Assinatura Digital: problema



Documentos relacionados
CERTIFICAÇÃO DIGITAL

Segurança da Informação

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Assinatura e Certificação Digital

Certificado Digital: Como Funciona (

PROJETO DE REDES

certificação digital 1 de 5 Introdução

I Seminário sobre Segurança da Informação e Comunicações CRIPTOGRAFIA

Segurança e Sistemas Eletrônicos de Pagamentos" Prof. Msc. Adolfo Colares

Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP

fonte:

UNIP UNIVERSIDADE PAULISTA

Certificação Digital a forma segura de navegar na rede

Aplicação de criptografia de dados para clientes Owncloud baseada em certificados ICPEdu

25/01/2015 PROF. FABIANO TAGUCHI. CRIPTOGRAFIA E SEGURANÇA DE DADOS AULA 12 ICP-BRASIL

PROJETO INTEGRADOR. 5º PERÍODO Gestão da Tecnologia da Informação Noturno

I T I. AC Raiz. Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal. Receita Federal SERASA SERPRO CAIXA CERT PRIVADA

Sistema de Cancelamento Eletrônico. Manual de utilização do sistema pelo cartório

TERMO DE REFERÊNCIA CG ICP-BRASIL COMITÊ GESTOR DA ICP-BRASIL

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 13

Manual do Utilizador. Portal dos Jurisdicionados Cadastro

CERTIFICAÇÃO NO ÂMBITO DA RECEITA FEDERAL

CAPACITAÇÃO PROCESSO ELETRÔNICO

Segurança da Informação

Criptografia e Segurança em Redes Capítulo 9. Quarta Edição William Stallings

SIORP Sistema de Informação de Órgão Publico 2012

CERTIFICAÇÃO DIGITAL

Recursos e Características do icarta

Sistemas Distribuídos: Conceitos e Projeto Introdução a Criptografia e Criptografia Simétrica

Novo Guia de uso rápido do PROJUDI

PROJETO DE REDES

RESOLUÇÃO Nº 26, DE 24 DE OUTUBRO DE 2003

4. Qual seria o impacto da escolha de uma chave que possua letras repetidas em uma cifra de transposição?

Passo a passo da instalação do certificado da AC Raiz da Sefaz. Certificado AC Raiz Sefaz AL

Segurança na Web. Programação para a Internet. Prof. Vilson Heck Junior

Impacto da Certificação Digital nas Empresas. Francimara T.G.Viotti Diretoria de Gestão da Segurança Banco do Brasil Julho/2011

Manual de Utilização de Certificados Digitais. Microsoft Word 2010

Outlook XML Reader Versão Manual de Instalação e Demonstração UNE Tecnologia

Manual do Usuário. E-DOC Peticionamento Eletrônico TST

SOLICITAÇÃO DO CERTIFICADO DIGITAL

Gerenciamento das chaves criptográficas no Cloud Privacy Guard

Transcrição:

Assinatura Digital Assinatura Digital Assinatura Digital: problema A autenticidade de muitos documentos, é determinada pela presença de uma assinatura autorizada. Para que os sistemas de mensagens computacionais possam substituir o transporte físico de documentos em papel e tinta, deve-se encontrar um método que permita assinar os documentos de um modo que não possa ser forjado. 1

Assinatura Digital: problema Criar um método substituto para as assinaturas escritas à mão. Assinatura Digital Necessita-se de um sistema através do qual uma parte possa enviar uma mensagem assinada para outra parte de forma que: 1. O receptor possa verificar a identidade alegada pelo emissor; 2. Posteriormente, o emissor não possa repudiar o conteúdo da mensagem; 3. O receptor não tenha a possibilidade de forjar ele mesmo a mensagem; (Requisitos) 2

Assinatura Digital Requisito 1 (identidade do emissor): Exemplo: O computador de um cliente pede ao computador de um banco que compre uma tonelada de ouro, o computador do banco precisa se certificar de que o computador que está emitindo o pedido, realmente pertence à empresa cuja conta deve ser debitada. Assinatura Digital Requisito 2 (não repúdio): Exemplo: Suponha que o banco compre a tonelada de ouro e que logo depois o preço do ouro caia. Um cliente desonesto poderia processar o banco, alegando nunca ter feito qualquer pedido para a compra de ouro. Quando o banco mostra a mensagem no tribunal, o cliente nega tê-la enviado. 3

Assinatura Digital A propriedade segundo a qual nenhuma parte de um contrato pode negar mais tarde de tê-la assinado é chamada nãorepúdio. A assinatura digital garante o nãorepúdio. Assinatura Digital Requisito 3 (receptor não possa alterar): É necessário para proteger o cliente caso preço do ouro dispare e o banco tente forjar uma mensagem assinada na qual o cliente pedia uma barra de ouro e não uma tonelada. Nesse cenário de fraude, o banco guardaria para si próprio o restante do ouro. 4

Garantindo a autenticidade Se Maria cifrar a mensagem com sua chave privada, ela estará assinando esta mensagem Garantindo o sigilo Caso Maria deseje que só José consiga ler sua mensagem ela deverá cifrá-la uma segunda vez, agora utilizando a chave pública do José; Ao receber a mensagem, primeiro José a decifrará utilizando a sua chave privada; A seguir José deverá novamente decifrar o resultado obtido utilizando agora a chave pública de Maria 5

Garantindo o sigilo Criptografia Assimétrica: limitações Apesar da facilidade de troca de chaves oferecida pela criptografia assimétrica, um algoritmo assimétrico é cerca de 1000 vezes mais lento que um algoritmo simétrico; Portanto, é quase inviável utilizar algoritmos de chave publica para grandes mensagens, que podem levar alguns minutos ou horas para que sejam cifradas com a chave privativa do remetente. 6

Criptografia Assimétrica, Simétrica e Hash: mensagem sem sigilo Maria envia mensagem para José sem necessidade de sigilo: Maria gera o hash da mensagem e cifra apenas esse hash; Maria envia a mensagem (sem qualquer cifragem) e anexa o respectivo hash cifrado com a sua chave privativa; Quando José receber a mensagem, ele calculará novamente o hash da mensagem e decifrará o hash recebido como anexo utilizando a chave pública da Maria; Se obtiver sucesso nessa decifragem, ficará claro que o hash recebido foi realmente enviado por Maria; Basta agora José comparar o hash gerado por ele com o decifrado com a chave pública de Maria; Se ambos forem iguais significará que toda a mensagem é íntegra; Criptografia Assimétrica, Simétrica e Hash: mensagem sem sigilo 7

Criptografia Assimétrica, Simétrica e Hash: mensagem com sigilo Maria envia mensagem privativa para José: Maria gera o hash da mensagem; Assina esse hash com a sua chave privada; Gera uma chave simétrica aleatória; Criptografa a mensagem usando a chave simétrica gerada; Criptografa a chave simétrica utilizando a chave pública de José; Enviar a mensagem criptografada, anexando o hash assinado e a chave simétrica cifrada com a chave pública de José; José Decifra a chave simétrica enviada por Maria utilizando a sua chave privada; De posse da chave simétrica, José decifrará a mensagem e gerará o seu hash da mensagem; José decifra o hash enviado utilizando a chave pública de Maria; Compara ambos os hashs Criptografia Assimétrica, Simétrica e Hash: mensagem com sigilo 8

Processo Eletrônico Confiável Autenticação Somente Maria poderia ter cifrado o hash da mensagem utilizando sua chave privada, uma vez que José conseguiu decifrar o hash utilizando a chave pública de Maria. Assim, José terá certeza da autenticidade da mensagem. Privacidade José cifrou a mensagem com a chave simétrica e enviou esta chave criptografada com a chave pública de José. José foi o único capaz de decifrála com sua chave privada. Processo Eletrônico Confiável Autorização Sempre que podemos identificar o remetente e o destinatário definir o nível de autorização. Integridade dos dados José foi capaz de calcular o hash da mensagem e compará-lo ao hash recebido de Maria, certificando-se de que ambos os hashs são idênticos. Isso garante que a mensagem está íntegra. Não repúdio Apenas Maria tem acesso à sua chave privada, utilizada para assinar a mensagem. Somente ela poderia tê-la assinado. Portanto Maria não poderá repudiar a autoria da mensagem. 9

Processo Eletrônico Confiável Certificação Digital Autenticação Privacidade Autorização Integridade dos dados Não Repúdio OK OK OK OK OK Infraestrutura de Segurança Políticas de Segurança Exemplo Conexões estabelecidas entre o browser de um usuário e um site, em transações comerciais ou bancárias via Web. Estas conexões utilizam o método de criptografia de chave única (simétrica), implementado pelo protocolo SSL (Secure Socket Layer). O browser obtém a chave pública do certificado da instituição que mantém o site. Então, ele utiliza esta chave para codificar e enviar a chave única para ser utilizada na conexão. O site utiliza sua chave privada para decodificar a chave única, codificada pela chave pública. A partir deste ponto, o browser do usuário e o site podem transmitir informações sigilosas através da utilização do método de criptografia de chave única. A chave única pode ser trocada em intervalos de tempo determinados, através da repetição dos procedimentos descritos anteriormente. 10

Certificados Digitais 21 Certificados Digitais O uso das tecnologias vistas até agora apenas garantem que o dono do par de chaves realizou as operações; Mas não garantem que o par chaves pertencem realmente a uma determinada pessoa ou instituição; 11

Certificados Digitais O RG é expedido pela SSP, atestando quem você realmente é. A certificação digital pressupõe uma estrutura que envolve: Autoridade Raiz de Certificação; Autoridade Intermediária de Certificação; Autoridade de Registro; Certificados Digitais Processo Papel Processo Digital Ministério da Justiça 1 AC Raiz Secretaria de Segurança Pública (SSP) 2 AC Intermediária Instituição de Identificação 3 Autoridade de Registro (AR) RG 4 Certificado Digital 12

Certificados Digitais Infraestrutura de Chaves Publicas Brasileira (ICP-Brasil) Medida provisória nº 2.200-2, de 24 de agosto de 2001. Definiu as atribuições do Comitê Gestor da ICP-Brasil, responsável por aprovar as normas de atuação e funcionamento. Objetivo de possibilitar a utilização dos documentos digitais como meio de prova. Certificados Digitais Diferente de outros países, o Brasil propõe um único ponto de confiança: a Autoridade Certificadora Raiz. A ICP-Brasil proporcionou segurança jurídica para os negócios realizados, com a equiparação da assinatura digital à assinatura de próprio punho. 13

Certificados Digitais Infraestrutura de Chaves Públicas (ICP) é composta por um conjunto de software, hardware e serviços para a geração, certificação, distribuição e gerenciamento de chaves criptográficas e seus certificados digitais com o objetivo de prover segurança a ambientes computacionais. Certificados Digitais No mundo físico, quando duas pessoas necessitam realizar uma transação entre si, elas levam os documentos a um cartório a fim de que um tabelião possa atestar a identidade das parte a autenticar as assinaturas. Em uma ICP, essa ação é também realizada por uma entidade confiável, a Autoridade Certificadora; Na sua emissão, o certificado é assinado pela Autoridade Certificadora que o emitiu, atestando que ele pertence a uma determinada pessoa. 14

ICP-Brasil http://www.iti.gov.br/images/icp-brasil/estrutura/2013/atualizacao16/estrutura_completa.pdf ICP-Brasil Autoridade Certificadora Raiz ITI Instituto Nacional de Tecnologia da Informação http://www.iti.gov.br/ 15

Vídeos Vídeos Reportagem Documentário 16

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback