Palestra PKI
-
Upload
rayner-gomes -
Category
Education
-
view
240 -
download
9
Transcript of Palestra PKI
Universidade Federal do Piauí Universidade Federal do Piauí Sistemas de InformaçãoSistemas de Informação
Public Key Infrastructure Public Key Infrastructure PKIPKI
Ciclo de PalestrasCiclo de Palestras
Prof. Rayner Gomes
Roteiro● Estudo de Caso● Definição Rápida● Aplicação ● Importantes Conceitos● Internet x Segurança
● Tipos de Ataques
● Requisitos de Segurança
● Criptografia
● Criptografia Pública
● PKI
● Considerações FinaisProf. Rayner Gomes
Estudo de Caso
➔ O que acontece se eu escrever num papel: “Eu devo 15 reais para Ismael” e assinar?
➔ O que acontece se eu digitar o mesmo papel e mandar por e-mail para uma empresa de cobrança?
Prof. Rayner Gomes
3
Rápida Visão
PKI Public Key Infrastructure
“ Troca de documentos na Internet atendendo REQUISITOS DE SEGURANÇA e sem perder o
VALOR JURÍDICO ”
Prof. Rayner Gomes
4
Estudo de Caso
● Conselho Estadual de Ensino em 2008, determinou que todos os documentos fossem entregues digitalizados e com certificado digital!● Objetivos:
– Redução da “papelada”– Economia de espaço– Agilizar a procura de processos– Segurança
Prof. Rayner Gomes
5
Estudo de Caso
● Digitalização de Documentos
1 Folha 20 KBDocumento 1.000 Páginas
Tamanho Doc 20.000 KBTamnho Doc 19,5 MB
HD 500 GBTotal 26.214 documentos
HD R$ 250,00, custo por arquivo = 0,009 centavos
Prof. Rayner Gomes
6
Estudo de Caso
● Queima de Fóruns!!!!
Fonte: http://www.blogdodecio.com.br/2011/09/22/mais-um-foru-pega-fogo-no-ma-veja-o-video/
O Fórum José Pires da Fonseca, em Poção de Pedras, foi destruído por um incêndio por volta da 00h40 desta quinta-feira. A polícia já está investigando o caso e trabalha com as hipóteses de um acidente provocado por curto-circuito e de crime premeditado. Mês passado, o programa “Profissão Repórter” denunciou que os inquéritos de destruição de vários fóruns no estado ainda não foram conlcuídos
Mais um fórum pega fogo no MA22/09/11
Prof. Rayner Gomes
7
Aplicação
● Troca de documentos● Comércio Eletrônico● Transação Bancária● Pagamento de Títulos● Receita Federal● E-mail
Prof. Rayner Gomes
8
Definições
InfraestruturaUrbana
● Gás
● Luz
● Esgotos
● Água
● Coleta Pluviais
● Rede Telefônica
● Rede de Gás
“conjunto de instalações necessárias às atividades humanas”
Príncipio: Uso de Interfaces bem definas para ocutar detahes técnicos
Prof. Rayner Gomes
9
Definições
InfraestruturaChave Pública
● Internet
● Criptografia
● Protocolos
● Banco de Dados
● Leis
● Orgãos de Regulamentação
● Empresas
“conjunto de tecnologias, leis e procedimentos necessários às atividades de troca de documentos atendendo aos requisitos de
segurança”
Príncipio: Uso de Interfaces bem definas para ocultar detalhes técnicos
10
Internet x Segurança
● ARPANET: década de 70
● IP: RFC 791, Setembro 1981
● TCP: RFC 792, Setembro 1981
● 1988, Robert Morris, worm, interrompeu uma série de redes por várias dias
● WEB: Início da década de 1990
● Internet no Brasil: 1991 através da RNP
● 1995 Internet liberada para uso privado no Brasil,
● 1999, vírus Melissa, bilhões de dólares prejuízo.
● 2000, Amazon.com, Buy.com, CNN.com, eBay, Yahoo, ZDNet, ataque DDoS, 1,2 bilhão de prejuízo.
Prof. Rayner Gomes
11
Ricos e Ataques
A B
Interrupção
A B
Interceptação
x
A B
Modificação
A B
Fabricação
xx
Prof. Rayner Gomes
12
Requisitos de Segurança
● Uma infraestrutura de chave pública operam com as seguintes características:● Autentificação● Privacidade● Integridade● Não-repúdio● Autorização● Auditoria
Prof. Rayner Gomes
13
Requisitos de Segurança
● Autenticação: identificação inequívoca das partes envolvidas no processo.
Prof. Rayner Gomes
14
Requisitos de Segurança
● Privacidade: as informações são compreensíveis exclusivamente para os parceiros da comunicação.
Prof. Rayner Gomes
15
Requisitos de Segurança
● Integridade: As informações não podem ser modificada no trânsito na rede.
Prof. Rayner Gomes
16
Requisitos de Segurança
● Não-repúdio: A autoria das comunicações não podem ser contestadas.
Prof. Rayner Gomes
17
Requisitos de Segurança
● Autorização: as informações são acessíveis exclusivamente para entidades credenciadas.
Prof. Rayner Gomes
18
Requisitos de Segurança
● Auditoria: Todas as etapas do processo podem e devem ser auditadas.
Prof. Rayner Gomes
19
Conceitos Necessários
http://www.vivaolinux.com.br/dica/Calculo-da-potencia-modular-de-forma-eficiente
●Criptografia
●Criptografia Simétrica
●Criptografia Assimétrica
20
Criptografia
● Grego● Kryptos = Oculto● Graphen = Escrita
● Foi inventada por:● Militares● Burocratas● Amantes
Há marcas históricas de seu uso pelos Espartanos Século V. a.C, bastão skytalh (escútula)
Prof. Rayner Gomes
21
Ideia - Criptografia
TextoSimples[plaintext]
ProcessoCriptografia
Cifra[ciphertext]
Processo de Criptografia:
Fixo = Cifra de Júlio Cesar
Variável = Uso de Chave
22
Criptografia
Cifra CódigoX
Relação entre o Texto e a CifraCódigo Navajo
● Processamento Binário● Relação apenas matemática
Prof. Rayner Gomes
23
Critérios Máximos
● A segurança da mensagem não depende da
popularidade do algoritmo utilizado, quanto mais
conhecido e testado pela comunidade científica
melhor.
● A chave, que é o grande segredo em questão, deve
ser grande o suficiente para que seja impossível
descobri-la por meio de tentativas exaustivas.
Prof. Rayner Gomes
24
Cifra de Júlio Cesar
Troca-se cada letra por três subsequentes
● Texto Simples:
● Transmita esta mensagem à tropa
● Cifra
● Wudqvplwd hvwd phqvdjhp d wursd
Poderia adicionar uma chave para informar quantas N letras subsequentes será usada!!!
25
Chave Simétrica
Texto simples Criptografa Cifra
Chave A
ORIGEM
DESTINO
Texto simples Descriptografa Cifra
Chave A
INTERNET
Mesma chave
26
Chave Simétrica
● Tem como vantagem maior velocidade em relação à chave assimétrica.
● Conceito surgiu em 1972 pela IBM.● 1977 a National Institute of Standards and
Tecnology padronizou o Data Encryption Standard (DES).
● Há vários algoritmos: Blowfisth, CAST-64, CAST-80, CAST-128, RC2, RC4. RC5, IDEA e etc.
Prof. Rayner Gomes
27
Data Encryption Standards
● DES trabalha com chave 64 bits, sendo 56 bits para chave e 8 de paridade.
● Realizando-se cada teste em:
Tempo Processador Tempo de Descoberta100 ms 228 milhões de anos
1 ms 2.280 anos1 ns 2 anos
echo "2^56 / (365 * 24 * 60 * 60 * (1000/100) )" | bc
228.493.131
28
Data Encryption Standard● Em 1998 a Eletronic Frontier Foundation (EFF)
desenvolveu uma máquina chamada de DES Cracker.
● Primeira tentativa, quebrou o DES com 3 dias
● Segunda tentativa, com 100 mil computadores na
Internet em Paralelo, conseguiu quebrar a chave DES
com 22 horas e 15 minutos.
● Como consequência há variações do DES como o
Duplo-DES e o Triplo-DES.
echo "22^22^22" | bcRuntime error (func=(main), adr=14): exponent too large in raise
29
Chave Simétrica
● Desvantagens:
● A necessidade constante de troca chave secreta.
● Dificuldade para gerenciar grandes quantidades de chaves
em larga escala. Sistema com 1000 usuários cada um
precisa de 999 segredos.
● Dificuldade para iniciar uma comunicação segura entre
entidades desconhecidas.
● A chave é utilizando tanto para criptografar quanto
descriptografar.
Prof. Rayner Gomes
30
Criptografia Assimétrica
Texto simples Criptografa Cifra
Chave A
ORIGEM
DESTINO
Texto simples Descriptografa Cifra
Chave B
INTERNET
Chaves Diferentes
Prof. Rayner Gomes
31
Criptografia Assimétrica
● São usados duas chaves: Privada e Pública.
● As chaves/segredos são relacionadas
matemáticas (no fundo são dois números primos
gigantescos).
● Vantagem
● Segurança entre entidades desconhecidas
● Permite a criação da Assinatura Digital
Prof. Rayner Gomes
32
RSA
● Algoritmo proposto por Ron Riverst, Adi Shamir e Leonard Adleman.
● Pesquisados do MIT em 1997.● É um dos algoritmos de chave pública mais
antigo e versáteis.● Baseia na dificuldade da implementação de um
algoritmo Eficiente para fatoração de grandes números na ordem de 10^100
Prof. Rayner Gomes
33
Algoritmo do RSA
● Escolhe dois número primos gigantes (maiores que 10^100), p e q.
● Calcula-se ● n = p . q● z = (p – 1) . (q – 1)
● Escolhe e, um número primo em relação a z.● Encontra-se d de forma que:
● e . d = 1 mod z
→ p , q, n, z, d, e
Prof. Rayner Gomes
34
Algoritmo RSA
● Divide-se o texto simples em blocos, de modo que o texto simples P esteja no intervalo:● 0 < P < n.
Texto Simples
P P P ... P
●Criptografar: C = (P ^ e) mod n
●Descriptografar: P = (C ^ d) mod nProf. Rayner Gomes
35
Algoritmo RSATexto Simples
P P P ... P
C
C C C C
C C C
Texto Criptografado
C C C C
C C C C
D D D D
P P P P
Texto Simples
36
RSA - Mini-Exemplo
● Escolhe p e q:
● p = 1021 e q = 1019
● Calcula n e z:
● n = p . q = 1021 . 1019 = 1.040.399
● z = (p – 1) . (q – 1) = 1020 . 1018 = 1.038.360
● Escolhe e:
● e = 3.577, mmc(3577,1038360) = 1
● Calcula d:
● 1 < d < z e e . d = 1 mod z → d = 426.433
KP = { 3.577, 1.040.399}KP = { 3.577, 1.040.399}
KU = {426.433, 1.040.399}KU = {426.433, 1.040.399}
37
RSA - Teste
rayner@VUlture:~$ echo " (20 ^ 3577) % 1040399 " | bc877927
rayner@VUlture:~$ echo " (877927 ^ 426433) % 1040399 " | bc20
Mensagem: 10100
Prof. Rayner Gomes
38
RSA - Teste
rayner@VUlture:~$ time echo " (877927 ^ 426433) % 1040399 " | bc20
real 3m52.550suser3m51.958ssys 0m0.072s
Prof. Rayner Gomes
39
KP - Curiosidade
● Softwares de Chave Pública podem fazer:
● Escolher p utilizando números primos aleatórios da
memória do computador
● O p é uma chave secreta que o usuário informa.
● Apenas uma única chave para comunicar com N
entidades.
● Possibilidade de estabelecer uma relação com
entidades desconhecida.
Prof. Rayner Gomes
40
RSA - JAVA
SecureRandom random = new SecureRandom();
KeyPairGenerator generator =
KeyPairGenerator.getInstance("RSA");
generator.initialize(2048, random);
KeyPair pair = generator.generateKeyPair();
PublicKey pubKey = pair.getPublic();
PrivateKey privKey = pair.getPrivate();
41
RSA - JAVA
Cipher cipher = Cipher.getInstance("RSA");
cipher.init(Cipher.ENCRYPT_MODE, pubKey, random);
byte[] input = {0,0,0,1,1,1};
byte[] cipherText = cipher.doFinal(input);
cipher.init(Cipher.DECRYPT_MODE, privKey);
byte[] plainText = cipher.doFinal(cipherText);
Prof. Rayner Gomes
42
Protocolos que usam PK
● IPSec● SSL e TLS● PGP● S/MIME● SET● X.509
Prof. Rayner Gomes
43
Assinaturas Digitais
● A assinatura digital é um processo de
autenticar um arquivos fazendo uso de duas
tecnologias: Chaves Públicas e Hash.
● Está associado a Autenticação.
● PK são processos lentos.
Prof. Rayner Gomes
44
Assinaturas Digitais
Hash: É um pequeno valor, de tamanho fixo chamado de Digest ou valor Hash, derivado do uma Mensagem.
ArquivoArquivoHASH
AF0274DDAA6678[message digest]
SHA-1, MD5
Qualquer modificação no Arquivo irá alterar o Digest!!!Qualquer modificação no Arquivo irá alterar o Digest!!!
45
Assinatura Digital
ArquivoArquivo
HASH
Digest +
Criptografia
Chave Privada
Assinatura
Documento Assinado
+
TRANSMISSOR
46
Assinatura Digital
DocumentoAssinado
DocumentoAssinado
HASH
Digest
Descriptografia
Chave Pública
RECEPTOR
Assinaturacriptografada TESTA A IGUALDADE?
Digest
47
AutenticaçãoInfraestrutura de Chave Pública
● Faz uso de autenticação forte!!!● Autenticação:
● Algo que sabemos● Algo físico que temos● Algo que somos● Algum lugar que estamos
Prof. Rayner Gomes
48
AutenticaçãoInfraestrutura de Chave Pública
● Autenticação Forte:
● Tokens
● Smartcards
Prof. Rayner Gomes
49
Certificado Digital
● Definição:
● O certificado digital é um documento
eletrônico.
● Contém informações que identificam uma
pessoa, uma máquina ou uma instituição.
● É usada por um software intermediário
que reconheça essa informação.
50
Certificado Eletrônico
● Certificado Digital é um documento emitido por
uma Autoridade de Certificação.
● O Padrão utilizados no Brasil o X.509.
● O certificado vai garantir que a Entidade é ela
mesma.
● Há uma teia de Confiança entre, o Usuário
Comum, AC, e o Usuário Certificado.
Prof. Rayner Gomes
51
Certificado Digital - Estrutura
Um certificado normalmente inclui:
● Informações refentes a entidade certificada (nome, email,
CPF/CNPJ, PIS etc.)
● A chave pública da entidade certificada
● O período de validade
● A localização do "centro de revogação" (uma URL para
download da LCR, ou local para uma consulta OCSP)
● A assinatura da AC
Prof. Rayner Gomes
52
Certificado Eletrônico
WebServer
2. Certificado Digital
1. Acesa um Site com SSL
Navegador
Lista das AC
3. Confere a AC
Lista das AC = {DN, Chave Pública }
4. Verifica o Certificado
5. Estabelece uma Comunicação Segura
[ embutido na aplicação]
Calcula o Hash do Certificado
Prof. Rayner Gomes
53
Certificado Digital - FireFox
EDITAR > PREFERÊNCIAS
1
2
54
Certificado Digital - FireFox55
Certificado Digital - FireFox56
57
Visão Hierárquica das Autoridades
AC RAIZ
AC - 1 AC - 2
AC - 1AC - 3 AC - 4
Usuário A Usuário B
AR - 4
cadastro
58
IPC - BrasilO Instituto Nacional de Tecnologia da Informação - ITI é uma autarquia federal vinculada à Casa Civil da Presidência da República.
Principais AC do Brasil
Prof. Rayner Gomes
60
Tipos de Certificados da ICP - Brasil
A = AUTENTICAÇÃO S = SIGILO
Prof. Rayner Gomes
61
E-CPF A1 = 120,00
http://serasa.certificadodigital.com.br
E-CPF A3 = 155,00
SERASA = Token A3, Válido por 24 meses, 360,00
63
Interoperabilidade
FIREWALL
LDAP
Lista de CertificadosCertificados Revogados
IPSEC
SSLTSL
ACAC
webservicesServidoresDe Diretórios webservices
webservices
Prof. Rayner Gomes
64
Validade Jurídica x eficácia probante
● Nenhum documento digital ou não, não tem validade jurídica.
● A validade do negócio jurídico requer (art. 104 do Código Civil):● Agente capaz;● Objeto lícito, possível, determinado ou
determinável;● Forma prescrita;
Prof. Rayner Gomes
65
Considerações Finais
● Importante que tokens e smartcards de uma empresa possam interoperados com de outras.
● Para as AC o governo cobra uma Taxa de Fiscalização e Manutenção de Credenciamento no valor de 70.000 dólares anuais.
● Pode-se criar uma “PKI” privada sem ter que pagar taxas ao governo.
● Há necessidade de um grande artefato de proteção uma PKI.
Prof. Rayner Gomes
66
Considerações Finais
● Decreto 3.505 de 13 de junho de 2000 instituiu a política de segurança a informação nos órgãos públicos.
● 28/06/2000, Fernando Henrique Cardoso, adotou a Medida Provisória 2.200-1.
● 24/08/2001, Medida Provisória 2.200-2 consolida a Medida Provisória como força de lei.
● Na mesma Medida Provisória, cria o Comitê Gestor da ICP Brasil, vinculado a Casa Civil.
Prof. Rayner Gomes
67
Considerações Finais
● 30/11/2001 foram gerados o par de chaves e o respectivo certificado digital.
● Este evento ocorreu no Serpro, no Rio de Janeiro, em uma ambiente de segurança criado especialmente para este evento.
● Se abre mais uma porta para o Empreendedor de Sistemas de Informação.
Prof. Rayner Gomes
68
Bibliografia69
Webgrafia
http://www.iti.gov.br
Prof. Rayner Gomes
70
PCSJHBEPProf. Rayner Gomes
OBRIGADOProf. Rayner Gomes