250 likes | 447 Views
Quarta Edição por William Stallings Traduzido por Filipe Midon. Criptografia e Segurança em Redes Capítulo 15. Capítulo 15 – Segurança de e-mail.
E N D
Quarta Edição por William Stallings Traduzido por Filipe Midon Criptografia e SegurançaemRedesCapítulo 15
Capítulo 15 – Segurança de e-mail Apesar do vice-almirante Poindexter e do Tenente-Coronel North se recusarem a aparecer, o acesso da Comissão a outras fontes de informação preencheu grande parte dessa lacuna. O FBI forneceu documentos retirados dos arquivos do National Security Advisor e membros importantes do Conselho de Segurança Nacional dos EUA, incluindo mensagens do sistema PROF entre Poindexter e North. As mensagens do PROF eram conversas por computador, escritas na época em que os eventos ocorreram e consideradas pelos autores como protegidas contra divulgação. Nesse sentido, elas oferecem um relato de primeira mão e contemporâneo dos eventos. —The Tower Commission Report to President Reagan on the Iran-Contra Affair, 1987
Segurança de E-mail Email é um dos serviços de rede mais amplamente usado e considerado Atualmente os conteúdos das mensagens não são seguras Elas podem ser inspecionadas, quer em “trânsito” Ou por usuários privilegiados no sistema de destino
Mecanismo de Segurança de E-mail Confidenciabilidade Proteção contra divulgação Autenticação Do remetente da mensagem Integridade da mensagem Proteção contra modificação Não-repúdio da origem Proteção contra a negação do remetente
Pretty Good Privacy (PGP) Amplamente utilizado em e-mails seguros Desenvolvido por Phil Zimmermann Selecionado para uso os melhores algoritmos de criptografia disponíveis Integrados em um único programa no Unix, PC, Macintosh e outros sistemas Originalmente livre, agora também disponíveis em versões comerciais
Operação PGP – Autenticação Remetente cria a mensagem uso SHA-1 para gerar o hash de 160-bit da mensagem hash assinado com RSA usando a chave privada do remetente, e anexado à mensagem receptor usa RSA com a chave pública do remetente para descriptografar e recuperar o codigo Hash receptor verifica utilizando hash da mensagem recebida e compara-o com o hashcodedecriptado
Operação PGP – Confidencialidade Remetente gera uma mensagem e um número aleatório de 128-bit como chave de sessão Encriptar a mesagem usando CAST-128 / IDEA / 3DES com CBC com chave de sessão Chave de sessão encriptada usando RSA com a chave pública do receptor & anexada à mensagem receptor usa RSA com chave pública para decriptar e recuperar a chave de sessão Chave de sessão é usada para decriptar mensagens
Operação PGP – Confidenciabilidade & Autenticação Ambos serviçospodem ser usadosnamesmamensagem criaassinatura & anexa à mensagem Encripta a mensagem & assinatura anexar RSA/ElGamal à chve de sessãoencriptada
Operação PGP – Compressão Porpadrão PGP comprime a mensagemdepois de aplicar a assinatura, mas antes dacriptogafia para que possa armazenar mensagem e assinatura descomprimidas, para posterior verificação & porque a compressãonão é determinista Usaalgoritmo de compressão ZIP
Operação PGP – Compatibilidade de e-mail quando se usa PGP haverá dados binários para enviar(mensagem criptografada, etc) No entanto email foicriadoapenasparatexto portanto, deve codificar dados binárioscaracteres ASCII legíveis Uso do algoritmo radix-64 mapeia 3 bytes para 4 caractereslegíveis Também é acrescentado um CRC PGP tambémsegmenta a mensagem se for muitogrande
Chaves de sessão - PGP Necessárioumachave de sessãoparacadamensagem De tamanhosvariados: 56-bit DES, 128-bit CAST ou IDEA, 168-bit Triplo-DES geradousando ANSI X12.17 Utiliza entradas aleatórias dos usos tomados anteriormente do sincronismo da introdução por teclado do usuário
PGP Chaves Públicas & Privadas Umavezquemuitaschavespublicas/privadaspodemestaremuso, há a necessidades de identificarqualestásendoatualmenteusadaparaencriptar a chave de sessãonamensagem Poderia ser enviadaumachavepúblicacompletaemcadamensagem Masisso é insuficiente É preferívelusarumachaveidentificadorabaseadanachave São os 64-bits menossignificativosdachave Provavelmenteseráúnica Tambémusar um ID dachavenasassinaturas
Chaveiros - PGP cadausuário PGP tem um par de chaveiro Chaveiro de chavespúblicascontémtodas as chavespúblicas de outrosusuáriosconhecidosporoutrosusuários, indexadapelo ID dachave Chaveiro de chaveprivadacontém o par de chavepública/privadaparaesteusuário, indexadapelo key ID & encrypted keyed from a hashed passphrase A segurançadachaveprivadadependedapassphrase
Gerência de chaves - PGP Aoinvés de depender de AutoridadesCertificadoras no PGP cadausuário é o próprio CA pode assinar chaves para os usuários são conhecidos diretamente Constitui uma "rede de confiança” Chaves confiáveisforamassinadas Pode-se assinaroutraschavesassinadas se existirumacadeia de assinaturasparaela chaveirosincluemindicadoresconfiáveis Usuáriospodemrevogarsuaschaves
S/MIME (Secure/Multipurpose Internet Mail Extensions) Mecanismo de segura do e-mail MIME o email original do Internet RFC822 era somente texto MIME fornecido suporte para diferentes tipos de conteúdo e mensagens multi-partes com codificação de dados binários ao formulário de texto S/MIME acrescentou acessórios de segurança tem a sustentação de S/MIME em muitos agentes do correio eg MS Outlook, Mozilla, Mac Mail etc
Funções S/MIME Dados envelopados Conteúdo codificado e chaves associadas Dados assinados mensagem codificada + sumário assinado Dados assinados às claras Dados assinados + assinatura digital do conteúdo Dados assinados e envelopados Aninhamento de assinaturas e entidades encriptadas
Algoritmos Criptográficos S/MIME Assinaturas digitais: DSS & RSA Funções Hash: SHA-1 & MD5 Cifragem da chave de sessão: ElGamal & RSA Cifragem da mensagem: AES, Triplo-DES, RC2/40 e outros MAC: HMAC com SHA-1 possui processos para decidir qual algoritmo usar
Mensagens S/MIME O S/MIME protege uma entidade MIME com uma assinatura, criptografia ou ambos Formando um MIME com objeto PKCs envolvido tem uma fila com os seguintes tipos: Dados envelopados Dados assinados Assinatura às claras Solicitação de registro Mensagem apenas com certificados
Processamento de certificado S/MIME S/MIME usa certificados v. 3 do X.509 gerenciado usando um híbrido entre uma hierarquia de certificação X.509 estrita & sites PGP de confiança Cada cliente tem uma lista de certificados das Autoridades Certificadoras confiáveis O próprio par de chave pública/privada & certificados certificados devem ser assinados por Autoridades Certificadoras confiáveis
Autoridades Certificadoras Existem várias Autoridades Certificadoras conhecidas Verisign uma das mais utilizadas Verisign emite vários tipos de IDs digitais Aumentos dos níveis de controle e de confiança Class Identity Checks Usage 1 name/email check web browsing/email 2 + enroll/addr check email, subs, s/w validate 3 + ID documents e-banking/service access
Sumário Foi visto: Segurança de e-mail PGP S/MIME