É um serviço de autenticação desenvolvido como parte do projeto ATHENA no MIT. O problema que é objetivo para Kerberos resolver é: Assumindo um ambiente distribuído aberto em que usuários de workstations desejam acessar serviços em servidores distribuídos através da rede. Nós desejamos que servidores sejam capazes de restringir acesso a usuários autorizados e sejam capazes de autenticar pedidos para serviços. Neste ambiente uma workstation não pode estar confiante que identifica seus usuários corretamente para serviços de rede. Em particular, as seguintes ameaças existem:

• Um usuário pode ganhar acesso para uma workstation particular e pretender ser um outro usuário operando desta workstation
• Um usuário pode alterar um endereço de rede de uma workstation, de forma que pedidos enviados da workstation alterada chegarão na workstation personificada
• ...

Em qualquer destes casos, um usuário não autorizado pode ser capaz de ganhar acesso a serviços e dados que ele não tem autorização para acessar.

Ao contrário de protocolos de autenticação construídos de maneira elaborada para cada servidor, Kerberos oferece um serviço de autenticação centralizado cuja função é autenticar usuários para servidores e servidores para usuários. Kerberos conta exclusivamente com criptografia convencional, sem fazer uso de criptografia de chave pública.

Duas versões estão em uso. Versão 4, mais usada. Versão 5, que corrige algumas falhas de segurança da Versão 4 e tem sido utilizada como um DRAFT INTERNET STANDARD.

1. Motivação

Se um conjunto de usuários utiliza computadores pessoais que não possui conexões de rede, então os recursos de usuários e arquivos podem ser protegidos fisicamente cada um. Quando ao invés disto os usuários são servidos por um sistema centralizado de time-sharing, o sistema operacional time-sharing deve oferecer segurança. O sistema operacional pode utilizar políticas de controle de acesso baseadas na identificação do usuário e utilizar o procedimento de logon para identificá-los.

Atualmente, nenhum destes cenários é típico. Mais comum é uma arquitetura distribuída que possui workstations dedicadas (clientes) e servidores distribuídos ou centralizados. Nesta ambiente, três abordagens para segurança podem ser consideradas:

• Contar com cada workstation cliente individual para garantir a identidade e seus usuários e contar com cada servidor para utilizar políticas baseadas na identificação do usuário(ID)
• Pedir que os próprios sistemas clientes se autentiquem para servidores, mas confiar que o sistema cliente fará a identificação do usuário
• Pedir para o usuário informar a identificação para cada serviço invocado. Também pedir que servidores provem suas identidades aos clientes

Em ambientes pequenos, fechados em que os sistemas operam por uma simples organização, a primeira ou a segunda estratégia pode ser suficiente. Mas em um sistema mais aberto, em que são suportadas conexões de rede para outras máquinas, a terceira abordagem é necessária para proteger informações e recursos de usuários residentes no servidor. Esta terceira abordagem é suportada por Kerberos. Kerberos assume uma arquitetura distribuída cliente/servidor e coloca um ou mais servidores Kerberos para oferecer serviço de autenticação.

Alguns requisitos para Kerberos são:

• Segurança: um invasor de rede não deve ser capaz de obter as informações necessárias para se passar por um outro usuário. De forma mais geral, Kerberos deve ser robusto o suficiente para que um oponente não consiga invadir a rede.
• Confiabilidade: todos os serviços confiam em Kerberos para controle de acesso. Assim Kerberos deve ser altamente confiável e deve utilizar uma arquitetura de servidor distribuída, com um sistema capaz de fazer backup do outro.
• Transparência: o ideal é que o usuário não perceba onde está sendo feita a autenticação quando é pedido para entrar com a password.
• Escalonável: O sistema deve ser capaz de suportar grande número de servidores e clientes. Novamente, isto sugere uma modular, arquitetura distribuída.

Embora o cenário anterior resolve alguns dos problemas de autenticação em um ambiente de rede aberto, problemas ainda existem. Entre eles dois em particular. Primeiro, nós gostaríamos de minimizar o número de vezes que o usuário tem que entrar com a password. Suponha que cada ticket pode ser usado apenas uma vez. Se usuário C loga em uma workstation pela manhã e deseja verificar suas mail em um servidor de mail, C deverá entrar com a password para pegar um ticket para o servidor de mail. Se C deseja verificar suas mail várias vezes durante o dia, cada tentativa precisa que a password seja entrada novamente. Nós podemos melhorar isso se considerarmos que tickets são reusáveis. Para uma simples sessão de logon, a workstation pode armazenar o ticket do servidor de mail e utilizá-lo para vários acessos para o servidor de mail.

Neste esquema, temos ainda o caso que o usuário precisará de um novo ticket para todo serviço diferente. Se um usuário quiser acessar um servidor de impressão, um servidor de mail e um servidor de arquivo ao mesmo tempo, a primeira instância de cada acesso requer um novo ticket e assim precisa que o usuário entre com a password.

O segundo problema é que o cenário anterior envolve uma transmissão plaintext da password. Um invasor pode capturar a mensagem e usar qualquer serviço acessível a vítima.

Para resolver estes problemas adicionais, foi introduzido um esquema para evitar password plaintext e um novo servidor, conhecido como servidor ticket-granting (TGS). O novo mas ainda hipotético cenário é como segue:

uma vez por sessão de logon de usuário

C -> AS : ID_c, ID_Tgs

AS -> C : E_kc[Tickert_Tgs]

uma vez por tipo de serviço

C -> TGS : ID_c, ID_v, Ticket_Tgs

TGS -> C : Ticket_v

uma vez por sessão de serviço

C -> V : ID_c, Ticket_v

Ticket_tgs = E_ktgs [ID_c,ADc,ID_tgs,TS₁,Lifetime₁]

Ticket_v = E_kv [ID_c, AD_c, ID_v, TS_2, Lifetime₂]

O novo serviço, TGS, dá tickets para usuários que tenham sido autenticados pelo AS. Assim, o usuário primeiro requisita um ticket ticket-granting (Ticket tgs) de AS. Este ticket é salvo pelo módulo cliente na workstation do usuário. Cada vez que o usuário requer acesso para um novo serviço, o cliente aplica para o TGS, usando o ticket para autenticá-lo. O TGS então dá um ticket para o serviço particular. O cliente salva cada ticket service-granting e usa-o para autenticar seu usuário para um servidor cada vez que um serviço particular é requisitado. Agora, veremos detalhes deste esquema:

1. O cliente requisita um ticket ticket-granting por parte do usuário enviando o ID do usuário para o AS, junto com o TGS ID, indicando um request para usar o serviço TGS.
1. O AS responde com um ticket que é criptografado com uma chave que é derivada da password do usuário. Quando esta resposta chega ao cliente, o cliente pede ao usuário para entrar com sua password, gera a chave, e tenta decriptografar a mensagem que chegou. Se a password correta é fornecida, o ticket é recuperado com sucesso.

Como apenas o usuário correto deve conhecer a password, apenas o usuário correto pode recuperar o ticket. Assim, foi utilizado a password para obter credenciais Kerberos sem ter que transmitir a password plaintext. O ticket inclui o ID e endereço de rede do usuário, e o ID d TGS. Isto corresponde ao primeiro cenário. Agora, a idéia é que este ticket pode ser usado pelo cliente para requisitar múltiplos tickets service-granting. Assim o ticket ticket-granting é para ser reusável. Entretanto, nós não queremos que um oponente seja capaz de capturar o ticket e usá-lo. Considere o seguinte cenário: Um oponente captura o ticket e espera até que o usuário log off da workstation. Então o oponente ou ganha acesso para esta workstation ou configura sua workstation com o mesmo endereço de rede da vítima. Para ir de encontro a isto, o ticket inclui um timestamp, indicando a data e a hora que o ticket foi dado, e um tempo de vida, indicando o tempo que este ticket é válido. Assim, agora o cliente tem um ticket reusável e não precisa que o usuário entre com a password para cada novo serviço requisitado. Finalmente, note que o ticket ticket-granting é criptografado com uma chave secreta conhecida apenas pelo AS e pelo TGS. Isto previne alteração do ticket. O ticket é recriptografado com uma chave baseada na password do usuário. Isso garante que o ticket pode ser recuperado apenas pelo usuário correto dando a autenticação.

Agora que o cliente tem um ticket ticket-granting, acesso a qualquer servidor pode ser obtido com os seguintes passos:

3. O cliente pede um ticket service-granting por parte do usuário. Para isto, o cliente transmite uma mensagem para o TGS contendo o ID do usuário, o ID do serviço desejado, e o ticket ticket-granting.

4. O TGS decriptografa o ticket que chega e verifica o sucesso da decriptografia pela presença de seu ID. Ele checa para estar certo de que o tempo de vida não expirou. Então ele compara o ID do usuário e o endereço de rede com a informação que chega para do usuário autenticado. Finalmente, ele dá um ticket para dar acesso ao serviço requisitado.

O ticket service-granting tem a mesma estrutura que o ticket ticket-granting. Devido ao fato de TGS ser um servidor, nós esperamos que os mesmos elementos sejam necessários para autenticar um cliente para o TGS e para autenticar um cliente para um servidor de aplicação. Novamente. O ticket contém um timestamp e um tempo de vida. Se o usuário quiser acessar o mesmo serviço mais tarde, o cliente pode simplesmente usar o ticket service-granting obtido anteriormente, não sendo necessário que o usuário entre com a senha novamente. Note que o ticket é criptografado com uma chave secreta conhecida apenas pelo TGS e pelo servidor, prevenindo alteração.

Finalmente, com um ticket service-granting, o cliente pode dar acesso ao serviço correspondente com passo 5:

5. O cliente requisita acesso para um serviço por parte do usuário. Para isto, o cliente transmite uma mensagem para o servidor contendo o ID do usuário o ticket service-granting. O servidor autentica utilizando o conteúdo do ticket.

Este cenário satisfaz os dois requisitos, de apenas uma consulta para password por sessão de usuário e proteção da password.

Um ambiente Kerberos consistindo de um servidor Kerberos, um número de clientes e um número de servidores de aplicação, requer o seguinte:

• o servidor Kerberos deve ter o UID e password de todos os usuários participantes em uma base de dados. Todos os usuários são registrados no servidor Kerberos.
• o servidor Kerberos deve compartilhar uma chave secreta com cada servidor. Todos servidores são registrados no servidor Kerberos.

Tal ambiente é chamado um realm. Redes de clientes e servidores sob diferentes organizações administrativas geralmente constituem diferentes realms. Entretanto, usuários em realm podem precisar acessar servidores em outros realms, e alguns servidores podem prover serviços para usuários em outros realms, visto que estes usuários são autenticados.

Kerberos prove um mecanismo para suportar tal autenticação inter-realm. Para dois realms suportarem autenticação inter-realm, um terceiro requisito é adicionado:

• o servidor Kerberos em cada realm interoperando, compartilha uma chave secreta com o servidor no outro realm. Os dois servidores Kerberos são registrados um no outro.

O esquema requer que o servidor Kerberos em um realm confie no servidor Kerberos no outro realm para autenticar seus usuários. Da mesma forma, os servidores do segundo realm devem confiar no servidor do primeiro realm para autenticar seus usuários.

Com estas regras, pode-se descrever o mecanismo como segue: um usuário que deseja um serviço de um servidor em um outro realm precisa de um ticket para este servidor. O cliente do usuário segue o procedimento usual para pegar acesso para um TGS local e então requisita um ticket ticket-granting para um TGS remoto (TGS em um outro realm). O cliente pode então pedir para o TGS remoto um ticket service-granting para o servidor desejado no realm do TGS remoto.

Como é feita esta comunicação:

(1) C -> AS (3) C -> TGS (5) C -> TGS_rem (7) C -> V_rem

(2) AS -> C (4) TGS -> C (6) TGS_rem -> C

O ticket apresentado para o servidor remoto indica em que realm o usuário foi originalmente autenticado.

Se existe N realms, então deve ter [N(N-1)]/2 comunicação de chaves seguras de forma que cada realm Kerberos pode interoperar com todos os outros realms Kerberos.

Versão 5 tem como objetivo melhorar as limitações de versão 4 em duas áreas: falhas ambientais e deficiências técnicas. Serão citadas algumas delas:

• Dependência do sistema de criptografia: versão 4 precisa utilizar DES. Em versão 5 o ciphertext é marcado com um identificador do tipo de criptografia, assim qualquer técnica pode ser usada. Chaves de criptografia são marcadas com o tipo e o tamanho, permitindo a mesma chave ser usada em diferentes algoritmos e permite a especificação de diferentes variações em um dado algoritmo.
• Dependência do protocolo Internet: versão 4 requer o uso de endereços IP. Versão 5 endereços são marcados com o tipo e o tamanho, permitindo que qualquer tipo de endereço de rede seja utilizado.
• Tempo de vida do ticket: em versão 4 valores de tempo de vida são codificados com 8 bits em unidades de 5 minutos. Assim, o tempo de vida máximo que pode ser expresso é 2⁸ x 5 = 1280 minutos ou 21 horas. Isto pode ser inadequado para algumas aplicações ( ex: simulação de longa execução que precisa de credenciais Kerberos durante a execução). Em versão 5 , tickets incluem um tempo inicial e um tempo final, permitindo tickets com tempo de vida arbitrários.
• Forward de autenticação: versão 4 não permite que credenciais de um cliente sejam forward para algum outro host e usado por outro cliente. Isto pode permitir que um cliente acesse um servidor e este servidor acesse outro servidor por parte do cliente. Por exemplo, um cliente requisita serviço de um servidor de impressão que então acessa o arquivo do cliente no servidor de arquivos, usando a credencial do cliente para acessar. Versão 5 tem esta capacidade.
• Autenticação inter-realm: em versão 4, interoperabilidade entre N realms precisa na ordem de N² relações Kerberos como descrito anteriormente. Versão 5 suporta um método que precisa de poucas relações.

Além das limitações citadas temos as limitações técnicas da versão 4. Muitas destas deficiências foram documentadas e tentou-se resolvê-las em versão 5.

• Criptografia dupla: nas mensagens 1 e 4 de versão 4 mostradas anteriormente, os tickets dados aos clientes são criptografados duas vezes, uma com a chave secreta do servidor destino e mais uma vez com a chave secreta conhecida pelo cliente. A segunda é considerada desnecessária.
• Criptografia PCBC: criptografia em versão 4 utiliza um modo não padrão de DES conhecido como plain-e-cipher cadeia de bloco (PCBC).Foi demonstrado que este modo é vulnerável a um ataque envolvendo a troca de blocos ciphertext. O PCBC foi desenvolvido para dar um check de integridade como parte da operação de criptografia. Versão 5 provê mecanismos de integridade explícitos, permitindo o modo padrão CBC ser usado para criptografia.
• Chaves de sessão: cada ticket inclui uma chave de sessão que é usada pelo cliente para criptografar o autenticador enviado para o serviço associado a cada ticket. Além disso, a chave de sessão pode subseqüentemente ser usada pelo cliente e pelo servidor para proteger mensagens durante esta sessão. Entretanto, porque o mesmo ticket pode ser usado repetidamente para pedir serviço de um servidor particular, há o risco de um oponente replay mensagens de uma sessão antiga para o cliente ou para o servidor. Em versão 5, é possível para um cliente e para um servidor negociar uma chave de subseção, a qual pode ser usada para uma única conexão. Um novo acesso pelo cliente resultará no uso de uma nova chave de subseção.
• Ataques de password: uma vulnerabilidade compartilhada por ambas versões é o ataque a password. A mensagem do AS para o cliente inclui material criptografado com a chave baseada na password do cliente. Um oponente pode capturar esta mensagem e tentar decriptografar ela tentando várias passwords. Se o resultado de um teste de decriptografia der certo, então o oponente descobriu a password do cliente e poderá utilizá-la subseqüentemente para autenticação de credenciais Kerberos. Versão 5 oferece um serviço de pré-autenticação que torna o ataque a password mais difícil, mas não previne totalmente.

Primeiro considere a comunicação do serviço de autenticação.

Mensagem 1 : cliente requisita um ticket ticket-granting.

Mensagem 2 retorna o ticket ticket-granting.

Os flags introduzem nova funcionalidade significante para versão 5. Serão discutidos mais adiante.

Comparando agora a comunicação do serviço ticket-granting para versões 4 e 5.

Como podemos ver a mensagem 3 para ambas versões incluem um autenticador, um ticket, e o nome do serviço requisitado. Além disso, versão 5 inclui times e requisitados e opções para o ticket e um nonce, todos com funções similares a mensagem 1. O autenticador é essencialmente o mesmo do utilizado em versão 4.

Mensagem 4 tem a mesma estrutura da mensagem 2, retornando um ticket com informações a mais necessárias para o cliente, a última criptografada com a chave de sessão agora compartilhada pelo cliente e pelo TGS.

Finalmente, a comunicação da autenticação cliente/servidor, várias características novas aparecem em versão 5.

Abaixo temos uma breve descrição do que significa cada flag que pode ser incluída nos tickets em versão 5.

Correio eletrônico é uma das aplicações de rede mais utilizadas atualmente. Além disso, é uma aplicação distribuída que é usada amplamente através de várias arquiteturas e plataformas.

Com o grande crescimento do uso do correio eletrônico para vários propósitos, cresceu também a necessidade do uso de serviços de autenticação e confidencialidade.

Alguns dos serviços solicitados são:

• Privacidade: É a habilidade de fazer com que só o receptor da mensagem possa lê-la.
• Autenticação: O receptor fica sabendo da identidade da pessoa que mandou a mensagem.
• Integridade: Faz com que a mensagem não seja alterada no caminho do remetente ao receptor.
• Prova de recepção: O receptor pode provar a um terceiro que o remetente realmente mandou a mensagem.
• Prova de envio: Certifica ao remetente que a mensagem passou pelo sistema de entrega do correio.
• Prova de entrega: Verificação de que o destinatário recebeu a mensagem.
• Confidencialidade do fluxo de mensagem: Uma extensão de privacidade, com a diferença que não se pode saber se a mensagem foi mandada de uma pessoa para outra.
• Anonimato: Mandar uma mensagem sem que a outra pessoa saiba quem a mandou.
• Contenção: A habilidade da rede de manter alguns níveis de segurança de informação.
• Auditoria: A rede grava alguns eventos que têm alguma relevância para segurança.
• Auto destruição: Uma opção que permite que a mensagem seja destruída após ser lida pelo destinatário.
• Integridade da seqüência das mensagens: Toda a seqüência de mensagem chega ao destinatário na ordem transmitida e sem nenhuma perda.

Privacidade

A maioria das pessoas pensa que o correio eletrônico tem privacidade, mas há algumas maneiras de ler mensagens alheias:

• A mensagem pode ser lida enquanto está sendo transmitida pelo meio físico. Se a rede tiver links criptografados, isso pode ser evitado.
• Nós (routers ou mail fowarders) podem ter softwares que guardam as mensagens e as divulgam para outras pessoas que não são as receptoras de fato.

Uma maneira de mandar uma mensagem para outra pessoa sem que outras possam lê-la é usar criptografia. Para isso a chave do destinatário deve ser usada na cifragem. Caso a pessoa queira mandar a mesma mensagem para várias pessoas diferentes, ela deve criptografar a mensagem com uma chave qualquer C e criptografar C para cada destinatário com sua respectiva chave, evitando assim de criptografar a mesma mensagem com cada chave diferente.

Autenticação

Quando uma pessoa recebe uma mensagem, geralmente ela quer saber se o remetente é realmente que consta na mensagem é realmente quem a mandou. Por este motivo, há alguns mecanismos de autenticação. Uma maneira de autenticar a mensagem é por nela uma assinatura digital. O remetente pode colocar na mensagem sua chave privada, assumindo que o destinatário conhece a chave pública do remetente. Desta maneira o receptor tem a certeza que a mensagem é segura. Uma outra maneira é quando ambos, remetente e destinatário tem uma chave secreta em comum. Colocando um trecho da mensagem criptografado com a chave secreta assegura ao receptor que o remetente é realmente quem se diz ser.

Integridade de mensagem

Não adianta a mensagem ser autenticada se não houver a certeza de que ela está íntegra, se não houve modificação em seu conteúdo durante a transmissão. Geralmente, quando o serviço de autenticação é oferecido, o serviço de integridade também o é.

Prova de recepção

Pode acontecer o fato de a pessoa negar que mandou a mensagem para outra pessoa. Isto pode ser evitado usando autenticação. Se o remetente manda uma mensagem autenticada para outra pessoa, o receptor pode provar que foi esta pessoa quem mandou a mensagem através da assinatura digital.

Para este propósito, são usados o PGP (Pretty Good Privacy) e o PEM( Privacy_Enhanced Mail). Neste documento abordaremos os aspectos do PGP.

1. Pretty Good Privacy (PGP)

PGP foi desenvolvido por Phil Zimmermann para oferecer um serviço com confidencialidade e autenticação que pode ser usado em aplicações de correio eletrônico e manutenção de arquivos.

Essencialmente, o que Zimmermann fez foi:

• Selecionou os melhores algoritmos de criptografia;
• Integrou estes algoritmos em uma aplicação de propósito geral que é independente de sistema operacional e processador baseado em um conjunto pequeno de funções fáceis de usar;
• Tornou o pacote com sua documentação, incluindo o código fonte, livre para acesso via Internet;

Os motivos que tornaram o PGP bastante popular foram:

• Está disponível livremente em versões que rodam em diferentes plataformas incluindo DOS/Windows, UNIX, Machintosh, e muitas outras. Além disso, a versão comercial do PGP dá direito a suporte.
• Foi desenvolvido utilizando algoritmos que sobreviveram a extensivas revisões públicas e são considerados extremamente seguros. Especificamente, o pacote inclui RSA para cifragem utilizando chave pública, IDEA para cifragem convencional, e MD5 para hash coding.
• Tem uma variedade de aplicações distintas. Desde uma corporação que deseja ter um padrão para criptografar seus arquivos e mensagens até indivíduos que desejam se comunicar com outras pessoas com segurança.
• Não foi desenvolvido nem é controlado por nenhuma organização governamental.

• Autenticação
• Confidencialidade
• Compressão
• Compatibilidade de e-mail
• Segmentação

A autenticação segue a seguinte seqüência:

• transmissor cria a mensagem;
• MD5 é usado para gerar o hash code da mensagem com 128 bits;
• O hash code é criptografado utilizando RSA com a chave privada do transmissor, e o resultado é integrado à mensagem;
• O receptor usa RSA com a chave pública do transmissor para descriptografar e restabelecer o hash code;
• O receptor gera um novo hash code para a mensagem e compara-o com o hash code descritpografado. Se os dois forem compatíveis, a mensagem é aceita como autêntica.

Figura 1 - Autenticação

Pode ser necessária para criptografar mensagens a serem transmitidas ou arquivos a serem guardados. Em ambos os casos, a criptografia convencional é utilizada. O algoritmo usado é o IDEA.

O problema enfrentado é como distribuir a chave secreta, já que este tipo de cifragem utiliza uma única chave que deve ser mantida secreta por ambos transmissor e receptor. Em PGP, cada chave convencional é usada uma única vez. Ou seja, uma nova chave é gerada randomicamente como um número de 128 bits para cada mensagem.

Os passos são os seguintes:

• O transmissor gera a mensagem e um número randômico de 128 bits para ser usada como chave de sessão para apenas a mensagem corrente;
• A mensagem é cifrada, usando IDEA com a chave de sessão;
• A chave de sessão é cifrada com RSA, usando a chave pública do receptor, e é integrada à mensagem;
• O receptor usa RSA com sua chave privada para decifrar e obter a chave de sessão;
• A chave de sessão é usada para decifrar a mensagem.

Figura 2 - Confidencialidade

PGP faz a compressão dos dados depois de aplicar a assinatura, mas antes de cifrar a mensagem. A assinatura é gerada antes da compressão por dois motivos:

• É preferível assinar uma mensagem não comprimida porque a mensagem não comprimida pode ser guardada juntamente com a assinatura para verificações futuras. Se a assinatura fosse aplicada a uma mensagem comprimida, seria necessário guardar uma versão comprimida da mensagem para verificações futuras ou recomprimir a mensagem para verificar sua autenticidade quando fosse necessário novamente;
• Mesmo que alguém quisesse dinamicamente gerar mensagens recomprimidas para verificação, haveria problemas. O algoritmo de compressão não é determinístico; várias implementações do algoritmo apresentam variações em tempo de execução e raio de compressão, e como resultado gera diferentes formatos de compressão.

A mensagem é criptografada depois da compressão para aumentar o grau de segurança. Como a mensagem comprimida tem menos redundância que o texto original, a criptanálise é mais difícil.

Tabela 1 - Resumo dos serviços oferecidos pelo PGP.

Serviços do PGP

• Autenticação
• Utiliza assinatura digital
• Confidencialidade
• Utiliza criptografia
• Confidencialidade e autenticação

• Assinatura digital é gerada e a mensagem é criptografada.

• Compressão

• Compressão é aplicada depois da geração da ass. digital e antes do texto ser criptografado.

• Segmentação e remontagem

• A segmentação é feita depois de todos os outros processamentos. A chave secreta e assinatura só aparecem no início do primeiro segmento.

Figura 4 - Diagrama genérico de transmissão ( de A ).

Figura 5 - Diagrama genérico de recepção ( para B ).

PGP faz uso de quatro tipos de chave: chave de sessão, chave pública, chave privada, e chave baseada em passphrase.

Tabela 2 - chaves usadas pelo PGP.

Cada chave de sessão é associada a uma única mensagem e é usada apenas para cifrar e decifrar esta mensagem. Números randômicos de 128 bits são gerados utilizando o algoritmo RSA.

Uma mensagem criptografada é acompanhada de uma chave de sessão cifrada com a chave pública do receptor. Desta forma, apenas o receptor poderá decifrar a chave de sessão utilizando sua chave privada e em seguida decifrar a mensagem. Se cada usuário tivesse apenas um par de chaves pública/privada, esta decifragem poderia ser feita automaticamente. Mas, cada usuário pode ter mais de um par. Uma das razões do usuário ter mais de uma par de chaves é para poder utilizar cada par com um grupo diferente de usuários.

Uma forma de solucionar este problema de qual chave deve ser a utilizada é transmitir a chave pública juntamente com a mensagem. Esta solução não é muito interessante pois gera um overhead desnecessário. Uma outra solução é associar um identificador a cada chave que seria única, pelo menos no domínio de cada usuário. Esta solução também gera overhead, pois ambos, transmissor e receptor, teriam que ter um mapa que identificasse cada chave a seu identificador.

A solução adotada pelo PGP é gerar um ID para cada chave, mas este ID seria os 64 bits menos significantes da chave. Probabilisticamente seria muito difícil haver duplicatas de IDs.

Cada usuário deve guardar duas tabelas. Uma com as suas chaves privadas e uma outra com as chaves públicas dos outros usuários.

A tabela de chaves privadas tem os seguintes campos:

• Timestamp: Dia/hora que o par de chaves foi gerado;
• Key ID: Os últimos 64 bits significantes da chave pública;
• Chave pública;
• Chave privada: Este campo é criptografado;
• User ID: Geralmente o e-mail do usuário.

A tabela de chaves públicas tem os seguintes campos:

• Timestamp: Dia/hora que esta entrada foi gerada;
• Key ID: Os últimos 64 bits significantes da chave pública;
• Chave pública;
• User ID: Identifica o dono da chave;

Além de outros campos.

Um dos problemas enfrentados pelo PGP é o gerenciamento das chaves públicas. Como saber se a chave pública associada a B é realmente de B.

Para minimizar estes problemas temos algumas sugestões. Suponhamos que A deseja obter a chave pública de B:

• A deve receber fisicamente, pessoalmente, a chave de B. É um método seguro, porém ineficiente.
• Verificar a chave de B por telefone, se A reconhecer bem a voz de B.
• Obter a chave de B através de um terceiro confiável D que pode ser uma autoridade com certificado.

Stallings, W., Network and Internetwork Security, Principles and Practice, Englewood Cliffs, NJ, Prentice Hall, 1995, pp. 107 - 96, pp. 360 - 383.

Kaufman, C., Pearlman, R., and Speciner, M.: Network Security, Englewood Cliffs, NJ: Prentice Hall, 1995.

http://nii.isi.edu/publications/kerberos-neuman-tso.html

ftp://athena-dist.mit.edu/pub/kerberos/doc/usenix.txt