Discussão da proposta de algoritmo multicast

Os resultados apresentados demonstram que essa proposta multicast é viável, e não necessita de nenhuma modificação na camada de rede ou utilização de protocolos mais complexos como os algoritmos ALM inter-domínios. Com a delimitação de escopo determi- nada na sua concepção, para uso exclusivamente dentro de redes WMN é uma proposta viável com segurança garantida na troca de mensagens. Ainda, incorpora-se à solução SCP, escopo maior desta tese onde encontra-se as prerrogativas de segurança que nor- teiam as comunicações permitidas para os dispositivos de uma rede elétrica inteligente. A especificação de grupos multicast está integrada com as definições do ADP e ADC, desta forma já entregues a todos os dispositivos através da rede de sobreposição, incluindo me- didores inteligentes e gateways. O GMAM se apresenta como uma solução intermediária, entre IP multicast e algoritmos ALM, tendo como foco a baixa sobrecarga imposta pelos mecanismos de controle. Ele se destina a aplicação em redes WMN estáticas, que apre- sentam reduzidas taxas de mudança de topologia como são as redes WMN compostas por medidores inteligentes, haja vista que são equipamentos estáticos instalados junto aos clientes. As mudanças que poderão ocorrer serão adição/remoção de um medidor inteli- gente, porém não é uma situação que rotineiramente irá determinar uma grande variação na topologia de rede.

Como a construção das árvores de transmissão multicast é realizada no gateway, remove-se carga computacional imposta aos medidores inteligentes. Da mesma forma, o sistema de compartilhamento da chave simétrica utilizada para autenticação de mensa- gens é determinado no SISP e impõe a ele a maior carga computacional, reduzindo os processamentos de criptografia assimétrica empregados nos medidores inteligentes. Vale salientar que o mecanismo proposto garante entrega de mensagens, uma vez que distor- ções na topologia conhecida pelo GMAM reduzem seu desempenho, porém não causam falhas na entrega de pacotes multicast, embora possam ocorrer atrasos. Seus mecanis- mos são adequados aos requisitos da AMI, garantindo confiabilidade das comunicações e redução da possibilidade de falhas.

5.6 VALIDAÇÃO DOS PROTOCOLOS DE AUTENTICAÇÃO E AUTORIZAÇÃO PARA

TROCA DE CHAVES

Os algoritmos de troca de chaves, tanto de grupo quanto P2P, foram verificados com o software Scyther (CREMERS; MAUW, 2012). Esta é uma ferramenta automática para avaliação de segurança, através da análise das possíveis interações entre os elemen- tos participantes do protocolo, indicando possíveis falhas. É utilizada semântica do tipo Backus-Naur Form (BNF), com uma sintaxe similar a C++, onde são descritas as mensa-

gens trocadas, a sincronia de eventos e as alegações de segurança pretendidas. A partir do modelo especificado, são simuladas as diversas interações entre as entidades e, em caso de falhas, os parâmetros violados, bem com seu cenário gráfico descritivo é mos- trado. Essa ferramenta tem suporte a execução em diversos sistemas operacionais, além de utilizar uma sintaxe relativamente simples (KLEVSTAD, 2016) (CREMERS, 2016).

Após a especificação dos eventos de troca de mensagens no Scyther, são especifica- das as prerrogativas de segurança a serem investigadas para elaboração da análise. São suportadas as seguintes propriedades (KLEVSTAD, 2016):

• Segredo (Secrecy ): Essa propriedade verifica se o elemento investigado é segura- mente mantido em sigilo de um possível adversário ainda que ele esteja no controle da rede de comunicação.

• Revelação de chave de sessão (SKR): Similar ao primeiro item, garante o segredo da chave de sessão utilizada. Uma chave de sessão é substituída após seu tempo de vida por uma nova, que deve ser criada de forma completamente independente da anterior.

• Completude (Aliveness): Garante que se o protocolo chegar ao fim de sua execução em uma das partes, também o chegará na outra entidade com a qual se comunica. Basicamente garante a completude do protocolo em ambas as partes, sem a possi- bilidade de transferir a uma terceira parte da execução do protocolo.

• Autenticação Mútua (Weak Agreement): Um passo além do aliveness, garantindo a autenticação entre a entidade iniciadora e a entidade que responde. Normalmente nonces gerados no iniciador e retornados pelo responder garantem essa proprie- dade.

• Integridade de Papéis (Non-Injective Agreement - NiAgree): Processo de autentica- ção que garante que o acordo entre as duas partes especificando e garantindo quais entidades atuarão como Initiator (I) e como responder (R). Garante que se I com- pletar com sucesso o protocolo com R, então R completou uma rodada do protocolo com I, onde ele agiu como responder. No entanto essa propriedade não garante que o processo foi obtido exatamente em uma rodada. Também significa que as variáveis enviadas de I para R, e vice-versa, foram devidamente acordadas entre as partes. • Integridade de Sincronização (Non-Injective Synchronization (NiSync)): Garante que

um adversário não poderá utilizar mensagens de diferentes rodadas para atuar no processo de troca de mensagens do protocolo. Ou seja, garante a sequência espe- rada de comportamento e troca de informações entre as partes do protocolo, sem a possibilidade de mudança nesta sequência por um adversário.

• Integridade de Variáveis (Running, Commit): Pode ser usado como uma forma de autenticação de variáveis (senhas compartilhadas, por exemplo), assegurando que a variável enviada por uma das partes seja a mesma recebida pela outra, sem pos- sibilidade de alteração.

• Executabilidade (Reachable): Garantia que há uma pelo menos uma sequência de eventos entre as partes que permite ao protocolo chegar a sua conclusão.

Os resultados obtidos dos protocolos são apresentados na seção 5.6.2 e 5.6.3, po- rém primeiramente faz-se necessário discutir a análise de segurança aplicada a ambos os protocolos.