1.

264 Aula 17
Segurana na Internet: Criptografia (chave pblica) SSL/TLS Assinaturas cegas (SET)

Premissas para a segurana na Internet

Navegador-rede-servidor so os 3 principais componentes Premissas de usurio (navegador)
O servidor remoto operado por organizao declarada Documentos devolvidos pelo servidor esto livres de vrus, etc. O servidor remoto no distribuir informaes privadas do usurio, como uso da Internet

Premissas de Webmaster (servidor)

O usurio no tentar invadir ou alterar contedos do site da Internet O usurio no tentar ganhar acesso a documentos aos quais no tem permisso O usurio no tentar penetrar no servidor ou negar servio a outros Se o usurio se identificou, o usurio quem alega ser

Premissas de rede (usurio e Webmaster)

A rede livre de invasores terceirizados A rede fornece informaes intactas, no atacadas por terceiros

Riscos do cliente
Contedo ativo: applet, scripts, controles ActiveX, plug-ins
Download de navegadores e operao de software sem aviso prvio
O usurio normalmente no pode fazer checagem para vrus antes do uso

Contedo anteriormente incuo, como arquivos de Word, pode iniciar vrus Poucos applets maliciosos at agora: majoritariamente applets irritantes, exceto por informaes privadas de e-mail

Perda de privacidade
Registros de site do servidor de Internet: endereos IP, documento recuperado, data/hora, URL anterior e mais. Cookies. Sofreram abuso pelo marketing para rastrear os hbitos do usurio Grupos de notcias. Usados para compilar listas de e-mails para spam. E-mail clandestino com informaes privadas. Muitos exemplos recentemente.
O Microsoft Outlook foi repetidamente atacado via e-mail.

Riscos do servidor
Webjacking (Seqestro de Internet)
Invaso e modificao de site Centenas relatadas, incluindo NASA, CIA, USAF,... Explorao do sistema operacional e de brechas no e-mail, configurao pobre,...

Negao de servio
Ataques que fazem com que o sistema gaste muitos recursos na reao

Riscos da rede
Rastreadores de pacote: procuram senhas, nmeros de carto de crdito
Kits disponveis na Internet Cable modems (redes compartilhadas) so o principal risco Programas pequenos, instalados em computadores comprometidos de rede
Freqentemente pequenos provedores de servios de Internet (ISP) ou mesmo pequenas empresas

Poucos ataques de rastreadores conhecidos na Internet (romperam SSL) Criptografia a soluo tcnica para rastreamento

Imitao de endereo de IP: finge que voc outra mquina

Sites parecidos estabelecidos com pginas roubadas, etc.
Imitao de comrcio, banco de Internet, etc.

Autenticao (certificados digitais) a soluo tcnica

Criptografia e codificao
Texto original (plaintext): mensagem original Texto cifrado (ciphertext): mensagem codificada Algoritmo: funo convertendo texto simples para texto cifrado Chave: nmero usado por algoritmo para codificar e/ou decodificar

Algoritmos simtricos
Algoritmos simtricos: usam a mesma chave para codificar e decodificar
DES (Data Encryption Standard Padro de Criptografia de Dados): chave de 56 bits, de uso comum
Divide os dados em pedaos, XORs, rearranja Quebrado em dois dias em junho de 1998

DES Triplo: codificar/decodificar/codificar com 2 ou 3 chaves DES: tamanho efetivo de chave de 168 bits
Codificar com chave 1, decodificar com chave 2, codificar com chave 1 novamente

RC2, RC4, RC5: chaves de 40 (exportao)-2048 bits, em uso comum para codificar servidores e navegadores de Internet IDEA: chave de 128 bits, popular na Europa, usada em PGP, patenteada Blowfish, Twofish: chave de at 448 bits, no patenteada, utilizao crescente Rijndael: Atual padro de AES do governo norte-americano

Problemas com chaves simtricas

Devem ser trocadas antecipadamente, via mtodos seguros Comunicao invivel multi-caminhos
Se muitos usurios devem se comunicar com o servidor, comprometer um pode comprometer todos

Algoritmos assimtricos ou de chave pblica

Texto original Chave pblica Texto cifrado Chave particular Texto original

Pares de chave: chave pblica para codificao, chave particular para decodificao
RSA: 512-1024 bits, em uso comum para Internet e e-mail ElGamal: no patenteada, violao de Diffie-Hellman expirado em 1997

Problemas com algoritmos de chave pblica

Velocidade: o RSA 1.000 vezes mais lento que algoritmos simtricos Problema evitado usando RSA para trocar uma chave de sesso simtrica e, ento, usando mtodo simtrico para o resto da sesso

Conceito de chave pblica (RSA)

Chave pblica P par de nmeros inteiros (N, p) Chave particular ou secreta S par de nmeros inteiros (N, s) Gerar 3 nmeros primos grandes aleatrios (Pequeno Teorema de Fermat)
O maior s. Chame os outros dois de x e y. N= xy p= o menor nmero inteiro de modo que (ps) mod (x-1)(y-1)= 1

Codificar mensagem m para texto cifrado c por: c = mp Decodificar mensagem c para texto original m por: m = cs s difcil de computar de N e p
Exige conhecimento de x e y, o que exige fatorao de N Fatorao algoritmo de tempo exponencial, ento se o nmero a ser fatorado grande o suficiente, leva muito tempo...

Tamanho de chave
Presuma:
O algoritmo bom O algoritmo foi codificado corretamente O gerenciamento de chave correto e seguro

Ento, a nica maneira de invadir a mensagem fora bruta

Os tamanhos de chave pblica devem ser maiores que os simtricos para oferecer o mesmo nvel de segurana
A chave pblica de 384 bits oferece a mesma segurana que chave simtrica de 40 bits (no muita) As chaves pblicas devem ser de, pelo menos, 1024 bits

Tamanho de chave simtrica 40 bits 56 bits 64 bits 80 bits

Tempo para invadir PCs Segundos Dias Meses Milhes de Anos

Tempo para invadir mquinas big iron Milisegundos Horas Dias Milhares de Anos

Tamanho de chave e poltica de criptografia dos EUA

Criptografia uma munio
Ainda um problema contencioso, mas as restries esto sendo aliviadas Isenes para criptografia de 40 bits ou menor (RSA de 512 bits) garantidas Excees de banqueiros para navegadores usarem criptografia de 128 bits Voc pode ser considerado um traficante internacional de armas se levar seu laptop com RSA de 1024 bits em um vo internacional

Recuperao de chave
Permite que o governo recupere informaes criptografadas O envelope digital contm:
Chave de sesso criptografada com a chave pblica do receptor, como normal Chave de sesso criptografada com a chave da agncia de recuperao de chaves do governo Mensagem

A controvrsia continua: se a chave particular da agncia vazar, todas as mensagens podem ser lidas

Assinaturas digitais
Remetente Assinatura Chave do particular do remetente remetente Assinatura digital Chave pblica do remetente Receptor Assinatura do remetente

Benefcio adicional dos algoritmos de chave pblica Problemas com assinaturas digitais
O imitador pode cortar e colar assinatura criptografada de mensagem velha para mensagem nova falsificada.
Uma soluo uma das partes enviar frase de desafio outra
A outra, ento, codifica com chave particular e envia primeira, que pode verific-la

Funes de sumrio de mensagem oferecem verificao de integridade (freqentemente 128 bits)

Hash a funo de sumrio que roda na mensagem inteira e produz sumrio curto (perceba que 2128 um nmero de combinaes muito grande!) Envia hash e mensagem. O receptor mapeia a mensagem e verifica se o mesmo hash. MD5 (RSA) e SHA (NIST) so funes de sumrio de mensagens comuns SSL usa hash de (chave de sesso mais hash(chave de sesso e mensagem))

Envelopes digitais
Para resolver problemas de desempenho com criptografia de chave pblica
1. Gerar chave de sesso, uma chave simtrica secreta, aleatoriamente 2. Codificar mensagem usando chave de sesso e algoritmo simtrico 3. Codificar chave de sesso com a chave pblica do receptor: envelope digital 4. Enviar mensagem criptografada e envelope digital ao receptor 5. O receptor usa sua chave particular para decodificar o envelope e obter a chave de sesso 6. O receptor usa a chave de sesso para decodificar a mensagem 7. Quando a sesso acaba, ambas as partes descartam a chave de sesso

A Camada de Soquetes Segura (Secure Sockets Layer (SSL)) essencialmente implementa isso
Sistema de segurana mais usado na Internet

Secure Sockets Layer (SSL)

Protocolo predominante para comunicaes navegador-servidor
Sendo padronizada como Transport Layer Security (TLS), TLS 1.0 o mesmo que SSL 3.0 O TSL tem funes diferentes de hash/sumrio e criptografia propostas para verses futuras

Secure HTTP (S-HTTP) era concorrente

Mesma tecnologia (envelopes digitais, certificados, sumrios de mensagem) S-HTTP funcionava apenas com HTTP: SSL funciona em nvel TCP
SSL suporta HTTP, ftp, telnet, etc.

S-HTTP caro; SSL era fornecido gratuitamente junto com o Netscape

SSL 2.0 foi a primeira verso

Invadida devido a bug em gerador de nmero aleatrio Invadida novamente ao modificar o download de cdigo SSL usando um rastreador
Ainda um problema em potencial

Vulnervel a ataques homem-no-meio

SSL 3.0 estvel, verso atual

SSL, continuao
Muitas escolhas em algoritmo simtrico, sumrio de mensagem e autenticao Cliente e servidor negociam o protocolo comum mais forte SSL tem compresso embutida
Mensagem criptografada no tem padres e no pode ser comprimida, ento a compresso deve ser feita antes ou dentro do SSL, ou de maneira nenhuma

SSL codifica todas as comunicaes cliente-servidor

A nica informao pblica disponvel que o cliente est falando com este servidor
Fazer com que os proxies permaneam annimos pode ser usado para lidar com isso se for um problema

Etapas do protocolo SSL

Etapas do protocolo SSL

1. ClientHello: lista as capacidades do cliente: verso SSL, sutes de cifra, compresso 2. ServerHello: sute de cifra escolhida, compresso de dados, ID da sesso 3. Servidor envia seu certificado (o cliente pode verificar com o CA raiz no navegador) 4-5. Opcional, raramente feito hoje (mas feito no MIT) 6. ClientKeyExchange: O cliente gera chave simtrica de teste, codifica-a com a chave pblica do servidor e a envia ao servidor
- Isso evita que um ouvinte (imitador) copie a mensagem (imitao)

7. CertificateVerify: Opcional, raramente feito. Pode autenticar um cliente 8. ChangeCipherSpec: Confirma a chave da sesso e cifra a serem usadas 9. Finished: Cliente e servidor mapeiam toda a conversa para garantir que todas as mensagens foram recebidas intactas e no adulteradas 10. Cliente e servidor mudam para modo criptografado usando chave de sesso simtrica

Secure Electronic Transactions (SET)

Desenvolvimento em conjunto: Visa, Mastercard, Netscape, Microsoft Usadas apenas para garantir as transaes com cartes de crdito e dbito
Tem os mesmos recursos que o sistema atual de cartes de crdito:
Registro, pedidos de compra, autorizao, transferncia de fundos, ...

SSL suporta criptografia, mas no funes financeiras

Precisa de autorizao de carto online, transaes de banco, etc. SSL no codifica bancos de dados financeiros no servidor: SET faz isso SET no d ao comerciante o nmero do carto de crdito do cliente SET inibe a adivinhao de nmeros do carto de crdito (desabilita escolhas mltiplas)

SET no suporta funes no-financeiras, foi abandonado

Usamos isso como um exemplo de assinaturas cegas, para as quais precisaremos de uma tecnologia e padres no futuro

Protocolo SET

Mais informaes
www.counterpane.com (Bruce Schneier)
Newsletter mensal Cripto-grama

Grupo de notcias comp.risks Prosseguimentos do Simpsio Segurana e Privacidade

Segurana aplicada Disponvel online (bibliotecas do MIT)

Anual

IEEE

sobre

www.cert.org
Consultorias, patches

Criptografia Aplicada, Schneier

A rea evolui rpido demais para que os livros se tornem uma fonte til