Upload
nguyendung
View
221
Download
0
Embed Size (px)
Citation preview
Exercício 5 ALGORITIMO CARACTERISTICAS
Criptografia Assimétrica
• Algoritmo de Chave Pública • Duas chaves: chave privada e chave pública • Segurança unidirecional: criptografar com a chave pública e decifrar com a
chave privada • Espaço de chaves (usa números primos) <<< 2N (chaves de 1024 a 2048)
• Exemplo: RSA
Criptografia Simétrica
• Algoritmo de chave secreta • Uma chave compartilhada entre dois computadores • Segurança Bidirecional • Espaço de chaves = 2N (chaves de 128 a 256 bits)
• Exemplo: DES, RC2, RC4, AES
Hashing
• Gera um Digest (Cógido de tamanho fixo) único para mensagens de qualquer tamanho (one-way-hash)
• Usado para integridade • Exemplo: SHA, MD5
Assinatura Digital
• Digest criptografado com uma chave privada • Integridade e Autenticação • Exemplos: RSA+SHA, RSA+MD5, SHA-HMAC, MD5-HMAC
Exercício 6: Modo CBC
• O Metodo CBC torna a criptografia de um bloco dependente do bloco anterior.
DADOS
BLOCO 64 bits
CRIPTOGRAFIA
BLOCO 64 bits (cipher text)
BLOCO 64 bits
CRIPTOGRAFIA
BLOCO 64 bits (cipher text)
XOR
BLOCO 64 bits
CRIPTOGRAFIA
BLOCO 64 bits (cipher text)
XOR
Exercício 7
FASE OFF LINE
1. O servidor gera um par de chaves (pública e privada) 2. O servidor gera um CSR (Certificate Server Request) que contem a CHAVE
PUBLICA DO SERVIDOR + sua identificação 3. O servidor envia o CSR para a CA (Autoridade Certificadora) 4. A CA gera o certificado digital assinado o CSR com a CHAVE PRIVADA DA CA
FASE ON LINE
1. O servidor envia o certificado digital para o cliente 2. O cliente valida o certificado digital usando CHAVE PUBLICA DA CA 3. O cliente gera uma chave simétrica aleatória (também chamada de CHAVE
SECRETA ou CHAVE DE SESSÃO) 4. O cliente envia a chave secreta criptografada com a CHAVE PUBLICA DO
SERVIDOR para o servidor 5. O servidor decifra a chave do cliente usando a CHAVE PRIVADA DO
SERVIDOR 6. A transmissão de dados entre o cliente e os servidor ocorrer usando a CHAVE
SECRETA
Exercício 8
Internet
cliente
servidor MAC Roteador
MAC Cliente – MAC Roteador – IP Cliente – IP Servidor - 1023 -443 – HTTP/DADOS - FCS
>1023 >443
Exercício 9
• VPN Camada 2
– Pode transportar vários tipos e protocolo de rede dentro do IP (IPx, NETBEUI, IP)
– PPTP: faz autenticação e criptografia
– L2TP: faz apenas autenticação
– IPSEC/L2TP: faz autenticação e criptografia
• VPN Camada 3
– Pode transportar apenas outro pacote IP em seu interior
– IPsec em modo Túnel
Exercício 9
FISICA
ENLACE
REDE
TRANSPORTE
APLICAÇÃO
FISICA
ENLACE
REDE
SSL
APLICAÇÃO
FISICA
ENLACE
REDE (IP)
TRANSPORTE
APLICAÇÃO
FISICA
ENLACE
REDE)
TRANSPORTE
APLICAÇÃO
TRANSPORTE
REDE IP
(TUNEL)
REDE IP
(TUNEL)
ENLACE PPP
Aplicação
S.O.
Placa de
Rede
Pilha
Normal SSL
Tunelamento
Camada 3
Tunelamento
Camada 2
Exercícios 10 a 14 • IP Autentication Header (AH)
– Autenticação e Integridade • IP Encapsulating Security Payload (ESP)
– Confidencialidade, Autenticação e Integridade
• Modo Tranporte – Protege o pacote sem tunelamento
– Acrescenta os campos de segurança no pacote IP original
• Mode Túnel – Protege o pacote com tunelamento
– Encapsula o pacote IP original em outro pacote IP que contém os campos de segurança.
Estrutura Geral do IPsec
Enlace
IP/IPsec(AH,ESP)
Transporte (TCP/UDP)
Sockets
Protocolo Aplicação
Aplicação IKE
Base de SAs
Base de Políticas
consulta refere
consulta
Administrador
configura
Solicita criação do SA
SA: Associação de Segurança (par de chave secretas entre dois computadores)
SA = Associação de Segurança • IKE: (Internet Key Exchange):
– negocia automaticamente um par de chaves secretas entre dois computadores usando IPsec (estabelece uma SA - Associacao de Seguranca)
• SPI (Secure Parameter Index) – Identifica a associação de segurança para a conexão segura
• Sequence Number: – Numero incremental, que começa a contagem quando o SA é criada.
Host A Host B
negociam SA e definem SPI
SPI=deAparaB e SN=1
SPI=deAparaB e SN=2
...
SPI=deBparaA SPI=daAparaB.
SPI=deAparaB SPI=deBparaA
SPI=deBparaA e SN=1
AH (Authentication Header)
IP TCP/UDP DADOS
IP TCP/UDP DADOS AH
IP TCP/UDP DADOS AH IP
IPv4
IPv4 com autenticação
IPv4 com autenticação e tunelamento
Especifica os Gateways nas Pontas do Tunnel
Especifica os Computadores
IP Normal
Modo Transporte
Modo Tunel
AH Modo Tunel e Transporte
SA
Internet
SA
SA Internet SA
Conexão IPsec em modo Túnel
IPsec AH IPsec AH IPsec AH IPsec AH IPsec AH
Conexão IPsec em modo Transporte
IPsec AH IPsec AH IPsec AH
IP
IP
IP
IP
ESP: Encryption Security Payload
TCP
UDP
DADOS
ESP
HEADER
ESP
TRAILER
ESP
AUTH
criptografado
autenticado
TCP
UDP
DADOS
IP
IP
TCP
UDP
DADOS
ESP
HEADER
ESP
TRAILER
ESP
AUTH
criptografado
autenticado
IP
IP
MODO TRANSPORTE
MODO TUNNEL
ESP Modo Tunel e Transporte
SA
INTERNET
SA
SA INTERNET SA
Conexão IPsec em modo Túnel
IPsec ESP IPsec ESP IPsec ESP IPsec ESP IPsec ESP
Conexão IPsec em modo Transporte
IPsec ESP IPsec ESP IPsec ESP
IP
IP
IP
IP
Respostas EXERCICIO 11: AH 1) b - a - 192.168.0.2 - 192.168.1.2 - AH - tcp/udp - dados 2) c - e - igual 3) g - f - igual EXERCICIO 12: ESP 1) b - a - 192.168.0.2 - 192.168.1.2 - ESPH - tcp/udp - dados - ESPT - ESPA 2) c - e - igual 3) g - f - igual EXERCICIO 13: AH 1) b - a - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados 2) e - c - 200.0.1.1 - 200.0.1.3 - AH - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados 3) b - a - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados EXERCICIO 14: ESP 1) b - a - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados 2) e - c - 200.0.1.1 - 200.0.1.3 - ESPH - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados - ESPT - ESPA 3) b - a - 192.168.0.2 - 192.168.1.1 - tcp/udp - dados