Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 1
Colegiado de Engenharia de Computação Slide 2 Autenticação Processo de provar a própria identidade a alguém. Na rede a autenticação se dá através de um protocolo de autenticação, através da troca de mensagens e dados. Pode ser utilizada uma assinatura digital para confirmar a identidade (muito utilizada para mensagens offline).
Colegiado de Engenharia de Computação Slide 3 Autenticação O protocolo de autenticação estabelece primeiramente as identidades das partes de maneira satisfatória para ambas.
Autenticação Protocolo de Autenticação ap 1.0 Protocolo de autenticação simples, um envia uma mensagem simples se identificando. Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 4
Autenticação Protocolo de Autenticação ap 1.0 Falha Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 5
Autenticação Protocolo de Autenticação ap 2.0 O cliente envia uma mensagem simples e o servidor confirma a identidade pelo endereço IP de origem! Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 6
Autenticação Protocolo de Autenticação ap 2.0 Falha, Trudy pode criar um pacote falsificando (spoofing) o endereço de Alice. Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 7
Colegiado de Engenharia de Computação Slide 8 Autenticação Protocolo de Autenticação ap 3.0 É utilizada uma chave simétrica para a confirmação de identidade.
Colegiado de Engenharia de Computação Slide 9 Autenticação Protocolo de Autenticação ap 3.0 Falha, através da monitoração da comunicação entre o cliente e o servidor, pode ser copiado o login e a senha.
Autenticação Protocolo de Autenticação ap 3.1 O cliente utiliza uma senha secreta criptografada para autenticá-lo. Falha, um ataque de reprodução! Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 10
Autenticação Protocolo de Autenticação ap 4.0 Utilizar uma sequência de senhas ou um algoritmo de geração de senhas sequenciais. Nonce, número (R) usado apenas uma vez. Para provar que Alice está ao vivo, Bob envia a Alice um nonce, R. Alice deve devolver R, criptografado com a chave secreta comum. Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 11
Colegiado de Engenharia de Computação Slide 12 Autenticação Protocolo de Autenticação ap 4.0
Autenticação Protocolo de Autenticação ap 5.0 Utiliza chave pública ao invés de uma simétrica. Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 13
Autenticação Protocolo de Autenticação ap 5.0 Falha, ataque man in the middle. Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 14
Colegiado de Engenharia de Computação Slide 15
Colegiado de Engenharia de Computação Slide 16 Assinatura digital Integridade Técnica criptográfica análoga às assinaturas manuais. Deve ser verificável, não falsificável e incontestável. Pode ser utilizada utilizando as técnicas criptográficas das chaves públicas.
Integridade Assinatura digital Bob assina m criptografando com sua chave privada KB, criando a mensagem assinada, KB(m) Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 17
Assinatura digital Integridade A sobrecarga computacional para criptografar mensagens longas com chave pública é muito grande. Podem ser utilizados resumos de mensagens para simplificar o processo. Impressão digital é uma assinatura digital de comprimento fixo, facilmente computável. Funções de Hash, pega uma entrada de dados, m, e processa uma cadeia de tamanho fixo. Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 18
Assinatura digital Integridade Propriedades das funções de hash: Muitas-para-1 Produz um resumo da mensagem de tamanho fixo (impressão digital) Dado um resumo da mensagem x, é computacionalmente impraticável encontrar m tal que x = H(m) Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 19
Colegiado de Engenharia de Computação Slide 20 Integridade
Colegiado de Engenharia de Computação Slide 21 Integridade
Colegiado de Engenharia de Computação Slide 22 Integridade
Assinatura digital Integridade MD5 é a função de hash mais usada (RFC 1321) Calcula resumo de 128 bits da mensagem num processo de 4 etapas Uma cadeia arbitrária X de 128 bits parece difícil de construir uma mensagem m cujo hash MD5 é igual ao hash de um cadeia X. Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 23
Assinatura digital Integridade SHA-1 (Secure Hash Algorithm) Padrão dos Estados Unidos [NIST, FIPS PUB 180-1] Resumo de mensagem de 160 bits Prof. Fábio Nelson Colegiado de Engenharia de Computação Slide 24
Colegiado de Engenharia de Computação Slide 25 Distribuição de Chaves e Certificação A utilização de chaves públicas tem um problema, que é o da obtenção da chave pública verdadeira de alguém. Intermediário de confiança. Para criptografia de chaves simétricas, o intermediário de confiança é denominado Central de Distribuição de chaves (KDC Key Distribution Center). Para chaves públicas o intermediário de confiança é denominado Autoridade Certificadora (CA Certification Authority).
Colegiado de Engenharia de Computação Slide 26 Distribuição de Chaves e Certificação Central de Distribuição de chaves Servidor compartilha diferentes chaves secretas com cada usuário registrado (muitos usuários).
Colegiado de Engenharia de Computação Slide 27 Distribuição de Chaves e Certificação Autoridade Certificadora Associa uma chave pública a uma entidade em particular, E E (pessoa, roteador) registra sua chave pública com CA E fornece prova de identidade ao CA CA cria um certificado associando E à sua chave pública Certificado contendo a chave pública de E digitalmente assinada pela CA. CA diz esta é a chave pública de E
Colegiado de Engenharia de Computação Slide 28 Distribuição de Chaves e Certificação Autoridade Certificadora
Colegiado de Engenharia de Computação Slide 29
Colegiado de Engenharia de Computação Slide 30 Firewall Uma combinação de hardware e software que isola a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não. Há dois tipos de firewall: Firewall de Filtragem de Pacotes Gateways de camada de aplicação
Colegiado de Engenharia de Computação Slide 31 Firewall
Colegiado de Engenharia de Computação Slide 32 Firewall Firewall de Filtragem de Pacotes Rede interna conectada à Internet via roteador firewall. Roteador filtra pacotes; decisão de enviar ou descartar pacotes baseia-se em: Endereço IP de origem, endereço IP de destino Número de portas TCP/UDP de origem e de destino Tipo de mensagem ICMP Bits TCP SYN e ACK
Colegiado de Engenharia de Computação Slide 33 Firewall Gateways de camada de aplicação Filtra pacotes em função de dados de aplicação, assim como de campos do IP/TCP/UDP. É preciso um gateway de aplicação para cada aplicação diferente.
Colegiado de Engenharia de Computação Slide 34