SSL (Secure Sockets Layer)SET (Secure Eletronic Transactions)

Vinícius Mello

Mauro Tosetto

Rafael Jung

Rodrigo Moreira

Isaac R. Sartori Jr.

SSL – Secure Sockets Layer

SSL – Secure Sockets Layer

Camada de soquetes seguros Desenvolvido pela Netscape Communications

Corporation e RSA Data Security Tem como objetivo prover um canal privado entre

aplicativos

SSL – Como funciona?

Oferece alternativa para a API de soquetes TCP/IP padrão com implementação própria de segurança

No modelo OSI, está localizado no topo da camada de transporte

É transparente ao aplicativo É implementado com freqüência em conexões

HTTP Página com segurança SSL é identificada com um

“s”: https:\\

SSL – Emissão de mensagens

Obtém mensagem de camada de aplicação Fragmenta em blocos gerenciáveis Opcionalmente compacta os dados Aplica o MAC (Message Authentication Code) Criptografa os dados Transmite o resultado à camada inferior

SSL – Recepção de mensagens

Obtém os dados da camada inferior Decifra Verifica os dados com a chave MAC negociada Se foi usada compressão, descomprime os dados Monta novamente a mensagem Transmite a mensagem para a camada superior

SSL - Estrutura

O SSL é divido em duas camadas:– SSL Handshake Protocol, protocolo de conexão

do SSL, camada superior– SSL Record Protocol, protocolo de registro do

SSL, camada inferior

SSL – Handshake Protocol

Permite que sejam definidos e determinados os parâmetros necessários para uma conexão SSL

SSL – Record Protocol

Usada para criptografar dados do aplicativo Especifica um formato para estas

mensagens Inclui um classificador de mensagens para

certificar que as mesmas não foram alteradas, garantindo a integridade das mesmas.

SSL – Garantias de Segurança

Privacidade: uso de chave simétrica estabelecida na negociação inicial

Integridade: as mensagens contem um código de autenticação

Autenticação: cliente autentica servidor usando chave assimétrica ou pública, ou ainda através de certificados.

SSL - Custo

O algoritmo SSL é aberto Exige certificado Servidores Web 128 bits: R$ 2.774,50 Servidores Web 40 bits: R$ 1.081,90

SET – Secure Eletronic Transaction

SET – Secure Eletronic Transaction

Assim com HTTP, é um protocolo de comunicação para Internet

Uso exclusivo para transações comerciais Desenvolvido por várias empresas (Visa,

Mastercard, Netscape, IBM, Microsoft, etc.) Objetiva a transmissão segura de

informações financeiras e pessoais (compra e venda eletrônica)

SET - Identificação

Primeira etapa na compra eletrônica Segunda etapa é a validação do número do

cartão (data de validade, se tem crédito, etc.)

SET – Identificação (cont.)

Todas entidades possuem Certificado Digital– Comprador: certificado é uma representação

eletrônica do cartão, contendo chave pública do comprador e assinatura digital da instituição que emitiu o certificado

– Vendedor: certificado é um adesivo digital que comprova sua permissão para receber pagamento com determinado tipo de cartão.

SET - Autenticação

Deve ser testada em etapas críticas Uso de envelopes e assinaturas digitais

SET – Transações SET

Pinit: inicialização do sistema Ordem de compra: solicitação do

proprietário do cartão– Instrução de ordem (OI – Order Instruction)– Instrução de compra (PI – Purchase Instruction)

Autorização: adquirente autoriza solicitação Averiguação: fornece o status da solicitação Captura: transferência de fundos

SET - Garantias

Autenticação: através de assinaturas digitais e certificados

Confidencialidade: através de criptografia Integridade: através de assinaturas digitais

SET - Custos

Por ser altamente seguro, tem como preço a complexidade de implementação e os custos de processamento

SET x SSL

Apresentam características e finalidades distintas

Lojas virtuais:– Se comunicam com o cliente através de SSL– Efetuam transações eletrônicas através do SET

Conclusão

É importante garantir segurança nas comunicações via internet;

Ambos algoritmos garantem privacidade, integridade e autenticidade;

O SSL protege informações pessoais na comunicação;

O SET altera o fluxo de dados envolvendo as operadoras de cartão;

São muito utilizados hoje em dia por lojas virtuais.

Bibliografia 1 Martin W. Murhammer, Orcun Atakan, Stefan Bretz, Larry R. Pugh,

Kazunari Suzuki, David H. Wood. TCP / IP Tutorial e Técnico. São Leopoldo.

  2 Albuquerque, Fernando. TCP/IP Internet: Protocolos & Tecnologias.

1999, Axcel Books do Brasil, Rio de Janeiro.   3 Rescolra, Eric. SSL and TLS: Designing And Bulding Secure Systems.

2001, Attson Wesley, New York.   4 Merkow, Mark S., Breithaupt, Jim, Wheeler, Ken L. Building SET

Application For Secure Trancations. 1998, John Willey & Sons, New York.   5 Stallings, William. Network Security Essentials-Applications and

Standards. 2000, Prentice Hall, New Jersey.