Introducao a criptografia

2,833 views
2,618 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,833
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
143
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Introducao a criptografia

  1. 1. O que é Segurança da Informação Introdução à Criptografia Segurança da Informação Prof. João Bosco M. Sobral 1
  2. 2. O que é Segurança da Informação <ul><li>Segurança de Informação relaciona-se com vários e diferentes aspectos referentes à: </li></ul><ul><ul><li>confidencialidade / privacidade , </li></ul></ul><ul><ul><li>autenticidade, </li></ul></ul><ul><ul><li>integridade , </li></ul></ul><ul><ul><li>não-repúdio </li></ul></ul><ul><ul><li>disponibilidade </li></ul></ul>
  3. 3. O que é Segurança da Informação <ul><li>... ... que não estão restritos: </li></ul><ul><ul><li>à sistemas computacionais , </li></ul></ul><ul><ul><li>nem a informações eletrônicas, </li></ul></ul><ul><ul><li>ou qualquer outra forma mecânica de </li></ul></ul><ul><ul><li>armazenamento . </li></ul></ul>
  4. 4. O que é Segurança da Informação <ul><li>Ela se aplica à todos os aspectos de proteção e armazenamento de informações e dados, em qualquer forma. </li></ul>
  5. 5. Aspectos não computacionais da Segurança da Informação <ul><li>Normativos </li></ul><ul><ul><li>Conceitos, Diretrizes, Regulamentos, Padrões </li></ul></ul><ul><li>Contingência </li></ul><ul><li>Estatísticas </li></ul><ul><li>Legislação </li></ul><ul><li>Fórums de Discussão </li></ul>
  6. 6. Fontes de Informação <ul><li>Na forma alfabética convencional : </li></ul><ul><li>Um livro. </li></ul><ul><li>Uma notícia formal impressa. </li></ul><ul><li>Um relatório financeiro de uma empresa. </li></ul>
  7. 7. Fontes de Informação <ul><li>Informação também existe em forma contínua. </li></ul><ul><li>A natureza , geralmente, supre informação nessa forma. </li></ul>
  8. 8. Fonte de Informação <ul><li>A prática moderna é amostrar o sinal contínuo em intervalos de tempo espaçados igualmente, e então digitalizar a quantidade observada ( codificação ). </li></ul><ul><li>A informação pode, então, ser transmitida como um stream de dígitos binários . </li></ul>
  9. 9. Recursos da Informação <ul><li>Um arquivo . </li></ul><ul><li>Objetos. </li></ul><ul><li>Um banco de dados . </li></ul>
  10. 10. Valor da Informação <ul><li>Muitos recursos de informação que são disponíveis e mantidos em sistemas de informação distribuídos através de redes, têm um alto valor intrínseco para seus usuários . </li></ul><ul><li>Toda informação tem valor e precisa ser protegida contra acidentes ou ataques . </li></ul>
  11. 11. Proteção da Informação <ul><li>Código </li></ul><ul><li>Cifra </li></ul>
  12. 12. Criptografia <ul><li>Uma das ferramentas mais importantes para a segurança da informação é a criptografia . </li></ul><ul><li>Qualquer método que transforme informação legível em informação legível ilegível . </li></ul>
  13. 13. Por que Criptografia ? <ul><li>O fato é que todos nós temos informações que queremos manter em sigilo: </li></ul><ul><ul><li>Desejo de Privacidade. </li></ul></ul><ul><ul><li>Autoproteção. </li></ul></ul><ul><ul><li>Empresas também têm segredos. </li></ul></ul><ul><ul><ul><li>Informações estratégicas. </li></ul></ul></ul><ul><ul><ul><li>Previsões de vendas. </li></ul></ul></ul><ul><ul><ul><li>Detalhes técnicos como produtos. </li></ul></ul></ul><ul><ul><ul><li>Resultados de pesquisa de mercado. </li></ul></ul></ul><ul><ul><ul><li>Arquivos pessoais. </li></ul></ul></ul>
  14. 14. O papel da criptografia na segurança da informação <ul><li>Mundo real </li></ul><ul><ul><li>Se as fechaduras nas portas e janelas da sua casa são relativamente fortes, a ponto de que um ladrão não pode invadir e furtar seus pertences … </li></ul></ul><ul><ul><li>… a sua casa está segura . </li></ul></ul>
  15. 15. O papel da criptografia na segurança da informação <ul><li>Mundo real </li></ul><ul><ul><li>Para maior proteção contra invasores, talvez você tenha de ter um sistema de alarme de segurança . </li></ul></ul><ul><ul><li>A sua casa estará mais segura . </li></ul></ul>
  16. 16. O papel da criptografia na segurança da informação <ul><li>Mundo real </li></ul><ul><ul><li>Se alguém tentar fraudulentamente retirar dinheiro de sua conta bancária, mas se o banco não confiar na história do ladrão … </li></ul></ul><ul><ul><li>… seu dinheiro estará seguro . </li></ul></ul>
  17. 17. O papel da criptografia na segurança da informação <ul><li>Mundo real </li></ul><ul><ul><li>Quando você assina um contrato, as assinaturas são imposições legais que orientam e impelem ambas as partes a honrar suas palavras. </li></ul></ul>
  18. 18. O papel da criptografia na segurança da informação <ul><li>Mundo Digital </li></ul><ul><ul><li>Confidencialidade ou Privacidade </li></ul></ul><ul><ul><ul><li>Ninguém pode invadir seus arquivos e ler os seus dados pessoais sigilosos ( Privacidade ). </li></ul></ul></ul><ul><ul><ul><li>Ninguém pode invadir um meio de comunicação e obter a informação trafegada , no sentido de usufruir vantagem no uso de recursos de uma rede ( confidencialidade ). </li></ul></ul></ul>
  19. 19. O papel da criptografia na segurança da informação <ul><li>Mundo Digital </li></ul><ul><ul><li>A privacidade é a fechadura da porta. </li></ul></ul><ul><ul><li>Integridade refere-se ao mecanismo que informa quando algo foi alterado. Integridade é alarme da casa. </li></ul></ul>
  20. 20. O papel da criptografia na segurança da informação <ul><li>Mundo Digital </li></ul><ul><ul><li>Aplicando a prática da autenticação , pode-se verificar as identidades . </li></ul></ul><ul><ul><li>A irretratabilidade ( não-repúdio ) é a imposição legal que impele as pessoas a honrar suas palavras. </li></ul></ul>
  21. 21. O papel da criptografia na segurança da informação <ul><li>De algum modo a criptografia contribui para resolver os problemas de: </li></ul><ul><ul><li>confidencialidade , </li></ul></ul><ul><ul><li>privacidade , </li></ul></ul><ul><ul><li>integridade , </li></ul></ul><ul><ul><li>autenticação , </li></ul></ul><ul><ul><li>irretratabilidade, </li></ul></ul><ul><ul><li>disponibilidade. </li></ul></ul>
  22. 22. O papel da criptografia na segurança da informação <ul><li>Assim, uma das ferramentas mais importantes para a segurança da informação é a criptografia . </li></ul>
  23. 23. O papel da criptografia na segurança da informação <ul><li>Qualquer um dos vários métodos que são utilizados para transformar informação legível para algo ilegível , pode contribuir para resolver os conceitos anteriores. </li></ul>
  24. 24. O papel da criptografia na segurança da informação <ul><li>Mas, de modo algum a criptografia é a única ferramenta para assegurar a segurança da informação. </li></ul><ul><li>Nem resolverá todos os problemas de segurança. </li></ul><ul><li>Criptografia não é a prova de falhas . </li></ul>
  25. 25. O papel da criptografia na segurança da informação <ul><li>Toda criptografia pode ser quebrada e , sobretudo, se for implementada incorretamente , não agrega nenhuma segurança real. </li></ul><ul><li>O que veremos: uma visão da criptografia, focalizando a sua uitlização de forma adequada . </li></ul>
  26. 26. O papel da criptografia na segurança da informação <ul><li>Não se trata de uma análise completa de tudo o que se deve conhecer sobre criptografia. </li></ul><ul><li>Veremos as técnicas de criptografia mais amplamente usadas no mundo atual. </li></ul>
  27. 27. Conceitos <ul><li>A palavra “Criptografia” </li></ul><ul><li>Trabalhos sobre o história da criptografia </li></ul><ul><li>Conceito de Cifra </li></ul><ul><li>Conceito de Código </li></ul>
  28. 28. Significado da palavra “Criptografia” <ul><li>A palavra criptografia vem das palavras gregas que significam “ escrita secreta ”. </li></ul><ul><li>Kriptos (em grego) = Secreto + Grafia (de escrever) </li></ul><ul><li>Criptografia = Escrita secreta. </li></ul><ul><li>Criar mensagens cifradas . </li></ul><ul><li>História de milhares de anos. </li></ul>
  29. 29. Jargões da Criptografia <ul><li>Encripta (codifica, criptografa, cifra) </li></ul><ul><li>Decripta (decodifica, decriptografa, decifra) </li></ul>
  30. 30. <ul><li>Os procedimentos de criptografar e decriptografar são obtidos através de um algoritmo . </li></ul>
  31. 31. Criptografia <ul><li>Possui emprego nas mais diferentes áreas de atuação, mas em todas, tem o mesmo significado: proteger informações consideradas ‘especiais’ ou de qualidade sensível . </li></ul>
  32. 32. Criptografia <ul><li>Atualmente a CRIPTOGRAFIA é definida como a ciência que oculta e/ou protege informações – escrita, eletrônica ou de comunicação . </li></ul>
  33. 33. Criptografia <ul><li>É o ato de alterar uma mensagem para esconder o significado desta. </li></ul>
  34. 34. Criptografia Simétrica
  35. 35. Criptografia Assimétrica
  36. 36. Trabalhos sobre o história da criptografia <ul><li>Histórico completo (Khan, 1995) </li></ul><ul><li>Estado da arte em segurança e protocolos criptográficos (Kaufman et al., 2002) </li></ul><ul><li>Abordagem mais matemática (Stinson, 2002) </li></ul><ul><li>Abordagem menos matemática (Burnett e Paine (2001) </li></ul>
  37. 37. Técnicas envolvendo criptografia <ul><li>Criptografia de Chave Simétrica , </li></ul><ul><li>Gerenciamento de Chaves Simétricas, </li></ul><ul><li>Criptografia de Chaves Públicas e o problema de distribuição de chaves, </li></ul><ul><li>Assinatura Digital , </li></ul>
  38. 38. Assinatura Digital
  39. 39. Técnicas envolvendo criptografia <ul><li>Infra-estruturas de chave pública , </li></ul><ul><li>Protocolos com Criptografia, </li></ul><ul><li>Soluções criptográficas em Hardware , </li></ul>
  40. 40. Conceito de Cifra <ul><li>É uma transformação de caractere por caractere ou bit pot bit, sem levar em conta a estrutura linguística da mensagem. </li></ul>
  41. 41. Conceito de Código <ul><li>Substitui uma palavra por outra palavra ou por um símbolo. </li></ul><ul><li>Códigos, não são mais utilizados , embora tenham tido uma história … </li></ul><ul><ul><li>O código na linguagem navajo. </li></ul></ul>
  42. 42. Conceitos <ul><li>O modelo de criptografia </li></ul><ul><li>Criptoanálise e Criptologia </li></ul><ul><li>O conceito de chave </li></ul><ul><li>O Princípio de Kerckoff </li></ul>
  43. 43. Categorias do métodos de criptografia <ul><li>Cifras de Substituição </li></ul><ul><li>Cifras de Transposição </li></ul>
  44. 44. Dois princípios fundamentais da criptografia <ul><li>Redundância Princípio Criptográfico #1 </li></ul><ul><li>Atualidade Princípio Criptográfico #2 </li></ul>
  45. 45. Segurança nas Camadas de Rede <ul><li>Com exceção da segurança na camada física , quase toda segurança se baseia em princípios criptográficos . </li></ul>
  46. 46. Criptografia de Enlace <ul><li>Na camada de enlace, os quadros em uma linha ponto-a-ponto podem ser codificados, à medida que saem de uma máquina, e decodificados quando chegam em outra. </li></ul>
  47. 47. Criptografia de Enlace <ul><li>Vários detalhes de criptografia poderiam ser tratados na camada de enlace , no entanto, essa solução se mostra ineficiente, quando existem vários roteadores . </li></ul>
  48. 48. Criptografia de Enlace <ul><li>Pois é necessário decriptar os pacotes, em cada roteador, o que pode tornar esses, vulneráveis a ataques dentro do roteador . </li></ul><ul><li>Também, algumas sessões de aplicações são protegidas, mas outras, não. </li></ul>
  49. 49. Criptografia na Camada de Rede <ul><li>A segurança do Protocolo IP funciona nesta camada. </li></ul><ul><li>Ver o Protocolo IPSec </li></ul>
  50. 50. Criptografia na Camada deTransporte <ul><li>É possível criptografar conexões fim-a-fim, ou seja processo-a-processo. </li></ul><ul><li>SSL (Security Socket Level) </li></ul><ul><li>TLS (transport Level Security) </li></ul>
  51. 51. Criptografia na Camada da Aplicação <ul><li>S/MIME ( S ecure/ M ultipupose I nternet M ail E xtensions) </li></ul><ul><li>SET (Secure Electronic Transactions) </li></ul><ul><li>Autenticação de usuários e Não-Repúdio só podem ser tratadas na camada da aplicação. </li></ul>
  52. 52. Exemplo de aplicação da Criptografia Simétrica Segurança da Informação Prof. João Bosco M. Sobral 1
  53. 53. Segurança de Bancos de Dados Oracle <ul><li>Apenas as pessoas apropriadas podem ter acesso às informações no BD ( autenticação de usuários ). </li></ul><ul><li>Os dados precisam ser protegidos e uma maneira de proteger os dados é por criptografia . </li></ul>
  54. 54. Segurança de Bancos de Dados Oracle <ul><li>Geração da Chave : </li></ul><ul><li>Alguns bytes aleatórios ou pseudo-aleatórios são gerados e utilizados como uma chave para a criptografia simétrica DES ou TripleDES. </li></ul>
  55. 55. Segurança de Bancos de Dados Oracle <ul><li>Armazenamento da Chave : </li></ul><ul><li>Precisa-se também salvar essa chave gerada em algum lugar (não no mesmo lugar onde foi gerada). O próximo capítulo ensina como armazenar a chave simétrica . </li></ul>
  56. 56. Criptografando em um BD Oracle <ul><li>A chave é usada para criptografia … </li></ul><ul><li>dbms obfuscation toolkit. DES Encrypt ( inputstring => plaintext , key => keydata , encrypted string => ciphertex ); </li></ul>
  57. 57. Decriptografando em um BD Oracle <ul><li>A chave é recuperada e … </li></ul><ul><li>dbms obfuscation toolkit. DES Decrypt ( inputstring => ciphertex , key => keydata , encrypted string => plaintext ); </li></ul>
  58. 58. Tarefas Práticas <ul><li>Segurança e Privacidade em um browser </li></ul><ul><ul><li>Exemplo do Mozilla Firefox </li></ul></ul><ul><ul><li>Segurança e Privacidade de emails. </li></ul></ul><ul><ul><ul><li>Mozilla Thunderbird com GnuPG </li></ul></ul></ul>
  59. 59. Tarefas Práticos <ul><li>Autenticação de Emails. </li></ul><ul><ul><li>Rede Inf </li></ul></ul><ul><li>Segurança com Java </li></ul>
  60. 60. Tarefas Práticas <ul><li>Resumo de Mensagens (MD5) </li></ul><ul><li>Assinaturas Digitais (GnuPG) </li></ul><ul><li>Certificação Digital (GnuPG) </li></ul>
  61. 61. <ul><li>Criptografia na Camada de Transporte </li></ul><ul><ul><li>VPN con OpenVPN e certificados digitais </li></ul></ul><ul><li>Criptografia na camada de rede </li></ul><ul><ul><li>IPSec (usado para VPN com criptografia e certificação) </li></ul></ul>
  62. 62. Protocolos Práticos <ul><li>Criptografia para segurança de aplicações na Web. </li></ul><ul><ul><li>OpenSSL (SSLv3 e TLS v1) </li></ul></ul><ul><ul><ul><li>http://www.openssl.org </li></ul></ul></ul><ul><ul><li>Stunnel , para criptografia com protocolos não SSL (por exemplo, SSH) </li></ul></ul><ul><ul><ul><li>http://www.stunnel.org </li></ul></ul></ul>
  63. 63. Casos Práticos <ul><li>Diretórios e Subdiretórios (SO) </li></ul><ul><li>FTP (File Transfer Protocol) – SSH </li></ul>
  64. 64. Tarefas Práticas <ul><li>Módulo PAM (ITI) - Linux </li></ul><ul><li>Chaveiro Eletrônico (ITI) - Linux </li></ul><ul><li>Assinador (ITI) - Linux </li></ul>
  65. 65. Tarefas Práticas
  66. 66. Tarefa Prática <ul><li>Usando GnuPG </li></ul><ul><li>http://www.gris.dcc.ufrj.br/tutoriais/GRIS-2004-T-001.pdf </li></ul>

×