Criptografia e segurana de redes Chapter 14 Quarta

  • Slides: 26
Download presentation
Criptografia e segurança de redes Chapter 14 Quarta Edição de William Stallings Slides de

Criptografia e segurança de redes Chapter 14 Quarta Edição de William Stallings Slides de Lawrie Brown

Capítulo 14 – Aplicações de autenticação Nós não podemos fazer uma aliança com príncipes

Capítulo 14 – Aplicações de autenticação Nós não podemos fazer uma aliança com príncipes vizinhos até que saibamos de suas intenções. —A Arte da Guerra, Sun Tzu

Aplicações de Autenticação Ø Considerará funções de autenticação. Ø Desenvolvida para suportar níveis de

Aplicações de Autenticação Ø Considerará funções de autenticação. Ø Desenvolvida para suportar níveis de aplicação, autenticação e assinaturas digitais. Ø Considerará Kerberos- um serviço de autenticação de uma chave privada. Ø x. 509 - um serviço de autenticação de diretório de uma chave publica.

Kerberos Ø Sistema de servidor de chave confiável do MIT Ø Provê centralizada autenticação

Kerberos Ø Sistema de servidor de chave confiável do MIT Ø Provê centralizada autenticação de terceiros de chave privada l l Permite aos usuários acessarem serviços distribuidos na rede. Sem necessidade de confiar em todas as estações de trabalho. Mais propriamente todos confiam em um servidor de autenticação duas versões em uso: 4 e 5

Exigências do kerbero Ø Sua primeira informação de exigência • • • identificadas são

Exigências do kerbero Ø Sua primeira informação de exigência • • • identificadas são : Segurança Confiança Transparência Expansível Implementado usando um protocolo de autenticação baseado em Needham e Schroeder

Resumo da versão 4 de kerberos Ø esquema básico de autenticação de terceiros •

Resumo da versão 4 de kerberos Ø esquema básico de autenticação de terceiros • Tem um servidor de autenticação (AS) • Usuários inicialmente negociam com AS para se identificar • S. A. provê uma credencial de autenticação não corruptível (ticket concedendo ticket TGT) • tem um servidor de concessão de ticket (TGS) • Usuários sub sequentemente requisitam acesso para outros serviços do TGS com base em usuários TGT

Diálogo de kerberos v 4 Obtém ticket concedendo ticket do AS • Uma vez

Diálogo de kerberos v 4 Obtém ticket concedendo ticket do AS • Uma vez por sessão 2. Obtém serviço concedendo ticket do TGT • Para cada serviço distinto requirido 3. troca de cliente/servidor para obter serviço • Em todo pedido de serviço 1.

Resumo de Kerberos 4

Resumo de Kerberos 4

Domínios de kerberos Ø O ambiente de kerberos consiste de : l l l

Domínios de kerberos Ø O ambiente de kerberos consiste de : l l l Um servidor kerberos Um numero de clientes, todos registrados com servidor Servidores de aplicação, compartilhando chaves com servido Ø Isso é expressado um domínio l Ø tipicamente um domínio administrativo sozinho Se tiver múltiplos campos, os servidores kerberos deles devem compartilhar chaves e confiar.

Domínios de. Kerberos

Domínios de. Kerberos

Kerberos Versão 5 Ø Desenvolvido em meados de 1990 Ø Especificado na RFC 1510

Kerberos Versão 5 Ø Desenvolvido em meados de 1990 Ø Especificado na RFC 1510 Ø Provê melhoria sobre a versão 4 l Limitações ambientais • criptografia ALG, protocolo de rede, ordem de byte, tempo de vida do ticket, encaminhamento de autenticação, autenticação entre domínios l Deficiências técnicas • Criptografia dupla, modo não padrão de usuário, chave de sessão, ataques de senha

Serviço de autenticação X. 509 Ø Ø Ø Parte das normas do diretório do

Serviço de autenticação X. 509 Ø Ø Ø Parte das normas do diretório do serviço de autenticação CCITT x. 509 l servidores distribuídos mantendo banco de dados sobre informações de usuários Define uma estrutura para autenticação de serviços l diretório pode armazenar certificados de chave pública l contém a chave publica de um usuário assinado por certificação de autoridade Também define protocolo d autenticação usa chave publica criptografada e assinatura digital l sem uso de algoritmo padrão, mas recomendado o RSA Certificações x. 509 são amplamente usadas

Certificados x. 509 Ø Emitido por uma autoridade certificadora (CA), contendo: l l l

Certificados x. 509 Ø Emitido por uma autoridade certificadora (CA), contendo: l l l Ø versão (1, 2 ou 3) certificado de identificação de numero serial (único na CA) algoritmo identificador de assinatura nome do emissor periodo de validade nome do titular informações sobre a chave publica do titular identificador exclusivo do emissor identificado exclusivo do titular extenções Assinatura Notação CA <<A>> denota certificado para A sinalizado por CA

Certificados X. 509

Certificados X. 509

Obtendo um certificado Ø Qualquer usuário com acesso para CA pode pegar qualquer certificado

Obtendo um certificado Ø Qualquer usuário com acesso para CA pode pegar qualquer certificado dele Ø Somente a CA pode modificar um certificado Ø Por causa de não poderem ser falsificados, certificados podem ser colocados em um diretório publico

Hierarquia da CA Se ambos usuários compartilham uma CA comum eles supostamente sabem sua

Hierarquia da CA Se ambos usuários compartilham uma CA comum eles supostamente sabem sua chave publica Ø De outra maneira CA deve formar uma hierarquia Ø Ø Cada CA tem certificados para cliente (avançar) e origem (recuar) Cada cliente confia certificados de origem Ø Habilita verificação de qualquer certificado de uma CA por usuários de todas outras CAs em hierarquia Ø

Uso da hierarquia da CA

Uso da hierarquia da CA

Revogação de certificados Certificados tem período de validade Ø 1. 2. 3. CA mantém

Revogação de certificados Certificados tem período de validade Ø 1. 2. 3. CA mantém lista de certificados revogados Ø l Ø chave privada do usuário está comprometida o uso não é mais certificado pela CA o certificado da CA está comprometido lista de certificado revogados (CRL) Usuários deveriam checar certificados com CRL da CA

Procedimento de autenticação Ø X. 509 inclue 3 procedimentos de autenticação alternativos: Ø Autenticação

Procedimento de autenticação Ø X. 509 inclue 3 procedimentos de autenticação alternativos: Ø Autenticação de uma via Ø Autenticação de duas vias Ø Autenticação de três vias Ø Todas usam assinaturas de chave publica

Autenticação de uma via Ø Uma mensagem (A->B) usada para estabelecer l l l

Autenticação de uma via Ø Uma mensagem (A->B) usada para estabelecer l l l A identidade de A que foi gerada por A mensagem foi destinada a B Integridade e originalidade da mensagem Ø Mensagem deve incluir carimbo de tempo, nonce, identidade de B e é assinada por A Ø pode incluir informações adicionais de B l EX chave de sessão

Autenticação de duas vias Ø 2 mensagens (A->B, B->A) que também além do mais

Autenticação de duas vias Ø 2 mensagens (A->B, B->A) que também além do mais estabelece: l l l a identidade de B e que responde é de B que responde é intencionada por A integridade e originalidade da resposta Ø Resposta inclue nonce original de A, também carimbo de tempo e nonce de B Ø Pode incluir informação adicionam para A

Autenticação de 3 vias Ø 3 mensagens (A->B, B->A, A->B) que habilitam autenticação mencionada

Autenticação de 3 vias Ø 3 mensagens (A->B, B->A, A->B) que habilitam autenticação mencionada sem clocks sincronizados Ø Tem resposta de A de volta para B contendo copia sinalizada de nonce para B Ø Significa que carimbo de tempo não precisa ser checado.

X. 509 versão 3 Ø Reconheceu que informação adicional é necessária em uma certificado

X. 509 versão 3 Ø Reconheceu que informação adicional é necessária em uma certificado l email/url, detalhes de politica, uso confinado Ø Claramente em vez de nomear novos campos definiu um método geral de extensão Ø Extensões consistem de : l l l Identificador de extensão Indicador crítico Valor de extensão

Certificado de extensões Ø Chave e informação de política l Leva informação sobre assunto

Certificado de extensões Ø Chave e informação de política l Leva informação sobre assunto e chaves emitentes, mais indicadores de política de certificado Ø Título de certificado l e atributos emitentes Suporta nomes alternativos, em formatos alternativos para assunto de certificado e/ou origem Ø Certificado de restrição de caminho l Permite restrição em uso de certificados por outra CAs

Infraestrutura de chave pública

Infraestrutura de chave pública

Sumário Ø Foi considerado: l l Sistema de servidor confiável de chave do kerberos

Sumário Ø Foi considerado: l l Sistema de servidor confiável de chave do kerberos Certificados e autenticações X. 509 Sumário do capitulo 14