Notes - MIECT
Segurança Informática em Organizações
Notes - MIECT
Segurança Informática em Organizações
  • Segurança Informática em Organizações
  • Introdução
    • Introdução
      • Planeamento
      • Desenvolvimento
      • Execução
      • Pessoas
      • Análise e Auditoria
      • Dimensões
      • Facetas
    • Conceitos Fundamentais
      • Domínios de Segurança
      • Políticas de Segurança
      • Mecanismos de Segurança
      • Controlos de Segurança
    • Objetos da Segurança da Informação (CIA)
    • Objetivos da Segurança
    • Aplicação da Segurança
    • Fontes de Vulnerabilidade
    • Níveis de Segurança
    • Políticas de Segurança em Sistemas Distribuídos (SD)
    • Defesa em Perímetro
    • Defesa em Profundidade
  • Vulnerabilidades
    • Vulnerabilidades
    • Exposição
    • Prontidão (Security Readiness)
    • CVE: Common Vulnerabilities and Exposures
    • CVE: Identificadores
    • Deteção de Vulnerabilidades
    • CWE: Common Weakness Enumeration
    • Gestão de Vulnerabilidades
    • Ataques de dia 0
    • Sobrevivência
  • Criptografia
    • Criptografia
    • Terminologia
    • Criptanálise
    • Cifras
      • Aproximações Teóricas
      • Aproximações Práticas
    • Robustez Criptográfica
    • Cifras Contínuas (Stream)
    • Cifras Simétricas
    • Redes de Substituição Permutação
    • Modos: Reforço da Segurança
    • Cifras Assimétricas por Blocos
    • Confidencialidade
    • Autenticidade
    • Randomização de Cifras
    • Funções de Sínteses
    • Message Integrity Code (MIC)
    • Message Authentication Code (MAC)
    • Assinaturas Digitais
    • Derivação de Chaves
  • Gestão de Chaves Assimétricas
    • Gestão de Chaves Assimétricas
    • Objetivos
    • Geração de Chaves: Princípios
    • Geração de Chaves: Cuidados
    • Distribuição de Chaves Públicas
    • Certificados Digitais de Chaves Públicas
    • Utilizações de um Par de Chaves
    • Entidades Certificadoras (CA)
    • Hierarquias de Certificação
    • Refrescamento de Chaves Assimétricas
    • Listas de Revogação de Certificados (CRL)
    • Online Certificate Status Protocol
    • Distribuição de Certificados de Chave Pública
    • PKI: Public Key Infrastructure
    • Transparência de Certificação (RFC)
  • Smartcards e Cartão de Cidadão
    • Smartcards e Cartão de Cidadão
    • Smartcards
    • Estrutura
    • Interação
    • Codificação de objetos
    • Modelos de computação do Smartcard
    • Cartão de Cidadão
    • Certificados no Smartcard: Objetivos
      • Interoperação com outras aplicações
    • Aplicações no Cartão de Cidadão
    • Middleware
      • PKCS #11
    • PTEID middleware & SDK
    • Assinatura de Documentos
    • Autenticação com o CC
    • Chave Móvel Digital (CMD)
  • Autenticação: mecanismos e protocolos
    • Autenticação: Mecanismos e Protocolos
    • Authn
    • Sujeitos
      • Biometria
      • Senhas Descartáveis
    • RSA SecurID
    • Aproximação Desafio Resposta
    • Sujeitos
    • PAP e CHAP (RFC 1334, 1992; RFC 1994, 1996)
    • S/Key (RFC 2289, 1998)
    • Sujeitos
    • GSM: Autenticação do subscritor
    • Autenticação de Sistemas
    • Autenticação de Serviços
    • TLS
    • SSH (Secure Shell)
    • Autenticação em Sistemas Específicos
    • Dispositivos móveis: Smartphones
    • Impressão Digital
    • Reconhecimento Facial
    • Computadores Portáteis
    • OS: Windows
    • OS: Linux
    • Autenticação em Sistemas Distribuídos
    • SSO: Single Sign On
  • Sistemas Operativos
    • Sistemas Operativos
    • Execução de Máquinas Virtuais
    • Modelo computacional
    • Identificadores de Utilizadores (UID)
    • Identificadores de Grupos (GID)
    • Processos
    • Memória Virtual
    • Virtual File System (VFS)
    • Canais de Comunicação
    • Controlo de Acessos
    • Proteção com ACLs
    • Elevação de Privilégios: Set-UID
    • Login: não é uma operação do núcleo
    • Processo de validação da senha
    • Ferramenta sudo
    • Mecanismo chroot
    • Confinamento: Apparmor
    • Confinamento: Namespaces
    • Confinamento: Containers
  • Armazenamento
    • Problemas
    • Soluções
    • Backups
      • Compressão
      • Níveis
      • Local da Cópia
    • Seleção do Equipamento
    • RAID: Redundant Array of Inexpensive Drives
      • RAID 1 (mirroring)
      • RAID 0+1
      • RAID 4
      • RAID 5
      • RAID 6
    • NAS e SAN
    • Confidencialidade do Armazenamento
    • Soluções: Cifra de Informação
    • Aproximações
    • Nível Aplicacional
    • Nível dos Sistemas de Ficheiros
    • Nível dos Volumes
    • Nível do dispositivo
  • Segurança em redes IEEE 802.11
    • Comunicações sem fios: aspetos de segurança
    • Phy: Redução de interferência e interceção
    • MAC: Redução de interferência e interceção
    • IEEE 8902.11: Arquitetura em Redes Estruturadas
    • IEEE 8902.11: Terminologia
    • Tipos de Mensagens
    • WEP (Wired Equivalent Privacy)
    • Mitigação dos problemas do WEP: WPA
    • Ataque Beck-Tews
    • IEEE 802.11i: WPA2
    • IEEE 802.1X
      • Fases
      • Hierarquia de Chaves
    • EAP (Extensible Authentication Protocol)
    • IEEE 802.11: Segurança resolvida?
    • WPA2
      • Ataques: Segurança Futura
      • Descoberta de senhas
      • Reinstalação de chaves
Powered by GitBook
On this page
  • Considerados dispositivos pessoais
  • Podem fazer uso do cartão SIM ou de outro Hardware
  • Pode fazer uso de variados métodos de autenticação
  • Composto por vários elementos distintos
  • Android
  • Trusted Execution Environment (TEE)
  • Gateways de Segurança
  • Credenciais associadas a um sujeito
  • Android - Gatekeeper
  • Necessário aprovisionamento inicial
  • Gatekeeperd (no REE)
  • Fingerprintd (no REE)
  • Authn
  • Android - Keymaster
  • Fornece acesso ao armazenamento (keystore)
  • Keymaster 1: Android 6
  • Keymaster 2: Android 7
  • Keymaster Key Attestation
  • Objetivo
  • Outras garantias:
  • Resultado
  • Keymaster 3: Android 8
  • Keymaster 4: Android 9
  1. Autenticação: mecanismos e protocolos

Dispositivos móveis: Smartphones

Considerados dispositivos pessoais

Frequentemente utilizados para autenticação 2 fatores

Podem fazer uso do cartão SIM ou de outro Hardware

SIM é vendido a um sujeito identificado

Acesso ao SIM é protegido por um PIN

Pode fazer uso de variados métodos de autenticação

Senhas, PINs, Padrões, Biometria

Composto por vários elementos distintos

REE: corre aplicações instalados pelos utilizadores

Baseband: executa código para comunicação

SIM: autentica o utilizador

TEE: Armazena chaves/realiza operações criptográficas

Android

Trusted Execution Environment (TEE)

Executa um SO distinto: TrustyOS, Kinibi, QSEE

Implementado num sub-sistema isolado ou virtualizado

Composto por Trustlets (pequenas aplicações)

Gateways de Segurança

Gatekeeper: para PINs/Passwords e Padrões

Fingerprint: para impressões digitais

Credenciais associadas a um sujeito

Fornecimento de credenciais desbloqueia as chaves

Android - Gatekeeper

Necessário aprovisionamento inicial

Identidade mais umas credenciais

User Secure ID (SID): 64 bits aleatórios

  • Identificam o utilizador

  • Servem de contexto para o material criptográfico

Gatekeeperd (no REE)

Envia credenciais para o gatekeeper (no TEE)

Obtém um AuthToken para o SID, com HMAC

  • chave do HMAC é temporária e serve de autenticação

Usa o AuthToken para aceder ao Keystore

Keystore verifica que o AuthToken é recente e válido

Fingerprintd (no REE)

Age de forma semelhante mas com um modelo

Authn

PIN: Introdução direta de dígitos

  • Tipicamente 4, mas podem ser até 16

  • Vulnerável a ataques por força bruta e canais paralelos

Senha: Introdução direta de vários carateres

  • Frequentemente limitada a 16

  • Mesmos problemas que o PIN, mas mais seguro

Padrão: Introdução direta de um padrão

  • Potencialmente muito menos seguro que o PIN

  • Armazenado como um SHA-1 (sem sal)

  • Vulnerável a ataques “sobre o ombro”, marcas dos dedos

Android - Keymaster

Fornece acesso ao armazenamento (keystore)

Baseado em chamadas de API (não é um acesso RW)

Só fornece acesso mediante AuthTokens válidos

Keymaster 1: Android 6

API de assinatura (assinar, verificar, importar chaves)

Keymaster 2: Android 7

Suporte para AES e HMAC

Key Attestation: certifica chaves (origem, propriedades, utilização)

Version Binding: associa chaves a versões do TEE

Keymaster Key Attestation

Objetivo

Garantir que as chaves provêm do TEE implementado em hardware e são autênticas

Outras garantias:

Que foram geradas no TEE atual (baseado num ID)

Que são associadas à aplicação que faz o pedido

Que o dispositivo iniciou de forma segura

Resultado

Um certificado X.509

  • assinado por um certificado raiz para este uso

  • com uma extensão que contém o resultado

Keymaster 3: Android 8

ID Attestation: Validação que as chaves estão associadas ao dispositivo

  • IMEI, Número de Série, Identificadores do hardware

  • Mecanismos semelhante ao Key Attestation (baseado em X.509)

Keymaster 4: Android 9

Suporte para Elementos Embutidos de Segurança

  • Integração de elementos seguros dentro do TEE

PreviousAutenticação em Sistemas EspecíficosNextImpressão Digital

Last updated 3 years ago