Post on 09-Jun-2015
Universidade Federal do Piauí Universidade Federal do Piauí Sistemas de InformaçãoSistemas de Informação
Public Key Infrastructure Public Key Infrastructure PKIPKI
Ciclo de PalestrasCiclo de Palestras
Prof. Rayner Gomes
Roteiro● Estudo de Caso● Definição Rápida● Aplicação ● Importantes Conceitos● Internet x Segurança
● Tipos de Ataques
● Requisitos de Segurança
● Criptografia
● Criptografia Pública
● PKI
● Considerações FinaisProf. Rayner Gomes
Estudo de Caso
➔ O que acontece se eu escrever num papel: “Eu devo 15 reais para Ismael” e assinar?
➔ O que acontece se eu digitar o mesmo papel e mandar por e-mail para uma empresa de cobrança?
Prof. Rayner Gomes
3
Rápida Visão
PKI Public Key Infrastructure
“ Troca de documentos na Internet atendendo REQUISITOS DE SEGURANÇA e sem perder o
VALOR JURÍDICO ”
Prof. Rayner Gomes
4
Estudo de Caso
● Conselho Estadual de Ensino em 2008, determinou que todos os documentos fossem entregues digitalizados e com certificado digital!● Objetivos:
– Redução da “papelada”– Economia de espaço– Agilizar a procura de processos– Segurança
Prof. Rayner Gomes
5
Estudo de Caso
● Digitalização de Documentos
1 Folha 20 KBDocumento 1.000 Páginas
Tamanho Doc 20.000 KBTamnho Doc 19,5 MB
HD 500 GBTotal 26.214 documentos
HD R$ 250,00, custo por arquivo = 0,009 centavos
Prof. Rayner Gomes
6
Estudo de Caso
● Queima de Fóruns!!!!
Fonte: http://www.blogdodecio.com.br/2011/09/22/mais-um-foru-pega-fogo-no-ma-veja-o-video/
O Fórum José Pires da Fonseca, em Poção de Pedras, foi destruído por um incêndio por volta da 00h40 desta quinta-feira. A polícia já está investigando o caso e trabalha com as hipóteses de um acidente provocado por curto-circuito e de crime premeditado. Mês passado, o programa “Profissão Repórter” denunciou que os inquéritos de destruição de vários fóruns no estado ainda não foram conlcuídos
Mais um fórum pega fogo no MA22/09/11
Prof. Rayner Gomes
7
Aplicação
● Troca de documentos● Comércio Eletrônico● Transação Bancária● Pagamento de Títulos● Receita Federal● E-mail
Prof. Rayner Gomes
8
Definições
InfraestruturaUrbana
● Gás
● Luz
● Esgotos
● Água
● Coleta Pluviais
● Rede Telefônica
● Rede de Gás
“conjunto de instalações necessárias às atividades humanas”
Príncipio: Uso de Interfaces bem definas para ocutar detahes técnicos
Prof. Rayner Gomes
9
Definições
InfraestruturaChave Pública
● Internet
● Criptografia
● Protocolos
● Banco de Dados
● Leis
● Orgãos de Regulamentação
● Empresas
“conjunto de tecnologias, leis e procedimentos necessários às atividades de troca de documentos atendendo aos requisitos de
segurança”
Príncipio: Uso de Interfaces bem definas para ocultar detalhes técnicos
10
Internet x Segurança
● ARPANET: década de 70
● IP: RFC 791, Setembro 1981
● TCP: RFC 792, Setembro 1981
● 1988, Robert Morris, worm, interrompeu uma série de redes por várias dias
● WEB: Início da década de 1990
● Internet no Brasil: 1991 através da RNP
● 1995 Internet liberada para uso privado no Brasil,
● 1999, vírus Melissa, bilhões de dólares prejuízo.
● 2000, Amazon.com, Buy.com, CNN.com, eBay, Yahoo, ZDNet, ataque DDoS, 1,2 bilhão de prejuízo.
Prof. Rayner Gomes
11
Ricos e Ataques
A B
Interrupção
A B
Interceptação
x
A B
Modificação
A B
Fabricação
xx
Prof. Rayner Gomes
12
Requisitos de Segurança
● Uma infraestrutura de chave pública operam com as seguintes características:● Autentificação● Privacidade● Integridade● Não-repúdio● Autorização● Auditoria
Prof. Rayner Gomes
13
Requisitos de Segurança
● Autenticação: identificação inequívoca das partes envolvidas no processo.
Prof. Rayner Gomes
14
Requisitos de Segurança
● Privacidade: as informações são compreensíveis exclusivamente para os parceiros da comunicação.
Prof. Rayner Gomes
15
Requisitos de Segurança
● Integridade: As informações não podem ser modificada no trânsito na rede.
Prof. Rayner Gomes
16
Requisitos de Segurança
● Não-repúdio: A autoria das comunicações não podem ser contestadas.
Prof. Rayner Gomes
17
Requisitos de Segurança
● Autorização: as informações são acessíveis exclusivamente para entidades credenciadas.
Prof. Rayner Gomes
18
Requisitos de Segurança
● Auditoria: Todas as etapas do processo podem e devem ser auditadas.
Prof. Rayner Gomes
19
Conceitos Necessários
http://www.vivaolinux.com.br/dica/Calculo-da-potencia-modular-de-forma-eficiente
●Criptografia
●Criptografia Simétrica
●Criptografia Assimétrica
20
Criptografia
● Grego● Kryptos = Oculto● Graphen = Escrita
● Foi inventada por:● Militares● Burocratas● Amantes
Há marcas históricas de seu uso pelos Espartanos Século V. a.C, bastão skytalh (escútula)
Prof. Rayner Gomes
21
Ideia - Criptografia
TextoSimples[plaintext]
ProcessoCriptografia
Cifra[ciphertext]
Processo de Criptografia:
Fixo = Cifra de Júlio Cesar
Variável = Uso de Chave
22
Criptografia
Cifra CódigoX
Relação entre o Texto e a CifraCódigo Navajo
● Processamento Binário● Relação apenas matemática
Prof. Rayner Gomes
23
Critérios Máximos
● A segurança da mensagem não depende da
popularidade do algoritmo utilizado, quanto mais
conhecido e testado pela comunidade científica
melhor.
● A chave, que é o grande segredo em questão, deve
ser grande o suficiente para que seja impossível
descobri-la por meio de tentativas exaustivas.
Prof. Rayner Gomes
24
Cifra de Júlio Cesar
Troca-se cada letra por três subsequentes
● Texto Simples:
● Transmita esta mensagem à tropa
● Cifra
● Wudqvplwd hvwd phqvdjhp d wursd
Poderia adicionar uma chave para informar quantas N letras subsequentes será usada!!!
25
Chave Simétrica
Texto simples Criptografa Cifra
Chave A
ORIGEM
DESTINO
Texto simples Descriptografa Cifra
Chave A
INTERNET
Mesma chave
26
Chave Simétrica
● Tem como vantagem maior velocidade em relação à chave assimétrica.
● Conceito surgiu em 1972 pela IBM.● 1977 a National Institute of Standards and
Tecnology padronizou o Data Encryption Standard (DES).
● Há vários algoritmos: Blowfisth, CAST-64, CAST-80, CAST-128, RC2, RC4. RC5, IDEA e etc.
Prof. Rayner Gomes
27
Data Encryption Standards
● DES trabalha com chave 64 bits, sendo 56 bits para chave e 8 de paridade.
● Realizando-se cada teste em:
Tempo Processador Tempo de Descoberta100 ms 228 milhões de anos
1 ms 2.280 anos1 ns 2 anos
echo "2^56 / (365 * 24 * 60 * 60 * (1000/100) )" | bc
228.493.131
28
Data Encryption Standard● Em 1998 a Eletronic Frontier Foundation (EFF)
desenvolveu uma máquina chamada de DES Cracker.
● Primeira tentativa, quebrou o DES com 3 dias
● Segunda tentativa, com 100 mil computadores na
Internet em Paralelo, conseguiu quebrar a chave DES
com 22 horas e 15 minutos.
● Como consequência há variações do DES como o
Duplo-DES e o Triplo-DES.
echo "22^22^22" | bcRuntime error (func=(main), adr=14): exponent too large in raise
29
Chave Simétrica
● Desvantagens:
● A necessidade constante de troca chave secreta.
● Dificuldade para gerenciar grandes quantidades de chaves
em larga escala. Sistema com 1000 usuários cada um
precisa de 999 segredos.
● Dificuldade para iniciar uma comunicação segura entre
entidades desconhecidas.
● A chave é utilizando tanto para criptografar quanto
descriptografar.
Prof. Rayner Gomes
30
Criptografia Assimétrica
Texto simples Criptografa Cifra
Chave A
ORIGEM
DESTINO
Texto simples Descriptografa Cifra
Chave B
INTERNET
Chaves Diferentes
Prof. Rayner Gomes
31
Criptografia Assimétrica
● São usados duas chaves: Privada e Pública.
● As chaves/segredos são relacionadas
matemáticas (no fundo são dois números primos
gigantescos).
● Vantagem
● Segurança entre entidades desconhecidas
● Permite a criação da Assinatura Digital
Prof. Rayner Gomes
32
RSA
● Algoritmo proposto por Ron Riverst, Adi Shamir e Leonard Adleman.
● Pesquisados do MIT em 1997.● É um dos algoritmos de chave pública mais
antigo e versáteis.● Baseia na dificuldade da implementação de um
algoritmo Eficiente para fatoração de grandes números na ordem de 10^100
Prof. Rayner Gomes
33
Algoritmo do RSA
● Escolhe dois número primos gigantes (maiores que 10^100), p e q.
● Calcula-se ● n = p . q● z = (p – 1) . (q – 1)
● Escolhe e, um número primo em relação a z.● Encontra-se d de forma que:
● e . d = 1 mod z
→ p , q, n, z, d, e
Prof. Rayner Gomes
34
Algoritmo RSA
● Divide-se o texto simples em blocos, de modo que o texto simples P esteja no intervalo:● 0 < P < n.
Texto Simples
P P P ... P
●Criptografar: C = (P ^ e) mod n
●Descriptografar: P = (C ^ d) mod nProf. Rayner Gomes
35
Algoritmo RSATexto Simples
P P P ... P
C
C C C C
C C C
Texto Criptografado
C C C C
C C C C
D D D D
P P P P
Texto Simples
36
RSA - Mini-Exemplo
● Escolhe p e q:
● p = 1021 e q = 1019
● Calcula n e z:
● n = p . q = 1021 . 1019 = 1.040.399
● z = (p – 1) . (q – 1) = 1020 . 1018 = 1.038.360
● Escolhe e:
● e = 3.577, mmc(3577,1038360) = 1
● Calcula d:
● 1 < d < z e e . d = 1 mod z → d = 426.433
KP = { 3.577, 1.040.399}KP = { 3.577, 1.040.399}
KU = {426.433, 1.040.399}KU = {426.433, 1.040.399}
37
RSA - Teste
rayner@VUlture:~$ echo " (20 ^ 3577) % 1040399 " | bc877927
rayner@VUlture:~$ echo " (877927 ^ 426433) % 1040399 " | bc20
Mensagem: 10100
Prof. Rayner Gomes
38
RSA - Teste
rayner@VUlture:~$ time echo " (877927 ^ 426433) % 1040399 " | bc20
real 3m52.550suser3m51.958ssys 0m0.072s
Prof. Rayner Gomes
39
KP - Curiosidade
● Softwares de Chave Pública podem fazer:
● Escolher p utilizando números primos aleatórios da
memória do computador
● O p é uma chave secreta que o usuário informa.
● Apenas uma única chave para comunicar com N
entidades.
● Possibilidade de estabelecer uma relação com
entidades desconhecida.
Prof. Rayner Gomes
40
RSA - JAVA
SecureRandom random = new SecureRandom();
KeyPairGenerator generator =
KeyPairGenerator.getInstance("RSA");
generator.initialize(2048, random);
KeyPair pair = generator.generateKeyPair();
PublicKey pubKey = pair.getPublic();
PrivateKey privKey = pair.getPrivate();
41
RSA - JAVA
Cipher cipher = Cipher.getInstance("RSA");
cipher.init(Cipher.ENCRYPT_MODE, pubKey, random);
byte[] input = {0,0,0,1,1,1};
byte[] cipherText = cipher.doFinal(input);
cipher.init(Cipher.DECRYPT_MODE, privKey);
byte[] plainText = cipher.doFinal(cipherText);
Prof. Rayner Gomes
42
Protocolos que usam PK
● IPSec● SSL e TLS● PGP● S/MIME● SET● X.509
Prof. Rayner Gomes
43
Assinaturas Digitais
● A assinatura digital é um processo de
autenticar um arquivos fazendo uso de duas
tecnologias: Chaves Públicas e Hash.
● Está associado a Autenticação.
● PK são processos lentos.
Prof. Rayner Gomes
44
Assinaturas Digitais
Hash: É um pequeno valor, de tamanho fixo chamado de Digest ou valor Hash, derivado do uma Mensagem.
ArquivoArquivoHASH
AF0274DDAA6678[message digest]
SHA-1, MD5
Qualquer modificação no Arquivo irá alterar o Digest!!!Qualquer modificação no Arquivo irá alterar o Digest!!!
45
Assinatura Digital
ArquivoArquivo
HASH
Digest +
Criptografia
Chave Privada
Assinatura
Documento Assinado
+
TRANSMISSOR
46
Assinatura Digital
DocumentoAssinado
DocumentoAssinado
HASH
Digest
Descriptografia
Chave Pública
RECEPTOR
Assinaturacriptografada TESTA A IGUALDADE?
Digest
47
AutenticaçãoInfraestrutura de Chave Pública
● Faz uso de autenticação forte!!!● Autenticação:
● Algo que sabemos● Algo físico que temos● Algo que somos● Algum lugar que estamos
Prof. Rayner Gomes
48
AutenticaçãoInfraestrutura de Chave Pública
● Autenticação Forte:
● Tokens
● Smartcards
Prof. Rayner Gomes
49
Certificado Digital
● Definição:
● O certificado digital é um documento
eletrônico.
● Contém informações que identificam uma
pessoa, uma máquina ou uma instituição.
● É usada por um software intermediário
que reconheça essa informação.
50
Certificado Eletrônico
● Certificado Digital é um documento emitido por
uma Autoridade de Certificação.
● O Padrão utilizados no Brasil o X.509.
● O certificado vai garantir que a Entidade é ela
mesma.
● Há uma teia de Confiança entre, o Usuário
Comum, AC, e o Usuário Certificado.
Prof. Rayner Gomes
51
Certificado Digital - Estrutura
Um certificado normalmente inclui:
● Informações refentes a entidade certificada (nome, email,
CPF/CNPJ, PIS etc.)
● A chave pública da entidade certificada
● O período de validade
● A localização do "centro de revogação" (uma URL para
download da LCR, ou local para uma consulta OCSP)
● A assinatura da AC
Prof. Rayner Gomes
52
Certificado Eletrônico
WebServer
2. Certificado Digital
1. Acesa um Site com SSL
Navegador
Lista das AC
3. Confere a AC
Lista das AC = {DN, Chave Pública }
4. Verifica o Certificado
5. Estabelece uma Comunicação Segura
[ embutido na aplicação]
Calcula o Hash do Certificado
Prof. Rayner Gomes
53
Certificado Digital - FireFox
EDITAR > PREFERÊNCIAS
1
2
54
Certificado Digital - FireFox55
Certificado Digital - FireFox56
57
Visão Hierárquica das Autoridades
AC RAIZ
AC - 1 AC - 2
AC - 1AC - 3 AC - 4
Usuário A Usuário B
AR - 4
cadastro
58
IPC - BrasilO Instituto Nacional de Tecnologia da Informação - ITI é uma autarquia federal vinculada à Casa Civil da Presidência da República.
Principais AC do Brasil
Prof. Rayner Gomes
60
Tipos de Certificados da ICP - Brasil
A = AUTENTICAÇÃO S = SIGILO
Prof. Rayner Gomes
61
E-CPF A1 = 120,00
http://serasa.certificadodigital.com.br
E-CPF A3 = 155,00
SERASA = Token A3, Válido por 24 meses, 360,00
63
Interoperabilidade
FIREWALL
LDAP
Lista de CertificadosCertificados Revogados
IPSEC
SSLTSL
ACAC
webservicesServidoresDe Diretórios webservices
webservices
Prof. Rayner Gomes
64
Validade Jurídica x eficácia probante
● Nenhum documento digital ou não, não tem validade jurídica.
● A validade do negócio jurídico requer (art. 104 do Código Civil):● Agente capaz;● Objeto lícito, possível, determinado ou
determinável;● Forma prescrita;
Prof. Rayner Gomes
65
Considerações Finais
● Importante que tokens e smartcards de uma empresa possam interoperados com de outras.
● Para as AC o governo cobra uma Taxa de Fiscalização e Manutenção de Credenciamento no valor de 70.000 dólares anuais.
● Pode-se criar uma “PKI” privada sem ter que pagar taxas ao governo.
● Há necessidade de um grande artefato de proteção uma PKI.
Prof. Rayner Gomes
66
Considerações Finais
● Decreto 3.505 de 13 de junho de 2000 instituiu a política de segurança a informação nos órgãos públicos.
● 28/06/2000, Fernando Henrique Cardoso, adotou a Medida Provisória 2.200-1.
● 24/08/2001, Medida Provisória 2.200-2 consolida a Medida Provisória como força de lei.
● Na mesma Medida Provisória, cria o Comitê Gestor da ICP Brasil, vinculado a Casa Civil.
Prof. Rayner Gomes
67
Considerações Finais
● 30/11/2001 foram gerados o par de chaves e o respectivo certificado digital.
● Este evento ocorreu no Serpro, no Rio de Janeiro, em uma ambiente de segurança criado especialmente para este evento.
● Se abre mais uma porta para o Empreendedor de Sistemas de Informação.
Prof. Rayner Gomes
68
Bibliografia69
Webgrafia
http://www.iti.gov.br
Prof. Rayner Gomes
70
PCSJHBEPProf. Rayner Gomes
OBRIGADOProf. Rayner Gomes