Post on 17-Apr-2015
SSL (Secure Sockets Layer)SET (Secure Eletronic Transactions)
Vinícius Mello
Mauro Tosetto
Rafael Jung
Rodrigo Moreira
Isaac R. Sartori Jr.
SSL – Secure Sockets Layer
SSL – Secure Sockets Layer
Camada de soquetes seguros Desenvolvido pela Netscape Communications
Corporation e RSA Data Security Tem como objetivo prover um canal privado entre
aplicativos
SSL – Como funciona?
Oferece alternativa para a API de soquetes TCP/IP padrão com implementação própria de segurança
No modelo OSI, está localizado no topo da camada de transporte
É transparente ao aplicativo É implementado com freqüência em conexões
HTTP Página com segurança SSL é identificada com um
“s”: https:\\
SSL – Emissão de mensagens
Obtém mensagem de camada de aplicação Fragmenta em blocos gerenciáveis Opcionalmente compacta os dados Aplica o MAC (Message Authentication Code) Criptografa os dados Transmite o resultado à camada inferior
SSL – Recepção de mensagens
Obtém os dados da camada inferior Decifra Verifica os dados com a chave MAC negociada Se foi usada compressão, descomprime os dados Monta novamente a mensagem Transmite a mensagem para a camada superior
SSL - Estrutura
O SSL é divido em duas camadas:– SSL Handshake Protocol, protocolo de conexão
do SSL, camada superior– SSL Record Protocol, protocolo de registro do
SSL, camada inferior
SSL – Handshake Protocol
Permite que sejam definidos e determinados os parâmetros necessários para uma conexão SSL
SSL – Record Protocol
Usada para criptografar dados do aplicativo Especifica um formato para estas
mensagens Inclui um classificador de mensagens para
certificar que as mesmas não foram alteradas, garantindo a integridade das mesmas.
SSL – Garantias de Segurança
Privacidade: uso de chave simétrica estabelecida na negociação inicial
Integridade: as mensagens contem um código de autenticação
Autenticação: cliente autentica servidor usando chave assimétrica ou pública, ou ainda através de certificados.
SSL - Custo
O algoritmo SSL é aberto Exige certificado Servidores Web 128 bits: R$ 2.774,50 Servidores Web 40 bits: R$ 1.081,90
SET – Secure Eletronic Transaction
SET – Secure Eletronic Transaction
Assim com HTTP, é um protocolo de comunicação para Internet
Uso exclusivo para transações comerciais Desenvolvido por várias empresas (Visa,
Mastercard, Netscape, IBM, Microsoft, etc.) Objetiva a transmissão segura de
informações financeiras e pessoais (compra e venda eletrônica)
SET - Identificação
Primeira etapa na compra eletrônica Segunda etapa é a validação do número do
cartão (data de validade, se tem crédito, etc.)
SET – Identificação (cont.)
Todas entidades possuem Certificado Digital– Comprador: certificado é uma representação
eletrônica do cartão, contendo chave pública do comprador e assinatura digital da instituição que emitiu o certificado
– Vendedor: certificado é um adesivo digital que comprova sua permissão para receber pagamento com determinado tipo de cartão.
SET - Autenticação
Deve ser testada em etapas críticas Uso de envelopes e assinaturas digitais
SET – Transações SET
Pinit: inicialização do sistema Ordem de compra: solicitação do
proprietário do cartão– Instrução de ordem (OI – Order Instruction)– Instrução de compra (PI – Purchase Instruction)
Autorização: adquirente autoriza solicitação Averiguação: fornece o status da solicitação Captura: transferência de fundos
SET - Garantias
Autenticação: através de assinaturas digitais e certificados
Confidencialidade: através de criptografia Integridade: através de assinaturas digitais
SET - Custos
Por ser altamente seguro, tem como preço a complexidade de implementação e os custos de processamento
SET x SSL
Apresentam características e finalidades distintas
Lojas virtuais:– Se comunicam com o cliente através de SSL– Efetuam transações eletrônicas através do SET
Conclusão
É importante garantir segurança nas comunicações via internet;
Ambos algoritmos garantem privacidade, integridade e autenticidade;
O SSL protege informações pessoais na comunicação;
O SET altera o fluxo de dados envolvendo as operadoras de cartão;
São muito utilizados hoje em dia por lojas virtuais.
Bibliografia 1 Martin W. Murhammer, Orcun Atakan, Stefan Bretz, Larry R. Pugh,
Kazunari Suzuki, David H. Wood. TCP / IP Tutorial e Técnico. São Leopoldo.
2 Albuquerque, Fernando. TCP/IP Internet: Protocolos & Tecnologias.
1999, Axcel Books do Brasil, Rio de Janeiro. 3 Rescolra, Eric. SSL and TLS: Designing And Bulding Secure Systems.
2001, Attson Wesley, New York. 4 Merkow, Mark S., Breithaupt, Jim, Wheeler, Ken L. Building SET
Application For Secure Trancations. 1998, John Willey & Sons, New York. 5 Stallings, William. Network Security Essentials-Applications and
Standards. 2000, Prentice Hall, New Jersey.