Sistemas Distribuídos e Paralelos

Transcrição

1 Sistemas Distribuídos e Paralelos Segurança Ricardo Mendão Silva Universidade Autónoma de Lisboa r.m.silva@ieee.org December 10, 2014 Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

2 Outline 1 Introdução Requisitos básicos nos SD O papel da criptografia Ameaças e ataques Segurar transacções electrónicas 2 Criptografia 3 Algoritmos de criptografia Algoritmos simétricos Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

3 Introdução Como estudámos anteriormente, um sistema distribuído é um sistema exposto. Espionagem, disfarces, adulteração de conteúdo ou anulação de serviços são exemplos de ataques em sistemas distribuídos. Os designers de SD têm de considerar a exposição das interfaces de serviços e insegurança da rede num ambiente onde os atacantes têm conhecimento sobre os algoritmos e técnicas de protecção usadas. A criptografia fornece a base para a autenticação de mensagens, integridade e sigilo. Como tal, os protocolos de segurança devem ser cuidadosamente aplicados aos SD, de modo a garantir o nível requerido. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

4 Introdução A selecção dos algoritmos criptográficos e a gestão de chaves são processos críticos para a eficiência, performance e usabilidade dos mecanismos de segurança. Chaves públicas torna mais fácil distribuir chaves criptográficas mas a performance é inadequada para encriptar dados em massa. Chaves privadas tornam-se mais adequadas para encriptar blocos de dados. Deste modo, utilizam-se solução híbridas como o TLS - Transport Layer Security - que estabelece um canal seguro utilizando chaves públicas, sobre o qual se trocam chaves privadas que são depois utilizadas na encriptação dos blocos de dados. A informação digital pode ainda ser assinadas, produzindo certificados digitais. Os certificados permitem que a confiança seja estabelecida entre utilizadores e organizações. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

5 Introdução Requisitos básicos nos SD Os processos encapsulam recursos, permitindo que os clientes acedam as estes através de interfaces. Utilizadores ou outros processos são autorizados a operar nesses recursos, que por sua vez, devem estar protegidos contra acessos não autorizados. Os processos interagem através de uma rede que é partilhada por diversos utilizadores. Inimigos podem aceder à mesma rede. Podem copiar ou tentar ler mensagens transmitidas através da rede e podem injectar mensagens arbitrárias, endereçadas para qualquer destino e remetidas de qualquer eventual remetente. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

6 Introdução O papel da criptografia A criptografia digital fornece a base para a maioria dos mecanismos de segurança. No entanto, deve-se ter em atenção que criptografia e segurança informática são coisas distintas. A criptografia é a arte de codificar informação num formato que somente o destinatário consegue descodificar. A criptografia pode ainda ser utilizada para fornecer provas de autenticidade da informação, através do uso de assinaturas numa transação convencional. A criptografia tem uma longa história, que teve a sua evolução nos longos períodos de guerra, cujo objectivo era passar mensagens entre inimigos, sem que estes as conseguissem decifrar. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

7 Introdução O papel da criptografia A aplicação das técnicas de encriptação, utilizadas na guerra e nos serviços secretos, só surge na informática em meados dos anos 90, com a publicação, cuja legalidade não era muito clara, do livro Applied Chriptography de Bruce Schneier. A partir desse ponto, a criptografia passa a ter um interesse bastante alargado e crescente nas ciências da computação, principalmente no âmbito dos sistemas distribuídos. A abertura dos mecanismos de encriptação permitiu um grande melhoramento das técnicas de encriptação até então existentes, tanto na protecção a ataques como na facilidade de implantação. Por exemplo, o algoritmo DES, largamente utilizado pelos serviços militares Norte-Americanos, foi rapidamente crackeados, servindo de base para o desenvolvimento de versões mais robustas. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

8 Introdução O papel da criptografia Outra vantagem trazida pela abertura dos algoritmos criptograficos é a utlização de terminologias e abordagens comuns. Um exemplo, é a adopção de um conjunto de nomes familiares para os protagonistas envolvidos numa transação segurada. A utilização de nomes para os actores e atacantes ajuda a clarificar e descrever os protocolos de segurança e os potenciais ataques a estes. Os nomes mais comuns são: Alice - Primeiro participante Bob - Segundo participante Carol - Participante em protocolos de 3 ou 4 intervenientes Dave - Participante em protocolos de 4 intervenientes Eve - Eavesdropper - Bisbilhoteiro Mallory - Malicious attacker Sara - Um servidor Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

9 Introdução Ameaças e ataques O principal objectivo da segurança é restringir o acesso a informação e recursos apenas aos participantes que tem autorização. As ameaças de segurança dividem-se em três classes: Fuga (Leakage) - refere-se à acquisição de informação por recipientes não autorizados. Adulteração (Tampering) - refere-se à alteração não autorizada de informação. Vandalismo (Vandalism) - refere-se à interferência na operação normal de um sistema, sem qualquer ganho. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

10 Introdução Ameaças e ataques Os ataques em sistemas distribuídos dependem da obtenção de acesso aos canais de comunicação existentes ou ao estabelecimento de novos canais mascarando ligações autorizadas. Os métodos de ataque são classificados consoante a forma de usurpação do canal, nomeadamente: As ameaças de segurança dividem-se em três classes: Bisbilhotar (Eavesdropping) - obter cópias de mensagens sem autorização. Mascarar (Masquerading) - Enviar ou receber mensagens utilizando a identificação de um participante sem a autorização deste. Adulteração de mensagens (Message tampering) - interceptar mensagens e adulterar os conteúdos antes de as passar ao destinatário final Man-in-the-middle. Reproduzir (Replaying) - guardar mensagens interceptadas e reenvia-las mais tarde. Este método é eficiente mesmo com mensagens autenticadas e encriptadas. Negação de serviço (Denial of Service) - Inundar o canal de comunicação ou outros recursos, de modo a que mais nenhum actor possa consumir esse recurso. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

11 Introdução Segurar transacções electrónicas Diversas transações diárias ocorrentes na Internet nos dias de hoje, são acontecem porque existe um suporte básico de segurança. Por exemplo: Apesar do não ter sido desenhado com suporte de segurança, muitas transacções sobre este processo requerem segurança, tanto ao nível de autenticação como ao nível de encriptação. Compras: Bens ou serviços são adquiridos on-line, podendo ser entregues ao comprador de várias formas. Tanto na entrega como no pagamento têm de existir mecanismos de segurança. Transacções bancárias: As plataformas bancárias on-line já fornecem tantos ou mais serviços que as sedes físicas. Todo o sistema deve estar fortemente seguro. Micro transacções: Várias outras transacções que ocorrem na Internet, desde comunicações VoIP, video-conferências ou simples acesso a recursos restritos em várias páginas web devem ser seguradas. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

12 Introdução Segurar transacções electrónicas As transacções entre compradores e vendedores na Internet levam aos seguintes requisitos: 1 Autenticação do vendedor e do comprador, de tal modo que o comprador possa estar confiante que está em contacto com o servidor operado pelo vendedor correcto. 2 Garantir que os dados de cartões de crédito e outras informações de pagamento não caem em mãos de terceiros não autorizados. 3 Se os bens são em formato de download, garantir que o seu conteúdo é entregue aos compradores sem alteração ou divulgação a terceiros. 4 No sector bancário, os sistemas devem ainda garantir o não-repúdio, ou seja, garantir que o dono da conta não possa negar a sua participação na transacção. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

13 Outline 1 Introdução Requisitos básicos nos SD O papel da criptografia Ameaças e ataques Segurar transacções electrónicas 2 Criptografia 3 Algoritmos de criptografia Algoritmos simétricos Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

14 Criptografia Suposições do pior-caso em SD 1 Interfaces expostas: Os SD são compostos por processos que oferecem serviços ou partilham informação. As interfaces de comunicação são necessariamente abertas - um atacante pode enviar uma mensagem para qualquer interface. 2 As redes são inseguras: Por exemplo, as fontes das mensagens podem ser falsificadas - As mensagens podem ser construídas como se viessem da Alice, quando na verdade são remetidas pelo Mallory. O Mallory pode-se ligar à Internet com o IP da Alice e receber todas as mensagens que eram destinadas a esta. 3 Limitar o tempo de vida e abrangência de cada segredo: Quando uma chave secreta é gerada pela primeira vez, pode-se ter a certeza que não é corrompida. Porém, mais esta é utilizada, mais probabilidade tem de vir a ser corrompida. O tempo de passwords e chaves secretas deve ter um tempo de vida limite e a sua partilha limitada. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

15 Criptografia Suposições do pior-caso em SD (continuação) 1 Algoritmos e códigos do programa estão disponíveis aos atacantes: Algoritmos secretos são totalmente inadequados aos dias de hoje. O código do algoritmo deve ser divulgado e a segurança deve ficar apenas do lado das chaves criptográficas. Deste modo, a robustez do algoritmo é largamente testada. 2 Os atacantes devem ter acesso a muitos recursos: O custo da computação está a decrescer constantemente e como tal devemos ter em consideração que os atacantes têm ao dispor elevados recursos computacionais. 3 Minimizar as bases de confiança: As partes do sistema responsáveis pela segurança devem ser de confiança trusted computing base. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

16 Criptografia Encriptação é o processo de codificar mensagens de tal forma que o seu conteúdo fique escondido. A criptografia moderna utiliza vários algoritmos de encriptação e desencriptação, todos eles baseados em chaves.a chave é um parâmetro utilizado nos algoritmos de encriptação, que sem a qual o processo não pode ser revertido. Existem duas classes de algoritmos de encriptação: A primeira utiliza a partilha de chaves secretas - o emissor e o receptor partilham as chaves secretas somente entre si. A segunda utiliza pares de chaves pública/privada - o emissor utiliza a chave pública do receptor para encriptar a mensagem, que por sua vez só pode ser desencriptada com a chave privada em posse única do receptor. Ambas as classes são amplamente utilizadas nos sistemas distribuídos. O algoritmo de chaves públicas requer 100 ou 1000 vezes mais processamento do que as chaves privadas, mas por vezes esse inconveniente é largamente justificado pela necessidade. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

17 Criptografia A criptografia tem três papeis principais na implementação de segurança nos sistemas, nomeadamente: Sigilo e integridade Autenticação Assinaturas digitais Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

18 Criptografia Sigilo e integridade A criptografia é utilizada para manter o sigilo e integridade da informação sempre que esta é exposta a possíveis ataques. Por exemplo, no caso de transmissões de dados que correm o risco de simplesmente serem bisbilhotados ou adulterados. Esta utilização da criptografia é a mais tradicional, que remonta aos tempos militares e dos serviços secretos. Neste caso a segurança assenta sobre o pressuposto de que a mensagem encriptada só pode ser desencriptada pelo receptor que conheça a chave de desencriptação. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

19 Criptografia Sigilo e integridade - cenário 1 A Alice pretende enviar informação secreta para o Bob. A Alice e o Bob partilham a chave secreta K AB 1 A Alice utiliza K AB e a função de encriptação acordada previamente E(K AB, M) para encriptar e enviar qualquer número de mensagens {M i } KAB ao Bob. A Alice pode usar K AB até esta não ter sido comprometida. 2 O Bob decripta e encripta mensagens utilizando a função correspondente D(K AB, M) Assim, o Bob consegue ler a mensagem M e ter a garantia de que é da Alice e de que não foi adulterada, no caso da Alice incluir, por exemplo, um checksum. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

20 Criptografia Sigilo e integridade - cenário 1 (continuação) No entanto, existem dois problemas neste cenário: 1 Como é que a Alice envia a chave partilhada K AB ao Bob? 2 Como é que o Bob sabe que a mensagem {M i } foi mesmo enviada pela Alice e não foi capturada pela Mallory e enviada mais tarde? Como vimos, a Mallory não precisa de saber a chave para capturar uma mensagem e envia-la mais tarde. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

21 Criptografia Autenticação A criptografia é utilizada no suporte de mecanismos de autenticação da comunicação entre pares. Um participante que desencripte uma mensagem garante a sua autenticação analisando o checksum ou qualquer outro valor esperado. Deste modo, o receptor consegue inferir se o emissor utilizou a devida chave de geração de checksum e assim deduzir ainda identidade do emissor, caso as chaves só sejam conhecidas entre ambos. Assim, caso as chaves sejam privadas, a desencriptação autentica também o emissor. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

22 Criptografia Autenticação - cenário 2 A Alice pretende aceder a ficheiros, pertencentes ao Bob e guardados num servidor de ficheiros na rede local da organização onde ela trabalha. A Sara é um servidor de autenticação, seguramente gerido, que emite passwords aos utilizadores e mantém as chaves secretas de todos os participantes do sistema.(a Sara conhece a chave K A da Alice e a K B do Bob) 1 A Alice envia uma mensagem não-encriptada à Sara, mencionando o seu ID e pedindo um ticket para aceder ao Bob. (um ticket contem o ID de quem ordena o pedido e uma chave partilhada para assegurar a comunicação.) 2 A Sara envia a resposta à Alice, encriptada com K A, consistindo no ticket encriptado com K B e uma nova chave secreta K AB para utilizar na comunicação com o Bob. A resposta que a Alice recebe será: {{Ticket} KB, K AB }K A Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

23 Criptografia Autenticação - cenário 2 (continuação) 3 A Alice desencripta a resposta utilizando K A (gerada a partir da sua password). Caso tenham a chave correctamente derivada da password, a Alice obtem o ticket para utilizar os serviços do Bob e uma nova chave de encriptação para utilizar na comunicação com o Bob. A Alice não pode desencriptar nem adulterar o ticket porque este está encriptado com K B. 4 A Alice envia o ticket para o Bob, juntamente com o seu ID e um pedido R para aceder ao ficheiro: {Ticket} KB, Alice, R 5 O ticket criado pela Sara é, de facto: {K AB, Alice} KB. Deste modo, o Bob desencriptar o ticket utilizando K B, obtendo a identidade autenticada da Alice e a chave secreta para comunicar com esta K AB. A esta chave dá-se o nome de chave de sessão, porque pode ser utilizada com segurança pela Alice e pelo Bob, na comunicação entre os dois. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

24 Criptografia Autenticação - cenário 2 (continuação) Este cenário funciona bem numa instituição local, onde a distribuição de passwords é possível de ser realizada de modo seguro. Em cenários abertos, como a Internet, este mecanismo não seria possível de implementar seguramente. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

25 Criptografia Autenticação - cenário 3 Autenticar a comunicação com chaves públicas Assumindo que o Bob gera um par de chaves pública/privada, o seguinte dialogo permite ao Bob e à Alice estabelecerem um chave secreta, K AB : 1 A Alice acede a um serviço de distribuição de chaves para obter um certificado de chave pública da chave pública do Bob. É chamado de certificado, porque é assinado por uma terceira entidade que garante a confiança.depois de verificar a assinatura, a Alice lê a chave pública do Bob K Bpub do certificado. 2 A Alice cria uma nova chave K AB e encripta-a com a chave pública K Bpub do Bob, utilizando um algoritmo também ele público. Ela envia o resultado ao Bob, juntamente com um nome único que identifica a chave publica/privada: keyname,{k AB }K Bpub Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

26 Criptografia Autenticação - cenário 3 (continuação) 3 O Bob selecciona a chave privada correspondente, K Bpriv e utiliza-a para desencriptar K AB. Note-se que a mensagem pode ter sido adulterada, provocando que a chave K AB do Bob seja diferente da chave K AB da Alice. Desse modo, não irá existir comunicação. Para evitar essas situações podem existir um valor acordado na mensagem, que permita verificar a sua adulteração. Este cenário 3 é conhecido como um cenário hibrido, uma vez que utiliza algoritmos tanto de pares de chaves pública/privada como chaves secretas. Problema: Este tipo de troca de chaves é vulnerável a ataques man-in-the-middle. O Mallory pode interceptar o pedido inicial de chave pública do Bob e enviar uma resposta com a sua própria chave pública. Desse modo, ficaria apto a desencriptar todas as mensagens enviadas pela Alice. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

27 Criptografia Assinaturas digitais A criptografia é utilizada para implementar um mecanismo denominado de assinatura digital. Isto emula o papel de uma assinatura convencional, verificando numa terceira entidade que a mensagem ou documento é uma cópia inalterada de uma produzida pelo assinante. As técnicas de assinaturas digitais são baseadas numa vinculação irreversível da mensagem ou documento que se assina a uma chave secreta do assinante. A assinatura pode ser obtida encriptando a mensagem - ou melhor, encriptando uma forma comprimida da mensagem chamada digest - utilizando uma chave secreta do conhecimento apenas do assinante. A digest é um valor de tamanho fixo calculado através da aplicação de uma secure digest function. O digest resultante da encriptação, acompanha a mensagem, funcionando como uma assinatura da mesma. Os algoritmo para gerar digests mais populares são o MD5 (dogest de 128bits e o SHA-1(digest 160bits)) Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

28 Criptografia Assinaturas digitais - cenário 4 A Alice pretende assinar o documento M de modo a que qualquer receptor do mesmo possa ter a certeza que ela é que o originou. 1 A Alice calcula um digest de tamanho fixo do documento, Digest(M) 2 A Alice encripta o digest com a sua chave privada, anexa-o a M e envia o resultado M,{Digest(M)}K Apriv. 3 O Bob obtém o documento assinado, extrai M e calculo Digest(M). 4 O Bob desencripta {Digest(M)}K Apriv utilizando a chave pública da Alice K Apub e compara o resultado com o resultado obtido por si. Se forem iguais, está validado. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

29 Outline 1 Introdução Requisitos básicos nos SD O papel da criptografia Ameaças e ataques Segurar transacções electrónicas 2 Criptografia 3 Algoritmos de criptografia Algoritmos simétricos Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

30 Algoritmos de criptografia Uma mensagem é encriptada aplicando uma determinada regra para transform uma mensagem percetível (plaintext) numa mensagem cifrada (ciphertext). Os receptores devem conhecer a regra do processo inverso, ou seja, de desencriptação. A encriptação é definida por duas partes, a função E e a chave K. A mensagem resultante encriptada é escrita como {M} K. E(K, M) ={M} K A desencriptação é levada a cabo através da operação inversa D, que também recebe uma chave como parâmetro. Para encriptação baseada em chave secreta, a chave utilizada na desencriptação é a mesma da utilizada na encriptação. D(K, E(K, M)) = M Algoritmos de encriptação com chave secreta são chamados algoritmos simétricos, enquanto que algoritmos de encriptação com chave pública são chamados algortimos assimétricos. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

31 Algoritmos de criptografia Algoritmos simétricos Se removermos o factor chave, definindo F k ([M]) = E(K, M), uma propriedade fundamental da função é que a sua computação, ou seja, o processo de encriptação, seja extremamente rápida, enquanto que o inverso FK 1 ([M]) extremamente pesado e quase impossível de calcular. tais funções são denominadas de funções de um sentido ( one-way functions) É este factor que protege que os atacantes descubram M dado {M} K. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

32 Algoritmos de criptografia Algoritmos simétricos Para algoritmos simétricos bem desenhados, a força contra tentativas de descoberta K para determinada M e correspondente cifra {M} K, depende do tamanho de K. Um ataque que tente todas as possíveis combinações até acertar na chave correcta, denomina-se de ataque de força bruta. Um ataque de força brutal corre E(K, M), para todos os valores de K, até acertar no valor que coincida com {M} K. Se K tem N bits, o ataque requer em média 2 N 1 iterações e 2 N no máximo, até encontrar K. O tempo para crackar K é exponencial ao número de bits que o constituem. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

33 Algoritmos de criptografia Algoritmos simétricos Exemplos TEA - Tiny Encryption Algorithm: chaves de 128bits para encriptar blocos de 64. DES - Data Encryption Standard: encripta blocos de 64bits em cifras de 64bits com chaves de 56bits. Uma versão mais robusta é usada em larga escala: 3DES (chaves 112bits). IDEA - Internation Data Encription Algorithm: chaves de 128bits para encriptar blocos de 64. AES - Advanced Encryption Standard: blocos e chaves variáveis (128, 192 ou 256). Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

34 Algoritmos de criptografia Algoritmos assimétricos Quando os pares de chaves pública/privada são utilizadas, a função one-way é utilizada noutro sentido. Proposto por Diffie e Helmann em 1976, este método elimina a necessidade de confiança entre as partes que comunicam. A base de todos os esquemas baseados em chaves públicas assenta na existência de funções one-way trap-doors. Funções trap-doors são fáceis de calcular num sentido, mas praticamente impossíveis de calcular no sentido oposto, a não ser que se conheça o segredo. O par de chaves é calculado a partir de uma raiz comum, que normalmente é constituída por números primos muito grandes. A derivação dos pares de chaves da raiz é uma função one-way. O Rivest, Shamir e Adelman (RSA) é o esquema mais popular. Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35

35 Segurança Capítulo 11: George Coulouris, Jean Dollimore, Tim Kindberg and Gordon Blair, "Distributed Systems: Concpets and Design", Fifth Edition, published by Addison Wesley, May 2011 ISBN Ricardo Mendão Silva (UAL) Sistemas Distribuídos e Paralelos December 10, / 35