Segurança na Internet – SSL/TLSBernardo M. Costa

Agenda

• Introdução• Origem do protocolo• O TLS• Estrutura• Comunicação• Demais protocolos• Criptografia RSA• Conclusão

Introdução

• A internet não é segura.

• O que fazer? Simplesmente se desconectar?

• Não! Queremos segurança!

• Protocolo SSL/TLS

Origem

• SSL lançado pela Netscape nos anos 90.

• Em 1999, definição do TLS 1.0 pelo IETF, baseado no SSL 3.0

• Em 2008, TLS versão 1.2 e diversas extensões

O TLS

• Objetivos: segurança, interoperabilidade, extensabilidade, eficiência

• Confidencialidade das mensagens• Aplicações distintas podem se comunicar• Aberto à extensões evitando criação de

novos protocolos• Utilização do cache, poupando CPU e conexões

desnecessárias.

A Estrutura do TLS

• Situado entre a camada de transporte e de aplicação

• Encapsula protocolos de aplicação

• Protocolo de transporte influencia na confiabilidade

A Estrutura do TLS

• Handshaking – negociação e autenticação• Subprotocolos encapsulados• Alertas

Comunicação com TLS

• Autenticação pode ser unilateral

• Certificados digitais

• Troca de chaves

• Transmissão de dados

Utilização com outros Protocolos

• HTTP– Fácil implementação– Encapsulamento

• FTP– Assegurar– TLS no controle da transmissão– Dados seguros pelo próprio FTP

Criptografia RSA

• Par de chaves pública e privada

• Outro lado da conexão recebe a chave pública e encripta a mensagem

• Somente quem gerou a chave pública poderá decriptar a mensagem (possui a chave privada)

• Algoritmo difícil de quebrar (alta complexidade)

Conclusão

• Protocolo TLS – boa opção!

• Vastamente empregado (bancos, email, formulários)

• Não está livre de ataques

Perguntas

1. O TLS é um protocolo que atua sempre bilateralmente na autenticação dos participantes? Dê um exemplo.

2. Qual a razão para que o TLS ter sido definido como um protocolo aberto às extensões, tendo inclusive já incorporado muitas delas?

3. Qual a utilidade do protocolo Handshake do TLS? O que ele provê para a outra camada do TLS (protocolo de Registro)?

Perguntas

4. O que é determinante para o sucesso de uma aplicação que utiliza TLS?

5. Qual o motivo para que a criptografia RSA seja considerada bastante segura?

Referências

• Dierks, T. and Rescorla, E. "The Transport Layer Security (TLS) Protocol Version 1.2" RFC 5246, IETF 2008.

• Rescorla, E. "HTTP over TLS" RFC 2818, IETF 2000.

• Ford-Hutchinson, P. "Securing FTP with TLS" RFC 4217, IETF 2005.

• http://en.wikipedia.org/wiki/Transport_Layer_Security (acessado em 29/09/2010)

Obrigado!

Bernardo M. CostaEngenharia de Computação e InformaçãoEscola Politécnica – UFRJbemc@poli.ufrj.br