Segurança na Web. Programação para a Internet. Prof. Vilson Heck Junior

Transcrição

1 Segurança na Web Programação para a Internet Prof. Vilson Heck Junior

2 Males São inúmeros os males existentes no universo online: Vírus; Trojan; Spyware; Adware; Invasão; Keyloggers; Phishing; Golpes; Spam; Falhas de segurança; Privacidade;...

3 Prevenção Para qualquer um deles, a melhor forma de se prevenir é através do conhecimento: Saber quais riscos existem; Entender porque algo pode ser arriscado; Cartilha:

4 ONLINE! Cuidado com o conteúdo que você coloca no servidor: Mesmo não estando com link inserido em uma página, o conteúdo pode estar sujeito à indexação por mecanismos de busca! Entre no Google e pesquise por senhas.txt.

5 Tecnologias Criptografia; Certificação Digital.

6 Criptografia Criptografia vem do grego: escrita escondida; Basicamente é a transformação de dados, informações, texto, ou qualquer coisa, em símbolos sem equivalência aparente.

7 Criptografia Pode ocorrer em vários níveis: Criptografa o que está criptografado... Criptografia na camada de Transporte: TLS -> SSL: (responsabilidade do browser) Transport Layer Security; Secure Sockets Layer; Criptografia na camada de Apresentação: Com qualquer algoritmo de criptografia: Responsabilidade do programador.

8 Várias Criptografias

9 Criptografia Dado a enviar: Senha: 1234 Dado transmitido: Fqh23$Q#@%sh 2@434!5jsoi internet Dado recebido: Senha: 1234 Criptografia Decriptografia

10 Criptografia Atualmente o modelo de criptografia mais utilizado é o com chave assimétrica: Chave Privada + Chave Pública: onde Chave Privada!= Chave Pública Cifrar Terminal 1 Decifrar Terminal 2 Chave Privada 1 Chave Pública 1 Chave Pública 2 Transferência Chave Privada 2

11 Chave Assimétrica Cada dispositivo que irá utilizar a criptografia assimétrica deverá ter duas chaves: Privada: apenas o próprio dispositivo conhece sua própria chave privada; Pública: quem precisar enviar mensagens ao dispositivo deve conhecê-la;

12 Chave Assimétrica Antes de dois dispositivos trocarem dados, eles trocam suas chaves públicas: Terminal 1 Terminal 2 Chave Privada 1 Chave Pública 2 Chave Pública 1 Chave Privada 2

13 Chave Assimétrica Antes de dois dispositivos trocarem dados, eles trocam suas chaves públicas: Terminal 1 Terminal 2 Chave Privada 1 Chave Pública 1 Chave Pública 2 Chave Privada 2

14 RSA Um dos algoritmos mais seguros e fáceis de entender de criptografia; Na prática a maioria dos sites utilizam diversos tipos de artifícios de segurança ao mesmo tempo, não apenas RSA ou qualquer outro algoritmo; Ronald Rivest, Adi Shamir e Leonard Adleman: MIT As chaves, tanto a privada quanto a pública, são apenas pares de números inteiros;

15 RSA

16 RSA Criação das Chaves: 1. Escolha aleatoriamente dois números primos grandes: p e q (da ordem de pra cima); 2. Calcule n = pq; 3. Calcule t = (p 1)(q 1); 4. Escolha um número e, tal que 1 < e < t, de forma que e e t sejam primos entre si; 5. Calcule d, tal que (d * e) mod t = 1 Chave Pública = {n, e} Chave Privada = {n, d}

17 RSA Exemplo: 1. Dois números primos: p=13 e q=11; 2. Calcule n = pq = 143; 3. Calcule t = (p 1)(q 1) = 120; 4. Número e; 1 < e < t; e e t sejam primos entre si: e = 7; 5. Calcule d, tal que [(d * e) mod t = 1]; -> = 103; Chave Pública = {143, 7} Chave Privada = {143, 103}

18 RSA - Java Scanner entrada = new Scanner(System.in); System.out.print("Digite p(primo): "); long p = Long.parseLong(entrada.nextLine()); System.out.print("Digite q(primo): "); long q = Long.parseLong(entrada.nextLine()); long n = p * q; long t = (p - 1) * (q - 1); long e = 2; while (t % e == 0) e++; long d; for (d = 1; ; d++) if ((d * e) % t == 1 && d!= e) break; System.out.println("Chave Pública: " + n + ", " + e); System.out.println("Chave Privada: " + n + ", " + d);

19 RSA Java (BigInteger) Scanner entrada = new Scanner(System.in); System.out.print("Digite p(primo): "); BigInteger p = new BigInteger(entrada.nextLine()); System.out.print("Digite q(primo): "); BigInteger q = new BigInteger(entrada.nextLine()); BigInteger n = p.multiply(q); BigInteger t = p.subtract(biginteger.one).multiply(q.subtract(biginteger.one)); BigInteger e = new BigInteger("2"); while (t.remainder(e).equals(biginteger.zero)) e = e.add(biginteger.one); BigInteger d = new BigInteger("100"); while (!d.multiply(e).remainder(t).equals(biginteger.one) d.equals(e)) d = d.add(biginteger.one); System.out.println("Chave Pública: " + n + ", " + e); System.out.println("Chave Privada: " + n + ", " + d);

20 BigInteger Criar número primo grande: Documentação; BigInteger seed = new BigInteger( ); BigInteger primo = seed. nextprobableprime(); System.out.println(primo);

21 RSA Cript/Decript Dado uma mensagem m, onde 0 < m < n; Usando a chave pública do destinatário: {n, e} Cifração: c m e modn Usando a chave privada do receptor: {n, d} Decifração: m c d modn

22 RSA Cript/Decript Cifrando a senha numérica: 123 Chave pública: {143, 7} C = 123^7 mod 143 C = 7 Decifrando 7: Chave privada: {143, 103} M = 7^103 mod 143 M = 123

23 Atividade com RSA 1. Crie o seu par de chaves (números pequenos); 2. Divulgue aos colegas qual é sua chave pública; 3. Esconda sua chave privada; 4. Utilize o algoritmo RSA disponibilizado: 1. Cifrar (deve receber os valores: m, n, e) 2. Decifrar (apenas o valor C)

24 Em Programação Web... PHP: Função crypt(): JSP: W3C Classe Cipher: API Java Client Side JavaScript: Web Cryptography API W3C (Em homologação); Muitas outras bibliotecas online.

25 Segurança na WEB CERTIFICAÇÃO DIGITAL

26 Certificação Digital Contraditório com Assinatura Digital: Certificado Digital da Receita Basicamente é um arquivo (ou dados) criptografado por alguém com sua chave privada; O arquivo criptografado é disponibilizado com sua chave pública; Quem receber o arquivo usa a chave pública para abri-lo ; Assim você terá certeza de que o arquivo foi gerado por quem te enviou e está integro.

27 Certificação Digital

28 Certificação Digital Para que um website seja certificado, ele deverá ser cadastrado a uma Unidade Certificadora; Na prática, existem árvores de Unidades Certificadoras; Um exemplo de Certificadora é a Certisign; A empresa é quem irá fornecer suas chaves Pública e Privada, bem como garantir trocas (atualizações das mesmas).

29 Certificação Digital AC Autoridade Certificadora Executam politicas de certificados digitais e expedem certificados às ARs AR Autoridades de Registro Trabalham com usuários finais, reconhecendo-os pessoalmente para realizar seus cadastros ICP - Brasil

30 Certificação Digital Caso você não possa pagar por uma certificação, você poderá gerar suas próprias chaves: OpenSSL; Exemplo: A maioria destas configurações são feitas no servidor: Apache, por exemplo.

31 Conclusões Ao planejar um website que precise de informações seguras: Busque informações sobre como obter uma certificação digital; Configure seu servidor/página web para utilizar a certificação adquirida; Utilize algum tipo de criptografia em camada de aplicação quando possível; Ao gravar dados em bancos de dados, você pode criptografá-los utilizando uma chave assimétrica. Somente sua chave par conseguiria recuperar os dados.