Segurança Informática - Inverno 2023/24

Informações

Docente

• João Pedro Vitorino
  • email isel
  • email solvit

Horário

• 2a-feira, 20:00-23:00: G.2.07 [T] / LS1 (G.0.13)[TP]
• 4a-feira, 18:30-20:00: G.2.07 [T]

Horário de Apoio

• Presencial / Zoom, 6a-feira, 18:00-18:45
• Agendamento via e-mail
• Link zoom
• Sala: Sala de reuniões da Solvit (E.0.2)

Recursos Gerais

• Turma
• Meta-disciplina

Repositório GitHub

• SegInf-public

Bibliografia

• Golmmann, Dieter, Computer Security. 3rd edition, Willey, 2011
• Welianng, Du, Computer Security: A Hands-on Approach, 2nd edition, 2019

---

Programa

Parte 1 - Esquemas e protocolos ciptográficos e métodos de gestão de chaves

• esquemas de cifra simétrica e assimétrica
• esquemas MAC e de assinatura digital
• protocolos de autenticação e estabelecimento de chaves
• ifraestruturas de chave pública

Parte 2

Autenticação e autorização

• vulnerabilidades e ataques á informação de autenticação (e.g., passwords) e métodos de mitigação

Modelos e mecanismos para controlo de acessos

• monitor de referência
• matriz de controlo de acessos
• listas de controlo de acessos e "capabilities"
• modelo RBAC (Role Based Access Control)

Protocolos para gestão de identidade e autorização em aplicações Web

---

Matéria

1. Apresentação e Introdução

Bibliografia

---

• 01. Apresentação

• Apresentação
  • Visão geral
    • 1. Mecanismos e protocolos criptográficos
    • 2. Autenticação e controlo de acessos
    • 2 Trabalhos (40%) + 1 Teste final (60%)
    • Regras de avaliação
• Introdução à Segurança Informática
  • Propriedades (Confidencialidade, Integridade, Disponibilidade)
  • Ataques (passivos e ativos)
    • Repasse
      • Unlocking Car Doors with HackRF Replay Atack
      • Relay attack Solihull
    • Análise de frequência
      • Frequency Analysis
• Introdução à Criptografia
  • Exemplos clássicos (Cifras de César e Viginière; Máquina Enigma)
    • César
      • Caesar Cipher
    • Viginière
      • wikipedia
      • cryptii
    • Enigma
      • wikipedia
      • How did the Enigma Machine work? - YouTube
      • brilliant
      • Cracking Enigma - YouTube
  • Protocolos, esquemas e primitivas
  • Criptografia Computacional

2. Criptografia Simétrica

Bibliografia

---

• 02. Esquemas Simétricos
• Gollmann, Dieter, Computer Security, 3ª edição, Wiley, 2011: Secções 14.5.1-2 / 14.3.3
• Welianng, Du, Computer Security: A Hands-on Approach, 2ª edição, 2019: Secções 21.3-5 / 21.4.7, 21.7, 22.5
• Newsletter: Schneier

• Esquemas Simétricos
  • Cifra simétrica
    • Fernet
    • NaCI
    • Libsodium
    • João Vitorino - littleCryptoFunTool
• Criptografia Simétrica
  • DES. Princípio / Cifra de Feistel
    • Data Encryption Standard
    • Feitel Cipher
  • Modos de Operação em Bloco
    • Electronic-Codebook (ECB)
    • CipherBlock-chaining (CBC)
  • Princípios sobre Initialization Vectors (IV)
  • Padding
    • Oracle Padding Attack
      • Security Flaws Induced by CBC Padding
      • Vulnerabilities in Sogou Keyboard Encryption
  • Modos de operação em Fluxo (Stream)
    • Cipher FeedBack (CFB)
    • Output FeedBack (OFB)
    • Counter (CTR)
• Message Authenticartion Codes (MAC)
  • Propriedades
  • MAC-then-encrypt vs Encrypt-then-MAC vs MAC-and-encrypt
    • Authenticated Encryption: Relations amoung Notions and Analysis of the Generic Composition Paradigm
• Modos de Cifra Autenticada
  • Galois Counter Mode (GCM)

3. Funções Hash e Esquemas Assimétricos

Bibliografia

---

• 03. Funções de Hash
• 04. Esquemas Assimétricos
• Gollmann, Dieter, Computer Security, 3ª edição, Wiley, 2011: Secções 14.3.3-4
• Welianng, Du, Computer Security: A Hands-on Approach, 2ª edição, 2019: Secções 21.1-5, 22.7

• Funções de Hash
  • Propriedades, Resistência pré-imagem, segunda-imagem e colisão
  • Famílias SHA (Secure Hash Algorithms)
    • wikipedia
    • youtube
  • Aplicações e Exemplos
    • paper - github
  • Esquemas HMAC
    • wikipedia
    • youtube
• Introdução À Cifra Assimétrica
• RSA
• Esquema Híbrido

4. Assinatura Digital e Certificados; JCA

Bibliografia

---

• 04. Esquemas Assimétricos
• 05. JCA
• 06. Certificados

• Assinatura Digital
• Introdução ao JCA
  • Documentação Oracle
• Ifraestrutura de chave pública
  • Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

5. TLS

Bibliografia

---

• 07. SSL-TLS
• Gollmann, Dieter, Computer Security, 3ª edição, Wiley, 2011: Secções 16.5

• Apoio ao trabalho

  • JWT Decoder, Verifier, Generator, Decryptor
  • RFC 7519 - JSON Web Token

• Introdução ao TLS

  • RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3
  • Wireshark
  • Let's Encrypt

• Subprotocolos

  • Record Protocol
  • Handshake Protocol

• HTTPS

  • Fiddler

• SecureSockets com JCA

  • Documentação Oracle

6. Autenticação

Bibliografia

---

• 08. Autenticação
• 09. Autenticação em aplicações Web

• Autenticação em HTTP
  • tests httpauth
• JSON Web Tokens (JWT)
  • decode, verify and generate JWT

7. OpenID Connect / OAuth v2

Bibliografia

---

• 10. Intro Open ID Connect
• 11. OAuth v2

• OpenID Connect
  • OpenID Connect Playground
  • Auth0
  • OpenID JS code example
  • OpenID JS code example 2
  • SSL Client JAVA example
• OAuth v2
  • RFC 6749 The OAuth 2.0 Authorization Framework
  • Documentation
  • OAuth 2.0 Playground
  • Common OAuth implementation issues
  • Relying Party Demo - GitHub

8. Modelos e mecanismos para controlo de acessos

Bibliografia

---

• Controlo de Acessos

• Generalidades

  • Role-Based Access Control in Retrospect

• Casbin

  • Casbin get-started
  • Casbin editor
  • Gestão dinâmica de regras com Casbin