Criptografia e Segurança Criptografia e Segurança em Redesem Redes

Capítulo 13Capítulo 13

Quarta EdiçãoQuarta Edição

William StallingsWilliam Stallings

por Lawrie Brownpor Lawrie Brown

Assinaturas Digitais & Assinaturas Digitais & Protocolos de AutenticaçãoProtocolos de Autenticação

  Proteger-se da influência negativa exercida por Proteger-se da influência negativa exercida por estranhos é uma cautela elementar do selvagem. estranhos é uma cautela elementar do selvagem. Assim, antes que estranhos sejam autorizados a Assim, antes que estranhos sejam autorizados a entrar num distrito, ou, pelo menos, antes de entrar num distrito, ou, pelo menos, antes de serem autorizados a misturarem-se livremente serem autorizados a misturarem-se livremente com os seus habitantes, muitas vezes certas com os seus habitantes, muitas vezes certas cerimônias são realizadas pelos nativos do país a cerimônias são realizadas pelos nativos do país a fim de desarmar os estranhos de seus poderes fim de desarmar os estranhos de seus poderes mágicos, ou de desinfecção, por assim dizer, da mágicos, ou de desinfecção, por assim dizer, da atmosfera contaminada pela qual eles estão atmosfera contaminada pela qual eles estão supostamente cercados.supostamente cercados.

-The Golden Bough, Sir James George Frazer-The Golden Bough, Sir James George Frazer

Assinaturas DigitaisAssinaturas Digitais

analisar a autenticidade da mensagemanalisar a autenticidade da mensagem mas não aborda questões de falta de confiançamas não aborda questões de falta de confiança assinaturas digitais fornecem a capacidade assinaturas digitais fornecem a capacidade

para:para: verificar autor, data e hora da assinaturaverificar autor, data e hora da assinatura autenticar o conteúdo da mensagemautenticar o conteúdo da mensagem pode ser verificada por terceiros, para resolver pode ser verificada por terceiros, para resolver problemasproblemas

daí a inclusão de funções de autenticação com daí a inclusão de funções de autenticação com capacidades adicionaiscapacidades adicionais

Propriedades da Assinatura Propriedades da Assinatura DigitalDigital

deve depender da mensagem assinadadeve depender da mensagem assinada deve utilizar informações exclusivas do remetentedeve utilizar informações exclusivas do remetente

tanto para evitar como negar falsificaçõestanto para evitar como negar falsificações deve ser relativamente fácil de produzirdeve ser relativamente fácil de produzir deve ser relativamente fácil de reconhecer e deve ser relativamente fácil de reconhecer e

verificarverificar deve ser computacionalmente impossível de forjardeve ser computacionalmente impossível de forjar

uma nova mensagem para a assinatura digital existenteuma nova mensagem para a assinatura digital existente uma assinatura digital fraudulenta para uma determinada mensagemuma assinatura digital fraudulenta para uma determinada mensagem

ser prática de guardar ser prática de guardar

Assinatura Digital DiretaAssinatura Digital Direta envolvem apenas remetente e receptor envolvem apenas remetente e receptor assume que o receptor tem a chave pública do assume que o receptor tem a chave pública do

remetente remetente assinatura digital feita pelo remetente assinando a assinatura digital feita pelo remetente assinando a

mensagem inteira ou confundir com a sua chave mensagem inteira ou confundir com a sua chave privada privada

pode criptografar usando chaves públicas de pode criptografar usando chaves públicas de receptores receptores

importante que assine primeiro, em seguida, importante que assine primeiro, em seguida, criptografe a mensagem e assinatura criptografe a mensagem e assinatura

a segurança depende da chave privada do a segurança depende da chave privada do remetenteremetente

Assinatura Digital ArbitradaAssinatura Digital Arbitrada

envolve uso de um árbitro Aenvolve uso de um árbitro Avalida qualquer mensagem assinadavalida qualquer mensagem assinadaem seguida, é datada e enviada ao destinatário em seguida, é datada e enviada ao destinatário

exige nível adequado de confiança no árbitro exige nível adequado de confiança no árbitro pode ser implementada com algoritmos de chaves pode ser implementada com algoritmos de chaves

privadas ou públicasprivadas ou públicas o árbitro pode ou não ver as mensagemo árbitro pode ou não ver as mensagem

Protocolos de AutenticaçãoProtocolos de Autenticação

utilizados para convencer cada uma das partes utilizados para convencer cada uma das partes na sessão de sua identidade e para a troca de na sessão de sua identidade e para a troca de chaves chaves

pode ser pode ser de one-wayde one-way ou mútua ou mútua questões-chaves são:questões-chaves são:

confidencialidade - para proteger as chaves de sessãoconfidencialidade - para proteger as chaves de sessão

timelinesstimeliness - para evitar ataques de repetição - para evitar ataques de repetição

em protocolos já publicados são frequentemente em protocolos já publicados são frequentemente encontradas falhas que precisam ser modificadasencontradas falhas que precisam ser modificadas

Ataques de RepetiçãoAtaques de Repetição

sempre que uma mensagem com assinatura sempre que uma mensagem com assinatura válida é copiada e depois reenviadaválida é copiada e depois reenviada simples replaysimples replay repetição que pode ser conectadarepetição que pode ser conectada repetição que não pode ser detectadarepetição que não pode ser detectada replay para trás, sem alteraçãoreplay para trás, sem alteração

contramedidas incluemcontramedidas incluem utilização de números de sequência (geralmente impraticável)utilização de números de sequência (geralmente impraticável) timestamps (necessidade de relógios sincronizados)timestamps (necessidade de relógios sincronizados) desafio / resposta (usando única Nonce)desafio / resposta (usando única Nonce)

Usando Usando EncriptaçãoEncriptação SimétricaSimétrica

como discutido anteriormente pode usar dois como discutido anteriormente pode usar dois níveis de hierarquia de chavesníveis de hierarquia de chaves

geralmente com um Centro de Distribuição de geralmente com um Centro de Distribuição de Chaves de confiança (CDC) Chaves de confiança (CDC) Cada uma partes tem sua própria chave mestra com CDC Cada uma partes tem sua própria chave mestra com CDC CDC gera chaves de sessão utilizadas para as ligações entre as CDC gera chaves de sessão utilizadas para as ligações entre as

partespartes e são utilizadas chaves mestre para distribuí-las entre elese são utilizadas chaves mestre para distribuí-las entre eles

Needham-Schroeder ProtocolNeedham-Schroeder Protocol

Protocolo de distribuição de chaves originais em Protocolo de distribuição de chaves originais em 3 partes3 partes

Por sessão entre A e B mediada pelo KDCPor sessão entre A e B mediada pelo KDC O resumo do protocolo é:O resumo do protocolo é:

1. 1. A->KDC: A->KDC: IDIDAA || || IDIDBB || || NN11

22. KDC ->. KDC -> A: EA: EKaKa[Ks[Ks || || IDIDBB || || NN11 || E || EKbKb[[KsKs||||IDIDAA] ]] ]

3. 3. A ->A -> B: B: EEKbKb[[KsKs||||IDIDAA]]

4. 4. B ->B -> A: A: EEKsKs[[NN22]]

5. 5. A ->A -> B: B: EEKsKs[f([f(NN22)])]

Protocolo Needham-SchroederProtocolo Needham-Schroeder

utilizada para distribuir seguramente uma nova utilizada para distribuir seguramente uma nova chave de sessão para a comunicação entre A e B chave de sessão para a comunicação entre A e B

mas é vulnerável a um ataque de repetição se mas é vulnerável a um ataque de repetição se uma antiga chave de sessão foi comprometida uma antiga chave de sessão foi comprometida a a mensagem pode ser então reenviada,mensagem pode ser então reenviada, convencendo B que está se comunicando com Aconvencendo B que está se comunicando com A

para resolver este problema é sugerido:para resolver este problema é sugerido: timestamps (Denning 81)timestamps (Denning 81) utilizar um Nonce extra (Neuman 93)utilizar um Nonce extra (Neuman 93)

Usando a Encriptação de chave Usando a Encriptação de chave PúblicaPública

existe uma gama de abordagens baseadas no uso existe uma gama de abordagens baseadas no uso de criptografia de chaves públicasde criptografia de chaves públicas

necessidade de assegurar a correta utilização das necessidade de assegurar a correta utilização das chaves públicas por outras parteschaves públicas por outras partes

utilizando um Servidor Central de Autenticação utilizando um Servidor Central de Autenticação (AS) (AS)

existem vários protocolos usando timestamps ou existem vários protocolos usando timestamps ou noncesnonces

Protocolo Denning ASProtocolo Denning AS

Denning 81 apresenta o seguinte:Denning 81 apresenta o seguinte:1. A -> AS: IDA | | IDB 1. A -> AS: IDA | | IDB 2. AS -> A: EPRas [IDA | | PUa | | T] | | EPRas [IDB | | PUb | | T] 2. AS -> A: EPRas [IDA | | PUa | | T] | | EPRas [IDB | | PUb | | T] 3. A -> B: EPRas [IDA | | PUa | | T] | | EPRas [IDB | | PUb | | T] | | 3. A -> B: EPRas [IDA | | PUa | | T] | | EPRas [IDB | | PUb | | T] | |

EPUB [EPRas [Ks | | T]]EPUB [EPRas [Ks | | T]]

note que a chave de sessão é escolhida por A, note que a chave de sessão é escolhida por A, por conseguinte, o AS não por conseguinte, o AS não precisa ser precisa ser necessariamente confiávelnecessariamente confiável para protegê-lo para protegê-lo

timestamps previnem a repetição, mas exigem timestamps previnem a repetição, mas exigem relógios sincronizadosrelógios sincronizados

Autenticação One-WayAutenticação One-Way

necessária quando o remetente e o destinatário não necessária quando o remetente e o destinatário não estão em comunicação online (por exemplo, e-mail)estão em comunicação online (por exemplo, e-mail)

estando o cabeçalho de forma clara, pode ser estando o cabeçalho de forma clara, pode ser entregue pelo sistema de e-mailentregue pelo sistema de e-mail

pode requerer conteúdo do corpo protegidos & pode requerer conteúdo do corpo protegidos & remetente autenticadoremetente autenticado

Usando Encriptação SimétricaUsando Encriptação Simétrica

pode refinar o uso do KDC, mas não pode ter pode refinar o uso do KDC, mas não pode ter final do intercâmbio de nonces, em relação:final do intercâmbio de nonces, em relação: 11. . AA->->KDC: KDC: IDIDAA || || IDIDBB || || NN11

22. KDC . KDC -> -> A: EA: EKaKa[Ks[Ks || || IDIDBB || || NN11 || E || EKbKb[[KsKs||||IDIDAA] ]] ]

3. 3. A A -> -> B: B: EEKbKb[[KsKs||||IDIDAA] || E] || EKsKs[M][M]

não protege contra as repetiçõesnão protege contra as repetições poderia confiar no timestamps da mensagem,poderia confiar no timestamps da mensagem, apesar de atrasos na entrega dos e-mailapesar de atrasos na entrega dos e-mail faria disto um problemafaria disto um problema

Abordagens com chaves Abordagens com chaves PúblicasPúblicas

temos visto algumas abordagens com chaves temos visto algumas abordagens com chaves públicas públicas

se a confidencialidade é a preocupação principal, se a confidencialidade é a preocupação principal, pode-se usar:pode-se usar: A -> B: EPUB [Ks] | | EKS [M]A -> B: EPUB [Ks] | | EKS [M]

tendo codificado a chave de sessão, a mensagem será criptografadatendo codificado a chave de sessão, a mensagem será criptografada se autenticação necessitar usar uma assinatura digital se autenticação necessitar usar uma assinatura digital

com um certificado digital:com um certificado digital: A A -> B: M | | E-> B: M | | EPRAPRA [H (M)] | | E [H (M)] | | EPRasPRas [T | | ID [T | | IDAA | | PU | | PUaa]] com a mensagem, assinatura, certificadocom a mensagem, assinatura, certificado

Assinatura Digital PadrãoAssinatura Digital Padrão Digital Signature Digital Signature Standard Standard (DSS)(DSS)

Governo E.U. aprova o regime de assinaturaGoverno E.U. aprova o regime de assinatura Projetado pelo NIST e NSA no início da década Projetado pelo NIST e NSA no início da década

de 90 de 90 publicado como FIPS-186 em 1991 publicado como FIPS-186 em 1991 revisado em 1993, 1996 e depois 2000 revisado em 1993, 1996 e depois 2000 utiliza o algoritmo hash SHA utiliza o algoritmo hash SHA DSS é um padrão, DSA é o algoritmo DSS é um padrão, DSA é o algoritmo FIPS 186-2 (2000) inclui alternativas RSA & FIPS 186-2 (2000) inclui alternativas RSA &

variantes da assinatura utilizando curva elípticavariantes da assinatura utilizando curva elíptica

Algorítmo de Assinatura DigitalAlgorítmo de Assinatura DigitalDigital Signature Digital Signature Algorithm Algorithm (DSA)(DSA)

320 bits Cria uma assinatura320 bits Cria uma assinatura com 512-1024 bit de segurançacom 512-1024 bit de segurança menor e mais rápido do que o RSAmenor e mais rápido do que o RSA um regime só de assinatura digitalum regime só de assinatura digital a segurança depende da dificuldade de a segurança depende da dificuldade de

calcular logaritmos discretoscalcular logaritmos discretos variante dos regimes ElGamal e Schnorrvariante dos regimes ElGamal e Schnorr

Digital Signature Digital Signature Algorithm Algorithm (DSA)(DSA)

Geração da chave DSAGeração da chave DSA

ter chaves públicas compartilhadas (p, q, g):ter chaves públicas compartilhadas (p, q, g): escolhe um grande primo p com escolhe um grande primo p com 22L-1L-1 << p < 2p < 2LL

• onde L = 512 a 1024 bits e é um múltiplo de 64onde L = 512 a 1024 bits e é um múltiplo de 64 escolhe q com 2159 <q <2160 escolhe q com 2159 <q <2160

• tal que q é um divisor de 160 bit prime (p-1)tal que q é um divisor de 160 bit prime (p-1) escolhe escolhe g = hg = h(p-1)/q(p-1)/q

• onde onde 1<h<p-11<h<p-1 e e hh(p-1)/q (p-1)/q mod p > 1mod p > 1

usuário escolhe e calcula as chaves pública e usuário escolhe e calcula as chaves pública e privada:privada: escolhe x < qescolhe x < q calcula y = gx mod pcalcula y = gx mod p

Gerando a assinatura DSAGerando a assinatura DSA

para assinar uma mensagem M do remetentepara assinar uma mensagem M do remetente gera uma chave de assinatura aleatória k, k < qgera uma chave de assinatura aleatória k, k < q nb. k deve ser aleatório, ser destruído após o uso, e nunca será nb. k deve ser aleatório, ser destruído após o uso, e nunca será

reutilizadoreutilizado

em seguida, calcula o par de assinaturas:em seguida, calcula o par de assinaturas: r = (gk mod p) mod qr = (gk mod p) mod q s = [k-1 (H (M) + xr)] mod qs = [k-1 (H (M) + xr)] mod q

envia as assinaturas (r, s) com a mensagem Menvia as assinaturas (r, s) com a mensagem M

DSA Verificação da AssinaturaDSA Verificação da Assinatura

Tendo recebido M & assinatura (R, S) Tendo recebido M & assinatura (R, S) para verificar uma assinatura, receptor calcula: para verificar uma assinatura, receptor calcula:

w = sw = s-1 -1 mod qmod q

u1= [H(M)w ]mod qu1= [H(M)w ]mod q

u2= (rw)mod qu2= (rw)mod q

v = [(gv = [(gu1u1 y yu2u2)mod p ]mod q)mod p ]mod q se v = r então assinatura é verificadase v = r então assinatura é verificada Procure mais informações na Web sobre o Procure mais informações na Web sobre o

porquêporquê

SumárioSumário

Neste capítulo vimos:Neste capítulo vimos:

assinaturas digitaisassinaturas digitais protocolos de autenticação (mútuo & one-way)protocolos de autenticação (mútuo & one-way) algoritmo de assinatura digital e padrãoalgoritmo de assinatura digital e padrão