FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Criptografia de chave pblica e autenticao Sumrio Aplicaes, Vantagens, Desvantagens Diffie-Hellman Raiz Primitiva, Logaritmos discretos Algoritmo RSA Criptografia, Exemplos Assinaturas Digitais Certificados Algoritmos HASH
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Criptografia de chave pblica e autenticao Aplicaes Privacidade, Autenticao: RSA, Curva Elptica Intercmbio de chave secreta: Diffie-Hellman Assinatura digital: DSS (DSA) Vantagens No partilha segredos Prev autenticao Escalvel
Mod.AFTEBI.P-052.rev02
FORMAO TECNOLGICA
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Criptografia de chave pblica e autenticao Desvantagens Lenta (computacionalmente intensiva) Requer autoridade de certificao (chave pblica segura)
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Diffie-Hellman um mtodo para troca segura de chaves. Inventado em 1976. Tem como objectivo: permitir a troca de chaves entre duas entidades remotas atravs de um meio de comunicao no segura. baseado na operao de logaritmos discretos.
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Raiz Primitiva O logaritmo discreto uma funo unidirecional baseado na raiz primitiva Raized primitivas de um nmero primo p, so potncias por todos os inteiros de 1 a p-1 Se a uma raiz primitiva de p, ento: a mod p, a^2 mod p, a^p-1 mod p so distintos e e consistem em inteiros de 1 a p-1.
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Logaritmos Discretos Para um inteiro b uma raiz primitiva a de um nmero primo p possivel encontrar um expoente i tal que: b= a^i mod p, onde 0 <= i <= (p-1) O expoente i chamado logaritmo discreto de b na base a mod p. Dado a, i e p, facil calcular b Dado, a, b e p, difcil calcular i.
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo Diffie-Hellman O algoritmo gera a mesma senha para dois usurios distintos (Alice e Bruno), dado p primo e uma raiz primitiva de p:
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Exemplo Diffie-Hellman
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Exemplo Diffie-Hellman - Concluso Diffie-Hellman uma tcnica muito usada para troca de chaves SSL (Secure Socket Layer) e PGP (Pretty Good Privacy) eficiente No entanto, est sujeito ao ataque man inthe middle na troca de valores pblics Y. Segurana do Diffie-Hellman: Criptoanlise: conhecios q,a e Y, preciso calcular o log discreto para obter X (nada fcil).
Mod.AFTEBI.P-052.rev02
FORMAO TECNOLGICA
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo RSA O algoritmo RSA foi desenvolvido em 1977 pelo Ron Rivest, Adi Shamir e Len Adleman RSA um algoritmo de chave pblica baseado em logaritmos discretos As senhas so geradas com base em dois nmeros primos grandes (mais de 100 dgitos) A segurana baseada na dificuldade de factorao de nmeros inteiros
Mod.AFTEBI.P-052.rev02
FORMAO TECNOLGICA
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo RSA Gerar o par de chaves (pblica/privada) Chave Pblica - Informao associada pessoa em causa e deve ser transmitida para encriptar informao. Chave privada - Informao pessoal que usada para desencriptar informao. Deve ser sempre mantida em segredo.
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo RSA - Exemplo: Alice e Bob so pessoas que precisam trocar mensagens seguras sem intercepo. O algoritmo RSA permite essa troca segura pela utilizao de chaves pblicas e privadas: 1. Alice cria seu par de chaves (uma pblica e outra privada) e envia a sua chave pblica para todos, inclusive Bob; 2. Bob escreve uma mensagem para Alice. Aps escrita, Bob faz a cifragem do texto final com a chave pblica de Alice, gerando texto encriptado; 3. Alice recebe o texto encriptado de Bob e faz a decriptao utilizando a sua chave privada.
FORMAO TECNOLGICA
Mod.AFTEBI.P-052.rev02
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo RSA - Exemplo: O procedimento realizado com sucesso porque somente a chave privada de Alice capaz de decifrar um texto encriptado com a sua chave pblica. importante destacar que se aplicarmos a chave pblica de Alice sobre o texto encriptado no teremos a mensagem original de Bob. Dessa forma, mesmo que a mensagem seja interceptada impossvel decifr-la sem a chave privada de Alice.
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo RSA - Funcionamento Gerar o par de chaves (pblica/privada) Inicialmente devem ser escolhidos dois nmeros primos quaisquer P e Q. Quanto maior o nmero escolhido mais seguro ser o algoritmo. A titulo de exemplo, vo ser escolhidos nmeros primos pequenos, de forma ao processo ser facilmente acompanhado. P = 17 Q = 11
Mod.AFTEBI.P-052.rev02
FORMAO TECNOLGICA
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo RSA - Funcionamento A seguir so calculados dois novos n. N e Z de acordo com os numeros P e Q escolhidos anteriormente. N=P*Q Z = P - 1 * Q -1 Assim: N = 17 * 11 = 187 Z = 16 * 10 = 160
Mod.AFTEBI.P-052.rev02
FORMAO TECNOLGICA
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo RSA - Funcionamento Agora define-se o nmero D que tenha a propriedade de ser primo em relao a Z. A escolha pode ser por exemplo: D=7 Agora necessrio encontrar um nmero E que satisfaa a seguinte propriedade: (E * D) mod Z = 1
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo RSA - Funcionamento Assim, os valores 23, 183, 343, 503 satisfazem a propriedade indicada. Vamos escolher o E = 23. Com este processo definem-se as chaves de pblica e privada. Pblica: Usar E e N Privada: Usar D e N
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
TEXTO ORIGINAL = 4 TEXTO Encriptado = (423) mod 39 TEXTO Encriptado = 70.368.744.177.664 mod 39 TEXTO Encriptado = 64
Decriptao:
TEXTO RECEBIDO = 64 TEXTO ORIGINAL = (647) mod 39 TEXTO ORIGINAL = 4.398.046.511.104 mod 39 TEXTO ORIGINAL = 4
Mod.AFTEBI.P-052.rev02
FORMAO TECNOLGICA
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo RSA - Caso Prtico - Notas finais A questo das escolhas dos nmeros primos envolvidos fundamental para o algoritmo. Por essa razo escolhem-se nmeros primos gigantescos para garantir que a chave seja inquebrvel.
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmo RSA - Caso Prtico - Notas finais Assim como o exemplo apresentado, existem outras combinaes que podem ser feitas rapidamente para confirmao, sem que se exija uma aplicao especial para os clculos envolvidos.
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Exemplo RSA Primos p=7 e q=19. N = pq =119, (n)=618=108 Senha pblica do destinatrio: {e, n} = {5, 119} Senha secreta do destinatrio: {d, n} = {77, 119} Mensagem M: 19 Mensagem cifrada C: 66
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Exemplo RSA
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Segurana no RSA Criptoanlise: conhecendo e e n, preciso fazer a fatorao de n, para obter os dois primos p e q e calcular d. Factorizao uma tarefa morosa
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Assinatura digital usando RSA O algoritmo RSA pode ser usado para assinar digitalmente um documento A assinatura garante a autenticidade A assinatura gerada com base na senha secreta do assinante Desta forma um documento assinado s poderia ter sido gerado pelo dono da senha
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Criptografia e Assinatura digital Com o RSA possvel ainda encriptar e assinar digitalmente Assim a autenticidade e a confidencialidade so garantidas simultaneamente Duas operaes de criptografia so executadas em sequncia no documento original: Uma com a senha secreta do assinante Outra com a senha pblica do destinatrio
Mod.AFTEBI.P-052.rev02
FORMAO TECNOLGICA
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Distribuio de Chaves A distribuio de chaves uma possvel falha de segurana. Um utilizador C pode gerar um par KR/KU em nome de B e enviar a chave pblica para A A, ao gerar uma mensagem pensando que para B, est a gerar uma mensagem que na verdade somente C tem a chave para ler
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Autoridade de Certificao Autoridades de certificao so usadas para distribuir chaves pblicas garantindo a sua autenticidade A CA (Certificate Authority) uma entidade confivel e r e c o n h e c i d a ( Ve r i S i g n , T h a w t e , Va l i C e r t , GlobalSign, Entrust, BelSign) A CA emite certificados digitais que incluiem a chave p b l i c a d e u m a e n t i d a d e , c o m d a d o s p a ra identificao confivel desta e assinado digitalmente com a chave privada da CA
Mod.AFTEBI.P-052.rev02
FORMAO TECNOLGICA
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
Autoridade de Certificao A chave pblica da CA deve ser muito bem conhecida e amplamente disponvel, pois usada por quem recebe um certificado vindo da CA Exemplo de contedo de Certificado Digital: Nome do individuo Chave publica do detentor Data da validade do certificado Numero de controlo de certificado Identificao da CA Assinatura digital da CA
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Autenticao de Mensagem Criptografia do contedo protege mensagens contra interceptao (ataque passivo). Criptografia e tcnicas similares podem ser usadas para autenticao de mensagens: garantir e validar a sua integridade contra falsificao (ataque activo) Autenticao simples de mensagem na criptografia convencional: Incluir na mensagem informaes de cdigo de correco de erro e controle de sequncia e tempo
Mod.AFTEBI.P-052.rev02
FORMAO TECNOLGICA
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Autenticao de Mensagem Tcnicas de autenticao de mensagem sem encriptar toda a mensagem: Message Authentication Code (MAC) Funo de Hash Unidirecional
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
MAC Uso de uma chave secreta KAB para gerar um pequeno bloco de dados conhecido como cdigo de autenticao da mensagem anexado mesma MACM = F(KAB, M) O receptor gera o mesmo cdigo e compara
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
MAC
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmos Hash Unidireccionais Toma uma mensagem arbitrria M e gera uma compilao da mensagem (message digest) de tamanho fixo H(M) como sada (como nos MACs) O algoritmo no precisa ser reversvel Diferente do MAC, a funo hash no usa uma chave secreta como parmetro
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmos Hash Unidireccionais A autenticao da mensagem passa a ser baseada na autenticao segura do digest: Adicionar um valor secreto a M antes de gerar H(M) Criptografia convecional do message digest Assinatura do digest com a chave privada do emissor
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Algoritmos Hash Unidireccionais Algoritmos Hash Seguros SHA-1, Secure Hash Algorithm-1: desenvolvido pelo NIST (National Institute of Standards and Technology), EUA Digest de 160 bits MD4 e MD5, Message Digest Algorithm #4, #5: desenvolvido pela RSA (128 bits) RIPEMD, RACE Integrity Primitives Evaluation (RIPE) MD: projeto europeu RIPE. RIPEMD-160, RIPEMD-256 (hash de 160 e 256 bits)
FORMAO TECNOLGICA
Mod.AFTEBI.P-052.rev02
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Kerberos - Autenticao de utilizador Kerberos Parte do Projeto Athena, do MIT Problema: Num ambiente distribudo aberto, necessrio autenticar requisies e restringir acesso a utilizadores autorizados Ideia do Kerberos: difcil garantir a segurana de muitos servidores numa rede, mas vivel garantir alta segurana de um nico servidor
Mod.AFTEBI.P-052.rev02
FORMAO TECNOLGICA
Sunday, 5 February 12
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Autenticao de utilizador Kerberos Kerberos: servidor de autenticao central que contm e valida a senha (chave) e autorizaes de todos os utilizadores e servidores da rede Baseado em criptografia convencional
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
Kerberos
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02
CURSO: Gesto de Redes e Sistemas Informaticos DISCIPLINA: Segurana em Redes e Sistemas Informticos ANO LECTIVO: 2011/2013
?Dvidas?
FORMAO TECNOLGICA
Sunday, 5 February 12
Mod.AFTEBI.P-052.rev02