SISTEMAS DE INFORMAÇÃO Redes de Computadores II. Segurança de Redes.

Transcrição

1 Segurança de Redes

2 Podemos identificar as seguintes propriedades desejáveis da comunicação segura: Confidencialidade; Integridade de mensagem; Autenticação do ponto final; Segurança operacional

3 Confidencialidade: apenas o transmissor e o receptor desejado devem entender o conteúdo da mensagem: transmissor codifica msg receptor decodifica msg Integridade de mensagem: transmissor e receptor querem garantir que a mensagem não seja alterada (em trânsito ou após) sem que isto seja detectado. Autenticação do ponto final: transmissor e receptor querem confirmar a identidade um do outro. Segurança operacional: os serviços devem estar acessíveis e disponíveis para os usuários.

4 Breve Histórico Preocupações com a segurança... Cerca de 1900 a.c Júlio César Cofre Backup Ambientes Militares A Criptologia ajudou nos principais conflitos da 2 a Guerra Mundial

5 Introdução Redes de Computadores e a Segurança As corporações (empresas, governos e escolas) estão cada vez mais dependentes de seus sistemas exigem informações compartilhadas; Uso de informações sigilosas (comércio eletrônico) Novas tecnologias (por exemplo, redes sem fio) Necessidade de se manter a Segurança das Informações

6 As preocupações crescem... Aumento do uso da Internet Aumento do registro dos incidentes de segurança (intrusos e funcionários insatisfeitos) Numerosos relatos de vulnerabilidades de softwares (inclusive os de segurança) Proteção física é dificilmente concretizada Segurança de Redes é uma tarefa árdua e complexa!

7 9 a Pesquisa Nacional de Segurança da Informação Hackers Causa desconhecida Funcionários Ex-funcionários Prestadores de serviço Concorrentes Outros 1% 4% 4% 10% 32% 26% 23% PRINCIPAIS RESPONSÁVEIS Acesso remoto 6% Invasão física 6% Outros 5% PRINCIPAIS PONTOS DE INVASÃO Sistemas Internos 23% Internet 60%

8 O conceito de Segurança Computacional Capacidade de assegurar a prevenção ao acesso e à manipulação ilegítima da informação, ou ainda, de evitar a interferência indevida na sua operação normal. Objetivos de Segurança Manuseio Integridade Confidencialidade Disponibilidade Descarte Conf. Int. INFORMAÇÂO Disp. Armazenamento Transporte

9 Objetivos de Segurança Confidencialidade Garantir que as informações não serão reveladas a pessoas não autorizadas; Integridade Disponibilidade Garantir a consistência dos dados, prevenindo a criação não autorizada e a alteração ou destruição dos dados; Garantir que usuários legítimos não terão o acesso negado a informações e recursos; Autenticidade Não-repudiação Garantir que um sujeito usando uma identificação é seu verdadeiro detentor Garantir que o participante de uma comunicação não possa negá-la posteriormente

10 Violações e Ataques de Segurança Quando os objetivos de segurança não são alcançados propriedades não são garantidas há uma violação da segurança! Revelação não autorizada da informação Modificação não autorizada da informação Negação indevida de serviço Ataques de Segurança Passivo: ameaça a confidencialidade Ativo: ameaça a integridade e/ou a disponibilidade

11 Ataques de Segurança A Fonte de Informação Fluxo Normal B Destino da Informação A B A I Interceptação B Interrupção A B A B M Modificação F Fabricação

12 9 a Pesquisa Nacional de Segurança da Informação PRINCIPAIS AMEAÇAS À SEGURANÇA DA INFORMAÇÃO Vírus 66% Funcionários insatisfeitos 53% Divulgação de senhas Acessos indevidos Vazamento de informações 51% 49% 47% Fraudes, erros e acidentes Hackers 41% 39% 37% Falhas na segurança física Uso de notebooks Fraudes em 31% 29%

13 9 a Pesquisa Nacional de Segurança da Informação 35% das empresas no Brasil tiveram perdas financeiras 22% das empresas acima registraram perdas de até R$ 50 mil, 8% entre R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milhão 65% não conseguem quantificar o valor dos prejuízos PREJUÍZOS CONTABILIZADOS De R$ 50 mil a R$ 500 mil 8% De R$ 500 mil a R$ 1 milhão 4% Mais de 1 milhão 1% Até R$ 50 mil 22% Não foi possível quantificar 65%

14 Perfil dos Intrusos O Script Kid Um atacante tecnicamente pouco dotado que pesquisa aleatoriamente um grande número de sistemas à procura de vítimas e depois as explora de forma imprevista (destruição ou subversão); tende a deixar muitos vestígios da sua atividade no sistema O Cracker Intrusivo Um atacante tecnicamente avançado que orienta os seus ataques para vítimas específicas, visando quase sempre apropriar-se de informação valiosa sem deixar rastros; é o atacante mais temido por qualquer administrador informático O Cracker Ético (Hacker) Semelhante ao cracker intrusivo mas com intenções totalmente opostas, atuando muitas vezes ao serviço de empresas da área da segurança na informática

15 Tipos de Ataques

16 Aplicativos Maliciosos

17 Definição Malware = Malicious Software Aplicativos/programas que exploram vulnerabilidades nos sistemas computacionais Podem ser divididos em duas categorias Os que precisam de um aplicativo hospedeiro Os que são independentes E também são diferenciados por poderem ou não se replicar

18 Taxonomia dos Malwares Aplicativos Maliciosos Necessitam Hospedeiro Independente Trapdoor ou backdoor Bombas Lógicas Cavalo de Tróia Vírus Bots Worms Podem ser parte de um vírus ou worm Podem se replicar

19 Porta dos Fundos(Trapdoors ou Backdoors) Ponto de entrada secreto embutido em uma aplicação o qual permite o acesso ao sistema sem que necessite passar por procedimentos de acesso usuais Foi usada legitimamente para que desenvolvedores pudessem dar manutenção nas aplicações, sem que necessitasse passar por processos de autenticação demorados, etc. Geralmente o acesso ao sistema é garantido através de uma seqüência de códigos aceita pelo Trapdoor Tornou-se ameaça -> programadores inescrupulosos

20 Rootkits Porta dos Fundos (Trapdoors ou Backdoors) Tipo especial de backdoor (Unix e Linux) Pacotes para a substituição dos principais binários de diversos sistemas operacionais Os principais objetivos dessas substituições são: Ficar camuflado para o administrador (acessos não ficam registrados nos logs) Garantir outras portas de entrada no sistema (acesso irrestrito) Coletar informações confidenciais (poder de superusuário)

21 Bombas Lógicas Um dos mais velhos aplicativos maliciosos, precedendo os vírus e worms Código embutido em programas legítimos que quando certas condições forem atingidas ele explode Data específica presença ou falta de arquivos determinado usuário que esteja rodando a aplicação Quando é disparada, pode apagar e alterar ou remover dados ou arquivos inteiros, causar uma pane na máquina ou algum outro dano Como se proteger?

22 Cavalo de Tróia (trojan horse) Programa que além de executar as funções para as quais foi projetado, também executa outras funções maliciosas sem o conhecimento do usuário Funções maliciosas que podem ser executadas alteração ou destruição de arquivos furto de senhas e outras informações sensíveis inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador Arquivo único que necessita ser executado

23 Cavalo de Tróia Ações semelhantes a dos Vírus e Worms Distingue-se por não se replicar, infectar outros arquivos, ou propagar cópias de si mesmo automaticamente Fotos, arquivos de música, protetores de telas e jogos Enviados por ou disponíveis em sites da Internet

24 Vírus É um aplicativo que consegue infectar outros programas e arquivos, modificando-os. A modificação inclui uma cópia do vírus, o qual poderá infectar outros aplicativos. Vírus típicos, tomam o controle temporário do sistema operacional, incluindo suas cópias em novos aplicativos. A contaminação entre máquinas pode ser realizada através de dispositivos removíveis (pen-drives/ CDs) ou pela rede (abrir arquivos anexos aos s, abrir arquivos Word, Excel, abrir arquivos em outros computadores) Arquivos precisam ser executados

25 Antivírus Detectar e então anular ou remover os vírus Alguns procuram remover e detectar cavalos de tróia e barrar programas hostis Verificar (entrada e saída) Configure-o corretamente Algumas versões de antivírus são gratuitas e podem ser obtidas pela Internet. Mas antes, verifique sua procedência e certifiquese que o fabricante é confiável Não impede a exploração de alguma vulnerabilidade e não é capaz de impedir o acesso a um backdoor

26 Ferramentas Antivírus Free AVG usuários domésticos Free Avast Home Edition somente usuários domésticos Nod32 Norton Anti-vírus Clam AntiVirus toolkit anti-virus para Unix, para integração com servidores de (analisa os arquivos atachados)

27 Ferramentas Antivírus

28 Worms Faz uma cópia dele mesmo e utiliza as conexões de rede para se disseminar de sistemas em sistemas Diferente do vírus, não necessita ser explicitamente executado para se propagar Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de software instalados Geralmente, não gera os mesmos dados dos vírus São responsáveis por consumir muitos recursos (podem lotar o disco rígido grande quantidade de cópias de si mesmo e enviar pela rede)

29 Similar aos Worms Bots É capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração Diferença: dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente o bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala) determinado O invasor, ao se conectar ao mesmo servidor de IRC, envia mensagens compostas por seqüências especiais de caracteres, que são interpretadas pelo bot

30 Bots Um invasor pode enviar instruções para: desferir ataques na Internet; executar um ataque de negação de serviço furtar dados do computador onde está sendo executado, como por exemplo números de cartões de crédito; enviar s de phishing enviar spam Botnets Redes formadas por computadores infectados com bots Aumentar a potência dos ataques para enviar centenas de milhares de s de phishing ou spam, desferir ataques de negação de serviço, etc

31 Botnet

32 Outras classificações de aplicativos Capturadores de teclas/tela (Keyloggers, Screenloggers) Ficam residentes em memória capturando todas as teclas/telas que o usuário do sistema pressiona/visualiza Envia essas informações para um usuário malicioso Aplicativos de propaganda (Adwares) Ficam residentes em memória, lançando janelas Pop-Up com propagandas As informações sobre as propagandas são atualizadas via rede Aplicativos espiões (Spywares) Residentes em memória, monitoram o comportamento do usuário Sites que ele navega, preferências, etc. Envia essas informações para preparar uma mala-direta ou para ativar Adwares

33 Ferramentas Anti-keylogger for Microsoft Windows NT/2000/XP Workstations Keylogger Hunter Ad-aware Standard Edition detects and removes spyware, adware, trojans, hijackers, dialers, malware, keyloggers a2 Free similar ao Ad-aware Spybot software gratuito

34 Ferramentas

35 Criptografia

36 O que é criptografia? Estudo da Escrita(grafia) Secreta(cripto) Esconder a informação Verificar a exatidão de uma informação Base tecnológica para a resolução de problemas de segurança em comunicações e em computação

37 Criptografia na História Egípcios antigos cifravam alguns de seus hieróglifos O barro de Phaistos (1600 a.c) ainda não decifrado Cifrador de Júlio César, aproximadamente 60 ac Tratado sobre criptografia por Trithemius entre 1500 e 1600

38 Criptografia: Histórico Idade Antiga - Cerca de 487 a.c. SCYTALE

39 Criptografia: Histórico Idade Média - Cerca de Criptografia utilizada pelos Templários

40 Criptografia: Histórico Idade Moderna - (1453 a 1789) Muitas experiências, estudos, publicação de trabalhos. Foi um período de grandes inovações e de grande expansão na criptologia. Gottfried Wilhelm von Leibniz

41 Roda Criptográfica Thomas Jefferson e James Monroe cifravam as suas cartas para manter em sigilo as suas discussões políticas (1785) Roda Criptográfica

42 Criptografia: Histórico História Recente Avanços na ciência e na tecnologia Intensa movimentação de pessoas Grandes Guerras - Enigma, Maquina Púrpura

43 Criptografia Kryptos: significa oculto, envolto, escondido, secreto; Graphos: significa escrever, grafar. Portanto, criptografia significa escrita secreta ou escrita oculta. As formas de ocultar mensagens são as mais diversas.

44 Controles Criptográficos Texto em claro Chave Criptograma Texto original Algoritmo Texto cifrado Algoritmo: seqüência de passos e operações matemáticas que transformam o texto em claro em texto cifrado e vice-versa. Chave: número ou conjunto de números; é o parâmetro variável do algoritmo; característica singular/única; para cada chave existe um criptograma diferente Tamanho das chaves: medido em bits (40,56, 128)

45 Sistemas Criptográficos Estudo da Escrita (Grafia) Secreta (Cripto) Três dimensões para classificar os sistemas: Tipo de operações usadas para transformar o texto Substituição cada elemento é mapeado em outro elemento Transposição elementos no texto em claro são rearrumados

46 Sistemas Criptográficos Número de chaves usadas Simétrica (uma única chave) Assimétrica (duas chaves cifragem de chave pública) A forma na qual o texto em claro é processado Block cipher (cifragem de bloco) Stream cipher (cifragem de fluxo)

47 Cifras de Substituição Cada símbolo ou grupo de símbolos é substituído por um outro símbolo ou conjunto de símbolos. a b c d e f... Q W E R T Y...

48 Cifras de Substituição Princípio: O resultado da criptografia depende de um parâmetro de entrada, denominado chave. Exemplo: Nada de novo no front Chave: N = número de letras deslocadas A B C D E F G H I J K L M N O P Q R S T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Nada de novo no front. N = 3 N = 4 Qdgd gh qryr qr iurqw. Rehe hi rszs rs jvstx.

49 Cifras de Transposição Reordenam as letras da mensagem sem as disfarçar. Cifra baseia-se numa chave que é uma palavra ou frase que contém palavras repetidas.

50 Cifras de Transposição Os caracteres permanecem os mesmos no texto cifrado, mas a ordem deles muda. Os caracteres permanecem os mesmos no texto cifrado mas a ordem deles muda Omnmmsaoau n sdcet aacea rex amto c or to d esce r im emf serd sae pmdl eooe rs s

51 Cifragem de Bloco Cifragem de bloco X Cifragem de fluxo Divide o texto em blocos e opera sobre cada bloco de maneira independente (8 ou 16 bytes de comprimento) Tabela de chaves não é alterada Padding (preenchimento): adicionar bytes extras a um bloco incompleto; quem decifra tem que ser capaz de reconhecer (e ignorar) o preenchimento S E G U R O

52 Cifragem de bloco X Cifragem de fluxo Cifragem de Fluxo Semelhante ao enchimento de uma só vez 1. Utiliza a chave para construir uma tabela de chaves Texto simples Aula de segurança de redes Fluxo de Chave Texto Cifrado 9%jZR+ ^-wv6g...

53 Criptografia Convencional, Simétrica ou de Chave Secreta Texto original Chave Secreta Compartilhada Texto Chave Secreta Compartilhada Algoritmo de Cifragem cifrado Algoritmo de Decifragem (inverso do algo. de cifragem) Texto original Utiliza a mesma chave para encriptar e decriptar uma mensagem. A segurança de cifragem convencional depende do segredo da chave e não do segredo do algoritmo Implementações dos algoritmos de cifragem em chips (baixo custo)

54 Gerenciamento de Chaves Manter todas as suas chaves seguras e disponíveis para utilização Chave de sessão - troca de , conexão da Web ou armazenar dados em bancos de dados KEK Chave de criptografia de chave Chave protegida To: From: Trata-se de um assunto confidencial Chave de sessão Algoritmo de cifragem Algoritmo de cifragem &(Ijaij(& 9 0j9 {?(*2-0 Qh09124çl9 dn 9~j2{

55 O Problema da Distribuição de Chaves Duas partes precisam compartilhar chaves secretas Como duas ou mais pessoas podem, de maneira segura, enviar chaves por meio de linhas inseguras? Trocas de chaves frequentes são desejáveis A força de um sistema criptográfico também está ligado a distribuição das chaves

56 O Problema da Distribuição de Chaves Compartilhamento de chaves antecipadamente Uma chave pode ser selecionada por A e entregue fisicamente a B (pen-drive, CD) A cifra a chave de sessão utilizando criptografia baseada em senha e passa a senha por telefone Caso A e B já compartilham uma chave, a nova chave pode ser enviada cifrada usando a chave antiga (várias chaves) Chave de sessão Chave protegida

57 O Problema da Distribuição de Chaves Terceira Parte Confiável (TTP) Uma (TTP) pode gerar uma chave e entregar fisicamente para A e B A e B confiam em TTP e compartilham uma chave com TTP (entregue fisicamente). Quando A deseja se comunicar com B, este pede uma chave para a TTP Gera a chave de sessão entre A e B Chave de A Chave protegida TTP Chave de B Chave protegida

58 Criptografia de Chave Pública ou Assimétrica O uso do par de chaves tem consequência na: distribuição de chaves, confidencialidade e autenticação. Decifra Cifra Não são idênticas mas são parceiras. Estão matematicamente relacionadas Cada usuário gera o seu par de chaves Privada Pública

59 Criptografia de Chave Pública ou Assimétrica Nesta implementação usuários podem difundir a chave pública para todos que queiram enviar mensagens para eles, visto que apenas com a chave privada será possível a decriptação. Chave Pública é distribuída e a Privada mantida em segredo.

60 Cifragem usando Sistema de Chave Pública (1) A chave pública deve ser colocada em um registrador público (2) A chave privada deve ser muito bem guardada

61 Requisitos para Algoritmos de Criptografia de Chave Pública 1. Computacionalmente fácil para A gerar o par de chaves (pública KPUBb, privada KPRIV b ) 2. Fácil para o emissor gerar o texto cifrado 3. Facil para o Receptor decifrar o texto cifrado com a chave privada 4. Computacionalmente difícil determinar a chave privada (KPRI b ) conhecendo a chave pública (KPUB b ) 5. Computacionalmente difícil recuperar a mensagem M, conhecendo KPUB b e o texto cifrado C 6. Uma das chaves é usada para cifragem e com a outra sendo usada para decifragem

62 Vantagens e desvantagens Vantagens Não há necessidade de canal seguro na troca de chaves, pois não há riscos. Desvantagens A performance do sistema cai demasiadamente se existe uma grande quantidade de dados para decriptografar.

63 Distribuição de Chaves Bob Chave pública de Alice Chave sessão cifrada Chave de Sessão Simétrica Algoritmo de Cifragem de chave pública To: Alice From: João Trata-se de um assunto confidencial Algoritmo de Cifragem Simétrico &(Ijaij(& 9 0j9 {?(*2-0 Qh09124çl9 dn 9~j2{ Alice

64 Conceitos de Criptografia na Web Assinatura Digital Resumo da mensagem Certificados Digitais Autoridades Certificadoras

65 Assinatura Digital Usa uma informação única do emissor para prevenir a negação do envio e a possibilidade de forjar a mensagem Verificar o Autor e a data/hora da assinatura Autenticar o conteúdo original (não foi modificado e segue uma certa seqüência ou tempo) A assinatura deve poder ser verificável por terceiros (resolver disputas)

66 Assinatura Digital Mecanismo que pode garantir que uma mensagem assinada só pode ter sido gerada com informações privadas do signatário. O mecanismo de assinatura digital deve: A) Assegurar que o receptor possa verificar a identidade declarada pelo transmissor (assinatura); B) Assegurar que o transmissor não possa mais tarde negar a autoria da mensagem (verificação).

67 Assinatura Digital Bob Alice Chave privada do do Bob Chave pública do Bob Mensagem autenticada em termos da fonte e da integridade do dado Não garante a confidencialidade da Mensagem

68 Mensagem Mensagem isto é isto é segredo segredo Assinatura Digital Algoritmo de assinatura digital Assinatura digital Chave privada Permite ao receptor verificar a integridade da mensagem: O conteúdo não foi alterado durante a transmissão. O transmissor é quem ele diz ser.

69 O baixo desempenho no uso da criptografia assimétrica a torna ineficiente para mensagens de tamanhos grandes. Sumário de mensagem (message digest) Para contornar o problema, a mensagem não é criptografada por inteiro, mas na verdade é criado um extrato (hash, sumário) do documento. propósito da função hash é produzir uma impressão digital (fingerprint) - um resumo. As funções hash são funções irreversíveis

70 Sumário de mensagem (message digest) Gera um sumário de tamanho fixo para qualquer comprimento de mensagem Efetivamente impossível adivinhar a mensagem a partir do sumário Efetivamente impossível encontrar outra mensagem que gere o mesmo sumário Uma pequena mudança na mensagem muda muito o sumário

71 Assinatura Digital com Resumo ABFC01 FE012A0 2C897C D012DF 41 Algoritmo de Hashing DIGEST F18901B Algoritmo de Criptografia ASSINATURA DIGITAL ABFC01 FE012A0 2C897C D012DF 41 Mensagem com Assinatura Digital MENSAGEM aberta ASSINATURA criptografada

72 Função Hash de uma via H não usa uma chave como entrada Forma mais eficiente Verifica a origem e o conteúdo Mensagem autenticada em termos da fonte e da integridade do dado Não garante a confidencialidade da Mensagem

73 Certificado Digital Resolve a distribuição de chaves Gerenciados pelas Autoridades Certificadoras A certificação das Autoridades Certificadoras é feita através de uma Infra-estrutura de chave pública (ICP)

74 Certificado Digital Certificados digitais estabelecem uma forte vinculação entre a chave pública e algum atributo (nome ou identificação) do proprietário Os certificados administram as questões relacionadas com a obtenção, reconhecimento, revogação, distribuição, validação e, mais importante, para que finalidade a chave pública está associada a uma entidade do mundo real

75 Certificado Digital

76 Certificado Digital

77 Componentes de uma PKI (ICP) Autoridade Certificadora (ACs ou CAs) Emite, gerencia e revoga certificados de usuários finais É responsável pela autenticidade dos seus usuários Fornece aos usuários os seus certificados auto-assinados Públicas (Internet) ou Privadas

78 Componentes de uma PKI (ICP) Autoridade Registradora (AR ou RA) Entidade intermediária entre uma AC e os usuários finais, ajudando uma AC em suas atividades para processamento de certificados Aceitar e verificar as informações de registro Gerar chaves em favor de usuários Aceitar e autorizar solicitações para backup e recuperação de chave Aceitar e autorizar solicitações para revogação de certificados Distribuir ou recuperar dispositivos de hardware (tokens)

79 Revogação de um Certificado Um Certificado pode ser revogado, caso haja comprometimento da chave privada da AC ou da entidade final (usuário); Periodicamente, a AC emite e publica uma Lista de Certificados Revogados (LCR). Razões Chave secreta do usuário está comprometida O usuário não é mais certificado por uma CA (rompimento de contrato) O certificado da CA está comprometido Lista de Certificados Revogados

80 Criptografia de um Certificado

81 Autoridade Certificadora (Verisign, Certisign, Etc.) Autoridade Certificadora C.A. (Certification Authority) CHAVE PRIVADA I.D. do Proprietário I.D. da CA Assinatura Digital Banco do Brasil S.A. Brasilia, DF, Brasil Verisign, Inc. Chave pública (e.g., Banco do Brasil)

82 Netscape: julho de 1994 SSL (Secure Socket Layer) Propósito geral: autenticação, confidencialidade e integridade de mensagens (TCP/IP) Autenticação entre cliente e servidor (mútua) Criptografia na troca de mensagens Suporta diversos algoritmos criptográficos Protocolo criptográfico mais utilizado na Internet IETF padroniza o TLS (Transport Layer Security) SSL v.3 Pode rodar sobre qualquer protocolo orientado a conexão (TCP, X.25) Implementado em todos os navegadores (browsers)

83 SSL (Secure Socket Layer) SSL Secure Socket Layer - é uma camada de rede que pode ser usada por diversas aplicações, equivale à camada 5 (sessão) do modelo OSI. O mais comum é usá-lo para fornecer comunicação privada entre servidores de páginas (web) e seus clientes (navegadores). O protocolo HTTP com o SSL se chama HTTPS e usa a porta 443 no lugar da porta 80. Diversas versões: SSL 2.0, SSL 3.0, TLS 2.0

84 SSL (Secure Socket Layer) Sessão SSL - Associação entre um cliente e o servidor. Criada pelo protocolo handshake (aperto de mão). Define os parâmetros criptográficos de segurança. Protocolo Handshake - Parte mais complexa do protocolo SSL. Permite que servidor e cliente se autentiquem (autenticação mútua) Negocia algoritmos de cifragem e negocia chaves criptográficas de sessão (segredo compartilhado). Usado antes de qualquer dado da aplicação ser transmitido