Fundamentos de Segurança da Informação
Introdução
Segurança da informação nas empresas. Quem investe?
Fonte: http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf
Fundamentos de Segurança da Informação
Algumas notícias
Ataques a servidores web crescem 34% no 1º trimestre no Brasil / IDG
Tentativas de fraude na web brasileira crescem 96% no 2º trimestre / IDG
Cresce em 50% o uso de vermes para roubo de dados / Computerworld
Operadora de telefonia Britânica deixa vazar Fotos enviadas por MMS / ISTF
Metade dos varejistas dos EUA já perderam dados de clientes / Gartner
Cracker divulga dados de 6 milhões de cidadãos chilenos na web / IDG
Hackers atacam e deixam cidades sem luz / Wordpress
Executivo é condenado por roubar dados da IBM para a HP / ISTF
Roubo de informações da Petrobras pode indicar espionagem industrial / Globo
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Algumas notícias
Fundamentos de Segurança da Informação
Introdução
Principais responsáveis por ataques:
4%
8%
12%
24%
27%
48%
Concorrentes
Ex-Associados
Prestadores de Serviço
Associados
Causa Desconhecida
Crackers e Hackers
Fonte: 9ª Pesquisa de Segurança da Informação - Módulo
Fundamentos de Segurança da Informação
Introdução
Principais ameaças:
29%
31%
37%
39%
41%
47%
49%
51%
53%
66%
Fraudes em e-mail
Uso de notebooks
Falha na segurança física
Crackers e Hackers
Fraudes, erros e acidentes
Vazamento de informações
Acessos indevidos
Divulgação de senhas
Associados insatisfeitos
Vírus
Fonte: 9ª Pesquisa de Segurança da Informação - Módulo
Fundamentos de Segurança da Informação
Introdução
O que é segurança da informação?
Conjunto de disciplinas que visa proteger a informação; Possui como objetivo reduzir as ameaças ao ambiente; Garantir a continuidade dos negócios; Maximizar o retorno dos investimentos; É indispensável para a maioria das empresas;
Se faz segurança da informação com os pilares: Disponibilidade e Integridade; Autenticidade e Confidencialidade ; Não-repúdio.
Fundamentos de Segurança da Informação
Introdução
O que é segurança da informação?
É custo (overhead); Profissionais capacitados; Aquisição de equipamentos; Contratação de consultorias; Desenvolvimento de sistemas; Revisão de processos; Implementação de disciplinas.
Fundamentos de Segurança da Informação
Introdução
O que é segurança da informação?
É difícil justificar investimentos Return On Investment (ROI) e Payback Todo investimento deve trazer um retorno:
Financeiro; Imagem; Legal (atender regulamentações).
Fundamentos de Segurança da Informação
Introdução
O que é segurança da informação?
Não existe 100% de segurança; A segurança da informação deve realizar o seu trabalho
“engessando” o mínimo possível a organização;
Fundamentos de Segurança da Informação
Introdução
O que é segurança da informação?
Exercício de análise de custo x benefício; Realizar investimentos baseando-se na regra de Pareto.
Fundamentos de Segurança da Informação
Introdução
Quem são os responsáveis pela segurança?
Todos os funcionários da organização guardado as devidas proporções;
Fornecedores e parceiros de negócio; Os próprios clientes;
No entanto deve existir uma área centralizada; As Metas, os objetivos, as definições dos papéis e
como operacionalizar a segurança; Necessita de imparcialidade e autonomia; É recomendado que esteja ligada e apoiada pela
alta direção;
Fundamentos de Segurança da Informação
Introdução
Quais os ganhos produzidos?
Reduzir os níveis de riscos a patamares aceitáveis; Produzindo melhores produtos e serviços;
Satisfazendo a maior parte dos clientes e principalmente os acionistas da empresa.
Os ganhos visíveis são: Redução na probabilidade de incidentes de segurança; Redução das perdas e impactos causadas por
incidentes; Melhor recuperação frente a danos, desastres ou
incidentes.
Fundamentos de Segurança da Informação
Introdução
Como as empresas se protegem?
Tecnologia: Firewall, VPN, IPS, Proxy, antivírus, controle de e-mail e navegação, armazenamento e análise centralizada de logs, gerenciamento centralizado de identidades, segregação de redes e acessos, sistema de backup...
Processos: tratamento de incidentes, auditoria, gerenciamento e monitoração constante, planos de contingência e recuperação de desastres, análise e gerenciamento de riscos...
Pessoas: políticas, procedimentos, normas, instruções de trabalho, treinamentos, plano de aculturação...
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Pilares da Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Pilares da segurança
Disponibilidade Os ativos e a informação devem estar disponíveis
aos usuários; É implementado através da redundância do
ambiente; Normalmente afetada pela negação de serviço.
(DoS; DDoS); Aspecto mais físico.
Fundamentos de Segurança da Informação
Principais Conceitos
Pilares da segurança
Disponibilidade
Fundamentos de Segurança da Informação
Fonte: http://www.esecurityplanet.com/trends/print.php/1486981
Fonte: http://www.totalsecurity.com.br/noticia.php?cod=85
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Pilares da segurança
Confidencialidade Garantir o sigilo das informações; Autorização de acesso das partes envolvidas. É ajudada através da classificação da informação;
Integridade Permitir que os envolvidos verifiquem se a
informação não foi alterada intencionalmente ou não durante o seu transporte.
Fundamentos de Segurança da Informação
Principais Conceitos
Pilares da segurança
Autenticidade Permitir ao receptor identificar a autenticidade do
remetente; Permite identificar quando uma pessoa tenta se
passar por outra;
Não-repúdio Garantir que o remetente não possa negar a
autoria de seus atos.
Fundamentos de Segurança da Informação
Principais Conceitos
Pilares da segurança
Fundamentos de Segurança da Informação
Processo de Gestão de Senhas
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Gerenciamento de Senhas Disciplina que visa orientar os usuários com relação
à segurança das senhas; Esta disciplina define muitas vezes:
Tamanho mínimo; Complexidade; Idade máxima; (Expiração) Histórico; Idade mínima; Bloqueio; Tempos de aviso;
32
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Hacker x Cracker; White Hat X Black Hat; Depende do lado da força.
Phreaker; Ckackers de telefonia.
Phracker. Crackers de telefonia IP.
Fundamentos de Segurança da Informação
Principais Conceitos
Lamer ou Script Kiddies: Utiliza-se do trabalho intelectual dos verdadeiros
especialistas técnicos. Não possuem conhecimento de programação, e não estão interessados em tecnologia, e sim em ganhar fama ou outros tipos de lucros pessoais. São meramente executores de scripts.
Fundamentos de Segurança da Informação
Principais Conceitos
Defacers (Defacement)
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Vírus
Código de computador escrito com a intenção explícita de se auto-duplicar anexando-se a outros programa ou arquivos para poder se espalhar entre os computadores, infectando-os à medida que se desloca. Os vírus podem danificar seu software, hardware e arquivos. Os vírus necessitam da interação do usuário.
http://blog.pandasecurity.com.br/2010/01/os-virus-que-fizeram-barulho-em-2009
Fundamentos de Segurança da Informação
Principais Conceitos
Wormes ou Vermes
Um worm cria cópias de si mesmo e se espalha de um computador para outro, mas faz isso automaticamente, não necessitando da interação do usuário. A propagação pode ocorrer pela rede, pela lista de e-mail e Instante Messanger ou por programas P2P. O grande perigo dos worms é a sua capacidade de se replicar em grande volume criando um efeito domino.
Fundamentos de Segurança da Informação
Principais Conceitos
Cavalo de Tróia
Baseado na mitológico grega, o cavalo de tróia parece ser um presente, mas na verdade esconde códigos maliciosos com o objetivo de infectar o computador do usuário. Resumidamente o cavalo de tróia é um programa de computador que parece ser útil, mas na verdade causa danos. Eles se aproveitam da engenharia social para seduzir as pessoas a abrir o programa por pensar que vem de uma fonte legítima.
Fundamentos de Segurança da Informação
Principais Conceitos
Crack ou ckacker Software utilizado para a quebra de senhas, chaves
criptográficas ou códigos de licenciamento.
Adware Softwares que apresentam propagandas sem o
consentimento do usuário.
Fundamentos de Segurança da Informação
Principais Conceitos
Keylogger Software Hardware
http://www.keykatcher.com/http://www.keylogger.org/
Fundamentos de Segurança da Informação
Principais Conceitos
Spyware
Fundamentos de Segurança da Informação
Principais Conceitos
Banker
Fundamentos de Segurança da Informação
Principais Conceitos
Bot/Botnet
http://informatica.hsw.uol.com.br/computador-zumbi.htm
Fundamentos de Segurança da Informação
Principais Conceitos
Malware
Fundamentos de Segurança da Informação
54Também utilizada pelos crackers para verificar a “invisibilidade” dos seus trojans perante os anti-vírus.
Fundamentos de Segurança da Informação
Principais Conceitos
Binder ou Joiner Ferramenta que anexa um segundo software a um
software principal; Quando o software principal é executado o software
anexado também é executado.
Fundamentos de Segurança da Informação
Principais Conceitos
Backdoor Programa instalado por um intruso em um
computador com o objetivo de oferecer uma forma de acesso futura;
Um backdoor pode ser instalado através de uma ação do invasor localmente ou remotamente;
Pode ser ainda instalada pelo próprio usuário como um cavalo de tróia.
Fundamentos de Segurança da Informação
Backdoor
http://www.freewebs.com/geurle/piratage1.htm
Fundamentos de Segurança da Informação
Principais Conceitos
Hoax
Exemplos: Cruz da Honda, Cobra do Habibb’s
Fundamentos de Segurança da Informação
Principais Conceitos
SPAM Uma mensagem eletrônica é "spam" SE: (1) a
identidade pessoal do destinatário e o contexto são irrelevantes porque a mensagem é igualmente aplicável a muitos outros potenciais receptores; E (2) o beneficiário não tenha comprovadamente concedidos deliberada, explícita e ainda: revogável permissão para que ele seja enviado e (3) a transmissão e recepção da mensagem aparece para o receptor para dar um benefício desproporcional para o remetente.
http://www.mail-abuse.com/spam_def.html
Fundamentos de Segurança da Informação
Principais Conceitos
SPAM
http://www.calculadorainteligente.com.br/spam/ Http://www.antispam.br/
Fundamentos de Segurança da Informação
Principais Conceitos
SPAM
http://info.abril.com.br/noticias/trend-micro/trend-mapa.html
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Open Relay Servidor de email mal configurado que permite o uso
indevido de sua infra-estrutura por usuários na Internet para o envio de emails onde a origem e o destino não fazem parte de seu domínio..
Fundamentos de Segurança da Informação
Principais Conceitos
Fundamentos de Segurança da Informação
Principais Conceitos
Fundamentos de Segurança da Informação
Principais Conceitos
Phishing Scan
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Recomendação– Monitorar os principais canais de divulgação de fraudes e
phising scans para identificar possíveis ameaças ao ambiente da empresa e realizar treinamentos e comunicações sobre estas ameaças.
www.rnp.br/cais/fraudes.php ww.fraudes.org www.mhavila.com.br/topicos/seguranca/scam.html
Fundamentos de Segurança da Informação
Principais Conceitos
Engenharia Social
Fundamentos de Segurança da Informação
Exemplo de engenharia social:
Pai: Filho, quero que você se case com uma moça que eu escolhi.Filho: Mas pai, eu quero escolher a minha mulher.Pai: Meu filho, ela é filha do Bill Gates.Filho: Bem neste caso eu aceito.Então o pai vai encontrar o Bill Gates.Pai: Bill, eu tenho o marido para sua filha.Bill Gates: Mas a minha filha é muito jovem para casar.Pai: Mas esse jovem é vice-presidente do Banco Mundial.Bill Gates: Neste caso tudo bem.Finalmente o pai vai ao Presidente do Banco Mundial.Pai: Sr. presidente, eu tenho um jovem que é recomendado para ser vice-presidente do Banco Mundial.Pres Banco Mundial: Mas eu já tenho muitos vice-presidentes, inclusive mais do que o necessário.Pai: Mas Sr. este jovem é genro do Bill Gates.Pres Banco Mundial: Neste caso ele está contratado..
Fundamentos de Segurança da Informação
Principais Conceitos
Comunicação em uma rede
Fundamentos de Segurança da Informação
Principais Conceitos
Sniffer Ferramenta utilizada por crackers ou hackers o
conteúdo das informações que estão trafegando na rede de computadores;
É uma espécie de escuta telefônica para o mundo dos computadores;
Através desta técnica é possível coletar qualquer informação transmitida entre dois computadores.
Fundamentos de Segurança da Informação
Sniffers
Fundamentos de Segurança da Informação
Principais Conceitos
Port Scanner Ferramenta utilizada por crackers ou hackers para
identificar quais as portas lógicas de um equipamento estão “abertas”;
Em um ataque o cracker utiliza normalmente um port scanner na fase de reconhecimento do ambiente;
Através de um port scanning é possível inferir quais serviços estão ativos em um equipamento;
Fundamentos de Segurança da Informação
Port Scanner
Fundamentos de Segurança da Informação
Principais Conceitos
Firewall
http://pt.wikipedia.org/wiki/Firewall
Fundamentos de Segurança da Informação
Principais Conceitos
Firewall
Fundamentos de Segurança da Informação
Principais Conceitos
VPN
http://pt.wikipedia.org/wiki/Virtual_Private_Network
Fundamentos de Segurança da Informação
Principais Conceitos
Proxy Open Proxy
http://pt.wikipedia.org/wiki/Proxy
Fundamentos de Segurança da Informação
Principais Conceitos
IDS IPS
http://en.wikipedia.org/wiki/Intrusion_prevention_systemhttp://en.wikipedia.org/wiki/Intrusion-detection_system
Fundamentos de Segurança da Informação
Principais Conceitos
Footprint Técnica utilizada pelos crackers para o levantamento de
informações do ambiente como versões de software, para posteriormente buscar vulnerabilidades conhecidas e exploits.
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Rootkit Um rootkit é um programa com código mal intencionado
que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.
Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que o usuário não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de “arquivo inexistente” ao tentar acessar os arquivos relacionados.
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerability Scanner Ferramenta utilizada por crackers ou hackers para
identificar quais vulnerabilidades um software possui;
Este tipo de técnica analisa o alvo com base em vulnerabilidades conhecidas;
Pode ser utilizado tanto para prevenção de vulnerabilidades pela ação proativa;
Como também para identificar falhas e proceder com ataques.
Fundamentos de Segurança da Informação
Vulnerability Scanner
Fundamentos de Segurança da Informação
Principais Conceitos
HoneyPots Sistemas preparados com vulnerabilidades
propositais; O objetivo é estudar as técnicas de ataques dos
crackers para a estruturação de defesas;
HoneyNet Redes preparadas com vulnerabilidades propositais; O seu objetivo é o mesmo dos HoneyPots.
Fundamentos de Segurança da Informação
Principais Conceitos
Disassembler Software que realiza a engenharia reversa de um
executável, ou seja, transforma o executável com código fonte;
Normalmente utilizado por crackers para identificar: senhas e chaves de criptografia “escondidas” ou até mesmo o funcionamento do software.
Fundamentos de Segurança da Informação
Principais Conceitos
Hardening Hardening é um processo de mapeamento das
falhas de segurança e mitigação das mesmas através da execução de atividades corretivas, através da implementação dos conceitos de segurança.
O objetivo principal é tornar o ambiente preparado para enfrentar tentativas de ataque.
Fundamentos de Segurança da Informação
Principais Conceitos
Checklist de Segurança Um checklist é um resumo das principais
configurações de segurança recomendadas para serem implementadas nos ambientes computacionais.
A implementação de checklists de segurança em sistemas operacionais, banco de dados, servidores de aplicações e outros serviços suportam o conceito de hardening.
Fundamentos de Segurança da Informação
Principais Conceitos
Ameaça Indivíduos ou eventos que praticam atividades para
afetar pessoas, ambientes ou negócios; Um cracker, um vírus, um desastre natural,
Enchentes, terremotos, incêndios ...
Ataque Ação realizada por uma ameaça; Pode ter sucesso ou não no comprometimento do
ambiente; A ação bem sucedida compromete a segurança do
ambiente;
Fundamentos de Segurança da Informação
Principais Conceitos
Invasão É um ataque bem sucedido que compromete o
ambiente; Toda invasão é um ataque; Nem todo ataque é uma invasão; Uma invasão deve permitir ao indivíduo.
Controle do alvo; Manipulação da informação;
Consulta; Remoção; Alteração.
Invasões
Ataque
Fundamentos de Segurança da Informação
Principais Conceitos
Bug ou Falha Uma falha é algo que conduz o sistema ao não
planejado ou não previsto; Situação não prevista ou considerada no projeto
original.
Vulnerabilidade Resultado da existência de uma falha ou bug; Expõe o sistema sob algum dos aspectos de segurança; Pode comprometer uma parte do sistema ou o todo; Toda vulnerabilidade pode ser explorada; Exemplo: ping of death, multa de trânsito, pagamento
com cartão de crédito sem senha;
Falhas ou bugs
VulnerabilidadesHoles
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidade
Vulnerabilidade Física: Falta de extintores; Instalações prediais fora dos padrões de
segurança; Falta de detectores de fumaça e de outros
recursos para prevenção e combate a incêndios; Instalação elétrica antiga e em conjunto com a
dos computadores.
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidade
Vulnerabilidade Natural: Possibilidade de desastres naturais (incêndios,
enchentes, terremotos, tempestades). Acúmulo de poeira, aumento de umidade e de
temperatura.
Vulnerabilidade de Hardware: Falha nos recursos tecnológicos (tempo, mal uso). Erros ou problemas durante a instalação física.
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidade
Vulnerabilidade de Software: Erros na instalação ou na configuração que podem
acarretar acessos indevidos; Falhas e bugs nos sistemas operacionais e
aplicativos; Falhas em programas que implementam serviços de
rede.
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidade
Vulnerabilidade de Mídias: Fita magnética de baixa qualidade; Relatórios impressos que podem ser perdidos ou
danificados; Radiação eletromagnética que pode afetar diversos
tipos de mídias magnéticas.
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidade
Vulnerabilidade Humana: Falta de treinamento; Compartilhamento de informações confidenciais; Desobediência ou não execução de rotinas de
segurança.
Fundamentos de Segurança da Informação
Principais Conceitos
Fundamentos de Segurança da Informação
Principais Conceitos
Exploit O exploit é uma ferramenta para automatizar o
processo de exploração de uma vulnerabilidade; Os exploits são partes de software, de dados ou uma
seqüência de comandos que exploram a vulnerabilidade em questão.
Os exploits são desenvolvidos com base no detalhamento da vulnerabilidade. São ferramentas específicas às vulnerabilidades para as quais foram projetados.
Fundamentos de Segurança da Informação
Principais Conceitos
Sites com banco de dados de exploits e vulnerabilidades:
http://www.elhacker.net/exploits/ http://www.cve.mitre.org/ http://www.cert.org/ http://www.sans.org/ http://www.cisecurity.com/ http://www.sans.org/score http://isc.sans.org/ http://icat.nist.gov/icat.cfm http://www.security-focus.com/ http://www.rnp.br/cais/ http://cve.mitre.org/compatible/vulnerability_alerting.html http://web.nvd.nist.gov/view/vuln/search http://secunia.com/ http://www.milw0rm.com/
Fundamentos de Segurança da Informação
Exemplo de Exploit
Fundamentos de Segurança da Informação
Exemplo de Catálogo de Vulnerabilidades
Fundamentos de Segurança da Informação
Exemplo de Catálogo de Vulnerabilidades
Fundamentos de Segurança da Informação
Exemplo de Catálogo de Vulnerabilidades
Fundamentos de Segurança da Informação
Exemplo de Exploit
Fundamentos de Segurança da Informação
Exemplo de Exploit
Oferece suporte a compartilhamento na rede de arquivo, impressão e pipes nomeados para este computador. Se este serviço for interrompido, quaisquer serviços que dele dependam diretamente não serão inicializados.
Fundamentos de Segurança da Informação
Exemplo de Exploit
Fundamentos de Segurança da Informação
Introdução
Alguns Conceitos Risco
É um contexto que inclui as ameças as vulnerabilidades e a informação a se proteger ;
O Diante da existência de uma ameaça a vulnerabilidade torna-se um risco.
O risco surge quando existe ameaças com interesse em explorar as vulnerabilidades.
Um risco só existe diante da presença de uma vulnerabilidade somada a uma ameaça;
O risco pode ser medido como a probabilidade estatística de uma ameaça explorar a vulnerabilidade;
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos Risco
Pode afetar diretamente no atingimento dos objetivos estabelecidos pela organização;
Ex: Um servidor Web desatualizado Existem vários cracker e vários exploits
disponíveis. Desta forma o risco é alto.
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos Elevação de privilégio Acesso indevido Força bruta
Fundamentos de Segurança da Informação
Principais Processos de Segurança da Informação
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Política de Segurança da Informação Conjunto de diretrizes claras e objetivas; Código de legislação de uma organização; Norteia como a segurança deve funcionar; Normalmente a política é um documento genérico que
referencia outros documentos mais técnicos. A política deve ser publicada e aceitada por todos da
organização.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Política de segurança da informação Documento que reúne os princípios de segurança
relativos à toda informação e seus ativos; Deve ser um produto de discussões exaustivas
entre a alta direção e o comitê de segurança; A política não deve contrariar a cultura de negócios,
crenças ou valores da empresa; Por ser um documento estratégico deve ser apoiado
pela alta direção. O produto final é um conjunto de diretrizes claras e
objetivas;
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Política de segurança da informação Estas diretrizes atribuem direitos e
responsabilidades às pessoas que lidam com os recursos computacionais da organização;
Por ser um documento estratégico deve ser apoiado pela alta direção;
As diretrizes norteiam como a segurança deve funcionar;
A política é um documento genérico que referencia outros documentos.
A política deve ser publicada e aceitada por todos da organização.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Política de segurança da informação - Outras políticas existentes Para públicos alvo distintos; pode-se desenvolver
uma outra política; O objetivo é atingir todas as áreas da organização; Dependendo do público admite-se uma linguagem
mais técnica. Ex: Política para responsáveis por TI
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Outros documentos que acompanham as políticas Carta do Presidente
Tem como objetivo apresentar a política; Defender a necessidade e uso; Mostrar o comprometimento da alta direção; Oferecer credibilidade ao processo.
Termo de Aceite Termo que deve ser assinado comprovando o
recebimento, conhecimento e aceitação da política pelos envolvidos;
Normalmente associado ao contrato de trabalho.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Segurança por perímetro
Definição de várias camadas de proteção; Cada camada possui como objetivo dificultar o processo
de invasão do ambiente. Firewall; Sistema de VPN; Anti-vírus; Política de segurança; Aculturação.
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Análise de Risco Processo de identificação dos riscos que um ativo
está sujeito; Objetivo é identificar e mitigar os riscos
proativamente; Um processo de análise de riscos deve ser um
trabalho orientado através de um escopo definido.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Gerenciamento de Riscos
É um processo que através de uma metodologia de trabalho gerencia os riscos identificados no ambiente;
Normalmente é suportado por uma política; Seu objetivo é mitigar os riscos; Após identificar os riscos estes são trabalhos para
reduzir o impacto, o risco ou até mesmo a aceitação do risco;
Mesmo o risco sendo mitigado poderá existir um risco residual;
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Segurança por perímetro ou em profundidade Definição de várias camadas de proteção,
semelhante a uma cebola; Sistema de VPN; Firewall; Anti-vírus; Política de segurança; Aculturação.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Segurança Física Disciplina que implementa mecanismos de
segurança que controlam um ambiente físico; CFTV; Catracas; Cancelas; Alarme; Equipamento para controle de incêndio;
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Segurança Lógica Disciplina que implementa mecanismos de
segurança que controlam um ambiente computacional através de software e configurações;
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Plano de Contingência ou Recuperação de Desastres Plano que visa recuperar a operação de um
determinado ambiente; O objetivo é restaurar a operação mínima; No entanto ao término do plano o ambiente deve
estar totalmente operacional; Os planos devem ser elaborados, testados e
atualizados constantemente.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Plano de Continuidade de Negócios (PCN) Conjunto de planos de continuidade; Objetivo é recuperar e dar continuidade ao negócio
frente a um desastre; O objetivo é restaurar a operação mínima; No entanto ao término do plano o negócio deve
estar totalmente operacional; Os planos devem ser elaborados, testados e
atualizados constantemente.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Incidente de segurança Qualquer evento que prejudique o bom
funcionamento do ambiente; Algumas organizações consideram uma tentativa
de ataque como um incidente.
Tratamento de incidentes Metodologia para tratamento dos incidentes
identificados pela organização; Metodologia mais comum:
Identificação, Contenção; Erradicação e Encerramento.
CERT (Centro de Estudos, Resposta e Tratamento de Incidentes)
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
CSIRTs Grupos de Resposta a Incidentes de Segurança em
Computadores; Computer Security Incident Response Team; Trata-se de um grupo responsável por resolver
incidentes de segurança; Pode ser um serviço prestado por uma empresa
especializada, ou uma própria unidade de uma empresa;
Incidentes que ocorram com os serviços prestados por estas empresas devem ser notificados para o CSIRT responsável pela empresa.
Construção de um CSIRT http://www.cert.br/csirts/
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
http://www.cert.br/csirts/brasil
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
AAA
Autenticação Ato de confirmar em um ambiente virtual a
identidade do usuário real ou equipamento; Pode ser feita através de diversas formas: senhas,
certificados digitais, impressão digital, perguntas e respostas;
A autenticação é o ato de prover ao autenticador a origem do autenticado.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Autenticação Pode ser realizada através de três categorias
diferentes: Algo que você conhece: senhas, frases,
números; Algo que você tem: cartão, chave, token; Algo que você é: digital, íris, reconhecimento da
face.
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
143
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos Autenticação
Formas de autenticação Biométrica Íris: padrão da formação da íris; Impressão Digital: padrão da formação dos traços
dos dedos; Mão: Tamanho, comprimento da mão e dos
dedos; Face: Tamanho, distribuição dos olhos, nariz,
boca e características gerais; Assinatura: Formato da letra, ordem de escrita,
pressão da caneta.
http://informatica.hsw.uol.com.br/biometria.htm
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos Autenticação
Autenticação Forte Trata-se da utiliza de no mínimo dois mecânicos
de autenticação diferentes.
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos Autorização
Processo de conceder acessos ao autenticado;
Accounting (contabilização): Complemento da operação de autenticação e
autorização; O accounting registra todas as ações ou comandos
aplicados ao sistema.
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos Controle de Acesso
Conjunto de mecanismos que visa; Prover autenticação; Prover autorização; Prover rastreabilidade. Normalmemente conhecido como AAA
Authentication; Authorization; Accounting.
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos Autenticação Centralizada
Mecanismo para centralização do processo de autenticação;
Exemplos: Radius; LDAP; Active Directory;
O processo de autenticação centralizada reduz custos de implementação e manutenção dos requisitos de segurança;
Melhora o nível de segurança.
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
153
Fundamentos de Segurança da Informação
154
Fundamentos de Segurança da Informação
155
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos
Single SignOn Técnica utilizada para prover aos usuários o acesso à
todos os sistemas autorizados ao mesmo mediante uma única autenticação;
Normalmente implementado através de tokens de sessão.
Single SignOn é diferente de login único;
156
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos
Auditoria Processo de levantamento das não conformidades
identificando os gaps com relação à uma norma ou uma política de segurança;
O processo de auditoria deve ser imparcial e autônoma;
Os tipos de auditoria mais comuns são: Interna; Externa; Certificação.
157
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos Single SignOn
Técnica utilizada para prover aos usuários o acesso à todos os sistemas autorizados ao mesmo mediante uma única autenticação;
Normalmente implementado através de tokens de sessão.
Single SignOn é diferente de login único;
158
Fundamentos de Segurança da Informação
Criptografia Mensagem não criptografadaMensagem não cifrada
Mensagem não encriptadaMensagem em texto claroMensagem em texto limpo
Mensagem criptografadaMensagem cifrada
Mensagem encriptadaMensagem em texto cifrado
DecriptografiaDecifragemDecriptação
CriptografiaCifragem
Encriptação
159
Chave
Chave
João
Maria
Invasor
Fundamentos de Segurança da Informação
Criptografia
Palavra derivada dos termos gregos: "kryptos", que significa secreto, e de "grapho", que significa escrita.
O fundamento é escrever conteúdos seja secretos. Apenas os envolvidos devem ser capazes de conhecer o real
conteúdo. A criptografia é um recurso bastante antigo. Os Reis utilizam
esta técnica para trocarem informações militares. Os temos mais comuns são:
Algoritmo; Chave O algoritmo se trata de uma série de procedimentos, pré-
definidos, usados para manipular a mensagem tornando-a secreta.
http://www.numaboa.com/criptografiahttp://informatica.hsw.uol.com.br/criptografia.htm
160
Fundamentos de Segurança da Informação
Criptografia
A chave é uma informação utilizada pelo algoritmo para gerar um conteúdo secreto baseado nesta informação.
Assim o segredo só poderá ser conhecido por aqueles que conhecerem a chave.
Antigamente os algoritmos eram bastante simples. Eram fáceis de serem quebrados. Estes algoritmos eram basicamente formados por substituição e
permutação de letras ou palavras de uma mensagem. Com o atual poder de processamento os algoritmos puderam ser
mais complexos garantindo uma maior segurança.
161
Fundamentos de Segurança da Informação
Criptografia
Criptologia: Estudo da Criptografia através de Criptoanálise em um Criptosistema.
Criptosistema: É o conjunto de algoritmos criptográficos, entidades, chaves e outros parâmetros da comunicação.
Criptoanálise: Análise do criptosistema de modo a tentar quebrar o sistema criptográfico. É muito utilizado durante o desenvolvimento de algoritmos de criptografia.
Criptografia: Estudo de mecanismos que protegem os ativos permitindo que os pilares da segurança sejam implementados, como autenticação, assinatura digital, proteção à confidencialidade... 162
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Cifra de César
Consiste na substituição dos caracteres conforme a tabela abaixo:
Neste algoritmo o remetente e o destinatário, precisarão:
Conhecer qual algoritmo foi utilizado; Conhecer o funcionamento do algoritmo;
A B C D E F G H I J K L M
N O P Q R S T U V W X Y Z
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Cifra de César
Texto em Claro Texto Cifrado PITAGORAS CVGNTBENF
O algoritmo de César não prevê o uso de chave; Desta forma a segurança está toda no algoritmo; Se o funcionamento do algoritmo for descoberto por um
individuo não autorizado, todas as mensagens cifradas por este algoritmo podem ser descobertas;
A B C D E F G H I J K L M
N O P Q R S T U V W X Y Z
Fundamentos de Segurança da Informação
Texto em Claro: PITAGORAS
Fundamentos de Segurança da Informação
Texto em Claro: PITAGORAS
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Rotação Circular
Consiste no deslocamento dos bits/caracteres para a esquerda, ou para a direita.
Para o processo de decrifragem, basta realizar o processo inverso.
Neste algoritmo o remetente e o destinatário, precisarão:
Conhecer qual algoritmo foi utilizado; Conhecer o funcionamento do algoritmo; Conhecer previamente a chave utilizada.
Neste algoritmo, a segurança é definida pela chave; Assim o atacante além de conhecer o algoritmo deve
também conhecer a chave para quebrar a segurança.
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: C 3
C (Rotação Circular) (Esquerda Encriptação) (Direita Decriptação) 3 (Chave)
Texto em Claro C 3 Texto Cifrado PITAGORAS AGORASPIT
Texto Cifrado C 3 Texto em ClaroPITAGORAS AGORASPIT 168
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Permutação
A permutação consiste em embaralhar os caracteres que compõem a mensagem;
O embaralhamento ocorre pela definição da chave; A chave na verdade é uma sequencia de números que
é utilizada para definir a ordem do embaralhamento;
169
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Permutação
Cifragem
Texto em Claro Chave Texto Cifrado PITAGORAS 341927568 TAPSIRGOA
. . .
170
1 2 3 4 5 6 7 8 9P I T A G O R A S
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Permutação
Decifragem
Texto em Cifrado Chave Texto em Claro TAPSIRGOA 341927568 PITAGORAS
. . .
171
3 4 1 9 2 7 5 6 8T A P S I R G O A
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Permutação
Quando o texto a ser cifrado é muito grande define-se uma chave de tamanho x;
Quebra-se o texto a ser cifrado em blocos de x em x; Realiza a permutação de cada bloco do texto com a
chave de permutação;
Mensagem: VAMOS NOS REUNIR AS 20 HORAS Chave: 4312
172
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Permutação
173
V A M O S N O S R E U N I R A S 2 0 H O R A S
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
O M V A O N S E R S R I U N S A H 2 0 S A O R
4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2
4 3 1 2 . . .
Texto em Claro
Texto Cifrado
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Substituição monoalfabética
Esse tipo de operação, consiste em substituir uma letra pela outra, seguindo um determinado padrão definido pela chave (X).
Cada letra do alfabeto recebe um número sequencial; A letra (L) a ser criptografada, será substituída por
outra Letra, baseado na soma da sua posição (L) + a chave (X);
Assim (L+X) criptografa, e (L-X) decriptografa.
174
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Substituição monoalfabética
Encriptação
Texto em Claro Chave: 8 Texto Cifrado PITAGORAS XQBIOWZIA
175
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
16 9 20 1 7 15 18 1 19
( 16 ; 9 ; 20 ; 1 ; 7 ; 15 ; 18 ; 1 ; 19 )(16+8; 9+8; 20+8; 1+8; 7+8; 15+8; 18+8; 1+8; 19+8)( 24 ; 17 ; 28 ; 9 ; 15 ; 23 ; 26 ; 9 ; 27 )( 24 ; 17 ;28-26; 9 ; 15 ; 23 ; 26 ; 9 ;27-26)( 24 ; 17 ; 2 ; 9 ; 15 ; 23 ; 26 ; 9 ; 1 )
24 17 2 9 15 23 26 9 1
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Substituição monoalfabética
Decriptação
Texto Cifrado Chave: 8 Texto em Claro XQBIOWZIA PITAGORAS
176
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
16 9 20 1 7 15 18 1 19
( 24 ; 17 ; 2 ; 9 ; 15 ; 23 ; 26 ; 9 ; 1 )(24-8;17-8; 2-8 ; 9-8;15-8; 23-8; 26-8; 9-8; 1-8 )( 16 ; 9 ; -6 ; 1 ; 7 ; 15 ; 18 ; 1 ; -7 )( 16 ; 9 ;26-6 ; 1 ; 7 ; 15 ; 18 ; 1 ;26-7 )( 16 ; 9 ; 20 ; 1 ; 7 ; 15 ; 18 ; 1 ; 19 )
24 17 2 9 15 23 26 9 1
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Substituição polialfabética
São aqueles em que se têm a combinação ordenada de diversos sistemas monoalfabéticos. Ele adota uma chave (x), com "n" letras, e divide a mensagem em "n" blocos.
mensagem (m) seria: O site da underlinux esta muito bom.
E a chave (x) seria Linux.
m=OSITEDAUNDERLINUXESTAMUITOBOM, que dividida em blocos de 5 (Linux tem 5 letras), ficaria:
177
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Substituição polialfabética
m = (OSITE) (DAUND) (ERLIN) (UXEST) (AMUIT) (OBOM), e considerando cada Letra como um número, (a=1, b=2 ...)
m= (15 19 9 20 5) (4 1 21 14 4) (...), e somando com os números relativos da chave(x) = Linux, (12 9 14 21 24)
Mcript= (15 + 12, 19 + 9 , 9 + 14 , 20 + 21 , 5 + 24) (...) Mcript= (27, 28, 23, 41, 28) (16, 10, 35, 35, 27) (...) Mcript= (ACXPC) (PJJJB) (...) ficando assim o texto criptografado.
178
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia: Substituição polialfabética
A substituição polialfabética é muito mais complexa que a monoalfabética, mas ambas são inúteis (usando-as isoladamente), visto que, qualquer computador atual pode quebrá-la facilmente.
179
Fundamentos de Segurança da Informação
Criptografia
Desenvolvida por Arthur Scherbius em 1918, a Enigma levantou um grande interesse por parte da marinha de guerra alemã em 1926, quando passou a ser usado como seu principal meio de comunicação e ficaram conhecidas como Funkschlüssel C.
A máquina era elétrico-mecânica e funcionava com rotores (primeiramente com 3 e depois com até 8 rotores). Ao pressionar uma tecla, o rotor mais da esquerda avançava uma posição, o que ocasionava a rotação dos outros rotores da direita. Esse movimento contínuo dos rotores ocasionava em diferentes combinações na encriptação.
A codificação de uma mensagem criptografada pela Enigma era considerada impossível na época (já que para tal, seria necessário uma alta força bruta computacional).
180
Fundamentos de Segurança da Informação
Criptografia
181
Fundamentos de Segurança da Informação
Criptografia
A título de curiosidade, os Aliados só conseguiram decifrar os códigos da Enigma graças ao roubo de uma dessas máquinas, e que com graças à engenharia reversa, foram construídas máquinas capazes de ler e codificar os códigos alemães, os Colossus.
A criptografia passou a ser usada em larga escala por todas as ações, principalmente em épocas de guerra, tal como durante a Guerra Fria, onde Estados Unidos e União Soviética usaram esses métodos a fim de esconder do inimigo suas ações e movimentações, criptografando-as e impedindo que outros que não possuíssem a chave pudessem ler, forçando-os a usar diversos métodos para quebrar os códigos de criptografia.
182
Fundamentos de Segurança da Informação
Criptografia
Depois disso surgiram diversos tipos de criptografia, tais como a por chave simétrica, por chave assimétrica e por hash.
183
Fundamentos de Segurança da Informação
Criptografia
Tipos de Algoritmos de Criptografia
Block Chiphers Criptografam as mensagens em blocos de dados
tornando o processo mais demorado e consequentemente mais seguro;
Stream Chiphers Criptografam as mensagens bit a bit tornando o
processo mais simples porem menos seguro;
184
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia
Criptografia simétrica ou convencional ou de chave privada: Criptosistema que usa apenas uma chave pré-
compartilhada entre as entidades de comunicação. É rápida e simples de ser implementada; Porém tem problemas na gerência e administração de
chaves; É adequada a grandes volumes de dados.
185
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Criptografia simétrica
186
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia
Criptografia assimétrica ou de chave pública: Criptosistema que usa um par de chaves,
matematicamente relacionadas, denominadas pública e privada;
Se a pública é usada para criptografar, apenas e privada pode decriptografar o texto, e vice-e-versa;
É mais lenta, no entanto não apresenta os problemas da criptografia simétrica;
É adequada a pequenos volumes de dados.
187
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Criptografia assimétrica
188
Alice envia sua chave pública para Bob
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Criptografia assimétrica
189
Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Criptografia assimétrica
190
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Criptografia assimétrica
191
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Criptografia assimétrica
192
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Obtendo o benefício das duas técnicas (simétrica e assimétrica)
193
Fundamentos de Segurança da Informação
Criptografia
Servidor de chaves públicas
http://www.rnp.br/keyserver
194
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Hash ou checksum criptográfico Cadeia de caracteres, de tamanho fixo; Pode ser utilizada para representar, de forma única,
uma informação. Função “one way”; Exemplo: um arquivo de tamanho qualquer, pode ser
representado por um checksum de, digamos, 15 caracteres.
Se o arquivo for alterado o checksum (hash) será totalmente alterado.
Pode ser utilizado para a verificação da integridade dos dados;
195
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia Hash ou checksum criptográfico
Funciona como uma uma espécie de selo de integridade.
Exemplos:
Uniminas:ae061f6a9af07bb4f5ec125151366cd uniminas: d27931796c2991037ae939d11f905b MD5.ppt: bb819825b6e74ff05e87
196
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Hash ou checksum criptográfico
197
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Criptografia
Sites para quebra de hashes
http://passcracking.ru http://md5crack.com/ http://md5decryption.com/ http://md5.thekaine.de http://authsecu.com/decrypter-dechiffrer-cracker-hash-md5/
decrypter-dechiffrer-cracker-hash-md5.php http://hashcrack.com/index.php http://hash.insidepro.com/ http://md5decrypter.com/ http://md5pass.info/ http://plain-text.info/add/
202
Fundamentos de Segurança da Informação
Criptografia
Sites para quebra de hashes
http://hashkiller.com/password/ http://www.cryptohaze.com/addhashes.php http://md5.rednoize.com/ http://milw0rm.com/cracker/insert.php http://gdataonline.com/seekhash.php http://www.c0llision.net/webcrack.php http://passcracking.com/ http://isc.sans.org/tools/reversehash.html
203
Fundamentos de Segurança da Informação
Criptografia
Funcionamento PGP (Pretty Good Privacy) Ks Chave sessão – Criptografia Convencional Kra Chave privada de A – Criptografia Pública KuaChave pública de A – Criptografia Pública EP Processo de Encriptação de Chave pública DP Processo de Decriptação de Chave pública EC Processo de Encriptação Convencional DC Processo de Decriptação Convencional H Processo de Função Hash | | Processo de Concatenação Z Processo de Compressão com o Algoritmo ZIP R64 Processo de Conversão – RADIX 64 – ASCII
204
Fundamentos de Segurança da Informação
Criptografia
205
M H ZEP | |KRa
M
H
Z-1DP
KUa
Compara
EKRa[H(M)]Autenticação Envio - a Recepção - b
Código Hash de 160 bits é gerado; A assinatura pode ser transmitida separadamente da mensagem
ou documento;
Pilares:Autenticação por meio da Assinatura
Fundamentos de Segurança da Informação
Criptografia
206
Pilar:Confidencialidade
M Z
EP
EC | |
KS
MZ-1DP
KRbEKUb[KS]
KUb
DC
ConfidencialidadeEnvio - a Recepção - b
Fundamentos de Segurança da Informação
Criptografia
207Pilar:ConfidencialidadeAutenticidade por meio da assinatura
M H ZEP | |KRa
H
DP
KUa
Compara
EKRa[H(M)]
EP
EC | |
KS
MZ-1DP
KRb
EKUb[KS]
KUb
DC
EKUb[KS]
Envio
Recepção
Fundamentos de Segurança da Informação
208
H
EP | |
DC
Geração de Mensagem PGP
M H
EPRng
EC
| |
ChaveiroChave Privada
ChaveiroChave Pública
Frase Secreta
SelecionaIDbSeleciona
IDa
ResumoMensagem
KRa
KUb
KRaEncriptado
ID Chave
Mensagem+
Assinatura
Mensagem+Assinatura
Encriptados
ID Chave
Saída
KS
KS
Fundamentos de Segurança da Informação
209
Recepção de Mensagem PGP
MensagemEncriptada
+Assinatura
ID ChaveReceptor
Chave SessãoEncriptada
H
DC
DP
DCMensagem
ID ChaveEmissor
ResumoEncriptado
DP
H
Compara
Seleciona
SelecionaChavePrivadaEncriptada
Frase Secreta
KRb
KS
KUa
ChaveiroChave Privada
ChaveiroChave Pública