Capítulos 5,6 - Departamento de Ciência da Computação
Capítulos 5,6 - Departamento de Ciência da Computação
Capítulos 5,6 - Departamento de Ciência da Computação
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
• Definição -<br />
Uso <strong>de</strong> Tokens em segurança externa<br />
Hardware portátil <strong>de</strong>dicado ao armazenamento <strong>de</strong> segredo i<strong>de</strong>ntificador<br />
<strong>de</strong> agente (ex: senha, chave priva<strong>da</strong>) e firmware para interoperação com<br />
plataformas que executam protocolos <strong>de</strong> autenticação e serviços.<br />
Esquemas <strong>de</strong> autenticação baseados em <strong>de</strong>safio, em sequenciadores, em<br />
sincronização <strong>de</strong> senhas <strong>de</strong>scartáveis ou em verificação <strong>de</strong> assinatura, para<br />
neutralizar ataques <strong>de</strong> dicionário, escuta ou replay po<strong>de</strong>m ser atacados com<br />
engenharia reversa, o firmware não for projetado para resisti-los.<br />
• Vulnerabili<strong>da</strong><strong>de</strong> <strong>de</strong> tokens e smartcards -<br />
Estas tecnologias não <strong>de</strong>vem ser usa<strong>da</strong>s como ponto crítico <strong>de</strong> falha em<br />
um sistema <strong>de</strong> segurança. Mesmo os chips para cartão que trabalham com<br />
encriptação interna (ex.: IBM DS5002FP), on<strong>de</strong> bytes trafegam no<br />
barramento e são carregados encriptados em RAM e EPROM, são passíveis<br />
<strong>de</strong> ataque, nos quais o material <strong>de</strong> chave armazenado ou gerado po<strong>de</strong> ser<br />
extraído. Ataques mais comuns a tokens <strong>de</strong> acesso livre são:<br />
1. Surtos <strong>de</strong> clock..........usados para introduzir instruções errôneas nos<br />
registradores que po<strong>de</strong>m causar o extravazamento em loops <strong>de</strong> leitura.<br />
2. Surtos <strong>de</strong> potência.....po<strong>de</strong>m causar comportamento anômalo em<br />
geradores randômicos <strong>de</strong> uso criptográfico.<br />
3. Probing.......................violação do lacre eletrostático possibilita avaria<br />
nas células <strong>de</strong> trava <strong>da</strong> EPROM, para leitura do material <strong>da</strong> chave.<br />
4. Dicionário <strong>de</strong> código. ataque no barramento à criptografia interna.<br />
60