1 / 24

Criptografia e segurança de redes Capítulo 17

Criptografia e segurança de redes Capítulo 17. Quarta Edição por William Stallings Slides de Lawrie Brown Tradução: Rodrigo Moutinho. Capítulo 17 – Segurança na Web. Use a mente. Acorde para a realidade. — Da canção, " I've Got You under My Skin “ de Cole Porter. Segurança na Web.

arlais
Download Presentation

Criptografia e segurança de redes Capítulo 17

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Criptografia e segurança de redesCapítulo 17 Quarta Edição por William Stallings Slides de Lawrie Brown Tradução: Rodrigo Moutinho

  2. Capítulo 17 – Segurança na Web Use a mente. Acorde para a realidade. — Da canção, "I'veGotYouunderMySkin“ de Cole Porter

  3. Segurança na Web • A web é muito usada por empresas, órgãos do governo e indivíduos • Mas a Internet & Web são vulneráveis • Tem uma variedade de ameaças • Integridade • Confidencialidade • Negação de serviços • Autenticação • Necessidade de mecanismos adicionais de segurança

  4. SSL (Secure Socket Layer) • Serviço de segurança na camada de transporte • Originalmente desenvolvido pelo Netscape • Versão 3 projetada com contribuição pública • Subseqüentemente se tornou a Internet padrão conhecida como TLS (TransportLayerSecurity) • Usa TCP para fornecer confiança nos serviços ponta a ponta (end-to-end) • SSL tem duas camadas de protocolos

  5. Arquitetura SSL Protocolo de mudança de especificação de cifra SSL Protocolo de estabelecimento de sessão SSL Protocolo de alerta SSL Protocolo de registro SSL

  6. Arquitetura SSL • Conexão SSL • um transiente, peer-to-peer, relacionamento de conexão • associado a uma sessão SSL • Sessão SSL • uma associação entre um cliente e um servidor • criados pelo Protocolo de Estabelecimento de Sessão • definem um conjunto de parâmetros criptográficos • podem ser compartilhados entre várias conexões

  7. Serviços de Protocolo de Registro SSL • integridade da mensagem • usa um MAC com chave secreta compartilhada • similar ao HMAC mas com um preenchimento diferente • confidencialidade • usando criptografia simétrica com chave secreta compartilhada definida pelo Protocolo de Estabelecimento de Sessão • AES, IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128 • mensagem é comprimida antes de ser criptografada

  8. Operação do protocolo de registro SSL Dados da aplicação Fragmentar Compactar Adicionar MAC Criptografar Anexar cabeçalho de registro SSL

  9. Protocolo de mudança de especificação de cifra SSL • um dos três protocolos específicos do SSL que utilizam o Protocolo de Registro SSL • uma mensagem única • faz com que o estado pendente vire o estado atual • por isso atualiza o conjunto de cifras a ser usado

  10. Protocolo de alerta SSL • transmite alertas relacionados ao SSL para as partes envolvidas • gravidade • alerta (1) ou fatal (2) • alerta específico • fatal: unexpected_message, bad_record_mac, decompression_failure, handshake_failure, illegal_parameter • alerta: close_notify, no_certificate, bad_certificate, unsupported_certificate, certificate_revoked, certificate_expired, certificate_unknown • compactados e criptografados como todos os dados SSL

  11. Protocolo de estabelecimento de sessão SSL • permite servidor e cliente fazer: • autentiquem um ao outro • negociem um algoritmo de criptografia e de MAC • Negociem chaves criptográficas a serem usadas • compreende uma série de mensagens em fases • Estabelecer capacidades de segurança • Autenticação de servidor e troca de chaves • Autenticação de cliente e troca de chaves • Término

  12. SSL Handshake Protocol Cliente Servidor Fase 1 Estabelecer qualificações de segurança, incluindo versão de protocolo, ID de sessão, conjunto de cifras, método de compactação e números aleatórios iniciais. Fase 2 O servidor pode enviar certificado, troca de chaves e solicitar certificado. O servidor sinaliza o final da fase da mensagem hello. Tempo Fase 3 O cliente envia o certificado se solicitado. O cliente envia a troca de chaves. O cliente pode enviar a verificação de certificado. Fase 4 Trocar conjunto de cifras e encerrar o protocolo de estabelecimento de sessão. Observação:transferência sombreadas são mensagens opcionais ou dependentes de situação que nem sempre são enviadas.

  13. TLS (Transport Layer Security) • padronização IETF na RFC 2246 similar ao SSLv3 • com pequenas diferenças • grava no formato de número de versão • usa HMAC para MAC • funções pseudo-aleatórias para expandir segredos • tem outros códigos de alerta • algumas diferenças nas cifras disponíveis • mudanças nos tipos de certificados e negociações • mudanças nas cifras computacionais e nos enchimentos

  14. Secure Electronic Transactions (SET) • especificação aberta de criptografia e segurança • para proteger transações envolvendo cartões de crédito pela Internet • desenvolvido em 1996 pela MasterCard e Visa • não é um sistema de pagamentos • no entanto é um conjunto de protocolos e formatos de segurança • canal de comunicações seguro entre todas as partes • confiança no uso de certificados digitais X.509v3 • privacidade, para disponibilizar as informação apenas para quem precisa

  15. Participantes do SET Comerciante Internet Proprietário do cartão Internet Autoridade Certificadora Emissor Rede de pagamento Gateway de pagamento Acquirer

  16. Transação SET • O cliente abre uma conta. • O cliente recebe um certificado. • Os comerciantes têm seus próprios certificados. • O cliente faz um pedido. • O comerciante é verificado. • O pedido e o pagamento são enviados. • O comerciante solicita autorização de pagamento. • O comerciante confirma o pedido. • O comerciante fornece os bens ou serviços. • O comerciante solicita o pagamento.

  17. Assinatura Dual • cliente cria duas mensagens • informação do pedido (OI) para o comerciante • informação de pagamento (PI) para o banco • nenhuma das partes precisa de informações da outra • porém precisam ser vinculados • assinatura dual é usada para isso • cliente concatena os hashes de OI e PI DS=E(PRc, [H(H(PI)||H(OI))])

  18. Solicitação de compra SET • A transação de solicitação de compra SET consiste em quatro mensagens • Inicia solicitação – solicita os certificados • Inicia resposta – resposta assinada • Solicitação de compra – de OI e PI • Resposta de compra – confirma o pedido

  19. Solicitação de compra - Cliente Mensagem de solicitação Passado pelo comerciante ao gateway de pagamento Assinatura Dual Recebido pelo comerciante PI OI PIMD OIMD E Ks PUb = = = = = = = Informações de pagamento Informações de pedido Resumo da mensagem de PI Resumo da mensagem de OI Criptografia (RSA para assimétrica; DES para simétrica) Chave simétrica temporária Chave pública de troca de chave do banco Assinatura Dual Certificado de proprietário

  20. Solicitação de compra - Comerciante • Confirma o certificado do proprietário do cartão pela assinatura da CA • Confirma a assinatura dual usando a chave pública de assinatura do cliente garantindo que o pedido não foi alterado em trânsito e que foi assinado usando a chave privada de assinatura do proprietário do cartão • Processa o pedido e encaminha as informações do pagamento para o gateway de pagamento para autorização (descrito mais adiante) • Envia uma resposta de compra ao proprietário do cartão

  21. Solicitação de compra - Comerciante Mensagem de solicitação Passado pelo comerciante ao gateway de pagamento OI OIMD PIMD D H PUc = = = = = = Informações de pedido Resumo da mensagem de OI Resumo da mensagem de PI Decriptografia (RSA) Função de hash (SHA-1) Chave pública de assinatura do cliente Assinatura Dual Certificado de proprietário

  22. Autorização do gateway de pagamento • Verifica todos os certificados • Decriptografa o envelope digital do bloco de autorização para obter a chave simétrica e depois decriptografa o bloco de autorização • Verifica a assinatura do comerciante no bloco de autorização • Decriptografa o envelope digital do bloco de pagamento para obter a chave simétrica e depois decriptografa o bloco de pagamento • Verifica a assinatura dual no bloco de pagamento • Verifica se a ID da transação recebida do comerciante combina com a da PI recebida (indiretamente) do ciente • Solicita e recebe uma autorização do emissor • Retorna uma Resposta de Autorização ao comerciante

  23. Captação de Pagamento • O comerciante envia um gateway de pagamento uma transação de captura de pagamento • Gateway checa a solicitação • Depois os fundos são transferidos para a conta do comerciante • Notifica o comerciante em uma mensagem de Resposta de Captação

  24. Sumário • Tenha considera: • Necessidade de segurança na Web • Protocolos de segurança da camada de transporte - SSL/TLS (SecureSocketLayer / TransportLayerService) • Protocolo seguro de pagamento do cartão de crédito – SET (SecureEletronicTransaction)

More Related