Vous êtes sur la page 1sur 124

Ps-graduao

Engenharia de Redes
e Sistemas de Telecomunicaes
www.inatel.br

Disciplina: TL019 Segurana em Redes de


Telecomunicaes

Professor: Guilherme Rezende dos Santos


Critrio de avaliao
__________________________
Atividades
Lista de exerccios 40 pontos
Trabalho 60 pontos
www.inatel.br

Conceitos
D De 0 49
C De 50 69
B De 70 89
A De 90 100
Referncias bibliogrficas
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS NBR ISO/IEC 27002: Tecnologia da
informao - Tcnicas de segurana - Cdigo de prtica para a gesto da segurana
da informao, Rio de Janeiro, 2005.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS NBR ISO/IEC 27001: Tecnologia da
informao - Tcnicas de segurana - Sistemas de gesto de segurana da
www.inatel.br

informao - Requisitos, Rio de Janeiro, 2006.


SINGH, SIMON; O Livro dos cdigos - A cincia do sigilo - do antigo Egito criptografia
quntica, 2001. ISBN: 8501055980.
HARRIS, SHON; CISSP ALL IN ONE Exame Guide, 5th Edition. ISBN: 0071602178
RFC 5246 - The Transport Layer Security (TLS) Protocol Version 1.2
https://tools.ietf.org/html/rfc5246
Project Athena, Massachusetts Institute of Technology; An Authentication Service
for Open Network Systems
http://www.cisco.com/en/US/tech/tk59/technologies_white_paper09186a008009
41b2.shtml
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana
http://www.cert.br
Papel da disciplina no curso

Apresentar a fragilidade dos meios de


comunicao em rede
www.inatel.br

Encaixar a segurana de redes e


telecomunicaes dentro do sistema de
gesto de segurana da informao
Garantir que toda comunicao em rede
aprendida seja realizada de forma segura
Sobre a disciplina...
__________________________
www.inatel.br
Aula 1 - Agenda
__________________________
Captulo 1 Gesto de segurana da informao
Captulo 2 Normas e padres
www.inatel.br

Captulo 3 Gesto de riscos


Captulo 4 Criptografia
Apresentao
__________________________
Atuao no mercado de TI e Segurana
da Informao h 8 anos.

Especialista em anlise de ameaas,


correlao de eventos de segurana e
www.inatel.br

resposta a incidentes.
Prestador de servios de segurana da informao
Principais reas de atuao: auditoria de
para empresas pblicas e privadas de alguns setores
sistemas, anlise de vulnerabilidades,
gerenciamento de ameaas, hardening,
como: processadoras de carto de crdito, aviao
resposta a incidentes de segurana.

civil, petrolferas, de energia, farmacuticas, etc.

e-mail: grezsantos@gmail.com | twitter: gui_srs


Aviso legal
__________________________
www.inatel.br

As informaes contidas nesta apresentao expressam apenas a opinio do


professor e no da empresa qual este possu vnculo empregatcio na
prestao de servios de segurana da informao.
Captulo 1 Gesto de segurana da
__________________________
informao

Neste captulo abordaremos...


O que SI e qual sua importncia;
www.inatel.br

A importncia de cada um dos componentes de


SI;
Resposta de incidentes de segurana
Porqu segurana importante?
__________________________
Ameaa: Ransomware WannaCry
Data: Maio/2017
Novidade: solicitao de resgate atravs de crytomoeda
www.inatel.br
Porqu segurana importante?
__________________________
Ameaa: Botnet Mirai
Data: Agosto/2016
Novidade: IoT devices
www.inatel.br
Porqu segurana importante?
__________________________
Ameaa: Vazamento de informaes
Data: Setembro/2017
Novidade: Big4 e empresa de segurana
www.inatel.br
O que segurana da informao?
__________________________
Segurana da informao a preservao da
confidencialidade, integridade e disponibilidade da
informao; adicionalmente outras propriedades , tais
www.inatel.br

como autenticidade, responsabilidade, no repdio e


confiabilidade, podem tambm estar envolvidas.
(ABNT NBR ISO/IEC 27001)
Segurana da Informao uma rea do
conhecimento dedicada proteo de ativos da
informao contra acessos no autorizados, alteraes
indevidas ou sua indisponibilidade (SMOLA, 2002).
Num passado no muito distante...
__________________________
www.inatel.br
Hoje...
__________________________
Essa evoluo tambm traz consigo uma srie de riscos e
ameaas:
www.inatel.br

Phishing / Spam Fraudes Internas

Cdigos
Maliciosos
DADOS Espionagem
Industrial
Vazamento de
Engenharia Social
Informaes
Termos e definies
__________________________
Ativo: qualquer bem tangvel ou no, que tenha valor para a
organizao.
Vulnerabilidade: grau de exposio de determinado sistema
ou processo que possa ser explorado por uma ameaa.
www.inatel.br

Ameaa: a forma como uma vulnerabilidade pode ser


explorada determina uma ameaa.
Controle: medida de segurana aplicada a um processo ou
ativo com o objetivo de evitar ou mitigar a concretizao de
uma determinada ameaa. Pode ser de natureza
administrativa, tcnica, de gesto ou legal.
Risco: combinao da probabilidade de ocorrer um evento
e de suas consequncias.
Incidente: quando um agente de ameaa consegue explorar
uma vulnerabilidade com sucesso, diz-se que houve um
incidente de segurana.
Relao entre componentes de segurana
__________________________
www.inatel.br
Objetivo da segurana da informao?
__________________________
Proteger as informaes de diversos tipos
de ameaas;
www.inatel.br

Garantir a continuidade dos negcios;


Minimizar o risco ao negcio;
Maximizar o retorno dos investimentos e as
oportunidades de negcio.
Introduo a segurana da informao

Um sistema de SGSI engloba:


Pessoas
www.inatel.br

Processos
Procedimentos
Normas e polticas
Tecnologia
Gerenciamento de vulnerabilidades
Gerenciamento de riscos
Conscientizao e treinamento
Conformidade legal
Gerenciamento da segurana da informao
www.inatel.br
Ciclo de vida da informao
__________________________
www.inatel.br

Descarte Criao

Transporte Manuseio
Trade CID
__________________________
So trs os pilares da segurana da informao
Confidencialidade: propriedade de que a
informao no esteja disponvel ou revelada a
www.inatel.br

indivduos, entidades ou processos no


autorizados.
Aspectos cruciais da confidencialidade so a
identificao, autenticao e autorizao do
usurio.
Confidencialidade
__________________________
Exemplo: folha de pagamento de funcionrios
Vulnerabilidades
www.inatel.br

Acessos no autorizados
Proteo de dados sensveis ou equipamentos
Controles
Controle de acesso
Criptografia
Integridade
__________________________
Propriedade de salvaguarda da exatido e
completeza de ativos.
www.inatel.br

Alguns princpios bsicos so usados para


estabelecer controles de integridade:
Garantia de acesso apenas as informaes necessrias
s atividades de cada indivduo;
Separao de funes.
Integridade
__________________________
Exemplo: folha de pagamento de funcionrios
Vulnerabilidades
www.inatel.br

Alterao no autorizada de salrios


Controles
Controle de acesso
Auditoria de banco de dados
Disponibilidade
__________________________
Propriedade de estar disponvel e utilizvel
sob demanda por uma entidade autorizada
Controles de disponibilidade:
www.inatel.br

Redundncia de hardware;
Espelhamento de disco;
Diferentes fontes de energia.
Segurana da informao garantir que
todos os fatores relacionados a
confidencialidade, integridade e
disponibilidade sejam atendidos!
Disponibilidade
__________________________
Exemplo: grandes promoes em sites de
compras
www.inatel.br

Vulnerabilidades
Falha no dimensionamento dos recursos que
suportam o site
Controles
Balanceamento de carga
Alta disponibilidade de recursos
Elo mais fraco
__________________________
www.inatel.br
Fatores que tornam a segurana da
informao necessria
Crimes eletrnicos;
Legislao de direitos autorais e patentes;
www.inatel.br

Crescimento de softwares maliciosos;


Fraudes financeiras e contbeis;
Pirataria em geral;
Espionagem industrial;
Guerra Ciberntica;
Terrorismo religioso e ideolgico.
Importncia da segurana da informao
__________________________
Informaes e os processos de apoio,
sistemas e redes so importantes ativos
para os negcios;
www.inatel.br

As organizaes, seus sistemas de


informao e redes de computadores esto
expostos a diversos tipos de ameaas
(fraudes, espionagem, sabotagem,
vandalismo, etc.).
Importncia da segurana da informao
__________________________
Definir, alcanar, manter e melhorar a
segurana da informao pode ser essencial
para:
www.inatel.br

Competitividade;
Faturamento;
Lucratividade;
Atendimento requisitos legais;
Imagem da empresa no mercado.
Resposta a incidentes de segurana
__________________________
O CERT.br, Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurana no
Brasil, o rgo do Comit Gestor da
www.inatel.br

Internet no Brasil.
Coleta informaes sobre ataques
Internet brasileira.
Estatsticas do CERT.br mostram que a
quantidade de ataques a redes brasileiras
aumentou de 3107 em 1999 para 358343
em 2009.
Resposta a incidentes de segurana
__________________________
Total de incidentes reportados Dados de junho de 2013
www.inatel.br
Resposta a incidentes de segurana
__________________________
Scan de portas De abril a junho de 2013
www.inatel.br
Resposta a incidentes de segurana
__________________________
Principais ameaas Abril a junho de 2013
www.inatel.br
Resposta a incidentes de segurana
__________________________
Pases de origem Abril a junho de 2013
www.inatel.br
Ataques DDoS
__________________________
www.inatel.br
Ataques DDoS
__________________________
www.inatel.br
Ataques DDoS
__________________________
www.inatel.br
Captulo 2 Normas e padres
__________________________
Neste captulo abordaremos...
As principais normas relativas a segurana da
www.inatel.br

informao
NBR ISO/IEC 17799:2005 atual ISO 27002
NBR ISO/IEC 27001:2006
NBR ISO/IEC 17799:2005 atual ISO 27002
__________________________
Intitulada Tecnologia da informao Tcnicas de
segurana Cdigo de prtica para a gesto da
segurana da informao.
Desenvolvida no Comit Brasileiro de
www.inatel.br

Computadores e Processamento de Dados


(ABNT/CB-21), pela Comisso de Estudo de
Segurana Fsica em Instalaes de Informtica (CE-
21:0027:00).
Seu objetivo ser um guia de boas prticas e
recomendaes de segurana para todas as
empresas, independentemente do seu porte ou do
ramo de atuao, do setor pblico ou privado, que
precisam proteger as suas informaes sensveis e
crticas.
NBR ISO/IEC 17799:2005 atual ISO 27002
__________________________
Contm recomendaes das melhores
prticas de segurana da informao.
www.inatel.br

Sugesto de controles que podem ser


aplicados por uma organizao, para
diminuir riscos identificados em seu
negcio.
Nem todos os controles se aplicam a todas
as empresas.
NO AUDITVEL.
A ABNT NBR ISO/IEC 27002 est dividida em
__________________________
11 tpicos:
Poltica de Segurana da Informao;
Organizando a Segurana da Informao;
Gesto de Ativos;
www.inatel.br

Segurana em Recursos Humanos;


Segurana Fsica e do Ambiente;
Gerenciamento das Operaes e Comunicaes;
Controle de Acesso;
Aquisio, Desenvolvimento e Manuteno de
Sistemas de Informao;
Gesto de Incidentes de Segurana da Informao;
Gesto da Continuidade de Negcios;
Conformidade.
NBR ISO/IEC 27001:2006
__________________________
Objetivo
Estabelecer diretrizes e princpios gerais para
iniciar, implementar, manter e melhorar a
www.inatel.br

gesto de segurana da informao em uma


organizao.
Prover diretrizes gerais sobre as metas
geralmente aceitas para a gesto da segurana
da informao.
Servir como guia prtico para o
desenvolvimento de procedimentos de
segurana da informao da organizao.
NBR ISO/IEC 27001:2006
__________________________
Contm os requisitos para implementao
de um Sistema de Gesto de Segurana da
Informao;
www.inatel.br

uma norma AUDITVEL / CERTIFICVEL


por uma terceira parte independente;
Pode ser utilizada por qualquer empresa.
NBR ISO/IEC 27001:2006
__________________________
Contm todos os controles que devem ser
aplicados por uma empresa que deseja
implementar um SGSI;
www.inatel.br

obrigatrio indicar que controles so


aplicveis ao SGSI e quais foram excludos;
Excluses devem ser justificadas.
Captulo 3 Gesto de riscos
__________________________
Neste captulo abordaremos...
Gesto de riscos
www.inatel.br

Quais so os componentes da GR e sua


importncia
Anlise e avaliao de riscos
Tratamento de riscos
Gesto de riscos
l Riscos
A probabilidade de uma ameaa explorar uma
(ou vrias) vulnerabilidades causando
www.inatel.br

prejuzos.
Sua escala dada por meio da combinao de
dois fatores:
Probabilidade da ocorrncia da ameaa
As consequncias traduzidas (impacto) pela
ocorrncia do incidente
Risco = Probabilidade x Impacto
Gesto de riscos
Gerenciamento de riscos o processo de
identificao, anlise, avaliao e tratamento de
riscos.
O risco deve ser analisado e avaliado segundo os
www.inatel.br

impactos que este pode causar para a


confidencialidade, integridade e disponibilidade da
informao.
O gerenciamento de riscos deve sempre considerar
o negcio da organizao.
O impacto de risco normalmente medido de
acordo com o impacto (financeiro ou de imagem)
que uma vez concretizado causar a uma
organizao.
Gesto de riscos

l o processo de identificao e tratamento


dos riscos de forma sistemtica e contnua.
www.inatel.br

If you can't measure it, you can't manage it


Peter Druker

l Para entender como funciona a GR


importante entender os componentes que
envolvem este processo, so eles:
Gesto de riscos
l Escopo
Conjunto de pessoas, ativos e processos que
sero cobertos pela GR.
www.inatel.br
Gesto de riscos
l Definio do escopo
Consiste basicamente em definir a justificativa
do projeto (razo pela qual est sendo
www.inatel.br

executado)
Qual ser o entregvel final
Quais os objetivos
A definio do escopo um dos fatores de
sucesso ou fracasso de uma GR.
Gesto de riscos
l Definio do escopo
O tamanho do escopo definido pela
quantidade de ativos que sero analisados
www.inatel.br

para cada processo de negcio


Os ativos podem ser agrupados em categorias
para facilitar a definio do escopo
Processo de negcio: conjunto de atividades
executadas rotineiramente em uma
organizao, com o propsito de
desempenhar sua atividade-fim.
Gesto de riscos
l Definio do escopo
Identificao dos processos mais crticos de
cada organizao
www.inatel.br

As pessoas responsveis por informar quais


so os processos mais crticos so aquelas no
comando
papel dos profissionais que executam um
processo de GR informar quais reas esto
sujeitas a mais ou menos riscos
Gesto de riscos
l Definio do escopo
O levantamento das informaes necessrias
para a definio do projeto pode ser obtido
www.inatel.br

atravs de entrevistas
As informaes so colhidas com os principais
gestes e consolidadas
A definio de escopo atravs de processos de
negcio no a nica opo, nem a mais
adequada em todos os casos.
Gesto de riscos
l Parte envolvida
Indivduos, grupos ou organizaes que so
afetados diretamente por um determinado
www.inatel.br

risco
Gesto de riscos
l Identificar ativos de maior risco
Os ativos sujeitos aos maiores nveis de risco
sero priorizados em termos de recursos e
www.inatel.br

protees
As decises de qual proteo aplicar pode
variar de acordo com o custo de cada
proteo
Redundncia para servidores
Norma de controle de acesso fsico aos
datacenters
Componentes da gesto de riscos
l Anlise de vulnerabilidade
l Identificar as protees existentes e ausentes,
identificar falhas nas existentes e levantar dados
www.inatel.br

que possam prever a efetividade


Alguns exemplos:
Ausncia de extintores de incndio
Ausncia de aplicao de Patches de segurana
Ausncia de controles de acesso fsico (portas,
catracas, etc.)
Gesto de riscos
l Identificao de ameaas
Identificar as possveis ameaas as quais cada
ativo est sujeito
www.inatel.br

Muitos profissionais pecam por querer


trabalhar com listas completas, cobrindo
todos os aspectos possveis
Trabalhar com listas genricas
Focar nas ameaas mais comuns
Utilizar listas prontas
Gesto de riscos
l Estimar a probabilidade de ocorrncia das
ameaas
Pode ser analisada atravs de dois fatores:
www.inatel.br

Nmero de vezes esperado no qual uma


ameaa tentar causar algum prejuzo a um
ativo
O grau de exposio (vulnerabilidades) de cada
ativo, que possibilite ser explorado com
sucesso.
Gesto de riscos
l Estimar o impacto das ameaas
Avaliar o impacto que a concretizao da
ameaa em determinado ativo causar
www.inatel.br

Quanto maior o nmero de ameaas, maior o


risco
Valor do ativo
Absoluto: preo da aquisio de outro ativo
igual
Relativo: associado ao benefcio que o ativo
proporciona
Gesto de riscos
l Avaliar as melhores protees
Aps o levantamento das informaes em
cada fase da GR, ser percebido que todos os
www.inatel.br

ativos esto sujeito a algum tipo de risco


O custo para que as empresas tragam os
nveis de riscos para os patamares aceitveis,
na maioria das vezes elevado
Priorizao dos maiores riscos
Considerar a relao custo benefcio de cada
proteo
Gesto de riscos
l Implementar protees
Aps a definio de quais riscos sero
tratados, as protees escolhidas sero
www.inatel.br

aplicadas
Uma proteo pode no excluir a existncia
de um risco, apenas mitiga-lo.
O risco no tratado pela proteo chamado
de risco residual.
Gesto de riscos
l Riscos
Gesto de riscos contempla quatro atividades
relacionadas a forma como lidamos com os
www.inatel.br

riscos:
Anlise e avaliao de riscos
Tratamento de riscos
Aceitao
Comunicao
Gesto de riscos
l Anlise de riscos
l Processo que compreende a identificao das
ameaas e estimativa do risco
www.inatel.br

l Listas de discusso especializadas


l Atribuio de valores aos componentes do risco
(impacto) e a probabilidade (relao ameaas x
vulnerabilidades)
Gesto de riscos
Trs questes sempre levantadas durante a
anlise de riscos:
www.inatel.br

O que poderia acontecer (evento de ameaas)?


Se acontecer, o que ocasionar? (impacto de
ameaas)?
Quantas vezes poderia acontecer? (frequncia da
ameaa)
Gesto de riscos
l Avaliao de riscos
Processo de comparar os riscos previamente
identificados e estimados com os critrios
www.inatel.br

definidos pela organizao:


Norma de avaliao de riscos
o resultado da avaliao de riscos que definir
as aes que sero tomadas em relao ao risco
Gesto de riscos
Tendo analisado e avaliado os riscos,
assegurando as respostas para as trs
perguntas, outras trs precisam ser
www.inatel.br

respondidas:
O que pode ser feito (mitigao de risco)?
Quanto vai custar ?
rentvel (custo / benefcio)?
Gesto de riscos
l Tratamento de riscos
Processo de seleo e aplicao de medidas
de controle de forma reduzir os riscos
www.inatel.br

identificados durante a anlise de riscos.


Visa trazer os nveis de risco para patamares
aceitveis
Gesto de riscos
l Tratamento de riscos
Medidas que podem ser tomadas para o
tratamento de riscos:
Evitar: no se expor a uma situao de risco
www.inatel.br

Transferir: fazer um seguro para cobrir eventuais


prejuzos
Reter: fazer um auto-seguro
Reduzir: aplicar controles que reduzam o risco
Mitigar: Tomar medidas que diminuam apenas o
impacto
Gesto de riscos
l Aceitao de riscos
Ocorre quando o custo relacionado a
aplicao de uma medida de proteo no
www.inatel.br

vale a pena.
Custo do controle maior que o custo do ativo
Pode ocorrer quando os riscos identificados
esto dentro dos patamares aceitveis
Aceitar um risco uma maneira de tratamento!
Gesto de riscos
l Comunicao do risco
ltimo componente do processo de GR
Divulgao de todos os riscos identificados, tenham
www.inatel.br

eles sido tratados ou no a todas as partes envolvidas


Divulgao dos motivos pelos quais eles foram ou no
tratados
Quando comunicamos os riscos estamos
compartilhando a responsabilidade a respeito deles
Forma de transferir a responsabilidade para aqueles
responsveis pela no liberao de recursos para o
tratamento do risco
Gesto de riscos
l O uso sistemtico de um processo de Gesto
de riscos proporciona diversos benefcios para
uma organizao.
www.inatel.br

Priorizao de riscos e aes


Maior conhecimento sobre os riscos
Obteno de consenso
Embasamento para protees atuais
Mtrica e indicadores de resultados
Gesto de riscos
l Desafios
Gesto de riscos um processo grande e
trabalhoso, mas nem sempre os principais
www.inatel.br

desafios estaro claros no primeiro momento


Dinamismo dos componentes envolvidos na GR
Escassez de informaes
Dificuldade na estimativa de custos
Captulo 4 Criptografia
__________________________
Neste captulo abordaremos...
Histria da Criptografia
www.inatel.br

Criptografia simtrica
Criptografia assimtrica
Funes hash
Certificados digitais
Protocolo SSL/TLS
Criptografia

Criptografia (Do Grego kryptos,


www.inatel.br

"escondido, secreto", e graphein,


"escrita").

Estudo dos princpios e tcnicas pelas quais a


informao pode ser transformada da sua
forma original para outra ilegvel.
Criptografia
Criptografia antiga

to antiga quanto qualquer segredo.


www.inatel.br

A criptografia sempre foi, e ainda , tratada


como segredo de estado.
EUA classificam algoritmos criptogrficos
como arma de guerra.
Criptografia
Criptografia antiga
Um exemplo clssico do uso da criptografia no
www.inatel.br

passado foi Mary Stuart, rainha da Esccia.


Mary tramava a morte de Elizabeth I, enquanto era
mantida presa ela enviava mensagens cifradas para
seus aliados.
Walsingham, principal secretrio de Elizabeth,
interceptou a correspondncia de Mary e repassou
para Thomas Phelippes.
Phelippes utilizou uma tcnica chamada Anlise de
Frequncia, decifrando o cdigo.
www.inatel.br

Criptografia
Criptografia
Criptografia clssica
www.inatel.br

Algoritmos baseados em caracteres e clculos


manuais
Existiam dois tipos de algoritmos clssicos:

Cifragem por substituio


Cifragem por sobreposio
Criptografia
Criptografia clssica
Cifragem por substituio
www.inatel.br

Os caracteres do texto original so


substitudos por outras letras do alfabeto.
O receptor inverte a substituio e obtm
o texto original

Ex: Cifra de Csar


Cifra de Vigenre
Criptografia
Criptografia clssica
Cifra de Csar
www.inatel.br

Cada letra do texto original substitudo


pela letra 3 posies direita no alfabeto.
Criptografia
Criptografia clssica
Cifra de Csar
www.inatel.br

Exemplo de utilizao da cifra de Csar.


Mensagem original Testando cesar no
Inatel
Mensagem cifrada.
T E S T A N D O C E S A R N O I N A T E L

A cifra de Csar vulnervel a anlise de


frequncia!
Criptografia
Criptografia clssica
Cifra de Viginre
www.inatel.br

Baseada na cifra de Csar


Utiliza uma palavra ou frase que indica a
substituio que ser utilizada na
mensagem.
Se a chave for menor que a mensagem a
chave repetida diversas vezes.
A chave pode ser de qualquer tamanho.
Criptografia
Criptografia clssica
Cifra de Viginre
www.inatel.br

Para cada letra,


utiliza-se uma letra
da chave correspondente
Chave
Deslocamento
Mensagem
Msg. Cifrada
Criptografia

Criptografia clssica
Cifragem por transposio
www.inatel.br

O texto original permanece o mesmo, mas a ordem dos


caracteres modificada
Exemplo:
Cifra de transposio colunar em que o texto original
escrito horizontalmente em uma folha de papel grfico de
tamanho fixo e o texto cifrado lido verticalmente.
A desencriptao ocorre de maneira inversa quando o texto
cifrado escrito verticalmente em uma folha idntica
utilizada para encriptar e o texto original pode ser
recuperado pela leitura horizontal.
Criptografia

lCriptografia moderna
www.inatel.br

H dois tipos de criptografia nesse mundo: a


criptografia que far com que sua irm pare de
ler seus arquivos e a criptografia que far
governos pararem de ler seus arquivos.
(Bruce Schneier)
Criptografia
Criptografia moderna
l
Criptografia simtrica
www.inatel.br

O nvel de criptografia relativo ao tamanho


das chaves utilizadas;
Chaves maiores, criptografia mais forte;
Utiliza uma nica chave para encriptar e
desencriptar a mensagem;
Alta performance;
A segurana est na salvaguarda da chave.
Criptografia
Criptografia simtrica
www.inatel.br
Criptografia

Criptografia moderna
l
www.inatel.br

Criptografia assimtrica
Utiliza duas chaves, uma pblica e outra privada;
O que uma chave encripta, a outra desencripta e
vice-versa;
Apenas o portador da chave privada poder
desencriptar a mensagem;
Baixa performance;
Mais seguro que a criptografia simtrica.
Criptografia

Alice Bob
www.inatel.br

Private Key Private Key

Public Key Public Key

Internet
Criptografia

Alice Bob
www.inatel.br

Mensagem Mensagem

Bobs Public Private Key


Key

Mensagem Mensagem
criptografada criptografada
Criptografia

Criptografia assimtrica
Quais os riscos de segurana deste processo?
www.inatel.br

As chaves pblicas de Alice e Bob so pblicas!


Qualquer pessoa pode se passar por um dos dois
interlocutores.
A autenticidade do processo no garantida.
Criptografia

Bob Alice Charlie


www.inatel.br

Mensagem Mensagem
criptografada com
a chave pblica
de Bob. Alice o Bobs Public
originador da Key
mensagem?

Mensagem
criptografada
Criptografia

Alice Bob Alices Public


Key
www.inatel.br

Mensagem Mensagem
Mensagem criptografada
criptografada
Bobs Public verdadeiramen
Key te originada de Bobs Private
Alice Key
Mensagem
criptografada
Mensagem
Alices Private
Key
Criptografia
Criptografia moderna

Funes de hash
www.inatel.br

Assinatura ou impresso digital de um determinado


fluxo de dados.
Indica que o contedo dos dados foi ou no
alterado.
Para qualquer volume de dados de entrada o
tamanho do digesto fixo!
Operao de mo nica!
Criptografia

Criptografia moderna
Funes de hash
www.inatel.br

Principais algoritmos de Hashing:


MD-5 (Message Digest)
Sada de 128 bits
Criado por Ron Rivest
SHA-1 (Secure Hash Algorithm)
Sada de 160 bits
Baseado nas ideias de Ron Rivest
Padro FIPS do NIST
1 porque foi identificada uma falha na primeira
verso
Criptografia
Testando hash Funo hash
494fd58692403a1134eab75d8af0a9ab

Testando hash,
www.inatel.br

agora com um Funo hash


conjunto de dados b3e80f47aa6256a11a09cb3167983334
maior.

Testando hash, agora


com um conjunto de
dados maior. Porm,
independente do
tamanho do Funo hash
98b09db786d431dc9b6020b5329aa01c
conjunto de dados
de entrada a sada
produzida possui
tamanho fixo.
Criptografia
Funes de Hash
Exemplos:
www.inatel.br

Caractere ASCII Binrio


A 65 0100 0001
a 97 0110 0001

Mensagens: Aldeia NumaBoa


aldeia NumaBoa
Criptografia
Funes de Hash
Exemplos:
www.inatel.br

MD5: Aldeia NumaBoa


3cdb658425ee484e4bff3d4583f6f851

MD5: aldeia NumaBoa


9c1f41ef263026b0283676d63df21fd1
Criptografia
Funes Hash
Efeito avalanche
www.inatel.br

3cdb6584 0011 1100 1101 1011 0110 0101 1000 0100


9c1f41ef 1001 1100 0001 1111 0100 0001 1110 1111
12 bits diferentes
25ee484e 0010 0101 1110 1110 0100 1000 0100 1110
263026b0 0010 0110 0011 0000 0010 0110 1011 0000
20 bits diferentes
4bff3d45 0100 1011 1111 1111 0011 1101 0100 0101
283676d6 0010 1000 0011 0110 0111 0110 1101 0110
16 bits diferentes
83f6f851 1000 0011 1111 0110 1111 1000 0101 0001
3df21fd1 0011 1101 1111 0010 0001 1111 1101 0001
14 bits diferentes
Criptografia
Criptografia moderna

Funes de hash
www.inatel.br

Colises
Possibilidade de dois conjuntos de dados
produzam o mesmo resultado
Criptografia
Criptografia moderna

Funes de hash
www.inatel.br

Principais utilizaes:
Integridade de arquivos
Segurana de senhas
Assinaturas digitais
Criptografia

Alice Bob
www.inatel.br

Mensagem Mensagem

Bobs Public Private Key


Key

Mensagem Mensagem
criptografada criptografada
Criptografia

Bob Algoritmo hash


Alice
www.inatel.br

Mensagem Private Key


......................................

29f16f4fe9878bdd0f150d9f1cf921d3

Assinatura
digital
Mensagem
Assinatura
....................................................................
digital
Criptografia

Bob Alice
www.inatel.br

Mensagem
29f16f4fe9878bdd0f150d9f1cf921d3 Mensagem
29f16f4fe9878bdd0f150d9f1cf921d3
......................................

Bobs Public
Assinatura
Key
digital

Algoritmo hash
Mensagem
Assinatura
....................................................................
digital
Criptografia
Criptografia moderna
Infraestrutura de chaves pblicas - PKI
www.inatel.br

Conjunto de hardware, software,


pessoas, polticas e procedimentos
necessrios para criar, gerenciar,
distribuir, usar, armazenar e revogar
certificados digitais.
Criptografia
Criptografia moderna
Certificate Autority CA
Funciona semelhante a um cartrio de
www.inatel.br

registros;
Valida os dados do solicitante para que o
certificado seja assinado;
Afere a autenticidade de um certificado;
a CA quem garante ao usurio que o
certificado do banco mesmo do banco.
Criptografia
Criptografia moderna
Certificados digitais
www.inatel.br

Baseado no padro X509.


Documento eletrnico que usa uma
assinatura digital para assinar uma
chave pblica com uma identidade.
As CAs utilizam sua chave privada para
assinar um certificado.
Criptografia
Criptografia moderna
Certificados digitais
www.inatel.br

Serial Number: Utilizado para identificar unicamente um certificado.


Subject: A pessoa ou entidade identificada.
Signature Algorithm: O algoritmo usado para criar a assinatura.
Issuer: A entidade que verificou a informao e emitiu o certificado.
Valid-From: A data inicial de validade do certificado.
Valid-To: A data de expirao do certificado.
Key-Usage: Finalidade da chave pblica (signature, certificate signing).
Public Key: A chave pblica.
Thumbprint Algorithm: O algoritmo de hash utilizado para o certificado.
Thumbprint: O hash que assegura que o certificado no foi adulterado.
Criptografia
Certificados digitais
www.inatel.br
Criptografia
Criptografia moderna
Secure Socket Layer SSL/TLS
www.inatel.br

O principal objetivo do protocolo


SSL/TLS proporcionar privacidade e
integridade dos dados entre as partes
comunicantes;
Trabalha na camada de sesso e
oferece suporte a diversos protocolos
de camadas superiores.
Criptografia
Criptografia moderna
Secure Socket Layer SSL/TLS
Privacidade
www.inatel.br

Criptografia de dados
Autenticao
Autenticao de cliente e servidor
Autenticidade
Autenticao de usurios e no-repdio
Integridade
Protege os dados da rede contra
adulterao
Criptografia

Criptografia moderna
Secure Socket Layer SSL/TLS
www.inatel.br

Suporte a diversas aplicaes e protocolos;


Requer uma camada de transporte
confivel (por exemplo, TCP);
Aplicaes precisam suportar o SSL/TLS,
porm no precisam se preocupar com a
gerao de chaves e tcnicas de negociao.
Criptografia
SSL/TLS em camadas

Camada de aplicao
www.inatel.br

HTTP NNTP FTP ....... SHTTP

SSL/TLS

TCP
Criptografia
Criptografia moderna
Secure Socket Layer SSL/TLS
www.inatel.br

O protocolo SSL/TLS composto de


duas camadas: TLS Record Protocol e
o TLS Handshake Protocol
Criptografia
Secure Socket Layer SSL/TLS
TLS Record Protocol
www.inatel.br

Prov segurana de conexo que tem duas


propriedades bsicas:
A conexo privada.
Utilizada criptografia simtrica para criptografia
de dados (DES, RC4, etc);
As chaves para criptografia simtrica so
geradas exclusivamente para cada conexo;
O segredo da chave negociado por outro
protocolo (TLS handshake protocol).
Criptografia

Secure Socket Layer SSL/TLS


TLS Record Protocol
www.inatel.br

A conexo confivel.
Transporte da mensagem inclui uma mensagem
verificao de integridade usando uma chave
HMAC.
Funes de hash seguro (por exemplo, SHA,
MD5, etc) so usados para clculos HMAC.
Criptografia
Secure Socket Layer SSL/TLS
TLS Handshake Protocol
www.inatel.br

Permite que servidor e cliente se


autentique um ao outro e negociem
um algoritmo de criptografia e chaves
criptogrficas antes que o protocolo de
aplicao transmita ou receba o
primeiro byte de dados.
Criptografia
Secure Socket Layer SSL/TLS
TLS Handshake Protocol
O TLS Handshake Protocol fornece
www.inatel.br

segurana de conexo que tem trs


propriedades bsicas:
Identidade do peer pode ser autenticado
usando criptografia assimtrica ou de chave
pblica
A negociao do segredo compartilhado
segura
A negociao confivel
Criptografia

Cliente Servidor
Inicializao de sesso
www.inatel.br

Certificado

Senha master encriptada

Sesso estabelecida
Requisio de certificado
e outros dados

Dados encriptados
Criptografia

Bob Algoritmo hash


Alice
www.inatel.br

Mensagem Private Key

29f16f4fe9878bdd0f150d9f1cf921d3

Assinatura
digital
Chave
Mensagem simtrica
Assinatura Mensagem
digital criptografada .............................
Criptografia

Bob Algoritmo hash


Alice
www.inatel.br

Mensagem
29f16f4fe9878bdd0f150d9f1cf921d3 Mensagem
.............................................

29f16f4fe9878bdd0f150d9f1cf921d3

Bobs Public
Key Mensagem
Assinatura
digital
Assinatura
digital

Chave
Mensagem simtrica
.................................................................... criptografada
www.inatel.br

PERGUNTAS?