Criptografia. Aula 4: Autenticação de mensagens e canais seguros. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019
|
|
- Emanuel Quintão
- 5 Há anos
- Visualizações:
Transcrição
1 Criptografia Aula 4: Autenticação de mensagens e canais seguros Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019
2 Integridade e autenticação de mensagens Message Authentication Codes Funções de hash resistentes a colisões Combinação de confidencialidade e integridade
3 Integridade das mensagens Além de confidencialidade, um canal seguro necessita também de garantias de integridade e autenticidade. Um mal entendido muito comum é o de que a utilização de cifras fornece algum tipo de autenticidade: Se a cifra esconde tudo sobre a mensagem, então Alterando o criptograma provocará alterações na mensagem O receptor certamente conseguirá detectar a alteração Esta intuição está errada: Em qualquer cifra sequencial (mesmo segura) a alteração de um bit de criptograma altera um bit de texto limpo. Mesmo no modo CBC é possível alterar selectivamente os bits do primeiro bloco decifrado. O Message Authentication Code (MAC) é a primitiva criptográfica que permite tratar directamente a integridade e autenticidade de mensagens num cenário simétrico.
4 Integridade e autenticação de mensagens Message Authentication Codes Funções de hash resistentes a colisões Combinação de confidencialidade e integridade
5 Sintaxe de um Message Authentication Code Um esquema de MAC define três algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave k. Vamos assumir que k n. Geralmente Gen usa a distribuição uniforme sobre {0, 1} n.
6 Sintaxe de um Message Authentication Code Um esquema de MAC define três algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave k. Vamos assumir que k n. Geralmente Gen usa a distribuição uniforme sobre {0, 1} n. Um algoritmo de geração de tags Mac que, dados uma chave k e uma mensagem m {0, 1}, devolve uma tag t.
7 Sintaxe de um Message Authentication Code Um esquema de MAC define três algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave k. Vamos assumir que k n. Geralmente Gen usa a distribuição uniforme sobre {0, 1} n. Um algoritmo de geração de tags Mac que, dados uma chave k e uma mensagem m {0, 1}, devolve uma tag t. Um algoritmo de verificação determinístico Ver que, dados uma chave k, uma mensagem m e uma tag t, devolve T ou F.
8 Sintaxe de um Message Authentication Code Um esquema de MAC define três algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave k. Vamos assumir que k n. Geralmente Gen usa a distribuição uniforme sobre {0, 1} n. Um algoritmo de geração de tags Mac que, dados uma chave k e uma mensagem m {0, 1}, devolve uma tag t. Um algoritmo de verificação determinístico Ver que, dados uma chave k, uma mensagem m e uma tag t, devolve T ou F. A propriedade de correcção exige que, para todo o n, todas as mensagens m {0, 1} e todas a chaves k geradas por Gen(1 n ): Pr[ Ver k (m, Mac k (m)) = T ] = 1.
9 Sintaxe de um Message Authentication Code Um esquema de MAC define três algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave k. Vamos assumir que k n. Geralmente Gen usa a distribuição uniforme sobre {0, 1} n. Um algoritmo de geração de tags Mac que, dados uma chave k e uma mensagem m {0, 1}, devolve uma tag t. Um algoritmo de verificação determinístico Ver que, dados uma chave k, uma mensagem m e uma tag t, devolve T ou F. A propriedade de correcção exige que, para todo o n, todas as mensagens m {0, 1} e todas a chaves k geradas por Gen(1 n ): Pr[ Ver k (m, Mac k (m)) = T ] = 1. Quando o espaço de mensagens está limitado a {0, 1} l(n), dizemos que se trata de um MAC para mensagens de comprimento fixo. Nesse caso impomos que Ver retorne F para m / {0, 1} l(n).
10 Segurança de um MAC Definição Seja o jogo Auth uf A,Π aquele definido em baixo e seja Π = (Gen, Mac, Ver) um esquema de MAC. Então Π é UF-CMA-seguro se, para qualquer adversário PPT A, existe uma função negligenciável negl tal que: Pr[ Auth uf A,Π(1 n ) T ] negl(n). Game Auth uf A,Π(1 n ): List [ ] k $ Gen(1 n ) (m, t) $ A Auth (1 n ) Return Ver k (m, t) = T m / List Oracle Auth(m): List m : List t $ Mac k (m) Return t
11 Segurança de um MAC Definição Seja o jogo Auth uf A,Π aquele definido em baixo e seja Π = (Gen, Mac, Ver) um esquema de MAC. Então Π é UF-CMA-seguro se, para qualquer adversário PPT A, existe uma função negligenciável negl tal que: Pr[ Auth uf A,Π(1 n ) T ] negl(n). Game Auth uf A,Π(1 n ): List [ ] k $ Gen(1 n ) (m, t) $ A Auth (1 n ) Return Ver k (m, t) = T m / List Oracle Auth(m): List m : List t $ Mac k (m) Return t O adversário pode escolher as mensagens que são autenticadas antes de falsificar uma tag para uma nova mensagem qualquer. Realista?
12 Ataques por repetição O modelo anterior não protege as aplicações contra ataques por repetição.
13 Ataques por repetição O modelo anterior não protege as aplicações contra ataques por repetição. A maneira usual de lidar com esses ataques é deixa-los ao cuidado dos protocolos de alto nível. Esses protocolos devem assegurar que os parceiros legítimos nunca autenticam duas mensagens iguais:
14 Ataques por repetição O modelo anterior não protege as aplicações contra ataques por repetição. A maneira usual de lidar com esses ataques é deixa-los ao cuidado dos protocolos de alto nível. Esses protocolos devem assegurar que os parceiros legítimos nunca autenticam duas mensagens iguais: Através da inclusão de time-stamps, o que implica sincronização de relógios, mas permite eliminar estado de longa duração.
15 Ataques por repetição O modelo anterior não protege as aplicações contra ataques por repetição. A maneira usual de lidar com esses ataques é deixa-los ao cuidado dos protocolos de alto nível. Esses protocolos devem assegurar que os parceiros legítimos nunca autenticam duas mensagens iguais: Através da inclusão de time-stamps, o que implica sincronização de relógios, mas permite eliminar estado de longa duração. Através da utilização de números de sequência, o que implica manter estado de longa duração.
16 Funções de hash criptográficas Uma função de hash H é uma função que recebe uma sequência de tamanho arbitrário e a comprime para uma sequência mais curta. As funções de hash resistentes a colisões têm a propriedade de ser impraticável encontrar dois valores x x tal que H(x) = H(x ). A resistência a colisões é trivial de atingir no caso de não ser necessária compressão.
17 Funções de hash criptográficas Uma função de hash H é uma função que recebe uma sequência de tamanho arbitrário e a comprime para uma sequência mais curta. As funções de hash resistentes a colisões têm a propriedade de ser impraticável encontrar dois valores x x tal que H(x) = H(x ). A resistência a colisões é trivial de atingir no caso de não ser necessária compressão. Formalmente, tal como no caso das funções pseudo-aleatórias, vamos falar de funções de hash H indexadas por uma chave s. Esta chave não tem de ser secreta! Para evidenciar este facto, vamos escrever H s (x).
18 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT:
19 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s.
20 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s. Um algoritmo determinístico de avaliação H tal que, existe um polinómio l( ) para o qual, dados uma chave s e uma mensagem x {0, 1}, H s (x) devolve uma imagem h {0, 1} l(n). Se H s está definida apenas para inputs x {0, 1} l (n) com l (n) > l(n), então dizemos que a função de hash trata mensagens de tamanho fixo.
21 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s. Um algoritmo determinístico de avaliação H tal que, existe um polinómio l( ) para o qual, dados uma chave s e uma mensagem x {0, 1}, H s (x) devolve uma imagem h {0, 1} l(n). Se H s está definida apenas para inputs x {0, 1} l (n) com l (n) > l(n), então dizemos que a função de hash trata mensagens de tamanho fixo. A definição impõe compressão, mesmo no caso de mensagens de tamanho fixo.
22 Integridade e autenticação de mensagens Message Authentication Codes Funções de hash resistentes a colisões Combinação de confidencialidade e integridade
23 Funções de hash resistentes a colisões Uma função de hash H é uma função que recebe uma sequência de tamanho arbitrário e a comprime para uma sequência mais curta. As funções de hash resistentes a colisões têm a propriedade de ser impraticável encontrar dois valores x x tal que H(x) = H(x ). A resistência a colisões é trivial de atingir no caso de não ser necessária compressão.
24 Funções de hash resistentes a colisões Uma função de hash H é uma função que recebe uma sequência de tamanho arbitrário e a comprime para uma sequência mais curta. As funções de hash resistentes a colisões têm a propriedade de ser impraticável encontrar dois valores x x tal que H(x) = H(x ). A resistência a colisões é trivial de atingir no caso de não ser necessária compressão. Formalmente, tal como no caso das funções pseudo-aleatórias, vamos falar de funções de hash H indexadas por uma chave s. No entanto, esta chave não tem de ser secreta! Para evidenciar este facto, vamos escrever H s (x).
25 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT:
26 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s.
27 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s. Um algoritmo determinístico de avaliação H tal que, existe um polinómio l( ) para o qual, dados uma chave s e uma mensagem x {0, 1}, H s (x) devolve uma imagem h {0, 1} l(n). Se H s está definida apenas para inputs x {0, 1} l (n) com l (n) > l(n), então dizemos que a função de hash trata mensagens de tamanho fixo.
28 Sintaxe de uma função de hash criptográfica Um esquema de função de hash define dois algoritmos PPT: Um algoritmo probabiĺıstico Gen de geração de chaves, que recebe o parâmetro de segurança 1 n e gera uma chave s. Vamos assumir que 1 n está impĺıcito em s. Um algoritmo determinístico de avaliação H tal que, existe um polinómio l( ) para o qual, dados uma chave s e uma mensagem x {0, 1}, H s (x) devolve uma imagem h {0, 1} l(n). Se H s está definida apenas para inputs x {0, 1} l (n) com l (n) > l(n), então dizemos que a função de hash trata mensagens de tamanho fixo. A definição impõe compressão, mesmo no caso de mensagens de tamanho fixo. A função de hash é geralmente pública, ou seja, a chave s tem de ser divulgada.
29 Resistência a colisões Definição Seja o jogo Hash cr A,Π aquele definido em baixo e seja Π = (Gen, H) um esquema de MAC. Então Π é CR-seguro se, para qualquer adversário PPT A, existe uma função negligenciável negl tal que: Pr[ Hash cr A,Π(1 n ) T ] negl(n). Game Hash cr A,Π(1 n ): s $ Gen(1 n ) (x, x ) $ A(s) Return x x H s (x) = H s (x ) No caso de mensagens de tamanho fixo, um adversário é legítimo se x, x {0, 1} l(n).
30 Noções de segurança mais fracas para funções de hash A resistência a colisões é uma propriedade forte e difícil de atingir. Em muitas aplicações é suficiente um nível de segurança menor:
31 Noções de segurança mais fracas para funções de hash A resistência a colisões é uma propriedade forte e difícil de atingir. Em muitas aplicações é suficiente um nível de segurança menor: Resistência a encontrar uma segunda pré-imagem: Dados s e x, é impraticável encontrar x x tal que H s (x) = H s (x ).
32 Noções de segurança mais fracas para funções de hash A resistência a colisões é uma propriedade forte e difícil de atingir. Em muitas aplicações é suficiente um nível de segurança menor: Resistência a encontrar uma segunda pré-imagem: Dados s e x, é impraticável encontrar x x tal que H s (x) = H s (x ). Resistência a encontrar uma pré-imagem: Dado s e H s (x), é impraticável encontrar x tal que H s (x) = H s (x ).
33 Noções de segurança mais fracas para funções de hash A resistência a colisões é uma propriedade forte e difícil de atingir. Em muitas aplicações é suficiente um nível de segurança menor: Resistência a encontrar uma segunda pré-imagem: Dados s e x, é impraticável encontrar x x tal que H s (x) = H s (x ). Resistência a encontrar uma pré-imagem: Dado s e H s (x), é impraticável encontrar x tal que H s (x) = H s (x ). Qualquer função de hash que seja resistente a colisões, é também resistente a encontrar uma segunda pré-imagem. Porquê?
34 Noções de segurança mais fracas para funções de hash A resistência a colisões é uma propriedade forte e difícil de atingir. Em muitas aplicações é suficiente um nível de segurança menor: Resistência a encontrar uma segunda pré-imagem: Dados s e x, é impraticável encontrar x x tal que H s (x) = H s (x ). Resistência a encontrar uma pré-imagem: Dado s e H s (x), é impraticável encontrar x tal que H s (x) = H s (x ). Qualquer função de hash que seja resistente a colisões, é também resistente a encontrar uma segunda pré-imagem. Porquê? Qualquer função de hash imponha uma compressão significativa e que seja resistente a encontrar uma segunda pré-imagem, é também resistente a encontrar uma pré-imagem. Porquê?
35 Ataques genéricos a funções de hash Existem ataques genéricos que indicam limites inferiores para o tamanho do output de uma função de hash resistentes a colisões. O ataque Birthday funciona da seguinte forma: Geram-se q valores distintos x 1,..., x q em {0, 1} 2l(n). Calculam-se todos os valores H s (x i ) e verifica-se se existe uma colisão. Qual a probabilidade de se encontrar uma colisão?
36 Ataques genéricos a funções de hash Existem ataques genéricos que indicam limites inferiores para o tamanho do output de uma função de hash resistentes a colisões. O ataque Birthday funciona da seguinte forma: Geram-se q valores distintos x 1,..., x q em {0, 1} 2l(n). Calculam-se todos os valores H s (x i ) e verifica-se se existe uma colisão. Qual a probabilidade de se encontrar uma colisão? Se q > 2 l(n) essa probabilidade é 1.
37 Ataques genéricos a funções de hash Existem ataques genéricos que indicam limites inferiores para o tamanho do output de uma função de hash resistentes a colisões. O ataque Birthday funciona da seguinte forma: Geram-se q valores distintos x 1,..., x q em {0, 1} 2l(n). Calculam-se todos os valores H s (x i ) e verifica-se se existe uma colisão. Qual a probabilidade de se encontrar uma colisão? Se q > 2 l(n) essa probabilidade é 1. Para analizar q menor, vamos considerar a probabilidade mais desfavorável. Assumir função de hash ideal, em que os novos outputs tomam a distribuição uniforme.
38 Ataques genéricos a funções de hash Qual a probabilidade de y 1,..., y q $ {0, 1} l(n) gerar pelo menos uma repetição?
39 Ataques genéricos a funções de hash Qual a probabilidade de y 1,..., y q $ {0, 1} l(n) gerar pelo menos uma repetição? Exactamente o problema analisado pelo paradoxo do aniversário : bastam 23 pessoas numa sala para haver mais de 50% de hipóteses de uma repetição.
40 Ataques genéricos a funções de hash Qual a probabilidade de y 1,..., y q $ {0, 1} l(n) gerar pelo menos uma repetição? Exactamente o problema analisado pelo paradoxo do aniversário : bastam 23 pessoas numa sala para haver mais de 50% de hipóteses de uma repetição. Em geral, se q = Θ(2 l(n)/2 ) a probabilidade é superior a 1/2.
41 Ataques genéricos a funções de hash Qual a probabilidade de y 1,..., y q $ {0, 1} l(n) gerar pelo menos uma repetição? Exactamente o problema analisado pelo paradoxo do aniversário : bastam 23 pessoas numa sala para haver mais de 50% de hipóteses de uma repetição. Em geral, se q = Θ(2 l(n)/2 ) a probabilidade é superior a 1/2. Com uma ordenação dos outputs, o tempo de execução pode ser T = O(l(n) 2 l(n)/2 ). Se queremos que este tempo seja exponencial no parâmetro de segurança, podemos fazer log(t ) n.
42 Ataques genéricos a funções de hash Qual a probabilidade de y 1,..., y q $ {0, 1} l(n) gerar pelo menos uma repetição? Exactamente o problema analisado pelo paradoxo do aniversário : bastam 23 pessoas numa sala para haver mais de 50% de hipóteses de uma repetição. Em geral, se q = Θ(2 l(n)/2 ) a probabilidade é superior a 1/2. Com uma ordenação dos outputs, o tempo de execução pode ser T = O(l(n) 2 l(n)/2 ). Se queremos que este tempo seja exponencial no parâmetro de segurança, podemos fazer log(t ) n. Daqui retiramos l(n) 2 n, hoje com n 80. (Estas conclusões não se aplicam em termos assimptóticos e a modelos de segurança mais fracos.)
43 Construções resistentes a colisões A construção de Merkle-Damgård permite estender qualquer função de hash para mensagens de tamanho fixo e CR-segura para mensagens de tamanho variável. Vamos supor uma função de hash (Gen, h) com h s : 2 l(n) l(n). Esta função chama-se a função de compressão. Algorithm Gen(1 n ) s $ Gen (1 n ) Return s Algorithm H s (x) Se x 2 l(n) Return B x /l(n) x pad(x, 0, l(n)) (x 1,..., x B ) partition(x, l(n)) x B+1 x z 0 0 l(n) // Vector de inicialização (IV) For i [1... B + 1], z i h s (z i 1 x i ) Return B i+1 pad completa a mensagem com 0 até um múltiplo de l(n). partition parte a mensagem em blocos de tamanho l(n). x é codificado como uma sequência em {0, 1} l(n).
44 Segurança da construção Merkle-Damgård Teorema Se (Gen, h) é CR-segura para mensagens de tamanho fixo 2 l(n), então a construção anterior é CR-segura para mensagens de tamanho variável, até um máximo de 2 l(n) 1. Prova.
45 Segurança da construção Merkle-Damgård Teorema Se (Gen, h) é CR-segura para mensagens de tamanho fixo 2 l(n), então a construção anterior é CR-segura para mensagens de tamanho variável, até um máximo de 2 l(n) 1. Prova. Intuição: Uma colisão no valor final da cadeia só pode acontecer se houver uma colisão em h s num dos passos intermédios. Consideram-se duas situações: x x. Neste caso a colisão acontece no último bloco. x = x. Neste caso, é fácil justificar que existe um ponto na sequência tal que inputs diferentes a h s (justificados por x x ) produzem outputs iguais (justificados por H s (x) = H s (x )).
46 Funções de hash criptográficas na prática Existem construções de funções de hash CR-seguras com provas de segurança que as relacionam com problemas de teoria de números. No entanto, aquelas utilizadas na prática (e.g., SHA-1) são, geralmente, desenhadas de forma ad-hoc.
47 Funções de hash criptográficas na prática Existem construções de funções de hash CR-seguras com provas de segurança que as relacionam com problemas de teoria de números. No entanto, aquelas utilizadas na prática (e.g., SHA-1) são, geralmente, desenhadas de forma ad-hoc. Estas funções não têm chaves. Podemos ver esta opção como a geração de uma única chave s que é fixada na descrição de H. Formalmente existe sempre um algoritmo que quebra esta função: Consideremos o algoritmo que tem fixas na sua descrição duas mensagens x e x tal que H s (x) = H s (x ). Este algoritmo certamente existe e consegue encontrar uma colisão com probabilidade 1.
48 Funções de hash criptográficas na prática Existem construções de funções de hash CR-seguras com provas de segurança que as relacionam com problemas de teoria de números. No entanto, aquelas utilizadas na prática (e.g., SHA-1) são, geralmente, desenhadas de forma ad-hoc. Estas funções não têm chaves. Podemos ver esta opção como a geração de uma única chave s que é fixada na descrição de H. Formalmente existe sempre um algoritmo que quebra esta função: Consideremos o algoritmo que tem fixas na sua descrição duas mensagens x e x tal que H s (x) = H s (x ). Este algoritmo certamente existe e consegue encontrar uma colisão com probabilidade 1. Na prática assume-se que é impraticável construir este algoritmo, o que é difícil de formalizar. Conclusão: As provas de segurança que se baseiam em CR-segurança não são estritamente válidas.
49 NMAC O NMAC (nested MAC) usa uma construção tipo Merkle-Damgård em que a função de compressão é utilizada para misturar chaves secretas com as mensagens. m 1 m 2 m k 2 s h s h s h k 1 s h t A prova de segurança assume que o último passo é um MAC para mensagens de tamanho fixo e que h é resistente a colisões.
50 HMAC Se quisermos utilizar o NMAC com uma função de hash criptográfica standardizada, então o vector de inicialização da construção Merkle-Damgård tem de ser alterado. Na realidade o NMAC não é muito utilizado na prática, mas sim o seu antecessor HMAC, que é uma norma internacional. O HMAC computa simplesmente t H s ((k opad) H s ((k ipad) m)) O HMAC é extremamente eficiente e implementável com componentes off-the-shelf.
51 Integridade e autenticação de mensagens Message Authentication Codes Funções de hash resistentes a colisões Combinação de confidencialidade e integridade
52 Cifras seguras contra chosen-ciphertext attacks Definição Seja o jogo Priv cca A,Π aquele definido em baixo e seja Π = (Gen, Enc, Dec) um esquema de cifra simétrico. Então Π é IND-CCA-seguro se, para qualquer adversário PPT A = (A 1, A 2 ), existe uma função negligenciável negl tal que: Pr[ Priv cca A,Π(1 n ) T ] negl(n). Game Priv cpa A,Π (1n ): k $ Gen(1 n ) (m 0, m 1, st) $ A Encrypt,Decrypt 1 (1 n ) b $ {0, 1} c $ Enc k (m b ) b $ A Encrypt,Decrypt 2 (c, st) Return b = b Oracle Encrypt(m): c $ Enc k (m) Return c Oracle Decrypt(c): m $ Dec k (c) Return m O adversário é legitimo se m 0 = m 1 e se A 2 não inclui c nas suas chamadas a Decrypt.
53 Propriedades do modelo IND-CCA Nenhum esquema pode ser seguro se não se excluir c das chamadas a Decrypt. Porquê? Poderá ser possível com estado. Como para o modelo IND-CPA, verifica-se a seguinte propriedade. Teorema Qualquer esquema de cifra simétrico que é IND-CCA-seguro, oferece o mesmo nível de segurança para múltiplas mensagens.
54 Propriedades do modelo IND-CCA Nenhum esquema pode ser seguro se não se excluir c das chamadas a Decrypt. Porquê? Poderá ser possível com estado. Como para o modelo IND-CPA, verifica-se a seguinte propriedade. Teorema Qualquer esquema de cifra simétrico que é IND-CCA-seguro, oferece o mesmo nível de segurança para múltiplas mensagens. Segurança neste modelo implica segurança IND-CPA. Implica também que os criptogramas são não-maleáveis. Porquê? Nenhum dos esquemas de cifra simétrica IND-CPA que estudámos atinge este nível de segurança.
55 Construção de um esquema IND-CCA Seja Π E = (Gen E, Enc, Dec) um esquema de cifra simétrico e seja Π M = (Gen M, Mac, Ver) um esquema de MAC. Define-se um esquema de cifra simétrico Π = (Gen, Enc, Dec ) da seguinte forma. Algorithm Gen (1 n ) k 1 $ Gen E (1 n ) k 2 $ Gen M (1 n ) Return (k 1, k 2 ) Algorithm Enc (k 1,k 2 ) (m) c $ Enc k1 (m) t $ Mac k2 (c) Return (c, t) k 1 k 2 m Enc c Mac Algorithm Dec (k 1,k 2 )(c, t) If Ver k2 (c, t) = F Return Return Dec k1 (c) t c
56 Análise do esquema O algoritmo de decifração retorna um símbolo de falha quando detecta um criptograma inválido. Teorema Se Π E é IND-CPA-segura e Π M é UF-CMA segura e gera tags únicas, então Π é IND-CCA-segura. Prova. Intuição: O adversário não consegue fazer nenhuma chamada a Decrypt sem quebrar Π M. Excluída esta possibilidade, então o adversário essencialmente a quebrar a segurança de Π E. A segurança depende de uma propriedade especial do Mac. Porquê?
57 Análise do esquema O algoritmo de decifração retorna um símbolo de falha quando detecta um criptograma inválido. Teorema Se Π E é IND-CPA-segura e Π M é UF-CMA segura e gera tags únicas, então Π é IND-CCA-segura. Prova. Intuição: O adversário não consegue fazer nenhuma chamada a Decrypt sem quebrar Π M. Excluída esta possibilidade, então o adversário essencialmente a quebrar a segurança de Π E. A segurança depende de uma propriedade especial do Mac. Porquê? Definição Um esquema de MAC Π = (Gen, Mac, Ver) gera tags únicas se, para todas as chaves k geradas por Gen, e todas as mensagens m, existir apenas uma única tag t tal que Ver k (t, m) = T.
58 Canais seguros Geralmente na implementação de um canal seguro impomos garantias de confidencialidade e autenticidade. Será que todas as combinações de cifras e MACs são seguras? Encrypt-and-authenticate Authenticate-then-encrypt Encrypt-then-authenticate Algorithm Enc (k1,k 2)(m) c $ Enc k1 (m) t $ Mac k2 (m) Return (c, t) Algorithm Enc (k1,k 2)(m) t $ Mac k2 (m) c $ Enc k1 (m t) Return c Algorithm Enc (k1,k 2)(m) c $ Enc k1 (m) t $ Mac k2 (c) Return (c, t)
59 Canais seguros Antes de analisarmos a segurança das construções anteriores, é necessário definir o que entendemos por segurança neste contexto. Definimos um protocolo de transmissão de mensagens elementar entre dois parceiros e baseado numa cifra Π da seguinte forma: Os dois parceiros A e B executam num ambiente seguro o algoritmo k $ Gen(1 n ), e armazenam k. Se A pretende enviar uma mensagem m a B, calcula c $ Enc k (m) e envia-a pelo canal. Quando B recebe c, calcula m Dec k (c). Se m =, assinala um erro. Caso contrário, assinala a recepção de m. (Os protocolos práticos são muito mais complexos do que este, e necessitam de tratar múltiplas sessões entre múltiplos parceiros.)
60 Canais seguros/cifras autenticadas Definição Seja o jogo Auth mt A,Π aquele definido em baixo e seja Π = (Gen, Enc, Dec) um esquema de cifra. Então Π é uma instanciação segura para o protocolo de transmissão de mensagens anterior se é IND-CCA-seguro e se, para qualquer adversário PPT A, existe uma função negligenciável negl tal que: Pr[ Auth mt A,Π(1 n ) T ] negl(n). Game Auth mt A,Π(1 n ): List [ ] k $ Gen(1 n ) c $ A Encrypt (1 n ) Return Dec k (c) m / List Oracle Encrypt(m): List m : List c $ Enc k (m) Return c O adversário deve ser incapaz de encontrar um criptograma válido por si próprio (mesmo sem saber a mensagem). Realista?
61 Encrypt-and-authenticate Nesta construção, a mensagem é cifrada e autenticada independentemente: Será que combinando: c $ Enc k1 (m) and t $ Mac k2 (m). um esquema de cifra IND-CCA-seguro com um esquema de MAC UF-CMA-seguro, obtemos um esquema de cifra seguro para transmissão de mensagens?
62 Encrypt-and-authenticate Nesta construção, a mensagem é cifrada e autenticada independentemente: Será que combinando: c $ Enc k1 (m) and t $ Mac k2 (m). um esquema de cifra IND-CCA-seguro com um esquema de MAC UF-CMA-seguro, obtemos um esquema de cifra seguro para transmissão de mensagens? Considere-se um esquema de MAC que divulga toda a mensagem nas tags que produz. A combinação deste MAC com qualquer cifra irá produzir uma nova cifra que não oferece qualquer segurança!
63 Authenticate-then-encrypt Nesta construção, a mensagem é primeiro autenticada, sendo a tag cifrada conjuntamente com a mensagem: t $ Mac k2 (m) then c $ Enc k1 (m t). Como anteriormente, será que combinando componentes seguros obtemos um esquema de cifra seguro para transmissão de mensagens?
64 Authenticate-then-encrypt Nesta construção, a mensagem é primeiro autenticada, sendo a tag cifrada conjuntamente com a mensagem: t $ Mac k2 (m) then c $ Enc k1 (m t). Como anteriormente, será que combinando componentes seguros obtemos um esquema de cifra seguro para transmissão de mensagens? Considere-se uma cifra por blocos utilizada em modo CTR, com a alteração de que se cifra a mensagem processada encode(m t). encode expande um bit 0 para 00 e um bit 1 para 10 ou 01. Para decifrar rejeita-se apenas 11. A cifra resultante é ainda IND-CPA segura. No entanto, qualquer esquema de MAC originará um esquema de cifra que não é IND-CCA-segura! Porquê?
65 Encrypt-then-authenticate Nesta construção, a mensagem é primeiro cifrada, sendo o criptograma depois autenticado: c $ Enc k1 (m) then t $ Mac k2 (c). Qualquer combinação de esquemas seguros resulta num esquema seguro! Teorema Se Π E é IND-CPA-segura e Π M é UF-CMA segura e gera tags únicas, então a combinação encrypt-then-mac é uma instanciação segura para o protocolo de transmissão de mensagens. Prova. Será que todos os esquemas IND-CCA são instanciações válidas?
66 Chaves independentes Será que nas construções anteriores é essencial que as chaves k 1 e k 2 sejam independentes? Considere-se uma permutação F fortemente pseudo-aleatória (o adversário tem acesso a F 1 ): Defina-se Enc k (m) = F k (m r) com r $ {0, 1} n/2. Defina-se Mac k (c) = F 1 k (c). Esta utilização da PRF resulta (independentemente) numa cifra IND-CCA-segura e num MAC UF-CMA-seguro. No entanto, a combinação encrypt-then-mac que reutiliza a mesma chave não oferece qualquer segurança. Porquê?
67 Galois-Counter Mode Para além de composições como as anteriores, há esquemas que visam atingir o nível de segurança necessário num canal seguro de forma integrada e optimizada. O modo GCM, standardizado no TLS 1.3 é um deles (Wikipedia):
Criptografia. Aula 4: Autenticação de mensagens e canais seguros. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019
Criptografia Aula 4: Autenticação de mensagens e canais seguros Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019 Integridade e autenticação de mensagens Message Authentication Codes Construções de MACs Integridade
Leia maisCriptografia. Aula 4: Cifras simétricas a partir de cifras por blocos. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019
Criptografia Aula 4: Cifras simétricas a partir de cifras por blocos Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019 Segurança de uma cifra simétrica Pseudo-aleatoriedade Primeiras construções de cifras
Leia maisCriptografia. Criptografia de Chave Pública. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019
Criptografia Criptografia de Chave Pública Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019 Parte I Criptografia de chave pública Cifras de chave pública Esquemas híbridos Cifra RSA Cifra ElGamal Segurança
Leia maisCriptografia. Criptografia de Chave Pública. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019
Criptografia Criptografia de Chave Pública Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019 Parte I Criptografia de chave pública Pressupostos Computacionais Nas aulas anteriores vimos diversas primitivas
Leia maisCriptografia. Aula 3: Segurança Computacional. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019
Criptografia Aula 3: Segurança Computacional Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019 Segurança computacional Segurança de uma cifra simétrica Pseudo-aleatoriedade Primeiras construções de cifras
Leia maisAula 5 - Integridade e Criptografia autenticada. 10 de Maio de 2016
GBC083 Segurança da Informação Aula 5 - Integridade e Criptografia autenticada 10 de Maio de 2016 Funções Hash Outra forma de obter integridade Funções hash criptográficas: mapa entre mensagens de comprimento
Leia maisAula 5 - Integridade e Criptografia autenticada. 9 de Maio de 2016
GBC083 Segurança da Informação Aula 5 - Integridade e Criptografia autenticada 9 de Maio de 2016 Integridade de mensagens Sigilo vs. Integridade Até agora, preocupados com garantia de sigilo da comunicação
Leia maisCódigos de Autenticação de Mensagens. Instituto de Computação - UNICAMP
Códigos de Autenticação de Mensagens Instituto de Computação - UNICAMP Agenda Agenda Códigos de Autenticação de Mensagens Agenda Códigos de Autenticação de Mensagens Construção (CBC-MAC, CMAC) Funções
Leia maisGBC083 - Segurança da Informação Aula 3 - Sigilo Computacional
GBC083 - Segurança da Informação Aula 3 - Sigilo Computacional Prof. Marcelo Keese Albertini 30 de Agosto de 2016 Criptografia simétrica Sigilo perfeito Nenhuma informação sobre o texto original é aparente
Leia maisMecanismos Criptográficos Esquemas
Mecanismos Criptográficos Esquemas Notas para a UC de Segurança Informática Inverno de 12/13 Pedro Félix (pedrofelix em cc.isel.ipl.pt) José Simão (jsimao em cc.isel.ipl.pt) Instituto Superior de Engenharia
Leia maisUTILIZAÇÃO DE HASH CRIPTOGRAFADA PARA TRANSPORTE DE MENSAGENS (MAC), NO USO DO HMAC
UTILIZAÇÃO DE HASH CRIPTOGRAFADA PARA TRANSPORTE DE MENSAGENS (MAC), NO USO DO HMAC Acadêmico: Matheus Bauer RESUMOS DE MENSAGENS Pelo fato de a criptografia de chave pública ser lenta, não é uma boa ideia
Leia maisCom Pseudo-OTP é possível superar a primeira limitação Mas ainda tem a segunda, como evitá-la?
Revisão Sigilo perfeito tem 2 limitações Chave tem que ter o comprimento da mensagem Chave só poder ser usada apenas uma vez Com Pseudo-OTP é possível superar a primeira limitação Mas ainda tem a segunda,
Leia maisSegurança Informática em Redes e Sistemas
Instituto Superior Politécnico de Ciências e Tecnologia Segurança Informática em Redes e Sistemas Prof Pedro Vunge http://pedrovunge.com I Semestre de 2019 SUMÁRIO : Criptografia de Chave Pública ou Assimétrica;
Leia maisCriptografia Aplicada LESI / LMCC Exame de Recurso Fevereiro de 2008
Criptografia Aplicada LESI / LMCC Exame de Recurso Fevereiro de 2008 1 ATENÇÃO: Quem estiver a realizar o teste referente à primeira parte da matéria deve responder às questões assinaladas com 1 ; à segunda
Leia maisProf. M.Sc. Charles Christian Miers
TES16/TOCC20 - Introdução à Segurança da Informação Módulo 06: Autenticidade e Resumos Prof. M.Sc. Charles Christian Miers e-mail: charles@joinville.udesc.br Problema Comunicações em Redes de Computadores
Leia mais(2010/11/17) P. Quaresma. Criptografia. Cifras Fieiras. Cifras por Blocos. Cifras de Chaves. Cifras de Chaves. MDCs. MACs 185 / 248 (2010/11/17)
Criptográficas Criptográficas O papel das funções de dispersão na criptografia está relacionado em especial com os aspectos de verificação da integridade da informação e autenticação das mensagens. Dado
Leia mais(2012/09/17 (v23)) P. Quaresma. Criptografia. Cifras Fieiras. Cifras por Blocos. Cifras de Chaves. Cifras de Chaves. MDCs.
As funções de dispersão ( hash functions ) caracterizam-se por aplicarem um dado conjunto de valores (de grande dimensão) num outro conjunto de valores, não necessariamente do mesmo tipo, de menor dimensão.
Leia maisNoções de segurança ainda mais fortes
Noções de segurança ainda mais fortes Até agora, usou-se modelo de atacantes passivos que apenas escutavam as comunicações Mudança do tipo de ataque considerado: atacante ativo Atacante pode modificar
Leia maisAula 16. Ivan Sendin. 17 de outubro de FACOM - Universidade Federal de Uberlândia Seg. Ivan Sendin. News!
urança da Informação Aula 16 FACOM - Universidade Federal de Uberlândia ivansendin@yahoo.com,sendin@ufu.br 17 de outubro de 2017 nransom Key Reinstallation Attacks (KRA) / WiFi - WPA2 (https://www.krackattacks.com/)
Leia maisSegurança de Sistemas de Informação
Segurança de Sistemas de Informação Mestrado em Ciência da Informação E-mail: 1 A criptografia é a arte ou ciência que permite escrever de forma a ocultar conteúdos. O objectivo da criptografia é que um
Leia maisGBC083 - Segurança da Informação Aula 2 - Sigilo Perfeito. 28 de Março de 2016
GBC083 - Segurança da Informação Aula 2 - Sigilo Perfeito 28 de Março de 2016 Encriptação segura Meta: Independentemente de qualquer informação prévia que o atacante tem sobre o texto em claro, o texto
Leia maisINE5680 SEGURANÇA DA INFORMAÇÃO E DE REDES Prova 1 04/10/2013 Turmas A e B Prova A NOME : MATRÍCULA :
INE5680 SEGURANÇA DA INFORMAÇÃO E DE REDES Prova 1 04/10/2013 Turmas A e B Prova A NOME : MATRÍCULA : 1. Indique (Verdade/Falso), sublinhando no texto e comentando, brevemente, o porquê de sua resposta:
Leia maisAuxilio a Resolução da Lista de Exercícios
Auxilio a Resolução da Lista de Exercícios Exercício 5 ALGORITIMO Criptografia Assimétrica Criptografia Simétrica CARACTERISTICAS Algoritmo de Chave Pública Duas chaves: chave privada e chave pública Segurança
Leia maisSEGURANÇA CRIPTOGRAFIA E SEGURANÇA DE DADOS. As funções de cifra são consideradas totalmente seguras se:
20/02/2016 PROF. FABIANO TAGUCHI http://fabianotaguchi.wordpress.com CRIPTOGRAFIA E SEGURANÇA DE DADOS SEGURANÇA As funções de cifra são consideradas totalmente seguras se: Independente do tempo e do poder
Leia maisIntegridade. Segurança Engenharia de Software Ricardo Couto A. da Rocha
Integridade Segurança Engenharia de Software Ricardo Couto A. da Rocha Roteiro Integridade e Segurança Computacional Funções de Hashing (MD5 e SHA-1) Assinatura Digital Segurança e Ataques Integridade
Leia maisAutenticação por par de. chaves assimétricas. Bruno Follmann
Autenticação por par de 1 chaves assimétricas Bruno Follmann 2 Criptografia assimétrica Criada em 1976 por Diffie e Hellman; Também chamada de criptografia de chave pública; Sistema para cifrar e decifrar
Leia maisCriptografia Aplicada LESI / LMCC
Criptografia Aplicada LESI / LMCC Exame da 1 a Chamada 16 de Janeiro 2004 1 Questão 1 [Terminologia] 1. Desenhe uma árvore hierárquica que reflicta as relações entre os seguintes termos: cifra por blocos
Leia maisSegurança e Auditoria de Sistemas. Confiança Mútua Assinatura Digital Certificado Digital
Segurança e Auditoria de Sistemas Confiança Mútua Assinatura Digital Certificado Digital Motivação O que acontece quando uma informação vem de uma origem não confiável? Qual a importância da autenticidade
Leia maisPLANO DE DISCIPLINA DISCIPLINA: Segurança da Informação
UNIVERSIDADE FEDERAL DE UBERLÂNDIA FACULDADE DE COMPUTAÇÃO BACHARELADO EM CIÊNCIA DA COMPUTAÇÃO PLANO DE DISCIPLINA DISCIPLINA: Segurança da Informação ( X ) SEMESTRAL - ( ) ANUAL CÓDIGO: GBC083 PERÍODO:
Leia maisIntrodução à Segurança e Primitivas Criptográficas
Introdução à Segurança e Primitivas Criptográficas November 17, 2009 Sumário Introdução Criptografia Primitivas Criptográficas Encriptação com Chave Partilhada Encriptação com Chave Pública Funções de
Leia maisCriptografia Simétrica e Assimétrica, Hash, e Assinatura Digital
Criptografia Simétrica e Assimétrica, Hash, e Assinatura Digital Segurança da Informação Charles Tim Batista Garrocho Instituto Federal de São Paulo IFSP Campus Campos do Jordão garrocho.ifspcjo.edu.br/sega6
Leia maisCifra Sequenciais. Criptografia Engenharia Biomédica José Carlos Bacelar Almeida Cifra One-Time-Pad
Cifra Sequenciais Criptografia Engenharia Biomédica José Carlos Bacelar Almeida (jba@di.uminho.pt) 1 Cifra One-Time-Pad Já estudamos o facto da cifra OneTimePad (Vernam) oferecer garantias de confidencialidade!!!!!!
Leia maisSegurança de Redes de Computadores. Ricardo José Cabeça de Souza
Segurança de Redes de Computadores Ricardo José Cabeça de Souza CIFRAS DE FLUXO E DE BLOCO Cifra de Fluxo É aquela que codifica um fluxo de dados digital um bit ou um byte de cada vez Cifra de Bloco É
Leia maisSegurança da Informação Aula 7 Assinaturas Digitais e HASH.
Segurança da Informação Aula 7 Assinaturas Digitais e HASH. Prof. Dr. Eng. Fred Sauer http://www.fredsauer.com.br fsauer@gmail.com Objetivos Como Trudy não possui as chaves privadas de Alice e Bob, não
Leia maisSegurança da Informação Aula 5 Criptografia. Objetivos e Tipos. Cifras de Bloco e Fluxo
Segurança da Informação Aula 5 Criptografia. Objetivos e Tipos. Cifras de Bloco e Fluxo Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br Criptologia = Criptografia + Criptoanálise.
Leia maisCriptografia Assimétrica e Funções de Síntese
Criptografia Assimétrica e Funções de Síntese 1 Criptografia Assimétrica Também chamada de cifra de chave pública Cifração com chave pública Ku e decifração com chave privada Kr Em geral é muito mais lenta
Leia maisEngloba os criptossistemas clássicos. Outros nomes: (Criptografia...)
Principal característica: utilização da mesma chave para cifrar/decifrar. Engloba os criptossistemas clássicos. Outros nomes: (Criptografia...) convencional de chave única de chave secreta Os procedimentos
Leia maisAlgoritmos para Códigos de Autenticação de Mensagens
Algoritmos para Códigos de Autenticação de Mensagens 03/2010 Instituto de Computação - UNICAMP Roteiro Códigos de Autenticação de Mensagens Construção baseada em cifras (CBC-MAC, CMAC) Construção baseada
Leia maisAdC: Um Mecanismo de Controle de Acesso Para o Ciclo de Vida das Coisas Inteligentes
AdC: Um Mecanismo de Controle de Acesso Para o Ciclo de Vida das Coisas Inteligentes A N T O N I O L. M A I A N E T O 1, A R T U R L U I S F E R N A N D E S 1, I T A L O C U N H A 1 M I C H E L E N O G
Leia maisCriptografia. Módulo I Terminologia. M. B. Barbosa 2005/2006. Departamento de Informática Universidade do Minho
Criptografia Módulo I Terminologia M. B. Barbosa mbb@di.uminho.pt Departamento de Informática Universidade do Minho 2005/2006 Introdução Segurança da Informação Comunicação segura entre agentes Cifras
Leia maisApresentação: André Luiz Marasca
Apresentação: André Luiz Marasca 2 Ao enviar uma carta para alguém, espera-se que esta pessoa seja a única a ler. Mas durante o percurso, muitos curiosos podem querer ler esta carta. Por isso, mensagens
Leia maisImplementação de Protocolos Criptográficos. Manuel DI Universidade do Minho Setembro de
Implementação de Protocolos Criptográficos 1 Introdução A operação mais básica num protocolo de comunicação criptográfico é aquele em que apenas se pretende transmitir um item de informação x de uma entidade
Leia maisEntropia, Entropia Relativa
Entropia, Entropia Relativa e Informação Mútua Miguel Barão (mjsb@di.uevora.pt) Departamento de Informática Universidade de Évora 13 de Março de 2003 1 Introdução Suponhamos que uma fonte gera símbolos
Leia maisDetecção e correcção de erros
elecomunicações II Codificação - Detecção e correcção de erros o Quando existe um canal de comunicação bidireccional, o receptor poderá requerer a retransmissão da informação que continha erros. o Esta
Leia maisReduções da segurança de esquemas criptográficos: Sequências de Jogos
Reduções da segurança de esquemas criptográficos: Sequências de Jogos M. B. Barbosa @ di.uminho.pt mbb@di.uminho.pt Departamento de Informática Escola de Engenharia Universidade do Minho Abril de 2006
Leia maisCriptografia. Módulo I Terminologia. M. B. Barbosa 2006/2007. Departamento de Informática Universidade do Minho
Criptografia Módulo I Terminologia M. B. Barbosa mbb@di.uminho.pt Departamento de Informática Universidade do Minho 2006/2007 Introdução Segurança da Informação Comunicação segura entre agentes Cifras
Leia mais6 Inserção Seletiva de Nulos
6 Inserção Seletiva de Nulos 6.1 Introdução Neste capítulo será apresentado o algoritmo ADDNULLS - Inserção Seletiva de Nulos. Este algoritmo usa a técnica da esteganografia para esconder os símbolos codificados
Leia maisAula 3- Codificação de Canal. October 18, 2017
ELE-32 Introdução a Comunicações Aula 3- Codificação de Canal October 18, 2017 1 Introdução Em muitas situações, a mensagem a ser transmitida por um sistema de comunicações é uma sequência de bits. Entretanto,
Leia maisExercícios de Revisão Redes de Computadores Edgard Jamhour. SSL, VPN PPTP e IPsec
Exercícios de Revisão Redes de Computadores Edgard Jamhour SSL, VPN PPTP e IPsec Auxilio para as questões 1 e 2 Criptografia Assimétrica: (ou de chave Pública) - Usa chaves diferentes para criptografar
Leia maisEET-61 Introdução a Teoria da Informação
EET-61 Introdução a Teoria da Informação Aula 3- Codificação de Canal October 24, 2018 1 Introdução Em muitas situações, a mensagem a ser transmitida por um sistema de comunicações é uma sequência de bits.
Leia maisTécnicas de criptografia. Funções Hash Criptografia com chave secreta Criptografia com chave pública Assinatura digital Protocolos
Funções Hash Criptografia com chave secreta Criptografia com chave pública Assinatura digital Protocolos 1 Criptografia Estudo de ferramentas e técnicas matemáticas relacionadas com aspectos relativos
Leia maisNome: Nº de aluno: Exame 1ª chamada (perguntas impar) / Repescagem 1º teste / Repescagem 2º teste SRC /07/04 1º teste
Exame 1ª chamada (perguntas impar) / Repescagem 1º teste / Repescagem 2º teste SRC - 2007/07/04 1º teste 1. Na Internet os ataques DDoS podem ser minimizados: Não aceitando mensagens ICMP message too big
Leia maisCapítulo 8. Segurança de redes
Capítulo 8 Segurança de redes slide 1 Segurança de redes Algumas pessoas que causam problemas de segurança e motivação. slide 2 slide 3 Criptografia Introdução Cifras de substituição Cifras de transposição
Leia maisAvaliação da Segurança
Tópicos de Teoria da Informação e de Teoria da Complexidade MICEI/MSDA José Carlos Bacelar Almeida jba@di.uminho.pt Avaliação da Segurança! Segurança Incondicional A segurança do sistema criptográfico
Leia maisPTC Aula 19. (Kurose, p ) (Peterson, p ) 09/06/ O que é segurança de rede? 5.2 Princípios de criptografia
PTC 2550 - Aula 19 5.1 O que é segurança de rede? 5.2 Princípios de criptografia (Kurose, p. 587-626) (Peterson, p. 444-454) 09/06/2017 Muitos slides adaptados com autorização de J.F Kurose and K.W. Ross,
Leia maisIPSEC. IP Security Protocol. *Utilize este material para fins educativos e não comerciais*
IPSEC IP Security Protocol *Utilize este material para fins educativos e não comerciais* Introdução O IPSec, ou IP Security Protocol, tem o objetivo de fornecer mecanismos de proteção ao pacote IP e às
Leia maisRedes de Computadores
Introdução Redes de Computadores Aspectos de segurança em TCP/IP Secure Socket Layer (SSL) Trabalho sob a Licença Atribuição-SemDerivações-SemDerivados 3.0 Brasil Creative Commons. Para visualizar uma
Leia maisMensagem descodificada. Mensagem recebida. c + e
Suponhamos que, num determinado sistema de comunicação, necessitamos de um código com, no máximo, q k palavras. Poderemos então usar todas as palavras a a 2 a k F k q de comprimento k. Este código será
Leia maisSegurança em Sistemas Operacionais
Segurança em Sistemas Operacionais A Internet é um divisor águas no tema segurança da informação: Mainframes: segurança por meio do acesso físico; Minicomputadores: segurança por meio subscrição (login
Leia maisThe Game-Playing Technique
UNIVERSIDADE DO VALE DO RIO DOS SINOS Ciência da Computação Teoria da Informação Professor Ernesto Lindstaut The Game-Playing Technique Marcelo Correia Pinheiro 14 de junho de 2007 Sumário 1 Introdução
Leia maisRCO2. WLAN: Segurança e IEEE
RCO2 WLAN: Segurança e IEEE 802. Segurança: muitos problemas... Uso indevido da infraestrutura Equipamentos/usuários não autorizados Quebra de privacidade Tráfego monitorado Conteúdo trafegado revelado!
Leia maisConfigurar um perfil da segurança de protocolo do Internet (IPSec) em um roteador do RV34x Series
Configurar um perfil da segurança de protocolo do Internet (IPSec) em um roteador do RV34x Series Objetivo A segurança de protocolo do Internet (IPSec) fornece túneis seguros entre dois pares, tais como
Leia maisCapítulo 9: Linguagens sensíveis ao contexto e autômatos linearmente limitados.
Capítulo 9: Linguagens sensíveis ao contexto e autômatos linearmente limitados. José Lucas Rangel 9.1 - Introdução. Como já vimos anteriormente, a classe das linguagens sensíveis ao contexto (lsc) é uma
Leia maisConceito. HASH são caminhos de mão única (funções matemáticas) que são utilizados para se criar códigos.
Jiyan Yari Hash Conceito HASH são caminhos de mão única (funções matemáticas) que são utilizados para se criar códigos. Qualquer coisa que se codifica com eles torna-se impossível (matematicamente) de
Leia maisReferências. Criptografia e Segurança de Dados. Criptoanálise. Outras Referências. Criptoanálise - Custos. Criptoanálise
Criptografia e Segurança de Dados Aula 2: Introdução à Criptoanálise Referências Criptografia em Software e Hardware Autores: Edward D. Moreno Fábio D. Pereira Rodolfo B. Chiaramonte Rodolfo Barros Chiaramonte
Leia mais4 ÍNDICE Exemplo de redundância e distância de unicidade... 41
Índice 1 Introdução e motivações 15 1.1 Problemasdesigiloeautenticidade... 16 1.2 Organizaçãodotexto... 18 1.3 O que é criptografia?... 18 1.3.1 CifradeCésar... 18 1.3.2 Criptografia edecriptografia...
Leia maisAULA 5: Criptografia e Esteganografia
AULA 5: Criptografia e Esteganografia Criptografia A forma mais utilizada para prover a segurança em pontos vulneráveis de uma rede de computadores é a utilização da criptografia. A criptografia é utilizada
Leia maisAULA 08 CRIPTOGRAFIA E SEGURANÇA DE DADOS CRIPTOGRAFIA ASSIMÉTRICA CHAVES E ALGORITMOS 23/04/2016 PROF. FABIANO TAGUCHI
23/04/2016 PROF. FABIANO TAGUCHI http://fabianotaguchi.wordpress.com CRIPTOGRAFIA E SEGURANÇA DE DADOS AULA 08 CRIPTOGRAFIA ASSIMÉTRICA CHAVES E ALGORITMOS 1 CONCEITOS DA TECNOLOGIA CRIPTOGRAFIA ASSIMÉTRICA
Leia maisCódigos de Autenticação de Mensagem e o padrão SHA-3
Códigos de Autenticação de Mensagem e o padrão SHA-3 Marco Antônio Lasmar Almada Resumo Códigos de Autenticação de Mensagem (MACs) são utilizados para garantir a integridade de mensagens enviadas em um
Leia maisVirtual Private Network (VPN)
Virtual Private Network (VPN) Daniel Gurgel CCNP CCDP CCIP RHCE gurgel@secrel.net.br Introdução a VPN Networks Provem conexão segura na Internet com usuários e escritórios remotos. Depois de conectados,
Leia maisSegurança em Redes de Computadores
Segurança em Redes de Computadores Capítulo 6 Segurança IP Slides por H. Johnson & S. Malladi Modificados por S. J. Fritz, 2006 Modificados e traduzidos por P.S. Nicolletti, 2007 1 Resumo Necessidade de
Leia maisRedes de Computadores Aula 23
Redes de Computadores Aula 23 Aula passada Segurança em redes Criptografia Confidencialidade Autenticação Aula de hoje Assinatura digital Message digest Integridade Firewalls O que é Segurança em Redes?
Leia maisExercícios de Revisão Redes de Computadores Edgard Jamhour. Criptografia, VPN, IPsec Protocolos de Roteamento
Exercícios de Revisão Redes de Computadores Edgard Jamhour Criptografia, VPN, IPsec Protocolos de Roteamento Exercício 1: Relacione FUNÇÃO ( ) Utiliza chaves diferentes para criptografa e descriptografar
Leia maisAjustes da política do Virtual Private Network (VPN) em RV120W e em RV220W
Ajustes da política do Virtual Private Network (VPN) em RV120W e em RV220W Objetivo O Virtual Private Network (VPN) fornece uma conexão remota sobre uma distância física possivelmente longa. O VPN é um
Leia maisTabelas de Hash MBB. Novembro de Algoritmos e Complexidade LEI-LCC
Tabelas de Hash Algoritmos e Complexidade LEI-LCC 2010-2011 MBB Novembro de 2010 Tabelas e Acesso a Informação As estruturas de dados apresentadas anteriormente têm como objectivo o armazenamento de informação,
Leia maisGeração de um certificado SSL (Secure Socket Layer) em RV120W e em RV220W
Geração de um certificado SSL (Secure Socket Layer) em RV120W e em RV220W Objetivo Um certificado SSL (Secure Socket Layer) é usado firmemente enviando dados sobre o Internet. Entre Certificados SSL você
Leia maisSistemas e Plataformas Seguras
Sistemas e Plataformas Seguras (Cont.) 1 Sistemas e Plataformas Seguras Comunicação e Operações Remotas seguras: IPSec SSL S/KEY SSH Mensagens seguras (email) : PGP PEM S/MIME Serviços de Autenticação
Leia maisSegurança de Sistemas de Informação
Segurança de Sistemas de Informação Mestrado em Ciência da Informação E-mail: 1 Chaves criptográficas Chave criptográfica: é um pedaço de informação cujo conhecimento é necessário à utilização de técnicas
Leia maisTópicos de Ambiente Web Segurança
Tópicos de Ambiente Web Segurança Professora: Sheila Cáceres Componentes dos sistemas de segurança de dados Política de segurança de dados Serviços básicos para segurança computacional (security) Controle
Leia mais2 Teoria da Informação
2 Teoria da Informação Neste capítulo apresentamos alguns conceitos básicos sobre Teoria da Informação que utilizaremos durante este trabalho. 2.1 Alfabeto, texto, letras e caracteres Um alfabeto Σ = (σ
Leia maisCriptografia com Números Irracionais p.1/20
Criptografia com Números Irracionais Foz-2006 Fábio Borges Laboratório Nacional de Computação Científica Criptografia com Números Irracionais p.1/20 Ataque M = {M 1,..., M n } Criptografia com Números
Leia maisEndereçamento Aberto
Endereçamento Aberto ACH2002 - Introdução à Ciência da Computação II Delano M. Beder Escola de Artes, Ciências e Humanidades (EACH) Universidade de São Paulo dbeder@usp.br 11/2008 Material baseado em slides
Leia mais