SEGURETAT A INTERNET

CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament d’Arquitectura de Computadors

(apunts de l’assignatura en format transparència)

SEGURETAT A INTERNETJoan Marcel Duran Olive

CONCEPTES AVANÇATS DE SISTEMES OPERATIUS

Departament. d’Arquitectura de Computadors - UPC

2

Contingut Introducció Protocol SSL Protocol SET Adreces útils



3

Introducció Necessitat de protegir les dades Necessitat de conèixer les parts afectades

– Emisor– Receptor

Necessitat de generar transaccions Utilització de tècniques i métodes fiables Apareix S-HTTP (Secure Hyper Text Protocol)



4

Introducció - S-HTTP Afecta al nivell aplicació

– Implementat sobre la mateixa aplicació Independent dels protocols de xarxa inferiors

– Protocols com TCP inalterats Permet diferents mecanismes

– Signatura digital– Autenticació– Encriptació (dif. Mètodes criptogràfics)

Encriptació pública en un únic sentit (sense autenticació per la part client)



5

Introducció - S-HTTP Negociació entre el client/servidor Esquema utilitzat: shttp://www.fib.upc.es Problemes:

– Qualsevol aplicació ho ha d’implementar– Autentificació client



6

Protocol SSL - Característiques Protocol Secure Socket Layer Especificacions fetes per Netscape L’aplicació és independent de la implementació de la

seguretat– Aplicable a qualsevol aplicació, no només a WWW

S’afegiex un nivell entre el nivell d’aplicació i el nivell de transport

Intervé una negociació entre el client i el servidor. Esquema utilitzat: https://www.fib.upc.es



7

Protocol SSL - Esquema Interacció:

Aplicació usuari

SSL

TCP

Text

TextEncriptat

Text

TextEncriptat



8

Protocol SSL - Funcionament SSL encapsula les dades en un registre SSL Utilitza un protocol de negociació “handshake protocol”

– El client envia un missatge “Client-hello” al servidor• Dades (autenticació posterior) + Especificacions de xifradors

– El servidor respon amb un altre missatge “Server-hello”• ID. Connexió aleatori + Especif. Xifrat + certificat clau pública

– El client envia dos missatges (1ª part)– Missatge “Client-key”

• Clau mestre del client (utilització clau pública servidor)

– Misatge “Client-finish”• ID. Connexióanterior (utilització clau privada del client)



9

Protocol SSL - Funcionament– El servidor envia dos missatges (2ª part)– Missatge “Server-verify”

• Dades inicials (utilització clau privada servidor)

– Missatge “Server-finish”• ID. Sessió (utilització clau privada servidor)



10

Protocol SSL - Observacions 1ª part Autenticació de missatge provinent del

mateix client 2ª part Autenticació del servidor El Id. Sessió proveeix un mecanisme de reconnexió

– No cal renegociar l’encriptació a utilitzar– No cal reenviar les claus

• Missatge “Client-hello” referint-se a un Id. Sessió anterior

• El client i el servidor mantenen una cache de sessions on es guarden les opcions d’encriptació rebudes per l’altra part

L’autenticació del client la demana el servidor amb un missatge “request-certificate” anterior al server-finish



11

Protocol SSL - Esquema Interacció:

Client SSL Servidor SSL

Server-hello (Id. Connexió+ certif. clau pública+especif. xifrat)

Server-verify (Dades encriptat privat)

Server-finish (Id. Sessió encriptat privat)

Client-key (Clau pública encriptat públic)

Client-hello (Dades+espec. Xifrat)

Client-finish (Id. Connexió encriptat privat)



12

Protocol SET - Característiques Secure Electronic Transaction Especificació oberta per part de Visa i Mastercard

antigament rivals Incorpora l’ús de la clau pública-privada Necessitat de Software especial a la part del client i a la part

del comerciant Part de tecnologia resideix a l’entitat financera del

comerciant Intervenen les CA’s (Certificate Authority) per a produir

certificats digitals



13

Protocol SET - Característiques Especificació SET composta per

– 1er llibre Especificacions de negoci– 2on llibre Especificacions tècniques– 3er llibre Definició del protocol

Entitats que intervenen– Consumidor– Banc del consumidor– Comerciant– Banc del comerciant (Acreedor)

• Pasarela de pagament

– Targes de crèdit (Visa, Mastercard,..)



14

Protocol SET - Requeriments Proveïr confidencialitat per la informació de compra i de

pagament. Asegurar la integritat de les dades Proveïr autenticitat per la part compradora

– Usuari legítim d’un compte de crèdit Proveïr autenticitat per la part venedora

– Acceptació de transaccions a través de la relació amb la seva entitat financera



15

Protocol SET - Funcionament Utilització de criptografia simètrica i assimètrica

– Simètrica• clau secreta per encriptar i desencriptar el missatge

– Assimètrica• clau pública

• clau privada

Utilització de signatura digital El comerciant envia la pròpia clau pública i la clau pública

del banc del comerciant a través de Certificats Digitals i també un identificador de la transacció.



16

Protocol SET - Funcionament El consumidor utilitza les claus per a posar-se en contacte

amb el Venedor i enviar la informació de compra i la informació financera.

Apareix el concepte de signatura dual– per què?

• Únic missatge per la inf. de compra i per la inf. financera

• No deixar veure la inf. de pagament (IP) al comerciant

• No deixar veure la inf. de l’ordre (IO) al banc

– com?



17

Protocol SET - Funcionament• SDu = consumidor.E.PrK( R( R(IO) || R(IP) ))

• E(IP)= E.SmK( R(IO) + IP + SDu)

• EDi = A.E.PuK( SmK )

El comerciant NO podrà veure la informació financera, però l’ha d’enviar al seu banc (Acreedor).

El comerciant envia una resposta al consumidor conforme l’ordre d’autorització s’està processant

El consumidor es posa en contacte amb el comerciant per saber l’estat de l’autorització



18

Protocol SET - Funcionament L’Acreedor serà l’encarregat de verificar la informació de les

dues parts, enviades per el comerciant Posteriorment es posarà en contacte amb el banc del

consumidor per fer les verificacions de la informació financera i efectuar el càrrec-ingrés.

L’acreedor envia confirmació o denegació de l’ordre al comerciant.

El comerciant envia el producte o servei al consumidor El consumidor asegura així la privacitat de la transacció



19

Protocol SET - Funcionament Procés:

Ordinadorcomerciant

Ordinadorconsumidor

1-Petició inicial

2-Resposta inicial

3-Petició compra

5-Resposta compra



20

Protocol SET - Funcionament Procés:

Ordinadoracreedor

Ordinadorcomerciant

4-Petició autorització

Resposta autorització

Ordinadorbanc

consumidor



21

Protocol SET - Descripció procés Detalls del Procés d’adquisició

C Comprador V Venedor A Banc del venedor (Acreedor) B Banc del comprador M Missatge Mr Missatge resposta Ma Missatge autorització E Encriptació Trx Identificador Transacció R Resum (Aplicar funció hash sobre un determinat M) CD Certificat Digital SDu Sigantura Dual SDi Signatura Digital EDi Sobre Digital PuK Clau Pública PrK Clau Privada SmK Clau Simètrica IP Informació Pagament IO Informació Ordre



22

Protocol SET - Descripció procés C V (Comprador a Venedor) 1.- C.M = Peticio_Inicial(tarja_credit)

V C (Venedor a Comprador) 2.- V.M = Resposta_Inicial( V.CD + A.CD + Trx )

C V (Comprador a Venedor) 3.0- IO = IO(Trx) 3.1- IP = IP(Trx) 3.2- SDu = C.E.PrK( R( C.R(IO) || C.R(IP) )) 3.3- E(IP) = E.SmK( R(IO) + IP + SDu) 3.4- EDi = A.E.PuK( SmK ) 3.5 C.M = Petició_Adquisició( E(IP) + EDi + R(IP) + IO + C.PrK(SDu) + C.CD)

Consideracions:– 3.3 i 3.4 Només ho podrà llegir A– IO no arribarà a A



23

Protocol SET - Descripció procés V C (Venedor a Comprador) 5.1- V.SDi = R( V.Mr ) 5.2- V.M = Resposta_Adquisició

V.E.PrK( V.SDi ) + Mr + V.CD)

V A (Venedor a Acreedor) 4.1- V.Ma = cantitat + Trx + V.R(IO) 4.2- V.SDi = V.PrK( R(V.Ma) ) 4.3- V.E = V.E.SmK( V.Ma + V.SDi ) 4.4- V.EDi = A.PuK( SmK ) 4.5- V.M = Peticio_Autoritzacio (

V.Ma + V.SDi + V.E + V.EDi + C.CD + V.CD + C.E(IP)<3.3> + C.EDi<3.4>)



24

Protocol SET - Descripció procés Software del Acreedor <Validacions>

– Pas 0: comproba C.CD Verifica Venedor

– Pas 1: obté SmK del 4.4– Pas 2: obté V.Ma del 4.3– Pas 3: genera R( V.Ma )– Pas 4: obté V.R( V.Ma) del 4.2– Pas 5: coincideixen resultats dels passos 3 i 4 ?– Pas 6: comproba V.CD

Verifica Comprador– Pas 7: obté SmK del 4.5 que ve del 3.4– Pas 8: obté C.IP i C.SDu del 4.5 que ve del 3.3– Pas 9.1: obté V.R(IO) del 4.5 que ve del 4.1– Pas 9.2: genera R( V.R(IO) || R(C.IP)))– Pas 10: obté R( C.R(IO) || C.R(IP) )– Pas 11: coincideixen resultats dels passos 9.2 i 10?

Verifica transacció– Pas 12.1: obté V.Trx del pas 4.5 que ve del 4.1– Pas 12.2: obté C.Trx del pas 4.5 que ve del 3.3 que

ve del 3.1– Pas 12: comprova V.Trx = C.Trx



25

Protocol SET - Descripció procés Si el pas 12 es correcte llavors:

A B (Acreedor a Banc comprador) A.M = Petició_Autoritzacio(cap al banc comprador...) B A (Banc comprador a Acreedor) B.M = Resposta_Autoritzacio(cap al acreedor...)

A V (Acreedor a Venedor) A.M = Resposta_Autoritzacio(cap al venedor..)

Si la Resposta_autoritzacio es correcte llavors:

El venedor ja pot enviar el producte o donar el servei al comprador



26

Protocol SET - Història El 29 d’Abril de 1997 es realitza la primera prova del

sistema a Singapore Intervenen:

– IBM amb la pasarela de pagament enllaçant Citibank a Internet– Verisign produeix els certificats digitals– Globe Set, Inc: Software SET usat per American Express i el

comerç Wal-Mart– American Express: rep i autoritza la transacció.



27

Adreces útils Sistemes de pagament electrònic:

– Automated Transaction services www.atsbank.com– Commercenet www.commercenet.com– Bank Internet Payment System (BIPS)

www.fstc.org/projects/bips/index.html– Cybercash www. Cybercash.com– Cashbox www.intertrader.com

Companyies de comerç electrònic– Card Service international www.cardsvc.com– Checkfree Corporation www.checkfree.com– Cybersource Corporation www.cybersource.com



28

Adreces útils Protocol SSL

– www.netscape.com Protocol SET

– www.visa.com– www.mastercard.com



29

Bibliografia del tema Electronic commerce

– On-line ordering and digital money– Pete Loshin / Paul Murphy

www.raleigh.ibm.com/cgi-bin/bookmgr/books/ez30qd00– SecureElectronic transactions: www credit card payment

SEGURETAT A INTERNET

Documents

Transcript of SEGURETAT A INTERNET