectura TCP/IP
● Componentes principais:
● Authentication Header (AH)
● O cabeçalho AH é usado para fornecer verificação de integridade e
autenticação a datagramas IP
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
38
6.2. Segurança e Privacidade – IP Sec
● Componentes principais (cont.):
● Encapsulating Security Payload (ESP)
● O ESP é usado para fornecer verificação de integridade, autenticação e
cifragem aos datagramas IP, além de protecção opcional nas respostas
Engenharia Informática ESTiG/IPB
39
Segurança e Privacidade – IP Sec
● Protecção oferecida pelo IPSec:
● Privacidade, com cifragem dos dados
● Manutenção da integridade dos pacotes, para assegurar que não são alterados
no percurso até ao destino
● Protecção contra alguns tipos de ataques, como ataques de repetição
● Capacidade dos dispositivos negociarem os algoritmos de segurança
● Dois modos de funcionamento: Túnel e Transporte
Comunicações por Computador II
Engenharia Informática ESTiG/IPB
40
Segurança e Privacidade – IP Sec
● Modo de transporte:
● o datagrama IP original é examinado, sendo depois inserido o cabeçalho a
seguir ao cabeçalho IP
● é usado apenas pelos hosts, não pelos gateways
● vantagem: introduz pouco overhead
● desvantagem: o cabeçalho IP não é autenticado (nem cifrado no caso do ESP)
Comunicações por Computador II
Engenharia Informática ESTiG/IPB
41
Segurança e Privacidade – IP Sec
● Modo de túnel:
● é construído um novo datagrama, que encapsula o original, e ao qual é aplicado de seguida o Modo de Transporte
● como o datagrama original se transforma no Payload do novo pacote, a protecção do primeiro é total, se forem seleccionadas a cifragem e a autenticação
● no entanto, o cabeçalho do novo datagrama não é protegido
● é usado sempre que uma parte da Security Association (SA) é um gateway
● entre duas firewalls é sempre usado este modo
Comunicações por Computador II
Engenharia Informática ESTiG/IPB
42
Segurança e Privacidade – VPN
● VPN - Redes privadas virtuais
● Uma organização em sítios geográficos distantes pode optar por construir a sua
rede privada (segura):
● Alugando circuitos digitais (linhas) ponto a ponto ou
● Estabelecendo circuitos virtuais sobre acessos internet locais
Comunicações por Computador II
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
43
6.2. Segurança e Privacidade – SSL
● SSL – Security Sockets Layer: protocolo de segurança desenvolvido pela NetscapeCommunications Corporation, conjuntamente com a RSA Data Security, Inc
● Objectivo base:
● fornecer um canal privado de comunicação entre aplicações, que assegure privacidade dos dados, autenticação das partes e integridade
● fornece uma alternativa à API de sockets TCP/IP, com possibilidade de implementação de mecanismos de segurança
● é usado principalmente em conexões HTTP
● é composto por dois níveis:
● no nível mais baixo é usado um protocolo para a transferência dos dados usando uma variedade de cifras pré-definidas e de combinações de autenticação – SSL Record Protocol
● no nível mais alto é usado um protocolo para a autenticação inicial e transferência das chaves de cifragem – SSL Handshake Protocol
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
44
6.2. Segurança e Privacidade – SSL
● Uma sessão SSL é inicializada da seguinte forma:
● o cliente (browser), o utilizador solicita um documento a um servidor que suporta SSL (utilizando no URL https, em vez de http)
● é reconhecido um pedido SSL, pelo cliente, estabelecendo de seguida uma conexão com o servidor, através do porto TCP 443 deste
● o cliente inicia então a fase de SSL Handshake, usando o SSL RecordProtocol para o transporte da informação
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
45
6.2. Segurança e Privacidade – SSL
● O SSL Handshake Protocolpermite ao cliente e servidor determinar os parâmetros requeridos, para uma conexão SSL:
● Versão do protocolo
● Algoritmos criptográficos
● Autenticação opcional do cliente ou do servidor
● Métodos de cifragem de chave pública, para geração das chaves secretas partilhadas
● Comparativamente com uma conexão HTTP normal, a inicialização de uma sessão SSL introduz overhead adicional bastante significativo
Engenharia Informática ESTiG/IPB
Processo de SSL Handshake
Serviços de Comunicações
46
6.2. Segurança e Privacidade – Criptografia
● Criptografia: ciência que permite manter os dados e as comunicações seguras
● Objectivo base da criptografia: garantir comunicação segura entre agentes, em
ambiente hostil
● Para isso acontecer são usadas técnicas, como a cifragem, decifragem e
autenticação
● Qualquer processo que efectua transformação de dados baseada em métodos
que são difíceis de reverter, é considerado criptografia
● O factor chave da criptografia forte é a dificuldade de utilização de engenharia
inversa (reverse engineering)
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
47
6.2. Segurança e Privacidade – Criptografia
● Cifragem: transformação de mensagens em claro para uma forma não legível, com o objectivo de esconder o seu conteúdo
● Decifragem: transformação oposta à cifragem, que devolve o texto em claro
● A função matemática usada na cifragem e decifragem tem o nome de cifra
● Uma cifra utiliza um protocolo criptográfico
● Existem actualmente duas grandes classes de cifras:
● Cifras Simétricas ou de Chave Privada
● Cifras Assimétricas ou de Chave Pública
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
48
6.2. Segurança e Privacidade – Criptografia
● Cifras Simétricas ou de chave privada:
● a mesma chave é usada para cifrar e para decifrar
● DES – Data Encryption Standard – 56 bits
● IDEA – International Data Encryption Algoritm – 128 bits
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
49
6.2. Segurança e Privacidade – Criptografia
● Cifras simétricas:
● Numa comunicação entre dois agentes, a chave deve ser mantida confidencial em ambos os extremos
● Numa comunidade de N agentes cada par de agentes necessita de uma chave própria; são necessários globalmente N x (N – 1) chaves distintas; cada agente, individualmente, tem de garantir o segredo para (N – 1) dessas chaves
● Numa comunicação entre dois agentes é possível (recomendável) alterar a chave frequentemente
● Possivelmente uma chave só deve ser usada numa única comunicação; nesse caso chama-se uma chave de sessão
● As cifras simétricas são, computacionalmente, extremamente eficientes e a sua segurança pode ser garantida com chaves substancialmente menores do que as usadas nas cifras assimétricas
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
50
6.2. Segurança e Privacidade – Criptografia
● Cifras Assimétricas ou de chave pública:
● a cifragem e a decifragem usam chaves distintas
● A chave pública, como o próprio nome indica, é conhecida por toda a gente
● A chave privada é mantida em segredo pelo seu dono
● RSA
● Diffie-Hellman
● El Gamal
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
51
6.2. Segurança e Privacidade – Criptografia
● Cifras Assimétricas:
● Só a chave privada precisa de ser mantida confidencial
● A gestão das chaves públicas de uma comunidade de N agentes pode ser feita numa base de dados aberta, requerendo apenas a certificação das chaves por um agente de confiança (“trusted agent”) - cada agente individualmente só se tem de preocupar com a gestão de um única chave: a sua chave privada
● O tamanho das chaves, a complexidade dos algoritmos, a complexidade de criação das chaves são sempre superiores aos parâmetros equivalentes nas cifras simétricas
● Não é fácil alterar um par de chave pública e privada; estas chaves tendem a ser chaves de longa duração
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
52
6.2. Segurança e Privacidade – Criptografia
● Funções de Hash: (também conhecidas como message digests) são fundamentais na criptografia, possibilitando a implementação de mecanismos de assinaturas digitais
● São funções que recebem dados de tamanho variável e
produzem dados de saída com um tamanho fixo
● Estes dados de saída podem ser vistos como uma
impressão digital (fingerprint) dos dados originais
● Se o resultado da aplicação de uma função de hash a
duas mensagens condizer, temos elevada certeza de que
essas mensagens são a mesma
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
53
6.2. Segurança e Privacidade – Criptografia
● Estas funções são usadas essencialmente em técnicas de verificação da integridade e de autenticação:
● O emissor calcula a hash da
mensagem e acrescenta-a à
mensagem a enviar
● O receptor calcula a hash da
mensagem recebida e compara-a com
a hash que lhe foi enviada
● Se as hashes forem iguais, então a
mensagem não foi alterada
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
54
6.2. Segurança e Privacidade – Criptografia
● A verificação de integridade e de autenticidade já é fornecida pela cifragem
● No entanto, muitas vezes apenas precisamos de assegurar a integridade e/ou a
autenticação, não necessitando da cifragem da totalidade dos dados a transmitir
● Como a cifragem consome muitos recursos computacionais, com as Funções
de Hash garantimos a Integridade/Autenticação com menos recursos
● A cifragem de uma Hash com a chave privada dá origem a uma Assinatura
Digital
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
55
6.2. Segurança e Privacidade – Criptografia
● A cifragem de chaves secretas com a chave pública denomina-se Envelope Digital
● Esta técnica é usada habitualmente para efectuar distribuição de chaves
secretas para algoritmos simétricos
● Principais exemplos de Funções de Hash:
● MD5 – 128 bits
● SHA-1 (Secure Hash Algoritm 1) – 160 bits
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
56
6.2. Segurança e Privacidade – Certificados Digitais
● Com criptografia de chave pública as partes de uma conversação partilham entre si as respectivas chaves públicas
● Se um intruso consegue alterar uma chave pública com a sua ou outra chave
pública (ataque man-in-the-midle), pode aceder a informação confidencial
● Um intruso pode ainda fazer-se passar por outro e conseguir assim acesso a
informação que de outra forma não lhe estaria acessível
● A solução para estas ameaças de segurança são os Certificados Digitais
● Um certificado digital associa uma identidade a uma chave pública
● Para se garantir a confiança nestes certificados, os mesmos devem ser validados
por uma Autoridade de Certificação - CA (Certification Authority)
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
57
6.2. Segurança e Privacidade – Certificados Digitais
● Um certificado digital é assinado com a chave privada de uma autoridade de certificação, logo pode ser autenticado
● Esta assinatura é efectuada depois da verificação do pretendente ao certificado
● Além da chave pública e da identificação, contém ainda outras informações:
● Data de Emissão
● Data de Fim de Validade
● Informação variada do CA
● Com os certificados digitais, as partes têm confiança nas chaves públicas dos
donos desses certificados, já que a sua autenticidade é garantida por uma
terceira entidade de confiança
● Protocolos ISO X.509: Standard internacional para certificados digitais
Engenharia Informática ESTiG/IPB