AULA Nº 1
9. Criptografia
[Criptografia]
( i ) CONSIDERAÇÕES GERAIS : A criptografia, considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código, é um dos principais mecanismos de segurança que você pode usar para se proteger dos riscos associados ao uso da Internet.
A primeira vista ela até pode parecer complicada, mas para usufruir dos benefícios que proporciona você não precisa estudá-la profundamente e nem ser nenhum matemático experiente. Atualmente, a criptografia já está integrada ou pode ser facilmente adicionada à grande maioria dos sistemas operacionais e aplicativos e para usá-la, muitas vezes, basta a realização de algumas configurações ou cliques de mouse.
( II ) Por meio do uso da criptografia você pode:
( a ) Proteger os dados sigilosos armazenados em seu computador, como o seu arquivo de senhas e a sua declaração de Imposto de Renda;
( b ) Criar uma área (partição) específica no seu computador, na qual todas as informações que forem lá gravadas serão automaticamente criptografadas;
( c ) Proteger seus backups contra acesso indevido, principalmente aqueles enviados para áreas de armazenamento externo de mídias;
( d ) Proteger as comunicações realizadas pela Internet, como os e-mails enviados/recebidos e as transações bancárias e comerciais realizadas.
( iii ) Nas próximas seções são apresentados alguns conceitos de criptografia. Antes, porém, é importante que você se familiarize com alguns termos geralmente usados e que são mostrados na Tabela 9.1.
Termo Significado
Texto claro.............................. Informação legível (original) que será protegida, ou seja, que será codificada
Texto codificado (cifrado).........Texto ilegível, gerado pela codificação de um texto claro
Codificar (cifrar)........................Ato de transformar um texto claro em um texto codificado
Decodificar (decifrar).................Ato de transformar um texto codificado em um texto claro
Método criptográfico................Conjunto de programas responsável por codificar e decodificar informações
Chave.......................................Similar a uma senha, é utilizada como elemento secreto pelos métodos
criptográficos. Seu tamanho é geralmente medido em quantidade de bits
Canal de comunicação............... Meio utilizado para a troca de informações
Remetente................................ Pessoa ou serviço que envia a informação
Destinatário...............................Pessoa ou serviço que recebe a informação
Tabela 9.1: Termos empregados em criptografia e comunicações via Internet.
9.1. Criptografia de chave simétrica e de chaves assimétricas
( i ) Métodos Criptográficos : De acordo com o tipo de chave usada, os métodos criptográficos podem ser subdivididos em duas grandes categorias:
( a ) criptografia de chave simétrica e
( b ) criptografia de chaves assimétricas.
( ii ) Criptografia de chave simétrica: Também chamada de criptografia de chave secreta ou única, utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo usada principalmente para garantir a confidencialidade dos dados. Casos nos quais a informação é codificada e decodificada por uma mesma pessoa não há necessidade de compartilhamento da chave secreta. Entretanto, quando estas operações envolvem pessoas ou equipamentos diferentes, é necessário que a chave secreta seja previamente combinada por meio de um canal de comunicação seguro (para não comprometer a confidencialidade da chave). Exemplos de métodos criptográficos que usam chave simétrica são: AES, Blowfish, RC4, 3DES e IDEA.
( iii ) Criptografia de chaves assimétricas: Também conhecida como criptografia de chave pública, utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono. Quando uma informação é codificada com uma das chaves, somente a outra chave do par pode decodificá-la. Qual chave usar para codificar depende da proteção que se deseja, se confidencialidade ou autenticação, integridade e não-repúdio. A chave privada pode ser armazenada de diferentes maneiras, como um arquivo no computador, um smartcard ou um token. Exemplos de métodos criptográficos que usam chaves assimétricas são: RSA, DSA, ECC e Diffie-Hellman.
( iv ) A criptografia de chave simétrica, quando comparada com a de chaves assimétricas, é a mais indicada para garantir a confidencialidade de grandes volumes de dados, pois seu processamento é mais rápido. Todavia, quando usada para o compartilhamento de informações, se torna complexa e pouco escalável, em virtude da:
( a ) Necessidade de um canal de comunicação seguro para promover o compartilhamento da chave secreta entre as partes (o que na Internet pode ser bastante complicado) e;
( b ) Dificuldade de gerenciamento de grandes quantidades de chaves (imagine quantas chaves secretas seriam necessárias para você se comunicar com todos os seus amigos).
( v ) Vantagens de cada métodos
( a ) A criptografia de chaves assimétricas, apesar de possuir um processamento mais lento que a de chave simétrica, resolve estes problemas visto que facilita o gerenciamento (pois não requer que se mantenha uma chave secreta com cada um que desejar se comunicar) e dispensa a necessidade de um canal de comunicação seguro para o compartilhamento de chaves.
( b ) Para aproveitar as vantagens de cada um destes métodos, o ideal é o uso combinado de ambos, onde a criptografia de chave simétrica é usada para a codificação da informação e a criptografia de chaves assimétricas é utilizada para o compartilhamento da chave secreta (neste caso, também chamada de chave de sessão). Este uso combinado é o que é utilizado pelos navegadores Web e programas leitores de e-mails. Exemplos de uso deste método combinado são: SSL, PGP e S/MIME.
9.2. Função de resumo (Hash)
( i ) Uma função de resumo é um método criptográfico que, quando aplicado sobre uma informação, independente do tamanho que ela tenha, gera um resultado único e de tamanho fixo, chamado hash1.
[1] O hash é gerado de tal forma que não é possível realizar o processamento inverso para se obter a informação original e que qualquer alteração na informação original produzirá um hash distinto. Apesar de ser teoricamente possível que informações diferentes gerem hashes iguais, a probabilidade disto ocorrer é bastante baixa
( ii ) Você pode utilizar hash para:
( a ) Verificar a integridade de um arquivo armazenado em seu computador ou em seus backups;
( b ) Verificar a integridade de um arquivo obtido da Internet (alguns sites, além do arquivo em si, também disponibilizam o hash correspondente, para que você possa verificar se o arquivo foi corretamente transmitido e gravado);
( c ) Gerar assinaturas digitais, como descrito na Seção 9.3.
( d ) Para verificar a integridade de um arquivo, por exemplo, você pode calcular o hash dele e, quando julgar necessário, gerar novamente este valor. Se os dois hashes forem iguais então você pode concluir que o arquivo não foi alterado. Caso contrário, este pode ser um forte indício de que o arquivo esteja corrompido ou que foi modificado. Exemplos de métodos de hash são: SHA-1, SHA-256 e MD5.
9.3. Assinatura digital
( i ) Permite comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
( ii ) Baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente pode decodificá-lo.
NOTA IMPORTANTE - Para contornar a baixa eficiência característica da criptografia de chaves assimétricas, a codificação é feita sobre o hash e não sobre o conteúdo em si, pois é mais rápido codificar o hash (que possui tamanho fixo e reduzido) do que a informação toda.
Fonte :CERT.BR ( Centro de Estudos,Resposta e Tratamento de Incidente de Segurança no Brasil)
==========================================================================
Leitura : Por que fazer a criptografia de dados?
Desde que Edward Snowden, ex-técnico da CIA nos Estados Unidos, revelou ao mundo em 2013 de que forma o governo americano espiona conversas de cidadãos, utilizando inclusive os servidores do Google e do Facebook, assuntos sobre segurança digital se tornaram populares. Mas você entende como funciona a criptografia de dados sigilosos?
Não faz muito tempo que o aplicativo de mensagens instantâneas Whatsapp disponibilizou a criptografia de ponta a ponta. Segundo a empresa, esse tipo de criptografia não permite nem mesmo que o próprio Whatsapp conheça o conteúdo de suas mensagens, assim somente quem envia e quem recebe determinadas informações tem o acesso a elas.
Mas antes de abordar o porquê de realizar criptografia de dados, vamos entender melhor como ela funciona.
Como funciona a criptografia de dados
Técnicas de criptografia existem desde a antiguidade, quando as mensagens viajavam longas distâncias e não poderiam cair em mãos erradas.
Com um sistema de criptografia específico, quem enviava um comunicado era capaz de “embaralhar” as palavras, a fim de que somente quem conhecia o segredo, nesse caso o receptor da mensagem, pudesse “desembaralhar” essas palavras e ter acesso ao seu conteúdo.
Na era digital, a criptografia de dados funciona de forma similar. São utilizados protocolos de segurança e chaves, capazes de criptografar uma mensagem no momento do envio, e descriptografá-la quando chega ao destinatário correto. Evitando-se assim, que ela seja interceptada e lida no meio do caminho.
Existem dois tipos de chaves para criptografia. As chaves simétricas utilizam a mesma chave privada nas duas pontas de transmissão, já as chaves assimétricas utilizam uma chave pública e uma privada, sendo que uma codifica a informação e a outra fica responsável por decodificá-la. As chaves podem ainda ser de 64 bits, 128 bits ou maiores. Na prática, quanto maiores as chaves, mais seguras elas são.
Alguns motivos para você usar a criptografia de dados em sua empresa
Seja para garantir a segurança de um e-commerce ou mesmo manter os servidores com dados sensíveis protegidos, a criptografia é fundamental.
Qualquer roubo a dados confidenciais de clientes, que tenham sido inseridos em um formulário na sua loja virtual, poderá acabar com a reputação do seu negócio. Esse fato torna claro que a criptografia não é mera opção, mas uma necessidade.
O mesmo serve para dados sigilosos gravados em um computador ou smartphone; um sistema de criptografia deverá proteger arquivos sigilosos com senha, evitando assim que possam ser acessados por pessoas não autorizadas.
Além disso, a criptografia também serve para garantir a autenticidade e a integridade das informações, assegurando que a mensagem partiu do destinatário correto e não foi alterada no caminho.
A criptografia também deve ser utilizada a fim de proteger arquivos em nuvem ou dados em trânsito durante a navegação na internet. Quando se utiliza o wi-fi de um shopping, por exemplo, alguém poderá estar monitorando todas as suas ações na rede. Uma dica nesse caso, é fazer uso da navegação criptografada.
Atualmente, toda empresa deve estar protegida contra ataques maliciosos, atestando o sigilo de dados confidenciais, tanto da empresa, como dos clientes e funcionários. Nesse sentido a criptografia de dados torna-se uma aliada importante à segurança das informações.
Fonte : Conviso
