Introdução A estratégia de Web Services

Tamanho: px
Começar a partir da página:

Download "Introdução A estratégia de Web Services"

Transcrição

1 Página 1

2 Sumário Os Web Services oferecem muitos benefícios potenciais para desenvolvedores de aplicativos, porém, sem confiança e segurança, não há futuro para esses serviços web. Neste tutorial, examinaremos algumas das infra-estruturas existentes baseadas em padrões, que podem ser utilizadas para dar segurança a Web Services. A segunda parte deste tutorial, a ser publicada no futuro, examinará o papel dos novos protocolos que estendem e melhoram a plataforma de segurança para Web Services. Sumário...2 Introdução...3 A estratégia de Web Services...3 Padrões de Web Services...4 O que queremos dizer com segurança?...4 Em desenvolvimento...4 Segurança além do Criptografia Básica...6 Resumos de mensagens...6 Códigos de autenticação de mensagem...6 Assinatura digital...7 Criptografia...8 Acordo de chaves...8 Os 3 axiomas da infra-estrutura de chaves públicas...9 Algoritmos criptográficos recomendados...9 Segurança para Web Services utilizando SSL/TLS A necessidade de ir além do SSL Especificações de segurança XML Assinatura XML Criptografia XML Ataques & controles sobre a camada de protocolo WS-Security De mensagens a conversações Web Services que fornecem serviços de segurança XKMS Complexidade do cliente Localização Validação X-KRSS Aplicações Financeiras Federal Bridge CA SAML Declaração de autenticação Declaração de decisão de atributos & autorizações Agradecimentos Referências Página 2

3 Introdução A expressão Web Services Security (segurança para serviços web) pode ser interpretada no sentido da tecnologia que dá segurança aos Web Services ou de Web Services que desempenham funções de segurança. Neste documento, abordamos as duas interpretações, descrevendo as técnicas que podem ser utilizadas para dar segurança a um Web Service, como criptografia, autenticação e proteção contra ataques por repetição (replay attacks), e os Web Services que desempenham funções de segurança, tais como XKMS e SAML. O setor de Web Services desenvolveu-se rapidamente, mas permanece em estágio de formação. Conseqüentemente, é necesário considerar a infra-estrutura de segurança disponível para uso atual, que está em um processo padronizado e, em alguns casos, opera com tecnologias que não podem ser elevadas ao processo padronizado até que outra tecnologia da qual dependem tenha sido completada. Apesar do estado aparentemente fluido do setor, os requisitos de segurança que devem ser preenchidos pelos Web Services são, na maioria dos casos, de longo prazo. A autenticidade e confidencialidade das mensagens deve ser protegida, os protocolos devem ser protegidos contra ataques por repetição e por substituição de mensagens (message substitution attacks). Estes requisitos já estão bem compreendidos e resolvidos por tecnologias igualmente maduras, tais como criptografia e assinaturas digitais. No entanto, se os requisitos e a tecnologia já estão compreendidos, pode-se questionar por que é necessário desenvolver novos padrões de segurança para Web Services. Para responder a esta questão, é necessário considerar a própria natureza dos Web Services e o motivo pelo qual eles criam a necessidade de novas tecnologias de segurança. A estratégia de Web Services A era da computação moderna começou nos anos 60, a Era dos Mainframes, ou computadores de grande porte, quando o poder de processamento começou a tornar-se disponível. Os anos 70 foram a Era do Mini-computador, na qual o poder de processamento tornou-se economicamente acessível. Os anos 80 representaram a Era do Computador Pessoal (PC), onde os processadores passaram a ter preços populares. Os anos 90 marcaram o despertar da Era da Internet, tornando a comunicação mais barata. Parece muito provável que a década em que vivemos será a da comunicação móvel, de baixo custo e onipresente. O surgimento do mini-computador, nos anos 70, levou também ao desenvolvimento do software como negócio separado do hardware. Desde então, a indústria de software tem sido definida por um único fato: o custo marginal da produção é desprezível se comparado ao do desenvolvimento. Conseqüentemente, a principal estratégia adotada pelos maiores fornecedores de software tem sido amortizar os altos custos fixos do desenvolvimento pelo maior número de cópias possível. Para isso, os fornecedores de software têm sido forçados a oferecer mais funções ou preços mais baixos, em muitos casos ambos. Embora seja provável que a estratégia do volume elevado vá continuar a dominar o aspecto econômico da indústria de software, é evidente os limites estão se aproximando. Não é raro para um programa de software ter tantas funções que até mesmo os "experts" conheçam apenas metade delas e utilizem menos de um décimo. Outro limite é que o custo de compra já não é a principal despesa relacionada ao uso de programas de software. Até mesmo o software gratuito tem custos significativos em um ambiente corporativo. Os administradores de sistemas precisam implementá-lo, os usuários devem ser treinados para usá-lo corretamente e um serviço de atendimento ao cliente deve ser estabelecido. Cada vez mais, as empresas concentram sua atenção no Custo Total de Propriedade 1 e no Retorno Sobre Investimento 2. Portanto, novas estratégias são necessárias para permitir que a indústria de software continue a crescer sem perder a força. Deve ser encontrada uma estratégia que possibilite a amortização dos custos tradicionalmente assumidos pela empresa por um grande número de usuários. Um dos motivos do desenvolvimento de Web Services é criar um mercado para o software como serviço. Esta estratégia provavelmente será de grande relevância para os programas de software que fornecem infra-estrutura corporativa, gestão da cadeia de fornecedores, controle de estoques, folha de pagamento e contabilidade. Página 3

4 1 TCO - Total Cost of Ownership 2 ROI Return On Investment Padrões de Web Services Os Web Services [SOAP] são um conjunto de padrões da indústria baseados em XML que permitem a troca de dados entre aplicativos executados em diferentes computadores. O objetivo dos Web Services é reduzir ou eliminar os custos de interface, ou seja, custos relativos à troca de dados entre sistemas de computadores. Entre os custos de interface incluem-se dois dos maiores custos relacionados aos sistemas de informação: Os computadores geram mensagens que são enviadas ao cliente por carta ou fax e inseridas manualmente em outro sistema de computadores. O custo mais alto na implementação de um novo sistema de software é com freqüência promover a interface entre o novo sistema e os sistemas legados já implementados. Os Web Services oferecem a promessa de uma nova e mais econômica estratégia de TI, onde as comunicações que atualmente exigem intervenção humana sejam automatizadas. São serviços que têm o potencial de modificar a maneira como as empresas se comunicam, tanto externa quanto internamente. Embora o certificado X.509 atenda alguns dos requisitos de Web Services, o uso de uma PKI baseada em ASN.1 para dar suporte a uma infra-estrutura de mensagens com base em XML não apresenta resultados satisfatórios. Embora o custo envolvido no suporte de ASN.1 e X.509 em uma plataforma de servidor seja razoável, esse mesmo custo será excessivo para muitos clientes em potencial. O que queremos dizer com segurança? Segurança é controle de risco. Raramente significa a eliminação dos riscos. Na maioria das circunstâncias, não é possível controlar todos os riscos de segurança sem incorrer em custos desproporcionais. Um bom planejamento de segurança começa por considerar os ativos cuja segurança deve ser garantida, os tipos de riscos aos quais esses ativos estão sujeitos e as formas de controle que podem ser aplicadas para reduzir tais riscos. A segurança da informação está voltada para três tipos específicos de riscos, cada qual resultando em um requisito de segurança específico. Risco Requisito de Segurança Tecnologia Divulgação Confidencialidade Criptografia Modificação Integridade Autenticação, Assinaturas digitais Serviço Controle de Acesso Controle de Acesso A segurança da informação teve origem no ambiente militar, onde o sigilo é geralmente o requisito mais importante. Isso levou muitas pessoas a concluir erradamente que não precisam de segurança, pois todas as suas informações são públicas. Sempre que as pessoas dependem de informações fornecidas por um serviço, existe um requisito de integridade. Afinal, embora Alice tenha a preocupação de que seu banco divulgue informações sobre sua conta, ela certamente ficaria mais preocupada se um invasor roubasse o dinheiro da conta. Em desenvolvimento Como mencionamos, o campo de Web Services como um todo está em desenvolvimento acelerado e isso também se aplica à segurança de Web Services. Conseqüentemente, é necessário considerarmos tanto os procedimentos de segurança de Web Services disponíveis hoje quanto os que estão sendo desenvolvidos para o futuro. Página 4

5 A única opção disponível atualmente para proteger Web Services é o protocolo SSL (Secure Sockets Layer) utilizado para dar segurança ao protocolo HTTP, normalmente empregado para transportar SOAP. Embora seja um protocolo seguro, o SOAP possui muitas limitações, como discutido abaixo. Dois protocolos que fornecem serviços de segurança são empregados como Web Services hoje em dia: XKMS 1.0 e S2ML. O trabalho de desenvolvimento de padrões baseados nestas especificações, com contribuições de outras partes, está em andamento. Tabela 1: Protocolos de Segurança para Web Services disponíveis hoje e em desenvolvimento Disponibilidade Padrão Organização de Padronização Hoje Em desenvolvimento Proposta SSL/TLS XKMS 1.0 SAML 1.0 XKMS 2.0 SAML 1.1 WS-Security XACML XrML WS-Policy, WS-SecurityPolicy WS-SecureConversation WS-TrustAxiom WS-KeyAgreement XML Packed Encoding IETF Implementações fechadas OASIS W3C OASIS OASIS OASIS OASIS Para alcançar a implementação segura de Web Services, é necessário possuir uma infraestrutura, bem como protocolos. Uma das reclamações mais comuns em relação a Web Services refere-se ao fato de que sua implementação acima do HTTP permite que as medidas de segurança existentes, como firewalls, sejam ignoradas. Outra queixa comum é que a segurança deve estar direcionada para o sistema operacional e para a camada da plataforma de Web Services. Embora sejam questões válidas, é difícil respondê-las, exceto no contexto das plataformas e produtos específicos, pois todos exigem treinamento completo e encontram-se em franco desenvolvimento. Portanto, observaremos apenas que há produtos em estágio avançado de desenvolvimento para atender a essas necessidades, incluindo estruturas de segurança abrangentes para estabelecer políticas de controle de acesso em nível de plataforma, e que os fornecedores de firewalls estão desenvolvendo filtros para atuar na camada de Web Services. Segurança além do Embora sejam conhecidos os requisitos de segurança de Web Services, o contexto em que essa segurança deve ser aplicada é inteiramente novo. A maioria das infra-estruturas de segurança existentes foi projetada para atender às necessidades de comunicação de seres humanos por meio de redes de computadores. No mundo dos Web Services, os computadores são elementos principais e não intermediários passivos na comunicação. Por exemplo, o modelo de PKI baseado em certificados foi desenvolvido para resolver o problema do envio de mensagens de seguras dentro dos limites específicos da antiga ARPANET. A especificação X.509 foi originalmente projetada para suportar s seguros no Página 5

6 contexto do diretório X.500 e do correio X.400. Desde então, a especificação foi estendida para cumprir diversos requisitos que estavam originalmente fora de alcance. No processo, as especificações X.509/PKIX cresceram e se tornaram mais complexas. Apesar de sua complexidade, essas especificações são incompletas em vários sentidos. Em um contexto comercial, é muito mais provável para Alice emitir um cheque errado do que perder a chave do seu cofre. A especificação PKIX oferece nada menos que quatro métodos para determinar o status de validade de um certificado. Nenhum mecanismo é fornecido para determinar a validade de um documento assinado. A introdução de Web Services traz a necessidade e a oportunidade para desenvolver novas infraestruturas que forneçam segurança neste contexto em particular. Criptografia Básica A ferramenta principal de segurança das comunicações é a criptografia. A criptografia possibilita a confidencialidade das informações, protegidas pela encriptação, e a integridade do conteúdo, assegurada pela autenticação. Resumos de mensagens A forma mais simples de criptografia é o message digest, ou resumo de mensagem, às vezes chamado de hash function (função hash) ou one way function (função de sentido único). Os resumos de mensagens são o equivalente criptográfico de uma operação de verificação. O resumo de mensagem opera sobre um documento para comprimi-lo, gerando um digest value, ou valor de resumo. As funções de resumo mais usadas, MD5 e SHA-1, geram valores de resumo de mensagem de 128 e 160 bits, respectivamente, independente do tamanho do documento original. Como ocorre em qualquer operação de verificação, o valor do resumo de mensagem se modifica caso o documento original seja modificado. Porém, ao contrário de uma verificação normal, é impossível prever o efeito de uma modificação sobre o documento original, pois até mesmo a menor das modificações (mudar ou acrescentar um único 'bit') tem uma chance de 50% de modificar todos os 'bits' do valor de resumo. Além disso, um invasor que possua apenas o resumo de mensagem achará muito difícil (computacionalmente impossível) recuperar qualquer informação sobre o documento original pela análise do resumo. Os resumos de mensagens são utilizados para garantir que determinado documento não foi modificado. Por exemplo, Alice pode enviar a Bob um documento por e depois informar a ele o valor do resumo de mensagem por telefone. Bob pode então confirmar que o documento não foi modificado através da comparação do valor do resumo de mensagem com o que foi informado por Alice, desde que, é claro, a comunicação telefônica não tenha sido de algum modo interceptada. Embora, como mencionado, o algoritmo de resumo de mensagem MD5 seja ainda muito utilizado, foi descoberto um resultado que coloca em dúvida a sua segurança a longo prazo. Conseqüentemente, o uso do MD5 atualmente é desencorajado em favor do SHA-1, embora o algoritmo em si não tenha sido quebrado. Isso demonstra mais uma característica da criptografia. Geralmente, há muitos algoritmos capazes de executar uma função, mas apenas alguns já testados e comprovados são utilizados. Para sua conveniência, uma tabela de algoritmos recomendados é fornecida na seção 0. Códigos de autenticação de mensagem Um Resumo de Mensagem (message digest) pode ser utilizado para demonstrar que certo documento não foi modificado. Na segurança das comunicações, porém, geralmente queremos também demonstrar que o documento em questão provém de determinada pessoa ou computador. Há três técnicas básicas que podem ser utilizadas para identificar pessoas: algo que elas saibam (uma senha), algo que elas levem consigo (um cartão inteligente), ou algo que faça parte delas (um elemento biométrico, como uma impressão digital). No entanto, há apenas um meio Página 6

7 descoberto até hoje para identificar os computadores em uma rede de comunicação: algo que eles saibam. Um Código de Autenticação de Mensagem (Message Authentication Code - MAC) é essencialmente um resumo de mensagem com uma chave de autenticação. Se uma chave de autenticação é conhecida apenas por Alice e Bob, ela pode ser usada para estabelecer a autenticidade da mensagem, conforme segue (Figura 1). 1. Alice gera o Código de Autenticação de Mensagem, utilizando a chave secreta. 2. Alice envia o documento a Bob, juntamente com o Código de Autenticação de Mensagem. 3. Bob recebe o documento e recupera o Código de Autenticação de Mensagem, utilizando sua cópia da chave. 4. Bob verifica se os dois Códigos de Autenticação de Mensagem são iguais. Se forem (e a chave não for conhecida por ninguém além de Alice e Bob), a mensagem deve ter vindo de Alice. Alice Chave de Autenticação Chave de Autenticação Bob Figura 1: Alice envia um autenticado para Bob Utilizando o Código de Autenticação de Mensagem, Alice pode enviar várias mensagens a Bob sem precisar verificar o código de cada uma delas por telefone. Uma vez que Alice e Bob conheçam a chave de Autenticação, eles poderão trocar tantas mensagens quantas desejarem. Os Códigos de Autenticação de Mensagem são normalmente construídos através das funções de Resumo de Mensagem. Por isso, eram conhecidos como Resumos de Chave (Keyed Digest). Assinatura digital O Código de Autenticação de Mensagem permite que Bob determine se o documento veio de Alice. Porém, Bob não tem condições de provar isso a ninguém. A chave secreta de autenticação só é conhecida por Alice e Bob, mas ambos conhecem exatamente as mesmas informações. O que um deles pode fazer, o outro também pode. Mesmo se Bob pudesse guardar a chave de autenticação em um cofre bancário lacrado, Alice ainda poderia afirmar que foi ele, e não ela, quem autenticou o documento. Isso seria um problema caso o documento fosse um contrato, por exemplo, e Bob quisesse demonstrar que Alice concordou com os termos desse contrato. A solução para o problema é óbvia quando se analisa em retrospecto, como ocorre com vários avanços tecnológicos importantes. Para que Bob prove que o documento foi criado por Alice, ele deve ser autenticado por informações que só ela conheça. As informações que Bob utiliza para verificar a mensagem devem estar completamente separadas. Precisamos de duas chaves: uma de assinatura e outra de verificação. Na verdade, deve ser praticamente impossível (utilizamos mais uma vez a expressão "computacionalmente impraticável") descobrir a assinatura ou a chave de assinatura a partir da chave de verificação. Página 7

8 Alice Chave de Assinatura Chave de Verificação Bob Figura 2: Alice envia um assinado a Bob Alice e Bob podem utilizar uma assinatura digital para autenticar o documento, da mesma forma como utilizaram o Código de Autenticação de Mensagem, com a diferença de que Alice e Bob utilizam chaves diferentes (Figura 2). Outra diferença importante é que a segurança da autenticação só depende de que Alice mantenha em segredo sua chave de assinatura. A segurança da chave de assinatura não depende da confidencialidade da chave de verificação, que pode ser tornada pública, e daí deriva o termo Criptografia de Chaves Públicas. Por motivos técnicos, não vamos abordar aqui os esquemas de assinatura digital em uso comum. Todos eles exigem a combinação de um algoritmo de assinatura digital e uma função de resumo de mensagem. Como a chave de verificação pode ser tornada pública, qualquer pessoa pode usá-la para verificar mensagens enviadas por Alice, desde que tenha certeza de que aquela é realmente a chave pública de Alice. Criptografia Os Resumos de Mensagem, Códigos de Autenticação de Mensagem e Assinaturas Digitais estabelecem a autenticidade de uma mensagem. Mas, além da autenticidade, Alice e Bob podem querer proteger também a confidencialidade de suas comunicações. Para isso, eles utilizam a criptografia. A forma mais simples de criptografia, conhecida como criptografia de segredo compartilhado (shared secret encryption) é semelhante ao Código de Autenticação de Mensagem. Alice criptografa o documento com uma chave secreta previamente informada a Bob. Quando Bob recebe o documento, ele o decriptografa utilizando a mesma chave secreta. Como ocorre com o Código de Autenticação de Mensagem, a criptografia de segredo compartilhado não é inteiramente satisfatória. Para comunicar-se confidencialmente, Alice e Bob devem primeiro trocar algumas informações confidenciais. Como eles poderão fazer isso, se nunca se encontraram? Até o advento do transporte aéreo econômico e confiável, este problema restringia em muito o uso da criptografia para os governos das principais potências. Eles eram obrigados a enviar mensageiros por todo o mundo para entregar manualmente o material das chaves criptográficas. A solução para esse problema é novamente a criptografia de chaves públicas. Se forem utilizadas chaves separadas para criptografar e decriptografar e a chave de decriptografia não puder ser descoberta pela análise da chave de criptografia, Bob pode tornar pública sua chave de criptografia e permitir que qualquer pessoa lhe envie mensagens criptografadas. Acordo de chaves Além das assinaturas digitais e da criptografia de chaves públicas, há ainda outra forma de criptografia a ser mencionada, o acordo de chaves, ou key agreement. Um algoritmo de acordo de chaves permite a Alice e Bob estabelecer o mesmo segredo compartilhado, utilizando a chave pública um do outro e as próprias chaves privadas. O algoritmo de acordo de chaves Diffie-Helleman foi o primeiro algoritmo de chave pública prático a ser publicado e é componente essencial de muitos protocolos de criptografia. É também o Página 8

9 único algoritmo de chave pública facilmente explicável, utilizando-se apenas a matemática ensinada no segundo grau. O algoritmo Diffie-Helleman é baseado na função exponencial. Se temos x multiplicado por si próprio x vezes, podemos escrever essa operação por extenso, x x x [a vezes no total] ou simplesmente utilizar a notação matemática x a. Se tomarmos x b e multiplicá-lo por si próprio b vezes, obteríamos (x a ) b que poderíamos escrever como x a x a x a [b vezes no total] ou, se realmente quisermos, escrever como x x x [a b vezes no total]. Como a multiplicação é comutativa, não faz diferença se multiplicamos a por b ou b por a. O resultado é o mesmo nos dois casos. Portanto, obteremos o mesmo resultado se calcularmos (x a ) b ou (x b ) a, ou até mesmo x {ab). O resultado é o mesmo em todos os casos. Isso pode ser usado como base para um algoritmo de acordo de chave pública. Alice usa a como sua chave secreta e x a como sua chave pública. Bob faz o mesmo com b e x b. O acordo de chaves estabelece o segredo compartilhado x ab. Este esquema de chave pública tem apenas um problema: a exponenciação possui uma forma simples de cálculo reverso, chamada logaritmo. Usando o logaritmo, um invasor (tradicionalmente chamado Mallet) poderia facilmente calcular a chave secreta a de Alice a partir de sua chave pública x a. Em muitas calculadoras de bolso, há até um botão para fazer isso! A solução para o problema é utilizar um tipo específico de aritmética, no qual a multiplicação continuaria sendo comutativa (e portanto o nosso esquema de exponenciação ainda funcionaria), mas seria difícil calcular a função logarítmica. O tipo de aritmética utilizado no algoritmo Diffie-Helleman, a aritmética modular, é freqüentemente ensinado nas escolas como a aritmética do resto da divisão. Por motivos que não discutirei aqui, a função logarítmica é muito difícil (computacionalmente impraticável) de calcular pela aritmética modular, particularmente se o módulo é um número primo muito extenso. Um módulo de 512 bits é o menor módulo geralmente aceitável. Os 3 axiomas da infra-estrutura de chaves públicas Depois de nossa breve introdução à criptografia, podemos revelar os três axiomas da criptografia de chaves públicas. Se você for a única pessoa que conhece uma chave privada, pode provar sua identidade sem precisar revelar essa chave privada A comunicação pode ser assegurada através de qualquer meio, desde que cada parte conheça a chave pública das outras partes Qualquer conjunto de requisitos aparentemente conflitantes pode ser satisfeito pela aplicação adequada da criptografia O último axioma deve-se a Ron Rivest e, embora nunca possa ser provado (como todos os verdadeiros axiomas), demonstra que a criptografia oferece respostas a problemas de comunicação que inicialmente pareciam intransponíveis. Algoritmos criptográficos recomendados A criptografia é um campo em plena atividade. Novos algoritmos são propostos a cada semana. Pouquíssimos algoritmos resistem ao teste do tempo e, infelizmente, muitos não resistem a teste algum. Os fornecedores estão ansiosos para vender pseudo-soluções criptográficas aos incautos e mal-informados. Felizmente, há um conjunto básico de algoritmos que já foram amplamente examinados e testados, conforme o resumo apresentado na tabela abaixo. Também estão listados alguns algoritmos que já foram recomendados, mas que desde então foram quebrados ou de alguma forma comprometidos. Página 9

10 Função Algoritmos recomendados Tamanho de chave mínimo/preferível Resumo de Mensagem SHA MD5 Código de Autenticação de Mensagem Assinatura Digital Criptografia de Segredo Compartilhado HMAC-SHA 128 RSA 1024 / 2048 DSA 1024 AES 128 3DES * 168 Algoritmos obsoletos DES, IDEA Criptografia de Chaves Públicas RSA 1024 / 2048 Acordo de Chaves Diffie-Helleman 512 / 1024 Embora o 3DES esteja listado como um algoritmo recomendado, essa recomendação foi modificada.o 3DES foi introduzido como medida temporária para estender a vida útil do DES, após ficar claro que esse algoritmo era vulnerável a ataques.o 3DES exige um esforço computacional consideravelmente maior do que o AES e, apesar do seu tamanho de chave maior, é na verdade menos seguro, oferecendo força de chave equivalente a uma cifra ideal de 112 bits. Além disso, o 3DES precisa ser usado com cuidado ao criptografar grandes quantidades de dados utilizando certas técnicas. Depois que o suporte para AES tiver sido estabelecido, será o momento de aposentar inteiramente o DES. Segurança para Web Services utilizando SSL/TLS Se for necessário implementar seguramente um Web Service hoje em dia, as únicas opções padrão disponíveis são o uso de uma Rede Privada Virtual baseada em IPSEC, ou de um protocolo Secure Socket Layer (SSL) para proteger o transporte de mensagens SOAP. O protocolo SSL é um protocolo de segurança robusto que foi padronizado na IETF como Transport Layer Security (TLS). É amplamente utilizado em e-commerce e tem sido usado para proteger transações envolvendo muitos bilhões de dólares. O SSL fornece confidencialidade através da criptografia e integridade de mensagens, por meio de um código de autenticação de mensagem. O protocolo tem duas fases; na primeira, o cliente estabelece um segredo compartilhado com o serviço, utilizando um mecanismo de acordo de chaves. Figura 3 Na segunda fase, os pacotes de informação trocados entre o cliente e o servidor são criptografados e autenticados utilizando uma chave derivada do segredo compartilhado. Página 10

11 Chave Pública Olá Meu certificado Decriptografe isto! Prova de Decriptografia, Aleatoriedade Túnel Seguro Estabelecido Chave Privada Figura 3: Autenticação SSL de Servidor O SSL permite a autenticação do cliente por meio de uma senha ou certificado digital. No entanto, o SSL não permite o uso de assinaturas digitais para autenticar as mensagens. A necessidade de ir além do SSL O SSL foi projetado de modo a ser transparente para os navegadores de Internet (Web Browser) com os quais originalmente funcionaria. O projeto minimizava o impacto de adicionar segurança ao protocolo HTTP, mas limitava o uso que os aplicativos poderiam fazer das funções de segurança. O SSL somente protege os dados enquanto estão em trânsito, não fornecendo segurança quando as informações são armazenadas ou repassadas através de outro computador. Esta arquitetura não funciona bem no cenário típico de Web Services, no qual: Os dados são gerados pelo computador Albuquerque Albuquerque os envia para o computador Boston Boston envia parte dos dados para o computador Chicago Isso gera vários problemas: Como Chicago pode ter certeza de que os dados vieram de Albuquerque? Como Albuquerque pode evitar que Boston veja os dados enviados a Chicago? Esses requisitos de segurança não são atendidos pelo SSL, nem a aplicação de segurança em nível de transporte pode ser empregada para atendê-los. Para fornecer tais funções, é necessário aplicar segurança à camada de mensagem. A arquitetura da Internet é organizada em camadas; as camadas inferiores especificam os sinais elétricos ou óticos usados para comunicar dados. As três camadas de protocolo relevantes para as técnicas de segurança da informação descritas neste documento são: camada de pacotes, camada de transporte e camada de aplicação. Há vantagens e desvantagens na aplicação de segurança em cada camada. Em geral, a aplicação de segurança às camadas superiores de protocolo permite que mais funções de segurança sejam executadas. A aplicação de segurança às camadas inferiores de protocolo tem menor impacto sobre as aplicações. As comunicações podem ser roteadas através de uma Rede Privada Virtual IPSEC, sem modificar uma única linha de código em qualquer das aplicações. A segurança pode ser obtida dessa forma, porém, ela será limitada a decidir quem pode conectarse à rede e quem terá o acesso negado. Estas vantagens e desvantagens são apresentadas na Figura 4. Página 11

12 Segurança Adicional Não-Repúdio + Autorização + Autenticação Privacidade Integridade Aplicação SMTP, HTTP Transporte TCP, UDP Pacote IP WS- Security SSL/TLS Generalidade IPSEC Figura 4: Vantagens da segurança aplicada a diferentes camadas de rede Especificações de segurança XML Eventualmente, a segurança deve tornar-se tão simples e transparente quanto conectar-se a um sistema de distribuição de eletricidade Figura 5. Prescrição Fármacia On-line Consultório Médico Figura 5: A segurança deve ser tão simples quanto conectar-se à rede elétrica Assinatura XML A Assinatura XML (XML Signature) é um padrão desenvolvido conjuntamente por W3C e IETF. A Assinatura XML é compatível com o uso de Resumo de Mensagem, Código de Autenticação de Mensagem ou Assinatura Digital para a autenticação de: Um documento XML completo Partes selecionadas de um documento XML Conteúdo referenciado por um documento XML A Assinatura XML especifica três maneiras diferentes pelas quais uma assinatura pode ser aplicada: Destacada A assinatura é independente do conteúdo assinado Em forma de envelope Os dados assinados estão envelopados dentro do bloco da assinatura Página 12

13 Dentro do envelope A assinatura está envelopada dentro dos dados assinados e autentica todo o documento, exceto a si própria A Assinatura XML especifica o material de chave usado para gerar uma assinatura utilizando o elemento <ds:keyinfo>. Esse elemento é projetado para suportar o uso de qualquer tipo de credencial criptográfica, incluindo: Uma Chave Pública autenticada com o uso das principais infra-estruturas de PKI, incluindo: o o o Uma Chave Pública especificada por seus parâmetros criptográficos o o Uma chave criptográfica que possa ser obtida a partir de uma localização específica Uma chave criptográfica identificada por um URI (Uniform Resource Identifier) Uma chave criptográfica especificada por meio de uma extensão para o elemento <ds:keyinfo>. Um mecanismo de troca de chaves públicas Um URI (Uniform Resource Identifier) Qualquer outro mecanismo especificado através de uma extensão para Criptografia XML. Confidencialidade Integridade Controle de Acesso X.509 / PKIX [X.500][X.509] Simple Public Key Infrastructure [SPKI] Pretty good Privacy [PGP] RSA DSA Criptografia XML A Criptografia XML fornece funcionalidades complementares para a Assinatura XML e permite criptografar: Um documento XML completo Partes selecionadas de um documento XML Conteúdo referenciado por um documento XML Os dados são encriptados utilizando cifra simétrica, sob uma chave chamada chave de sessão. A chave de sessão pode ser especificada por meio de: Ataques & controles sobre a camada de protocolo Embora o protocolo SOAP não especifique uma camada de segurança de mensagens (pelo menos por enquanto), ainda é possível aplicar segurança em nível de mensagem aos protocolos SOAP, através de sua inclusão no esquema de Web Services. Embora tenha resultado em alguma duplicação de esforços e ligeiras variações na implementação de melhorias de segurança em protocolos, esta é a única solução disponível de segurança em nível de mensagens, até que uma solução mais genérica seja padronizada. Os requisitos básicos para Web Services são os três requisitos básicos da Segurança da Informação: Os protocolos devem considerar tanto a segurança das próprias mensagens SOAP quanto seu uso em um protocolo. Não serve aos propósitos de Bob se a mensagem provém genuinamente Página 13

14 de Alice, mas foi enviada com um objetivo diferente do que ele acredita. Em particular, um protocolo para Web Services pode exigir proteção contra: Ataques por repetição (replay attacks), tanto de requisições quanto de respostas Ataques por substituição de mensagem (message substitution attacks) Ataques por negativa de serviço (denial of service attacks). WS-Security A proposta Web Services Security (WS-Security) foi elaborada por Microsoft, IBM e VeriSign, com base em uma proposta anterior, Signing SOAP Messages (assinatura de mensagens SOAP), submetida anteriormente ao W3C. A WS-Security aborda a segurança das mensagens SOAP, ao especificar um perfil para o uso da Assinatura XML (XML Signature) e da Criptografia XML (XML Encryption) que permite a garantia de integridade e confidencialidade para mensagens SOAP. De mensagens a conversações A proposta WS-Security protege mensagens individuais, mas os protocolos de comunicações são conversações e não apenas mensagens distintas. Saber quem realmente enviou uma mensagem e evitar sua divulgação a possíveis bisbilhoteiros fornece um ponto de partida, porém, deve-se fazer mais para que a conversação seja segura. Ataques por substituição de mensagens ou repetição de resposta Alice pergunta a Bob se Mallet é confiável. Uma resposta de Bob retorna dizendo "Sim". Alice pode estar certa de que a resposta veio de Bob, mas isso não é suficiente. Como ela pode saber se a resposta de Bob corresponde à sua pergunta? Há duas maneiras pelas quais Mallet poderia fazer com que Alice recebesse uma resposta referente a outra pergunta. Ele poderia esperar até que Bob respondesse a uma pergunta com a resposta desejada, "Sim", ou fazer a pergunta ele mesmo, fingindo ser Alice. Há várias maneiras de tornar os ataques por substituição de mensagem ou por repetição de resposta mais difíceis, sem evitá-los por completo. A criptografia torna o trabalho de Mallet mais difícil, mas não necessariamente impossível. Bob pode criptografar suas respostas, mas Mallet talvez seja capaz de adivinhar o conteúdo delas. Mallet sabe que não é digno de crédito, portanto, é melhor para ele se puder substituir a resposta a qualquer pergunta. Outra maneira de tornar mais difícil a substituição da mensagem é Alice avisar a Bob que ele deve autenticar as mensagens que lhe forem enviadas. Isso melhora a situação, mas nem tanto, pois Alice agora depende de que Bob compreenda autenticação da mesma forma que ela. A melhor maneira de evitar esse tipo de ataque é utilizar um mecanismo que cria um link criptográfico entre a requisição e a resposta. Uma maneira de fazer isso é incluir um resumo de mensagem (message digest) da requisição em cada resposta. Alice poderá então confirmar que a requisição que recebe é de fato a resposta à sua pergunta. Redirecionamento de Mensagens No protocolo SOAP o corpo da mensagem, contendo a mensagem propriamente dita, é separado do cabeçalho, que contém as informações de roteamento e os atores a quem está endereçada a mensagem. Um mecanismo de segurança que proteja apenas o corpo da mensagem pode permitir um ataque por redirecionamento de mensagem, no qual uma mensagem enviada para um ator em protocolo SOAP é redirecionada para outro ator. Para evitar ataques por redirecionamento de mensagens, a camada de segurança de mensagem deve autenticar todos os elementos da mensagem dos quais depende a segurança. Tal objetivo pode ser difícil de alcançar em ambientes onde se pretenda que uma mensagem passe de um ator para outro durante o processamento. Página 14

15 Negativa de serviço Em um ataque por negativa de serviço, o atacante busca evitar a utilização de um serviço. Os Web Services podem estar sujeitos à negativa de serviço em muitos níveis de protocolo. Nenhuma quantidade de segurança de aplicação pode proteger contra um ataque por negativa de serviço que impeça quaisquer pacotes de chegar ao computador do serviço. Na camada de aplicação, é necessário proteção contra ataques por negativa de serviço que busquem consumir os recursos do serviço através de requisições falsas. Em particular, um atacante pode enviar um fluxo de mensagens com assinaturas falsas, fingindo que pertencem a outras pessoas. Embora o serviço possa detectar a assinatura falsa e rejeitar a requisição, os recursos computacionais exigidos para tanto podem ser desproporcionais. Uma solução para esses ataques por negativa de serviço é utilizar um esquema de assinatura que permita a verificação progressiva da assinatura, de modo que cada estágio do processo de verificação reduza pela metade a probabilidade de que uma assinatura falsa passe despercebida. Outro método que também permite uma melhora significativa na performance do serviço é utilizar um Código de Autenticação de Mensagem e um segredo compartilhado previamente estabelecido para autenticar as mensagens. Um Código de Autenticação de Mensagem exige muito menos esforço computacional do que uma assinatura digital. Se o não-repúdio não for exigido, o Código de Autenticação de Mensagem pode ser usado sozinho para autenticar as mensagens. Se o não-repúdio for essencial, a mensagem pode precisar de um Código de Autenticação de Mensagem, para a pré-verificação rápida, e de uma Assinatura Digital. O segredo compartilhado pode ser estabelecido através de um protocolo de acordo de chaves. Web Services que fornecem serviços de segurança Os padrões de Web Services podem ser utilizados para suportar muitos tipos diferentes de aplicações que exijam segurança. No entanto, são de particular interesse os Web Services que desempenham uma função de segurança. Nesta parte do tutorial, observaremos dois Web Services desse tipo: XKMS e SAML. XKMS A especificação XKMS consiste em um protocolo de registro e um protocolo de interrogação. Tais protocolos podem ser utilizados independentemente. O protocolo de interrogação da XKMS chama-se XML Key Information Service Specification (X- KISS), que suporta dois níveis de serviço: Nível 1: Localizar O cliente envia um elemento <KeyInfo> para o serviço e exige que o serviço confiável forneça um elemento <KeyInfo> que identifique a mesma chave, mas venha em um formato diferente (ex. certificado X.509 convertido em parâmetros de chave). Nível 2: Validar O serviço confiável valida a credibilidade da informação retornada de acordo com critérios específicos de serviço. Complexidade do cliente Uma das principais objeções à implementação da PKI tradicional é a complexidade da especificação. O suporte total para a especificação X.509/PKIX padrão da indústria exige uma implementação muito grande e complexa no cliente, que pouquíssimas aplicações suportam diretamente (Figura 6). Página 15

16 Diretório Diretório ASN1 PKIX ASN1 PKIX Alice Bob Figura 6: PKI Tradicional PKIX Embora a PKI seja amplamente aceita pelos principais sistemas operacionais, de navegação e de , isso não ocorre com as funções 'sofisticadas' de PKI, como a certificação cruzada, OCSP, etc. Tais funções normalmente são adotadas somente através de 'plug-ins' de PKI oferecidos por fornecedores independentes de PKI. Os plug-ins desse tipo têm se mostrado caros para implementar e manter, particularmente levando-se em conta que cada cliente de PKI deve ser configurado com a localização do repositório local da PKI. A implementação de um novo plug-in é exigida sempre que houver alguma modificação na configuração da PKI, com implementação de novas funções, ou quando a aplicação base é atualizada. Diretório Diretório ASN1 XKMS PKIX XML Alice ASN1 Bob PKIX Figura 7: O XKMS protege o cliente da complexidade da PKI subjacente Complexidade histórica e complexidade necessária Parte da complexidade da PKIX deve-se ao processo pelo qual a especificação foi desenvolvida. A especificação CRL foi desenvolvida como um mecanismo de listas negras de certificados. À medida que o número de certificados cresceu, as CRLs assumiram um tamanho inaceitável, o que levou a várias extensões para reduzir o problema. Ao mesmo tempo, o OCSP (Online Certificate Status Protocol) foi desenvolvido para fornecer relatórios em tempo real sobre o status do certificado. Apesar do íntimo relacionamento entre CRLs e OCSP, os formatos de dados e protocolos associados a cada um são independentes. Embora a complexidade da PKIX pudesse ser reduzida através de um processo de reorganização total do design, a principal razão da complexidade da especificação PKIX é o fato de tentar solucionar um problema complexo. Em muitos casos, era uma tentativa de solucionar um problema complexo por meio de uma solução muito simples, que levava à complexidade. Página 16

17 A PKI é complexa porque as relações de confiança no mundo real são complexas e não podem necessariamente ser reduzidas a uma série de formatos de dados padronizados que possam ser lidos por computador. A decisão para um arquiteto de PKI, portanto, não se limita a saber se há ou não complexidade, mas como administrá-la e onde posicioná-la. A armadilha da implementação do cliente O problema que parece ter interrompido a implementação de novas funções de PKIX é a armadilha da implementação do cliente. Para que uma função de PKI seja útil, todos os clientes devem em primeiro lugar suportá-la. Para que os principais fornecedores de aplicações suportem uma função, ela deve em primeiro lugar ser útil. Nenhuma das principais aplicações capacitadas para PKI (Netscape Communicator, Microsoft Outlook, Lotus Notes, por exemplo) possui suporte nativo para a certificação cruzada. A função teria pouco valor até que fosse amplamente suportada, e ela não será suportada de modo abrangente até mostrar o seu valor. Gestão de confiança O uso de criptografia e PKI normalmente motiva os indivíduos de caráter independente. Por conseqüência, as arquiteturas de PKI têm enfatizado o papel da escolha individual na configuração de seus relacionamentos de confiança. Esta abordagem não corresponde bem às necessidades das empresas, onde os relacionamentos de confiança são por definição estabelecidos em nível empresarial. A abordagem de PKI, que exige a configuração em nível de cliente, não atende às necessidades das empresas, que tentam gerenciar seus relacionamentos de confiança em nível de empresa. O modelo de PKI centrado no cliente exige que todos os relacionamentos de confiança possam ser expressos em um formato de dados suportado pelo cliente, que deve suportar todos os protocolos de recuperação e localização necessários. O número de dispositivos capacitados para PKI aumenta proporcionalmente ao problema da gestão de confiança. É improvável que mesmo os indivíduos mais motivados queiram manter sua configuração de segurança no laptop, no computador de mesa, no palmtop, no telefone celular, etc. Localização Um cliente recebe um documento XML assinado. O elemento <KeyInfo> na assinatura especifica um método de recuperação para um certificado X.509. O cliente, que não possui meios para acessar o certificado X.509 via URL ou para analisá-lo de modo a obter os parâmetros da chave pública, delega essas tarefas ao serviço de confiança (Figura 8). Cliente Serviço de Confiança Servidor - A <ds:keyinfo> <ds:keyname> GET / HTTP/ <ds:keyinfo> <ds:keyvalue> HTTP/ OK Certificado X509 Figura 8: Serviço de Localização de Chaves Validação O serviço de validação permite que um cliente delegue todas as funções de processamento de confiança a um serviço de confiança. Como ocorre com o serviço de localização, o cliente cria uma requisição que especifica a informação que o serviço de validação deve localizar. No Página 17

18 entanto, ao contrário do serviço de localização, o de validação é responsável por garantir a credibilidade dos dados retornados antes de confiar neles. Um cliente recebe um documento XML assinado e requisita que o serviço de confiança determine se a chave de assinatura é confiável. Nesse caso, um certificado X.509 autentica a chave de assinatura. O serviço de confiança constrói um caminho de certificados confiáveis e então valida cada um dos certificados encontrados por consulta à Lista de Certificados Revogados relevante. O cliente fica protegido da complexidade e o serviço de confiança retorna apenas as informações de interesse específico para o cliente: os parâmetros de chave, os dados vinculados à chave e a validade dessa vinculação (Figura 9). Cliente Serviço de Confiança <Consulta> <...> Resultado=Válido <KeyBinding> <KeyID> <ds:keyinfo> Serviços de PKI Figura 9 Serviço de Validação de Chaves A delegação das funções de processamento de confiança a um serviço específico de confiança torna possível o controle através da empresa e a supervisão da configuração da PKI. Isso é essencial para as aplicações B2B (business to business), onde os relacionamentos de confiança importantes ocorrem entre as empresas e não entre os indivíduos ou entre as aplicações por eles utilizadas. X-KRSS A especificação X-KRSS (XML Key Registration Service Specification) define um protocolo para o serviço de confiança que aceita o registro de informações sobre as chaves públicas. Uma vez registrada, a chave pública pode ser usada em conjunto com outros serviços web, incluindo X- KISS. A X-KRSS foi projetada para suportar todas as funções associadas com o ciclo de vida da chave pública: Registro. A função registro suporta o registro da associação entre uma chave pública e dados adicionais (como um nome) para criar uma 'vinculação de chave'. As chaves privadas podem ser geradas localmente pelo cliente (desejável para chaves de assinatura) ou por um serviço central de geração de chaves (desejável em casos onde a recuperação de chaves é suportada). As requisições podem ser autenticadas através de um segredo compartilhado de uso limitado ou por uma assinatura digital. Renovação. A especificação XKMS permite que uma PKI seja operada sem que sejam emitidos certificados digitais, eliminando a necessidade de renová-los. Em casos onde os certificados são emitidos pela PKI subjacente, o processamento das renovações pode ser executado automaticamente, sem necessidade de interação com o cliente. Revogação. Uma parte autorizada pode requerer que o serviço de confiança revogue uma vinculação de chave. Isso pode ser necessário porque a chave foi comprometida, ou porque as informações contidas na vinculação de chave são incorretas. Recuperação. A recuperação de chaves privadas é essencial quando um usuário final extravia sua chave privada e precisa ter acesso aos seus dados criptografados. A função de recuperação da X-KRSS oferece um meio autenticado para re-emitir a chave privada para um usuário. A especificação X-KRSS pode ser configurada hierarquicamente, do mesmo modo que uma Autoridade de Registro Local. Isso permite que um pedido de registro seja autenticado por um serviço local de confiança e então repassado para outro serviço de confiança, onde o processamento é executado. Página 18

19 Aplicações Financeiras XKMS XKMS Alice XML XML Bob Figura 10: Vantagens da segurança aplicada a diferentes camadas de rede10 Registros Comerciais Muitas aplicações de negócios envolvem alguma forma de registro. Por exemplo, nos EUA é possível obter garantia para uma dívida através do registro de um ônus sobre o patrimônio do devedor em um registro comercial. Um registro comercial normalmente não requer níveis excepcionais de disponibilidade. No entanto, é essencial que o registro garanta um nível excepcional de autenticidade de dados e continuidade de existência. Embora a interface humana com um registro desse tipo possa exigir a adequação da lei aplicável, do tipo de ativos registrados, do idioma, etc., as funções que exigem níveis excepcionais de autenticidade de dados e continuidade de existência são comuns a todos os registros. Os registros feitos no registro comercial podem ser representados por afirmações de confiança em nível de segurança 3. O cancelamento ou anulação de registros pode ser representado por meio de afirmações de status em nível de segurança 4. Documentos Financeiros Negociáveis Muitas transações financeiras são representadas pela troca de documentos negociáveis. Em muitos casos, esses documentos são instrumentos ao portador. Por exemplo, um navio cumpre suas obrigações perante o despachante ao fazer a entrega de sua carga à primeira pessoa que apresente um documento válido de conhecimento de embarque no porto de destino. A substituição de documentos de papel por documentos eletrônicos oferece muitas vantagens, incluindo custos mais baixos para o transportador e seus clientes. Além disso, um documento eletrônico é negociado de modo mais imediato do que um restrito ao formato físico. Uma afirmação de confiança com nível de segurança 3 pode ser usada para criar um conhecimento de embarque eletrônico, que mantenha controle sobre a propriedade atual de um ativo específico (p.ex., uma carga) e gerencie a transferência daquele ativo de um proprietário para outro por meio de afirmações de status em nível de segurança 4. O adquirente em potencial de uma carga pode determinar se o vendedor é o proprietário efetivo da carga pela validação da afirmação que estabelece a propriedade. Federal Bridge CA A especificação XKMS permite a implementação de topologias sofisticadas de PKI, tais como a da autoridade certificadora Federal Government Bridge CA [FBCA], sem necessidade de empregar plug-ins de PKI para suportar aquela topologia específica. Página 19

20 AC da Agência 1 Bridge AC da Agência 2 Alice Bob Figura 11: As aplicações reais de PKI empregam topologias de confiança complexas, porém estruturadas SAML A especificação [SAML] (Security Assertion Markup Language) especifica tanto uma estrutura de afirmações de confiança como também declarações de afirmação específicas para suportar aplicações de autorização e autenticação federativas. Cada afirmação de confiança é codificada em um pacote XML comum onde devem estar contidas, no mínimo: As informações básicas. Cada afirmação deve especificar a versão da sintaxe de afirmação SAML, um identificador exclusivo que serve como nome da afirmação, um identificador exclusivo do emissor e o momento da emissão. As declarações afirmadas As declarações afirmadas pelo emissor da afirmação. Além disso, uma afirmação pode conter os seguintes elementos adicionais: Condições. O status da afirmação pode estar sujeito a condições. O status da afirmação pode depender de informações adicionais provenientes de um serviço de validação. A afirmação pode depender da validade de outras afirmações. A afirmação pode ter sua validade condicionada à parte confiante ser membro de uma determinada comunidade. Recomendações. As afirmações podem conter informações adicionais, como recomendações. As recomendações PODEM ser usadas para especificar quais afirmações foram usadas para compor uma decisão de política. Aqueles que desejam confiar em uma afirmação podem ignorar as recomendações, mas devem necessariamente compreender todas as condições nela existentes. A especificação SAML define três Declarações de Afirmação, a seguir: Afirmação de autenticação Uma afirmação de autenticação contém uma declaração feita pelo emissor, que afirma que o sujeito foi autenticado por um determinado meio em um determinado momento. Afirmação de decisão de autorização Uma afirmação de decisão de autorização contém uma declaração feita pelo emissor, que afirma que a requisição de acesso do sujeito especificado ao objeto especificado resultou na decisão especificada, com base em algumas evidências opcionalmente especificadas. Afirmação de atributo Uma afirmação de atributo contém uma declaração feita pelo emissor, que afirma que o sujeito especificado está associado ao(s) atributo(s) especificado(s). Página 20

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação ICP e Certificados Digitais Prof. João Henrique Kleinschmidt Santo André, junho de 2013 Criptografia de chave pública Oferece criptografia e também uma maneira de identificar

Leia mais

Conceitos de Segurança em Sistemas Distribuídos

Conceitos de Segurança em Sistemas Distribuídos Conceitos de Segurança em Sistemas Distribuídos Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA http://www.lsd.ufma.br 30 de novembro de 2011

Leia mais

Criptografia de chaves públicas

Criptografia de chaves públicas Marcelo Augusto Rauh Schmitt Maio de 2001 RNP/REF/0236 Criptografia 2001 RNP de chaves públicas Criptografia Introdução Conceito É a transformação de um texto original em um texto ininteligível (texto

Leia mais

Autenticação: mais uma tentativa. Autenticação: mais uma tentativa. ap5.0: falha de segurança. Autenticação: ap5.0. Assinaturas Digitais (mais)

Autenticação: mais uma tentativa. Autenticação: mais uma tentativa. ap5.0: falha de segurança. Autenticação: ap5.0. Assinaturas Digitais (mais) Autenticação: mais uma tentativa Protocolo ap3.1: Alice diz Eu sou Alice e envia sua senha secreta criptografada para prová-lo. Eu I am sou Alice encrypt(password) criptografia (senha) Cenário de Falha?

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação (Extraído da apostila de Segurança da Informação do Professor Carlos C. Mello) 1. Conceito A Segurança da Informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido,

Leia mais

Criptografia de Chave Pública

Criptografia de Chave Pública Criptografia de Chave Pública Aplicações Privacidade, Autenticação: RSA, Curva Elíptica Intercâmbio de chave secreta: Diffie-Hellman Assinatura digital: DSS (DSA) Vantagens Não compartilha segredo Provê

Leia mais

Protocolos Básicos e Aplicações. Segurança e SSL

Protocolos Básicos e Aplicações. Segurança e SSL Segurança e SSL O que é segurança na rede? Confidencialidade: apenas remetente e destinatário pretendido devem entender conteúdo da mensagem remetente criptografa mensagem destinatário decripta mensagem

Leia mais

Sistemas Distribuídos Introdução a Segurança em Sistemas Distribuídos

Sistemas Distribuídos Introdução a Segurança em Sistemas Distribuídos Sistemas Distribuídos Introdução a Segurança em Sistemas Distribuídos Departamento de Informática, UFMA Graduação em Ciência da Computação Francisco José da Silva e Silva 1 Introdução Segurança em sistemas

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança Protocolos de Segurança A criptografia resolve os problemas envolvendo a autenticação, integridade

Leia mais

Criptografia. 1. Introdução. 2. Conceitos e Terminologias. 2.1. Criptografia. 2.2. Criptoanálise e Criptologia. 2.3. Cifragem, Decifragem e Algoritmo

Criptografia. 1. Introdução. 2. Conceitos e Terminologias. 2.1. Criptografia. 2.2. Criptoanálise e Criptologia. 2.3. Cifragem, Decifragem e Algoritmo 1. Introdução O envio e o recebimento de informações são uma necessidade antiga, proveniente de centenas de anos. Nos últimos tempos, o surgimento da Internet e de tantas outras tecnologias trouxe muitas

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Revisão Criptografia de chave simétrica; Criptografia de chave pública; Modelo híbrido de criptografia. Criptografia Definições

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Autenticação Prof. João Henrique Kleinschmidt Santo André, junho de 2013 Resumos de mensagem (hash) Algoritmo Hash são usados quando a autenticação é necessária, mas o sigilo,

Leia mais

Atributos de segurança. TOCI-08: Segurança de Redes. Ataques a canais de comunicação. Confidencialidade

Atributos de segurança. TOCI-08: Segurança de Redes. Ataques a canais de comunicação. Confidencialidade Atributos de segurança TOCI-08: Segurança de Redes Prof. Rafael Obelheiro rro@joinville.udesc.br Aula 9: Segurança de Comunicações Fundamentais confidencialidade integridade disponibilidade Derivados autenticação

Leia mais

fonte: http://www.nit10.com.br/dicas_tutoriais_ver.php?id=68&pg=0

fonte: http://www.nit10.com.br/dicas_tutoriais_ver.php?id=68&pg=0 Entenda o que é um certificado digital SSL (OPENSSL) fonte: http://www.nit10.com.br/dicas_tutoriais_ver.php?id=68&pg=0 1. O que é "Certificado Digital"? É um documento criptografado que contém informações

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 SEGURANÇA LÓGICA: Criptografia Firewall Protocolos Seguros IPSec SSL SEGURANÇA LÓGICA: Criptografia

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Curso de Tecnologia em Redes de Computadores Disciplina: Tópicos Avançados II 5º período Professor: José Maurício S. Pinheiro AULA 2: Padrão X.509 O padrão X.509

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Autenticação com Assinatura Digital

Autenticação com Assinatura Digital Autenticação Verificação confiável da identidade de um parceiro de comunicação Define uma relação de confiança Garante que o remetente dos dados não negue o envio dos mesmos Autenticação com Assinatura

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

Tudo que você precisa saber sobre Criptografia

Tudo que você precisa saber sobre Criptografia Tudo que você precisa saber sobre Criptografia...e tinha medo de perguntar Criptografia vem do grego e significa escrita escondida. Bem, ainda não temos a tecnologia dos filmes de fantasia onde um pergaminho

Leia mais

Fernando M. V. Ramos, fvramos@ciencias.ulisboa.pt, RC (LEI), 2015-2016. Heavily based on 1996-2010 J. Kurose and K. Ross, All Rights Reserved.

Fernando M. V. Ramos, fvramos@ciencias.ulisboa.pt, RC (LEI), 2015-2016. Heavily based on 1996-2010 J. Kurose and K. Ross, All Rights Reserved. Questionário Socrative: início de aula 7. Segurança de redes Redes de Computadores Objetivos Estudar os princípios da segurança de redes Criptografia Confidencialidade, autenticidade, integridade A implementação

Leia mais

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 13

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 13 REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 13 Índice 1. Criptografia...3 1.1 Sistemas de criptografia... 3 1.1.1 Chave simétrica... 3 1.1.2 Chave pública... 4 1.1.3 Chave pública SSL... 4 2. O símbolo

Leia mais

Redes de Computadores II

Redes de Computadores II Redes de Computadores II Prof. Celio Trois portal.redes.ufsm.br/~trois/redes2 Criptografia, Certificados Digitais SSL Criptografia Baseada em Chaves CRIPTOGRAFA Texto Aberto (PlainText) Texto Fechado (Ciphertext)

Leia mais

Capítulo 8. Segurança de redes

Capítulo 8. Segurança de redes Capítulo 8 Segurança de redes slide 1 2011 Pearson Prentice Hall. Todos os direitos reservados. Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, Pearson Education-Prentice Hall,

Leia mais

POLÍTICA DE CERTIFICADO DA SERASA AUTORIDADE CERTIFICADORA GLOBAL PARA CERTIFICADOS DE SERVIDOR

POLÍTICA DE CERTIFICADO DA SERASA AUTORIDADE CERTIFICADORA GLOBAL PARA CERTIFICADOS DE SERVIDOR POLÍTICA DE CERTIFICADO DA SERASA AUTORIDADE CERTIFICADORA GLOBAL PARA CERTIFICADOS DE SERVIDOR (PC SERASA AC GLOBAL) Autor: Serasa S.A. Edição: 20/01/2009 Versão: 1.3 1 INTRODUÇÃO 1.1 Visão Geral Esta

Leia mais

SISTEMAS DISTRIBUIDOS. Prof. Marcelo de Sá Barbosa

SISTEMAS DISTRIBUIDOS. Prof. Marcelo de Sá Barbosa Prof. Marcelo de Sá Barbosa Introdução Visão geral das técnicas de segurança Algoritmos de criptografia Assinaturas digitais Criptografia na prática Introdução A necessidade de proteger a integridade e

Leia mais

Seu manual do usuário NOKIA C111 http://pt.yourpdfguides.com/dref/824109

Seu manual do usuário NOKIA C111 http://pt.yourpdfguides.com/dref/824109 Você pode ler as recomendações contidas no guia do usuário, no guia de técnico ou no guia de instalação para. Você vai encontrar as respostas a todas suas perguntas sobre a no manual do usuário (informação,

Leia mais

Introdução. Criptografia. Aspectos de segurança em TCP/IP Secure Socket Layer (SSL) Rd Redes de Computadores. Aula 28

Introdução. Criptografia. Aspectos de segurança em TCP/IP Secure Socket Layer (SSL) Rd Redes de Computadores. Aula 28 Introdução Inst tituto de Info ormátic ca - UF FRGS Rd Redes de Computadores td Aspectos de segurança em /IP Secure Socket Layer (SSL) Aula 28 Na Internet, ninguém sabe que você é um cachorro. Peter Steiner,

Leia mais

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários...

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários... Agradecimentos... 7 O autor... 8 Prefácio... 15 Objetivos do livro... 17 Parte I Introdução... 19 Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21 Introdução à ICP... 21 Serviços oferecidos

Leia mais

Informações de segurança do TeamViewer

Informações de segurança do TeamViewer Informações de segurança do TeamViewer 2011 TeamViewer GmbH, Última atualização: 5/2011 Grupo em foco Este documento destina-se aos administradores de redes profissionais. As informações nele contidas

Leia mais

Sistemas Distribuídos

Sistemas Distribuídos Segurança em Faculdades SENAC Análise e Desenvolvimento de Sistemas 1 de agosto de 2009 Motivação Segurança em A maioria é causada pelo ser humano e intencional Inicialmente os hackers eram adolescentes

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Informações de segurança do TeamViewer

Informações de segurança do TeamViewer Informações de segurança do TeamViewer 2014 TeamViewer GmbH, Última atualização: 07/2014 Grupo em foco Este documento destina-se aos administradores de redes profissionais. As informações nele contidas

Leia mais

CERTIFICAÇÃO DIGITAL

CERTIFICAÇÃO DIGITAL Autenticidade Digital CERTIFICAÇÃO DIGITAL Certificação Digital 1 Políticas de Segurança Regras que baseiam toda a confiança em um determinado sistema; Dizem o que precisamos e o que não precisamos proteger;

Leia mais

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Carreira Policial Mais de 360 aprovados na Receita Federal em 2006 67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Apostila

Leia mais

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação WatchKey WatchKey USB PKI Token Manual de Instalação e Operação Versão Windows Copyright 2011 Watchdata Technologies. Todos os direitos reservados. É expressamente proibido copiar e distribuir o conteúdo

Leia mais

Administração de Sistemas (ASIST)

Administração de Sistemas (ASIST) Administração de Sistemas (ASIST) Criptografia Outubro de 2014 1 Criptografia kryptós (escondido) + gráphein (escrita) A criptografia utiliza algoritmos (funções) que recebem informação e produzem resultados

Leia mais

Oficial de Justiça 2014. Informática Questões AULA 3

Oficial de Justiça 2014. Informática Questões AULA 3 Oficial de Justiça 2014 Informática Questões AULA 3 - Conceitos básicos de Certificação Digital - Sistema Operacional: Microsoft Windows 7 Professional (32 e 64-bits) operações com arquivos; configurações;

Leia mais

Segurança de Sistemas na Internet. Aula 10 - IPSec. Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br

Segurança de Sistemas na Internet. Aula 10 - IPSec. Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Segurança de Sistemas na Internet Aula 10 - IPSec Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Slide 2 de 31 Introdução Há inúmeras soluções de autenticação/cifragem na camada de aplicação

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP

Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP SSL - Secure Socket Layer Protocolos criptográfico que provê comunicação segura na Internet para serviços como: Telnet, FTP, SMTP, HTTP etc. Provê a privacidade

Leia mais

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s): Professor(es): Fernando Pirkel Descrição da(s) atividade(s): Definir as tecnologias de redes necessárias e adequadas para conexão e compartilhamento dos dados que fazem parte da automatização dos procedimentos

Leia mais

Requisitos de Segurança de E-mail

Requisitos de Segurança de E-mail Segurança de E-mail O e-mail é hoje um meio de comunicação tão comum quanto o telefone e segue crescendo Gerenciamento, monitoramento e segurança de e-mail têm importância cada vez maior O e-mail é muito

Leia mais

Centro Universitário Fundação Santo André. Disciplina Redes de Computadores Módulo 07

Centro Universitário Fundação Santo André. Disciplina Redes de Computadores Módulo 07 Centro Universitário Fundação Santo André Disciplina Redes de Computadores Módulo 07 Segurança em Redes de Computadores 2006 V1.0 Conteúdo INVASÃO AMEAÇAS RECURSOS DE PROTEÇÃO AMEAÇAS TÉCNICAS DE PROTEÇÃO

Leia mais

Tema 4a A Segurança na Internet

Tema 4a A Segurança na Internet Tecnologias de Informação Tema 4a A Segurança na Internet 1 Segurança na Internet Segurança Ponto de Vista da Empresa Ponto de vista do utilizador A quem Interessa? Proxy Firewall SSL SET Mecanismos 2

Leia mais

Segurança do Wireless Aplication Protocol (WAP)

Segurança do Wireless Aplication Protocol (WAP) Universidade de Brasília UnB Escola de Extensão Curso Criptografia e Segurança na Informática Segurança do Wireless Aplication Protocol (WAP) Aluno: Orlando Batista da Silva Neto Prof: Pedro Antônio Dourado

Leia mais

Entendendo a Certificação Digital

Entendendo a Certificação Digital Entendendo a Certificação Digital Novembro 2010 1 Sumário 1. Introdução... 3 2. O que é certificação digital?... 3 3. Como funciona a certificação digital?... 3 6. Obtendo certificados digitais... 6 8.

Leia mais

Conceitos de Criptografia e o protocolo SSL

Conceitos de Criptografia e o protocolo SSL Conceitos de Criptografia e o protocolo SSL TchêLinux Ulbra Gravataí http://tchelinux.org/gravatai Elgio Schlemer Ulbra Gravatai http://gravatai.ulbra.tche.br/~elgio 31 de Maio de 2008 Introdução Início

Leia mais

Privacidade no email. Fevereiro de 2009 Luís Morais 2009, CERT.PT, FCCN

Privacidade no email. Fevereiro de 2009 Luís Morais 2009, CERT.PT, FCCN Privacidade no email Fevereiro de 2009 Luís Morais 2009, CERT.PT, FCCN 1 Introdução... 3 2 Funcionamento e fragilidades do correio electrónico... 3 3 Privacidade no correio electrónico... 5 3.1 Segurança

Leia mais

1.1 Sistemas criptográficos

1.1 Sistemas criptográficos I 1.1 Sistemas criptográficos A criptografia é a base de inúmeros mecanismos de segurança, por este motivo esta seção apresenta inicialmente os dois principais modelos criptografia existentes (TERADA;

Leia mais

Segurança da Informação

Segurança da Informação Resumos Volume 1, Julho de 2015 Segurança da Informação POPULARIZAÇÃO DA INFORMÁTICA Com a popularização da internet, tecnologias que antes eram restritas a profissionais tornaram-se abertas, democratizando

Leia mais

ADMINISTRAÇÃO DE REDES DE COMPUTADORES 5/12/2005 UALG/FCT/DEEI 2005/2006

ADMINISTRAÇÃO DE REDES DE COMPUTADORES 5/12/2005 UALG/FCT/DEEI 2005/2006 ADMINISTRAÇÃO DE REDES DE COMPUTADORES Segurança 5/12/2005 Engª de Sistemas e Informática Licenciatura em Informática UALG/FCT/DEEI 2005/2006 1 Classes de criptografia Criptografia simétrica ou de chave

Leia mais

Internet Protocol Security (IPSec)

Internet Protocol Security (IPSec) Internet Protocol Security (IPSec) Segurança de Computadores IPSec - Introdução Preocupados com a insegurança na Internet o IETF (Internet Engineering Task Force) desenvolveu um conjunto de protocolos,

Leia mais

Criptografia fundamentos e prática. Italo Valcy CERT.Bahia / UFBA

Criptografia fundamentos e prática. Italo Valcy <italo@pop-ba.rnp.br> CERT.Bahia / UFBA Criptografia fundamentos e prática Italo Valcy CERT.Bahia / UFBA Licença de uso e atribuição Todo o material aqui disponível pode, posteriormente, ser utilizado sobre os termos da:

Leia mais

Centro Universitário Fundação Santo André. Disciplina Redes de Computadores Módulo 07

Centro Universitário Fundação Santo André. Disciplina Redes de Computadores Módulo 07 Centro Universitário Fundação Santo André Disciplina Redes de Computadores Módulo 07 2006 V1.0 Conteúdo INVASÃO AMEAÇAS AMEAÇAS INVASÃO AÇÃO CRIMINOSA DE PESSOAS OU GRUPO DE PESSOAS, VISANDO A QUEBRA DE

Leia mais

M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações

M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações Prof. Fernando Augusto Teixeira 1 2 Agenda da Disciplina Certificado Digital e suas aplicações Segurança Criptografia Simétrica

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

I T I. AC Raiz. Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal. Receita Federal SERASA SERPRO CAIXA CERT PRIVADA

I T I. AC Raiz. Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal. Receita Federal SERASA SERPRO CAIXA CERT PRIVADA I T I AC Raiz Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal Receita Federal SERASA SERPRO CAIXA CERT AC PRIVADA AR Autoridade Registradora AR Autoridade Registradora Certificado

Leia mais

Infoestrutura: Autenticação e Assinatura Digital

Infoestrutura: Autenticação e Assinatura Digital Infoestrutura: Autenticação e Assinatura Digital 1. Introdução No mundo físico, é fácil reconhecer quem é quem, seja vendo, escutando ou reconhecendo a caligrafia da pessoa. Entretanto, no mundo digital,

Leia mais

Os aplicativos de software, redes e computadores podem utilizar seu certificado digital de várias maneiras:

Os aplicativos de software, redes e computadores podem utilizar seu certificado digital de várias maneiras: Índice Índice... 2 1. O que é certificado digital?... 3 2. Para que serve?... 3 3. Como funciona?... 3 4. Quem usa?... 4 5. Quais são os tipos de certificados digitais?... 4 6. Por que uma empresa necessita

Leia mais

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura.

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. Módulo 14 Segurança em redes Firewall, Criptografia e autenticação Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. 14.1 Sistemas

Leia mais

Cliente/Servidor. Segurança. Graça Bressan/LARC 2000 GB/LARC/PCS/EPUSP

Cliente/Servidor. Segurança. Graça Bressan/LARC 2000 GB/LARC/PCS/EPUSP Cliente/Servidor Segurança Graça Bressan Graça Bressan/LARC 1998 GB/LARC/PCS/EPUSP CS 1-1 Política de Segurança Especifica de forma não ambígua quais itens devem ser protegidos e não como implementar esta

Leia mais

Unidade 3 Dispositivos e Tecnologias

Unidade 3 Dispositivos e Tecnologias Unidade 3 Dispositivos e Tecnologias 95 Firewalls firewall Isola a rede interna de uma organização da rede pública (Internet), permitindo a passagem de certos pacotes, bloqueando outros. Rede administrada

Leia mais

Criptografia e Certificação Digital Sétima Aula. Prof. Frederico Sauer, D.Sc.

Criptografia e Certificação Digital Sétima Aula. Prof. Frederico Sauer, D.Sc. Criptografia e Certificação Digital Sétima Aula Prof. Frederico Sauer, D.Sc. Segurança na Web A Internet é considerada essencial nos Planos de Negócios das empresas para alavancar lucros O ambiente capilar

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Princípios de Criptografia Tópicos O papel da criptografia na segurança das redes de comunicação; Criptografia de chave

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Criptografia assimétrica Prof. João Henrique Kleinschmidt Santo André, junho de 2013 Problema de distribuição de chaves A criptografia de chave simétrica pode manter seguros

Leia mais

Criptografia e Certificação Digital

Criptografia e Certificação Digital Criptografia e Certificação Digital Conheça os nossos produtos em criptografia e certificação digital. Um deles irá atender às necessidades de sua instituição. Criptografia e Certificação Digital Conheça

Leia mais

OSRC Segurança em Redes de Computadores Módulo 09: Hash, ICP e SSL/TLS

OSRC Segurança em Redes de Computadores Módulo 09: Hash, ICP e SSL/TLS OSRC Segurança em Redes de Computadores Módulo 09: Hash, ICP e SSL/TLS Prof. Charles Christian Miers e-mail: charles.miers@udesc.br Problema Comunicações em redes de computadores, e principalmente em redes

Leia mais

Sistemas Distribuídos: Conceitos e Projeto Introdução a Criptografia e Criptografia Simétrica

Sistemas Distribuídos: Conceitos e Projeto Introdução a Criptografia e Criptografia Simétrica Sistemas Distribuídos: Conceitos e Projeto Introdução a Criptografia e Criptografia Simétrica Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA

Leia mais

Capítulo 8 Segurança na Rede Prof. Othon Marcelo Nunes Batista Mestre em Informática

Capítulo 8 Segurança na Rede Prof. Othon Marcelo Nunes Batista Mestre em Informática Capítulo 8 Segurança na Rede Prof. Othon Marcelo Nunes Batista Mestre em Informática slide 1 Capítulo 8: Esboço 8.1 O que é segurança na rede? 8.2 Princípios de criptografia 8.3 Integridade de mensagem

Leia mais

Segurança em Redes IP

Segurança em Redes IP IPSec 1 Segurança em Redes IP FEUP MPR IPSec 2 Requisitos de Segurança em Redes» Autenticação: O parceiro da comunicação deve ser o verdadeiro» Confidencialidade: Os dados transmitidos não devem ser espiados»

Leia mais

Segurança na Internet

Segurança na Internet Segurança na Internet Muito do sucesso e popularidade da Internet é por ela ser uma rede global aberta Por outro lado, isto faz da Internet um meio não muito seguro É difícil identificar com segurança

Leia mais

MECANISMOS DE SEGURANÇA EM REDES

MECANISMOS DE SEGURANÇA EM REDES MECANISMOS DE SEGURANÇA EM REDES UCSAL - Graduação Tecnológica em Redes de Computadores Professor Marco Câmara AGENDA Conceitos Política Básicos de Segurança Recursos, Controles Pontos de Aplicação e TI:

Leia mais

Introdução. Iremos procurar ver aqui alguns mecanismos de proteção mais utilizados como: criptografia e SSL. 1.0 Criptografia

Introdução. Iremos procurar ver aqui alguns mecanismos de proteção mais utilizados como: criptografia e SSL. 1.0 Criptografia Introdução Atualmente no mundo internacional das redes e com o comércio eletrônico, todo sistema de computador se tornou um alvo em potencial para intrusos. O problema é que não há como saber os motivos

Leia mais

O QUE É CERTIFICAÇÃO DIGITAL?

O QUE É CERTIFICAÇÃO DIGITAL? O QUE É CERTIFICAÇÃO DIGITAL? Os computadores e a Internet são largamente utilizados para o processamento de dados e para a troca de mensagens e documentos entre cidadãos, governo e empresas. No entanto,

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Mecanismos de Autenticação dos Emails

Mecanismos de Autenticação dos Emails Mecanismos de Autenticação dos Emails De uma forma generalizada, pode-se identificar os seguintes problemas relacionados com a autenticidade dos emails: Envio de mensagens não solicitadas (spam), que pode

Leia mais

Certificação Digital Automação na Assinatura de Documentos de Compras

Certificação Digital Automação na Assinatura de Documentos de Compras XVIII Seminário Nacional de Distribuição de Energia Elétrica SENDI 2008-06 a 10 de outubro Olinda - Pernambuco - Brasil Certificação Digital Automação na Assinatura de Documentos de Compras Eder Soares

Leia mais

Certification Authority

Certification Authority Certification Authority An in-depth perspective on digital certificates, PKI and how certification authority s work Mestrado em Ciência da Informação Alexandra Ferreira mci1208749 Jorge Andrade mci1208751

Leia mais

Capítulo 8. Segurança em redes de computadores

Capítulo 8. Segurança em redes de computadores 1 Capítulo 8 Segurança em redes de computadores 2 Redes de computadores I Prof.: Leandro Soares de Sousa E-mail: leandro.uff.puro@gmail.com Site: http://www.ic.uff.br/~lsousa Não deixem a matéria acumular!!!

Leia mais

Conceitos Sobre Segurança em Redes Sem Fio. Redes Sem Fio (Wireless) 1

Conceitos Sobre Segurança em Redes Sem Fio. Redes Sem Fio (Wireless) 1 Conceitos Sobre Segurança em Redes Sem Fio Redes Sem Fio (Wireless) 1 INTRODUÇÃO Redes Sem Fio (Wireless) 2 INTRODUÇÃO Conceitos Sobre Segurança em Redes Sem Fio Base da segurança: Confidencialidade Controle

Leia mais

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS QUESTÕES DE MÚLTIPLAS ESCOLHAS 1) Em relação à manutenção corretiva pode- se afirmar que : a) Constitui a forma mais barata de manutenção do ponto de vista total do sistema. b) Aumenta a vida útil dos

Leia mais

802.11 PROTOCOLO DE SEGURANÇA

802.11 PROTOCOLO DE SEGURANÇA UNIVERSIDADE ESTÁCIO DE SÁ 802.11 PROTOCOLO DE SEGURANÇA Nome: Micaella Coelho Valente de Paula Matrícula: 201207115071 2 o Período Contents 1 Introdução 2 2 802.11 3 3 Seu Funcionamento 3 4 História 4

Leia mais

Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas. Criação de uma Serviço de Geração de Relatórios

Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas. Criação de uma Serviço de Geração de Relatórios Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas Criação de uma Serviço de Geração de Relatórios Goiânia 12/2011 Versionamento 12/12/2011 Hugo Marciano... 1.0

Leia mais

UM ESTUDO SOBRE CERTIFICADOS DIGITAIS COMO SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO

UM ESTUDO SOBRE CERTIFICADOS DIGITAIS COMO SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO UM ESTUDO SOBRE CERTIFICADOS DIGITAIS COMO SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO Emerson Henrique Soares Silva Prof. Ms. Rodrigo Almeida dos Santos Associação Paraibana de Ensino Renovado - ASPER Coordenação

Leia mais

Instituto Superior de Engenharia de Lisboa Departamento de Engenharia da Electrónica e das Telecomunicações e de Computadores

Instituto Superior de Engenharia de Lisboa Departamento de Engenharia da Electrónica e das Telecomunicações e de Computadores Nota: Seja preciso e conciso nas suas respostas. Para responder às perguntas de resposta múltipla utilize a tabela abaixo. Todas as outras perguntas devem ser respondidas em folhas de teste. Não faça letra

Leia mais

Mecanismos de certificação e a criptografia

Mecanismos de certificação e a criptografia Mecanismos de certificação e a criptografia Os mecanismos de certificação são responsáveis em atestar a validade de um documento. Certificação Digital A Certificação Digital pode ser vista como um conjunto

Leia mais

Capítulo 13. Segurança de dados em redes de computadores. Redes Privadas Virtuais (VPNs)

Capítulo 13. Segurança de dados em redes de computadores. Redes Privadas Virtuais (VPNs) Capítulo 13 Segurança de dados em redes de computadores. Redes Privadas Virtuais (VPNs) Neste capítulo faz-se uma introdução a aplicações e standards que implementam segurança (por encriptação) na comunicação

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

www.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00

www.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00 www.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00 Controle de Revisões Micropagamento F2b Web Services/Web 18/04/2006 Revisão Data Descrição 00 17/04/2006 Emissão inicial. www.f2b.com.br

Leia mais

Criptografia de Informação. Guia corporativo

Criptografia de Informação. Guia corporativo Criptografia de Informação Guia corporativo A criptografia de dados em empresas 1. Introdução 3 Guia corporativo de criptografia de dados 1. Introdução A informação é um dos ativos mais importantes de

Leia mais

Andarta - Guia de Instalação. Guia de Instalação

Andarta - Guia de Instalação. Guia de Instalação Guia de Instalação 29 de setembro de 2010 1 Sumário Introdução... 3 Os Módulos do Andarta... 4 Instalação por módulo... 6 Módulo Andarta Server... 6 Módulo Reporter... 8 Módulo Agent... 9 Instalação individual...

Leia mais

Segurança Informática

Segurança Informática Cadeira de Tecnologias de Informação Ano lectivo 2009/10 Segurança Informática TI2009/2010_SI_1 Tópicos 1. O que é segurança? 2. Problemas relacionados com segurança 3. Criptografia 4. Assinatura digital

Leia mais

Capítulo 13. Segurança de dados em redes de computadores. Redes Privadas Virtuais (VPNs)

Capítulo 13. Segurança de dados em redes de computadores. Redes Privadas Virtuais (VPNs) Capítulo 13 Segurança de dados em redes de computadores. Redes Privadas Virtuais (VPNs) Neste capítulo faz-se uma introdução a aplicações e standards que implementam segurança (por encriptação) na comunicação

Leia mais

1 Infra-estrutura de chaves públicas (PKI Public Key Infrastructure)

1 Infra-estrutura de chaves públicas (PKI Public Key Infrastructure) 1 Infra-estrutura de chaves públicas (PKI Public Key Infrastructure) 1.1 Assinatura Digital Além de permitir a troca sigilosa de informações, a criptografia assimétrica também pode ser utilizada para outros

Leia mais

Criptografia. Módulo III Aplicações Correntes da Criptografia. M. B. Barbosa mbb@di.uminho.pt. Departamento de Informática Universidade do Minho

Criptografia. Módulo III Aplicações Correntes da Criptografia. M. B. Barbosa mbb@di.uminho.pt. Departamento de Informática Universidade do Minho Criptografia Módulo III Aplicações Correntes da Criptografia M. B. Barbosa mbb@di.uminho.pt Departamento de Informática Universidade do Minho 2005/2006 Online Certificate Status Protocol (OCSP) Pedidos

Leia mais

Especificação Técnica

Especificação Técnica Pág. 1/8 CONTRATAÇÃO DE SOLUÇÃO SMS Pág. 2/8 Equipe Responsável Elaboração Assinatura Data Divisão de Padrões de Tecnologia DIPT Aprovação Assinatura Data Departamento de Arquitetura Técnica DEAT Pág.

Leia mais

C.I.A. Segurança de Informação. Carlos Serrão (MSc., PhD.) IUL-ISCTE, DCTI, Adetti/NetMuST. carlos.serrao@iscte.pt carlos.j.serrao@gmail.

C.I.A. Segurança de Informação. Carlos Serrão (MSc., PhD.) IUL-ISCTE, DCTI, Adetti/NetMuST. carlos.serrao@iscte.pt carlos.j.serrao@gmail. C.I.A. Segurança de Informação Carlos Serrão (MSc., PhD.) IUL-ISCTE, DCTI, Adetti/NetMuST carlos.serrao@iscte.pt carlos.j.serrao@gmail.com http://www.carlosserrao.net http://blog.carlosserrao.net http://www.iscte.pt

Leia mais