07 - Criptografia e Assinatura Digital - Prof Sergio Villarreal

Criptografia e

Assinatura Digital

Eng. SERGIO VILLARREAL

Conteúdo

_Criptografia

_{Assinatura Digital}

Certificado digital

_{Considerações finais}

Criptografia

Criptografia



_{Kriptos Oculto}

_{Graphos Escrita}



_{Codificação de informações com a}

finalidade de garantir a sua

confidencialidade

História da Criptografia

 _Clássica – Até 1920

– Regras de codificação simples (Hieroglíficos)  _Moderna

– Até 1980

– Máquinas de criptografar  _{Contemporânea}

– Algoritmos matemáticos complexos e poder de

computação

– Algoritmos simétricos e assimétricos

– Esteganografia (Ocultar textos em imagens, som)

Uso da Criptografia



_{Base de grande parte das técnicas}

utilizadas em segurança

– Confidencialidade – Integridade

– Autenticidade – Não repúdio

Criptografar

(Encriptar)

C

Descriptografar

(Decriptar)

DC

Importância das Chaves

Mesmo texto com chaves diferentes produzem cifra diferente

Importância das Chaves

 _{Os algoritmos são conhecidos (Padronizados)}  _{A eficácia reside na chave}

– Fortaleza – Confidencial

Criptanálise



_{Processo de recuperar a mensagem original}

sem ter conhecimento da chave



_{A dificuldade depende do tamanho da}

chave já que os algoritmos são públicos



_{Cyber-punks (Comunidades amadoras da}

criptanálise - Matemáticos)

Tempo de quebra de senhas

Composição/

tamanho da senha 5 bytes 6 bytes 7 bytes 8 bytes Carcteres

alfanuméricos (62) 15 min 16 horas 41 dias 7 anos Caracteres

ASCII (128) 9 horas 51 dias 18 anos 2300 anos Todos caracteres

ASCII (256) 13 dias 9 anos 2300 anos 580000 anos

Com taxa de resolução de senha de 1 milhão por segundo. Computador comum - configuração padrão

Vulnerabilidades

 _{Roubo de chaves}

 _{Padrões na geração de chaves e criptanálise}  _{Acesso aos arquivos antes de criptografar}  _{Acesso aos arquivos depois de descriptografar}  _{Sistemas comprometidos podem manipular as}

senhas

 _{Senhas armazenadas em memória}

 _{Arquivos temporários e memória virtual}

Tipos de Criptografia



Simétrica



Assimétrica

Criptografia Simétrica

 _{Chave única}

 _{Mesma Chave para criptografar as mensagens é}

utilizada para descriptografá-la.

 DES (Data Encryption Standard) é um algoritmo simétrico, desenvolvido pela IBM.

 _{AES (Advanced Encryption Standard) Padrão}

americano desde 2002.

Criptografia Simétrica

Vantagens Desvantagens

Simplicidade Necessário um canal seguro para transferir a

chave.

Processamento Rápido Quantidade de chaves necessárias

Criptografia Simétrica - Exemplo

Criptografia Assimétrica

 _{Utiliza duas Chaves Diferentes.}

 _{Dados criptografados com uma chave, só podem}

ser descriptografados com a outra e vice-versa.

 _{Privada - pertence a uma pessoa - confidencial.}  _{Pública - também pertence a pessoa porém é}

Criptografia Assimétrica - RSA

utilizado tanto para criptografia de dados quanto para autenticação.

Baseia-se na multiplicação de números primos complexos.

Rivest, Shamir e Adleman foram os inventores do RSA em 1977.

Criptografia Assimétrica

Vantagens Desvantagens

Não há risco na transmissão das chaves.

Complexa. Menor número de chaves Processamento mais lento Assinatura digital

Criptografia – Cenário Real



_{Os padrões atuais aproveitam as melhores}

características das duas tecnologias de

criptografia:

– Simétrica: Facilidade de implementar e

velocidade de processamento (até 1.000 vezes mais rápida)

O que aprendemos?

 O que é criptografia?

 Quais são os dois processos associados à criptografia?  O que é texto plano e criptograma?

 O que é criptanálise?

 Onde reside a eficácia da criptografia?  Quais são os dois tipos de criptografia?

 Qual tipo de criptografia é utilizado na prática e porque?  Para o João enviar uma mensagem criptografada para o

Pedro deve utilizar a senha ...do ...

Criptografia nas normas ISO IEC 27.000

 _{Dominio A.10: Criptografia}

 _{Objetivo: Assegurar o uso efetivo e adequado da}

criptografia para proteger a confidencialidade, a autenticidade e a integridade das informação.

– ISO IEC 27.001 -> Página 19 – ISO IEC 27.002 -> Página 43

Criptografia nas normas ISO IEC 27.000

 _{A.10.1.1 Política para uso de controles criptográficos} – Deve ser desenvolvida e implementada uma política para

uso de controles criptográficos para proteção da informação.

 A.12.3.2 Gerenciamento de chaves

– Uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas, deve ser desenvolvida e

implementada ao longo de todo seu ciclo de vida.

Atividades

 _{Pesquise sobre criptografia clássica e moderna. Mencione} Exemplos.

 Comente o histórico e as características dos algoritmos AES, RSA e MD5.

 Pesquise sobre o tempo de quebra de senhas com o poder de cômputo atual.

 Leia e comente as recomendações da norma ISO IEC 27.002 no subdomínio A.12.3.

Assinatura

Digital

Assinatura Digital

 _{A utilização da criptografia não garante a}

identidade do criador da mensagem. Para estas situações, é que foi criada a assinatura digital

 _{Utiliza criptografia assimétrica e Hash}  _Garante

– Identidade de quem envia a mensagem. – Integridade da mensagem

Assinatura Digital - Conceito

 _{Envia-se a mensagem criptografada com a chave}

privada

 _{Qualquer pessoa que conhece a chave pública do}

criador da mensagem pode lê-lha (Não é secreta)

 _{Se pode ser lida com a chave pública somente pode}

ter sido criada pelo dono dessa chave com sua chave privada (Confirma origem da mensagem)

 _{Este processo seria computacionalmente intensivo}

e não garante integridade do documento

Algoritmo de Hashing - Resumo

 É uma algoritmo que tendo como entrada um documento de qualquer tamanho, entrega como saída um código de tamanho fixo conhecido como message digest, hash, resumo ou assinatura.

 _{Características do message digest}

Algoritmo de Hashing - Resumo

Documento Resumo

Hash

Algoritmo

Assinatura Digital- Implementação

 _{Utilizando o MD5, cria-se um resumo da}

mensagem original de 128 bits

 _{Criptografa-se apenas o resumo com a}

chave privada. (Esta es a assinatura digital)

 _{Envia-se a mensagem em claro e a assinatura}  _{Quem recebe a mensagem descriptografa o}

resumo; cria um segundo resumo da mensagem, utilizando MD5; e compara os dois. Se forem idênticos a mensagem foi assinada corretamente e não foi alterada.

Assinatura Digital

Resumo criptografado com a senha privada

Confirmação da Assinatura

Texto Claro _Resumo

Assinatura Digital MD5 RSA Resumo Comparar Senha Pública

Certificados

Digitais

Certificado Digital

 _{Evita a publicação de chaves falsas}

 _{Vincula de maneira confiável uma chave pública a}

uma entidade ou indivíduo

 _{Permite criar um modelo de confiança essencial}

para as transações eletrônicas

 _{Além da chave pública contem informações de}

identificação do proprietário da assinatura e dados sobre o próprio certificado e sobre a autoridade certificadora

Certificado Digital

 _{Documento digital que atesta a relação entre uma}

chave pública e um indivíduo ou entidade

 _{Podem ser utilizados para:}

– Permitir que terceiros mandem dados criptografados para o dono do certificado.

– Permitir que terceiros verifiquem a assinatura gerada.  _{É assinado por uma autoridade certificadora.}  _{Padrão atual: X.509}

Entidade Certificadora

 _{CA: Certification Authority}

 _{Empresa reconhecida e confiável que certifica as}

chaves públicas

 _{Organizadas num modelo hierárquico}

 _{Publica os certificados no seu repositório para sua}

PKI - Public Key Infraestructure

 _{Sistema destinado a criar, armazenar, distribuir e}

revogar certificados digitais (Hard, soft, procedimentos e pessoas) 

_Funções

Certificado Digital



_{O processo de certificação consiste em:}

– Verificar a identidade física do proprietário

– Gerar um para de chaves

– Criptografar a chave pública com a chave privada da

certificadora

– Publicar o certificado

Atividades

 Pesquise sobre algoritmos de hash e comente o histórico, características e uso de cada um

 Pesquise sobre a ICP Brasileira

 Teste o uso da assinatura digital no seu e-mail  Procure e teste softwares de assinatura digital

Considerações

Finais

Considerações Finais

 A criptografia contemporânea utiliza algoritmos

complexos e aproveita o poder de cálculo dos

computadores para gerar padrões de segurança que viabilizam o uso seguro dos sistemas de informação, das comunicações e das transações eletrônicas.

 As principais vulnerabilidades da criptografia estão

vinculadas ao gerenciamento das senhas

 As normas ISO IEC 27.000 exigem que a empresa

tenha uma política de uso da criptografia e um

procedimento bem definido para o gerenciamento de senhas

Fim Apresentação