SISTEMAS DISTRIBUIDOS. Prof. Marcelo de Sá Barbosa

Transcrição

1 Prof. Marcelo de Sá Barbosa

2 Introdução Visão geral das técnicas de segurança Algoritmos de criptografia Assinaturas digitais Criptografia na prática

3 Introdução A necessidade de proteger a integridade e a privacidade da informação e de outros recursos pertencentes a indivíduos e organizações é generalizada, tanto no mundo físico quanto no digital. Ela surge do desejo de compartilhar recursos. No mundo físico, as organizações adotam políticas de segurança que proporcionam o compartilhamento de recursos dentro de limites especificados. Por exemplo, um empresa pode permitir a entrada em seus prédios para seus funcionários e visitantes autorizados. Nosso estudo é o uso de mecanismos para proteger dados e outros recursos em sistemas distribuídos e ao mesmo tempos possibilitar interações entre o computadores envolvidos pelas políticas de segurança.

4 Introdução SISTEMAS DISTRIBUIDOS O papel da criptografia: A criptografia digital fornece a base para a maioria dos mecanismos de segurança de computador, mas é importante notar que segurança do computador e criptografia são assuntos distintos. Criptografia é a arte de codificar informação em um formato que apenas os destinatários apropriados possam acessála. A criptografia também pode ser empregada para fornecer uma prova da autenticidade de informações de maneira semelhante ao uso de assinaturas nas transações convencionais. A criptografia tem uma história longa e fascinante. A necessidade militar de comunicação segura e a necessidade correspondente de um inimigo de interceptá-la e decodificá-la, levou ao investimento de muito esforço intelectual por parte de alguns dos melhores matemáticos de sua época.

5 Introdução O principal objetivo da segurança é restringir o acesso às informações e recursos apenas para os principais que estejam autorizados a ter acesso. As ameaças contra a segurança caem em três classes: Vazamento: a aquisição de informações por destinatários não autorizados. Falsificação: a alteração não autorizada da informação. Vandalismo: interferência na operação correta de um sistema, sem ganho para o invasor.

6 Introdução Tornando transações eletrônica seguras: Muitos usos da internet na indústria, no comércio e em várias outras áreas, envolvem transações que dependem fundamentalmente da segurança. Por exemplo: embora os sistemas de não tenham incluído originalmente suporte para segurança, existem muitos empregos de no qual o conteúdo das mensagens deve ser mantido em segredo ( cartão de crédito ). Aquisição de bens e serviços: atualmente, tais transações são muito comuns. Os compradores escolhem bens e pagam por eles usando a web; os bens são entregues por meio de um mecanismo de distribuição apropriado.

7 Visão geral das técnicas de segurança O objetivo é apresentar algumas das técnicas e mecanismos mais importantes para tornar seguros sistemas e aplicativos distribuídos. Criptografia é o processo de codificar uma mensagem de maneira a ocultar seu conteúdo. A criptografia moderna inclui vários algoritmos de segurança para cifrar e decifrar mensagens baseados no uso de segredos chamados chaves. Uma chave de criptografia é um parâmetro usado em um algoritmo de criptografia de tal maneira que a criptografia não possa ser revertida sem o conhecimento da chave.

8 Visão geral das técnicas de segurança Segredo e integridade: a criptografia é usada para manter o segredo da informação, quando ela é exposta a ataques em potencial. Assinaturas digitais: a criptografia é usada para implementar um mecanismo conhecido como assinatura digital. Isso simula a função das assinaturas convencionais, verificando com um outro elemento se um mensagem, ou um documento, é uma cópia inalterada do que foi produzido pelo signatário.

9 Visão geral das técnicas de segurança Firewalls: eles protegem intranets, realizando ações de filtragem em comunicações recebidas e enviadas. Aqui, discutiremos suas vantagens e inconvenientes como mecanismos de segurança. Em um mundo ideal, a comunicação sempre se daria entre processos mutuamente confiáveis e seriam sempre usados canais seguros. Existem muitos motivos pelos quais esse ideal não é atingido, alguns corrigíveis, mas outros inerentes à natureza aberta dos sistemas distribuídos, ou resultantes de erros que estão presentes na maior parte do software. A facilidade com que as mensagens de pedido podem ser enviadas para qualquer servidor, em qualquer parte, e o fato de que muitos servidores não são projetados para suportar ataques maldosos de hachers, ou erros acidentais, torna fácil a o vazamento de informações.

10 Algoritmos de criptografia Uma mensagem é cifrada pelo remetente aplicando alguma regra para transformar a mensagem de texto puro (qualquer sequência de bits) em um texto cifrado (uma sequência de bits diferente). O destinatário deve conhecer a regra inversa para transformar o texto cifrado no texto original. Outros principais não podem decifrar a mensagem, a menos que conheçam a regra inversa. A transformação da criptografia é definida com duas partes, uma função C e uma chave K. A função criptografia C define um algoritmo que transforma itens de dados de texto puro em dados cifrados, combinando-os com a chave e transpondo-os de uma maneira fortemente dependente do valor da chave. Podemos considerar um algoritmo de criptografia como a especificação de uma grande família de funções.

11 Algoritmos de criptografia Devido ao uso simétrico das chaves, a criptografia de chave secreta é frequentemente referida como criptografia simétrica, enquanto a criptografia de chave pública é referida como assimétrica, pois as chaves usadas para cifrar e decifrar são diferentes. Algoritmos de chave secreta (simétricos): Muitos algoritmos de criptografia foram desenvolvidos e publicados nos últimos anos como por exemplo o DES e IDEA. DES (data encruption standard): foi desenvolvido pela IBM e subsequentemente adotado como padrão nacional nos EUA para aplicações governamentais e comerciais. Nesse padrão a função de criptografia mapeia uma entrada de texto puro de 64 bits em uma saída cifrada de 64 bits, usando uma chave de 56 bits.

12 Algoritmos de criptografia IDEA: O international data encryption algorithm foi desenvolvido no início dos anos 90 como sucessor do DES. Ele usa chave de 128 bits para cifrar blocos de 64 bits. Seu algoritmo é baseado na álgebra de grupos. Tanto para o DES como para o IDEA, a mesma função é usada para cifrar e decifrar: uma propriedade útil para algoritmos que são implementados em hardware.

13 Algoritmos de criptografia Algoritmos de chave pública (assimétricos) O projeto de cifra pública de Rivest, Shamir e Adelman é baseado no uso de dois números primos muito grandes, contando com o fato de que a determinação dos fatores primos de tais números grandes é tão difícil, em termos computacionais, que se torna efetivamente impossível calcular. Padrões de certificado e autoridades certificadoras: O X.509 é o formato padrão mais usado para certificados. Embora o formato de certificado X.509 faça parte do padrão X.500 para construção de diretórios nomes e atributos.

14 Criptografia na prática Key size/hash size (bits) Extrapolated speed (kbytes/sec.) PRB optimized (kbytes/s) TEA DES Triple-DES IDEA RSA RSA MD SHA

15 Sistemas de Arquivos distribuídos Introdução Arquitetura de serviço de arquivos Estudo de caso: Sun Network File System Aprimoramentos e outros desenvolvimentos

16 Sistemas de Arquivos distribuídos Introdução O compartilhamento de informações armazenadas talvez seja o aspecto mais importante dos recursos distribuídos. Os servidores web fornecem uma forma restrita de compartilhamento de dados, na qual os arquivos armazenados de forma local no servidor estão gerenciados e atualizados em sistemas de arquivo no servidor. Os sistemas de arquivos foram originalmente desenvolvidos para sistemas de computadores centralizados e computadores desktops. Os primeiros servidores de arquivos foram desenvolvidos por pesquisadores nos anos 70 e o Sun Network File System se tornou disponível no início dos anos 80. Um serviço de arquivos permite que os programas armazenem e acessem arquivos remotos exatamente como se fossem locais.

17 Sistemas de Arquivos distribuídos Introdução Sun NFS: foi amplamente adotado na indústria e nos ambientes acadêmicos, desde sua introdução em O projeto e desenvolvimento do NFS foram feitos pelo pessoal da Sun Microsystems em Para estimular sua adoção como padrão, as definições das principais interfaces foram colocadas em domínio público, permitindo que outros fornecedores produzissem implementações e o código fonte de um implementação de referência fosse disponibilizado.

18 Sistemas de Arquivos distribuídos Arquitetura do serviço de arquivos Client computer Server computer Application program Application program Directory service Flat file service Client module

19 Sistemas de Arquivos distribuídos Arquitetura do serviço de arquivos Serviço de arquivos plano: esse serviço de arquivo plano se preocupa com a implementação de operações sobre o conteúdo dos arquivos. São utilizados identificadores exclusivos de arquivos ( UFIDS unique file identifiers ). Serviço de diretório: esse serviço fornece um mapeamento entre os nomes textuais de arquivos e seus UFIDS. Módulo cliente: um módulo cliente é executado em cada computador cliente, integrando e estendendo as operações do serviço de arquivos plano e do serviço de diretório sob uma interface de clientes.

20 Sistemas de Arquivos distribuídos Estudo de caso: Sun Network File System Client computer Server computer UNIX system calls UNIX kernel Application program Application program Virtual file system UNIX kernel Virtual file system Local Remote UNIX file system Other file system NFS client NFS protocol NFS server UNIX file system