Criptografia e Segurança - 1a Edição

Indaial 2021 Criptografia e Segurança Prof Gustavo Garcia de Amo Prof Roni Francisco Pichetti 1a Edição Copyright UNIASSELVI 2021 Elaboração Prof Gustavo Garcia de Amo Prof Roni Francisco Pichetti Revisão Diagramação e Produção Centro Universitário Leonardo da Vinci UNIASSELVI Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri UNIASSELVI Indaial Impresso por A523c Amo Gustavo Garcia de Criptografia e segurança Gustavo Garcia de Amo Roni Francisco Pichetti Indaial UNIASSELVI 2021 185 p il ISBN 9786556633664 ISBN Digital 9786556633671 1 Proteção de dados Brasil I Pichetti Roni Francisco II Centro Universitário Leonardo da Vinci CDD 004 apreSentação Caro acadêmico estamos iniciando o estudo da disciplina de Segurança e Criptografia em que vamos conhecer os conceitos que servem de base para essa área de estudo Veremos que a segurança é responsável pela proteção de dados e da comunicação e que a criptografia por ser uma ferramenta da segurança é responsável por restringir o acesso somente a pessoas autorizadas A segurança na área de tecnologia é imprescindível já que as formas de acesso à informação são realizadas de diversas maneiras seja ela por um computador ou por um celular Dito isso a autenticação na criptografia é extremamente relevante nesse processo Para auxiliar nessa tarefa de manter os dados seguros temos diversas técnicas de proteção políticas de segurança e normas técnicas que dão suporte a essa atividade Nosso livro está dividido em 3 unidades sendo a primeira unidade responsável por introduzir e conceituar os temas que vão dar suporte aos nossos estudos Já na segunda unidade vamos apresentar ferramentas utilizadas na segurança da informação e criptografia e veremos como essas ferramentas são utilizadas A terceira e última unidade é responsável por aprofundar os conhecimentos adquiridos na criptografia vamos conhecer o que são os scripts e estudar na prática os métodos de criptografia Vamos lá Aproveito o ensejo para desejarlhe sucesso em sua jornada acadêmica e profissional Boa leitura e bons estudos Prof Gustavo Garcia de Amo Prof Roni Francisco Pichetti Você já me conhece das outras disciplinas Não É calouro Enfim tanto para você que está chegando agora à UNIASSELVI quanto para você que já é veterano há novidades em nosso material Na Educação a Distância o livro impresso entregue a todos os acadêmicos desde 2005 é o material base da disciplina A partir de 2017 nossos livros estão de visual novo com um formato mais prático que cabe na bolsa e facilita a leitura O conteúdo continua na íntegra mas a estrutura interna foi aperfeiçoada com nova diagramação no texto aproveitando ao máximo o espaço da página o que também contribui para diminuir a extração de árvores para produção de folhas de papel por exemplo Assim a UNIASSELVI preocupandose com o impacto de nossas ações sobre o ambiente apresenta também este livro no formato digital Assim você acadêmico tem a possibilidade de estudálo com versatilidade nas telas do celular tablet ou computador Eu mesmo UNI ganhei um novo layout você me verá frequentemente e surgirei para apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assunto em questão Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas institucionais sobre os materiais impressos para que você nossa maior prioridade possa continuar seus estudos com um material de qualidade Aproveito o momento para convidálo para um batepapo sobre o Exame Nacional de Desempenho de Estudantes ENADE Bons estudos NOTA Olá acadêmico Você já ouviu falar sobre o ENADE Se ainda não ouviu falar nada sobre o ENADE agora você receberá algumas informações sobre o tema Ouviu falar Ótimo este informativo reforçará o que você já sabe e poderá te trazer novidades Vamos lá Qual é o significado da expressão ENADE EXAME NACIONAL DE DESEMPENHO DOS ESTUDANTES Em algum momento de sua vida acadêmica você precisará fazer a prova ENADE Que prova é essa É obrigatória organizada pelo INEP Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira O que determina que esta prova é obrigatória O MEC Ministério da Educação O objetivo do MEC com esta prova é de avaliar seu desempenho acadêmico assim como a qualidade do seu curso Fique atento Quem não participa da prova fica impedido de se formar e não pode retirar o diploma de conclusão do curso até regularizar sua situação junto ao MEC Não se preocupe porque a partir de hoje nós estaremos auxiliando você nesta caminhada Você receberá outros informativos como este complementando as orientações e esclarecendo suas dúvidas Você tem uma trilha de aprendizado do ENADE receberá emails SMS seu tutor e os profissionais do polo também estarão orientados Participar de webconferências entre outras tantas atividades para que esteja preparado para amanhã bem na prova ENADE Nós aqui no NEAD e também a equipe no polo estamos com você para vencermos esse desafio Conte sempre com a gente para juntos mandarmos bem no ENADE Olá acadêmico Iniciamos agora mais uma disciplina e com ela um novo conhecimento Com o objetivo de enriquecer seu conhecimento construímos além do livro que está em suas mãos uma rica trilha de aprendizagem por meio dela você terá contato com o vídeo da disciplina o objeto de aprendizagem materiais complementares entre outros todos pensados e construídos na intenção de auxiliar seu crescimento Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo Conte conosco estaremos juntos nesta caminhada LEMBRETE Sumário UNIDADE 1 PREPARAÇÃO DE DADOS 1 TÓPICO 1 APRESENTAÇÃO 3 1 INTRODUÇÃO 3 2 CONCEITOS 5 21 INFORMAÇÃO E CRIPTOGRAFIA 5 22 REDES DE COMPUTADORES 7 221 Origem das redes de computadores 8 222 Protocolo TCPIP 10 223 Firewall 14 224 Proxy 17 225 Antivírus 19 226 Backup e Disaster Recovery 20 227 Controle de Acesso 22 23 RISCOS E AMEAÇAS 23 24 CRIPTOLOGIA 26 241 Criptografia28 RESUMO DO TÓPICO 130 AUTOATIVIDADE 32 TÓPICO 2 FUNDAMENTOS DE REDE SEGURANÇA E CRIPTOGRAFIA 33 1 INTRODUÇÃO 33 2 FUNDAMENTOS 33 21 SEGURANÇA 34 211 Certificado digital 34 22 CRIPTOGRAFIA 35 221 Princípios da criptografia 36 222 Cifras 37 223 Chaves Privadas 39 224 Assinatura digital 39 225 Certificado Digital 40 226 Chaves Públicas 43 227 Protocolos de autenticação 44 23 SEGURANÇA DA INFORMAÇÃO 46 RESUMO DO TÓPICO 248 AUTOATIVIDADE 49 TÓPICO 3 ALGORITMOS E CRIPTOGRAFIA 51 1 INTRODUÇÃO 51 2 CONCEITOS 51 21 ALGORITMOS 52 211 Data Encryption Standard DES 53 212 Advanced Encryption Standard AES 56 LEITURA COMPLEMENTAR 59 RESUMO DO TÓPICO 364 AUTOATIVIDADE 65 REFERÊNCIAS 67 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA 71 TÓPICO 1 FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO DE ALGORITMOS 73 1 INTRODUÇÃO 73 2 CONCEITOS 73 21 TIPOS DE ALGORITMOS UTILIZADOS NA CRIPTOGRAFIA 78 RESUMO DO TÓPICO 183 AUTOATIVIDADE 84 TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA 87 1 INTRODUÇÃO 87 2 CONCEITOS 91 21 TIPOS DE CERTIFICADOS DIGITAIS 97 RESUMO DO TÓPICO 2104 AUTOATIVIDADE 105 TÓPICO 3 EXEMPLOS DE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL 107 1 INTRODUÇÃO 107 2 CRIPTOGRAFIA E CERTIFICAÇÃO EM DIFERENTES FRENTES DE SEGURANÇA 109 3 TÉCNICAS DE REFORÇO CRIPTOGRÁFICO110 LEITURA COMPLEMENTAR 112 RESUMO DO TÓPICO 3117 AUTOATIVIDADE 118 REFERÊNCIAS 121 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES 125 TÓPICO 1 CRIPTOGRAFIA MÚLTIPLA 127 1 INTRODUÇÃO 127 2 CONCEITOS 128 21 CRIPTOGRAFIA HOMOMÓRFICA E CRIPTOGRAFIA BASEADA EM ATRIBUTOS 133 3 PESQUISAS NA ÁREA DE CRIPTOGRAFIA MÚLTIPLA 138 RESUMO DO TÓPICO 1140 AUTOATIVIDADE 141 TÓPICO 2 GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES 143 1 INTRODUÇÃO 143 2 CONCEITOS 144 3 EXEMPLOS DE DISTRIBUIÇÃO DE CHAVES 157 RESUMO DO TÓPICO 2161 AUTOATIVIDADE 162 TÓPICO 3 ALGORITMOS DE HASH 165 1 INTRODUÇÃO 165 2 CONCEITOS 166 3 EXEMPLOS DE ALGORITMOS HASH 173 LEITURA COMPLEMENTAR 177 RESUMO DO TÓPICO 3181 AUTOATIVIDADE 182 REFERÊNCIAS 184 1 UNIDADE 1 PREPARAÇÃO DE DADOS OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de compreender a importância e as características de uma informação compreender conceitos de redes assim como protocolos camadas equipamentos e ambientes conhecer aspectos históricos e evolutivos das redes de computadores segurança e criptografia desenvolver conhecimentos relacionados a vulnerabilidades e ameaças saber a definição bem como a importância do estudo da segurança e criptografia e conhecer as atividades que envolvem este processo compreender os diferentes mecanismos de segurança da informação identificar aspectos de segurança da informação assim como compreender a conexão da segurança da informação com as outras áreas da informática conhecer os tipos de algoritmos e características deles podendo compreender as funcionalidades de cada um aprender sobre as divisões da Criptologia Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 APRESENTAÇÃO TÓPICO 2 CONCEITOS DE REDE SEGURANÇA E CRIPTOGRAFIA TÓPICO 3 ALGORITMOS E CRIPTOGRAFIA Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 3 TÓPICO 1 UNIDADE 1 APRESENTAÇÃO 1 INTRODUÇÃO Chegou a hora de começarmos a estudar sobre o mundo da Segurança e Criptografia vamos aos estudos sobre a evolução por trás das tecnologias e ferramentas da segurança da informação vamos compreender conceitos gestão e vulnerabilidades dessa área Entender aspectos históricos sobre a importância e funcionamento de sistemas trocas de mensagens envio e compartilhamento de arquivos entre outras tecnologias de comunicação que não foram criadas de uma hora para outra mas foram evoluindo ao longo do tempo e de acordo com as necessidades de aprimoramento Outro ponto a ser estudado será a utilização da segurança a fim de agregar confiabilidade no tráfego de informações para os usuários Para termos segurança durante a utilização de computadores e sistemas informatizados foram necessários estudos sobre diferentes formas de proteção e também desenvolvimento de políticas de segurança durante o desenvolvimento dos softwares e sistemas informatizados Para se ter uma ideia segundo o Centro Federal de Investigações de Crimes Cibernéticos Americano 2020 o relatório anual Internet Crime Complaint Center GORHAM 2019 aponta que as denúncias de crimes virtuais cresceram em torno de 328 em relação ao ano de 2018 em números isso corresponde a 467361 casos Já as perdas financeiras nesse mesmo ano também tiveram um aumento analisando o mesmo período totalizam um crescimento de 296 e com valores correspondendo a US 35 bilhões O que mais assusta é que os prejuízos e número de denúncias relacionados a cibercrimes crimes cometidos pela internet estão em constante crescimento como vemos nos noticiários Você pode estar pensando se mais pessoas usam a internet maior será o aumento na taxa de crimes e danos ao patrimônio e isso é verdade Conheça um pouco mais sobre esses ataques em httpswwwic3govHomeAnnualReports DICAS UNIDADE 1 PREPARAÇÃO DE DADOS 4 Assim como houve aumento nos índices de crimes e também de acesso à internet a segurança da informação precisou evoluir na mesma velocidade Se pensarmos que a tecnologia evolui junto à quantidade de usuários é natural que os ataques acompanhem esse crescimento devido a novos equipamentos não estarem com todas as configurações corretas inexperiência do usuário e novas vulnerabilidades Como sabemos o mundo da tecnologia é muito dinâmico Como esses ataques cibernéticos surgem Qual o objetivo Como a segurança pode evitar isso Durante o decorrer do livro esses questionamentos serão respondidos Por ora vemos que os principais mecanismos para realização de ataques estão associados aos vírus programas malintencionados worms em português vermes e entre outros códigos maliciosos Conforme definem Nakamura e Geus 2007 p 11 Dentre os fatos que demonstram o aumento da importância da segurança podese destacar a rápida disseminação de vírus e worms que estão cada vez mais sofisticados Utilizando técnicas que incluem a engenharia social canais seguros de comunicação exploração de vulnerabilidades e arquitetura distribuída os ataques visam a contaminação e a disseminação rápida além do uso das vítimas como origem de novos ataques Os ataques e ameaças ocorrem de várias formas por isso para que tenhamos segurança na utilização da informação não basta cuidarmos de um único fator é necessário empregarmos mecanismos de segurança para garantir a proteção Na computação a segurança da informação precisa ser constantemente avaliada e preservada por isso o objetivo da segurança é proteger as mensagens para que pessoas malintencionadas não possam manipular modificar roubar e obstruir o conteúdo Segundo Tanenbaum e Wetherall 2011 p 543 A segurança é um assunto abrangente e inclui inúmeros tipos problemas Em sua forma mais simples a segurança se preocupa em garantir que pessoas malintencionadas não leiam ou pior ainda modifiquem secretamente mensagens enviadas a outros destinatários Outra preocupação da segurança são as pessoas que tentam ter acesso a serviços remotos que elas não estão autorizadas a usar Ela também lida com meios para saber se uma mensagem supostamente verdadeira é um trote A segurança trata de situações em que mensagens legítimas são capturadas e reproduzidas além de lidar com pessoas que tentam negar o fato de terem enviado determinadas mensagens A compreensão da segurança engloba o conhecimento em diversas áreas como gestão de ativos ferramentas documentação permissionamento e controle de acessos Vamos iniciar nossos estudos recordando e aprimorando os conceitos de redes e como elas evoluíram TÓPICO 1 APRESENTAÇÃO 5 Fundamentar os conceitos básicos de redes e segurança é importante para que você utilize como base para o aprendizado do novo conteúdo IMPORTANTE 2 CONCEITOS Nesse tópico vamos abordar alguns assuntos sobre conhecimentos gerais nas áreas de tecnologia principalmente voltados aos assuntos de criptografia É importante tomarmos nota de conceitos como informação criptografia redes e segurança além de compreender como cada um desses itens estão diretamente conectados 21 INFORMAÇÃO E CRIPTOGRAFIA A informação assim como a comunicação foi objeto de preocupação e estudo entre as pessoas em todos os períodos da humanidade principalmente em conflitos guerras e disputas territoriais As pessoas comunicavamse secretamente durante esses conflitos e dentre as técnicas adotadas estava o uso de mecanismos de criptografia tendo como objetivo ocultar as mensagens e torná las não compreensíveis por interceptadores Você já deve ter estudado a história e ter visto alguns fatos que falavam sobre a criptografia não é mesmo Ou ter ouvido sobre hieróglifos enigmas mensagens criptografadas Dentre as muitas utilizações da criptografia as mais conhecidas foram na Primeira e na Segunda Guerra Mundial Segundo Kim e Solomon 2014 o ato de embaralhar mensagens foi crucial durante a primeira guerra devido ao exército inimigo não conseguir interpretar a comunicação e troca de informações das tropas Genial não é mesmo Durante a guerra os alemães utilizaramse da criptografia e automatizaram o processo com o desenvolvimento de uma máquina denominada Enigma A Enigma foi uma máquina eletromecânica de criptografia usada pelos alemães na Primeira e Segunda Guerra Mundial ela era responsável por embaralhar as mensagens que eram transmitidas MOCHETTI 2016 Vejamos na figura a seguir a máquina Enigma repare que ela lembra as antigas máquinas de escrever UNIDADE 1 PREPARAÇÃO DE DADOS 6 FIGURA 1 ENIGMA FONTE httphorizontessbcorgbrwpcontentuploads201611enigma300x234jpeg Acesso em 22 fev 2021 Recomendamos que você assista ao filme O Jogo da imitação 2014 Esse filme aborda aspectos históricos da guerra e a vida de Alan Turing criptoanalista britânico Esse filme foi inspirado pelo livro bibliográfico escrito por Andrew Hodges sobre Alan Turing Alan Turing The Enigma IMPORTANTE Em continuação ao evento da Segunda Guerra mundial outros métodos e mecanismos que viríamos a utilizar na informática foram desenvolvidos nessa época Segundo Fontoura 2015 Alan Turing desenvolveu um sistema decodificador dos códigos da Enigma semelhante aos algoritmos o inventor desenvolveu o passo a passo que tornava a informação criptografada em um texto compreensível Recomendamos que leia uma breve bibliografia de Alan Turing disponível em httpwwwinvivofiocruzbrcgicgiluaexesysstarthtminfoid1370sid7 DICAS TÓPICO 1 APRESENTAÇÃO 7 As estratégias de guerra foram expostas após a decifragem de códigos ou seja a troca de informação de um exército foi acessada por pessoas não autorizadas Vemos que a informação começa a ser percebida como algo valioso e importante para as pessoas instituições e organizações É importante que nesse momento você reflita como a informação esteve presente em cada período da humanidade e como ela era protegida e compartilhada entre as pessoas Na atualidade com a informática percebemos que a informação se tornou um bem e um recurso muito utilizado pelas empresas Assim como protegemos os bens materiais com seguros alarmes e monitoramentos com a informação as preocupações são as mesmas ou talvez um pouco maiores Quando um bem material é roubado e posteriormente é recuperado ele continua com o mesmo valor agregado todavia com a informação o processo é diferente ou seja ela pode perder valor através de acessos indevidos ou modificações não autorizadas Conforme Kim e Solomon 2014 a informação deve ser protegida de diferentes formas e meios a fim de manterse confiável Além da proteção da informação é necessário que tudo que armazene transporte relacionese e protejaa estejam seguros e sejam confiáveis Por isso é de suma importância que todas as etapas da criação utilização e transmissão da informação comprometam se em entregar integridade confiabilidade e disponibilidade Você saberia dizer quão importante é para um banco saber quanto dinheiro seu cliente possui Ou uma empresa de marketing saber o que os usuários levam em conta na hora de comprar um produto Informações estratégicas possuem um alto valor agregado Portanto tudo que tem valor necessita de proteção Vamos seguir nosso aprendizado sobre o próximo conceito redes de computadores em que veremos como as informações trafegam Como veremos as redes de computadores são importantes para a segurança da informação e responsáveis pela proteção durante o acesso armazenamento e transporte Veja mais em httpswwwyoutubecomchannelUCmp06STPXKHNlOdYF7zOveQvideos DICAS 22 REDES DE COMPUTADORES Ter um computador ou um dispositivo que não esteja conectado à rede de computadores não apresenta grande vantagem no mundo moderno devido à globalização e virtualização Através da comunicação podemos consumir informações de diferentes áreas desenvolvendo assim nosso intelecto Claro que para isso necessitamos que os equipamentos garantam a segurança da comunicação UNIDADE 1 PREPARAÇÃO DE DADOS 8 Já imaginou se uma videoconferência de acionistas de uma empresa fosse invadida qual a credibilidade que os diretores e administradores passariam aos investidores Ou se houvesse algum sequestro do banco de dados impossibilitando as atividades da empresa qual seria o impacto financeiro Caso um roubo de um projeto fosse realizado pelo concorrente qual seria o impacto da vantagem competitiva no mercado Por isso as redes e conexões de uma empresa necessitam ser seguras e constantemente auditadas para assegurar a conectividade entre dispositivos equipamentos e pessoas Você sabe o que é uma rede Vejamos a definição segundo Tanenbaum e Wetherall 2011 p 17 Um conjunto de computadores autônomos interconectados por uma tecnologia Dois computadores estão interconectados quando podem trocar informações A conexão não precisa ser feita por um fio de cobre também podem ser usadas fibras ópticas microondas ondas de infravermelho e satélite de comunicações Isso não se resume apenas a computadores pois com a evolução tecnológica os dispositivos móveis passaram por avanços e receberam muitas melhorias inclusive a possibilidade de conectarse à internet Podemos encontrar redes domésticas e empresariais compostas por televisões celulares computadores portáteis centrais eletrônicas câmeras de vigilância dentre infinitas possibilidades Você já parou para pensar como isso iniciou e como foram os avanços tecnológicos que permitiram isso Hoje em dia é difícil viver sem um sinal de 4G ou um wifi não é mesmo Vamos voltar um pouco na história e entender como a internet que conhecemos hoje foi desenvolvida e como as pessoas começaram a se comunicar a distâncias maiores 221 Origem das redes de computadores Podemos dizer que o compartilhamento de técnicas de cultivos fatos históricos e lendas entre as pessoas é semelhante à troca de dados e arquivos entre dois computadores Baseado no compartilhamento de ideias e comunicação humana pesquisadores identificaram que as vantagens em troca de informações poderiam ser aplicadas na informática Conforme Kim e Solomon 2014 na informática percebeuse logo que as máquinas trabalhando conjuntamente poderiam agregar um valor maior seja em agilidade ou em precisão Percebeuse que a comunicação de equipamentos por meio de redes poderia facilitar a vida das pessoas sem falar de ganho de produtividade agilização de processos de desenvolvimento e automação Sendo assim no ano de 1969 surgia a Advanced Research Projects Agency Network Arpanet em português Rede da Agência para Projetos de Pesquisa Avançada com o objetivo de interligar laboratórios de pesquisa nos Estados Unidos TÓPICO 1 APRESENTAÇÃO 9 Esse projeto ou protótipo de rede era responsável por conectar 4 universidades Universidade de Utah UTAH Universidade de Santa Barbara UCSB Stanford Research Institute SRI e Universidade da Califórnia UCLA Nesse projeto foram utilizadas linhas telefônicas adaptadas e o link era de 50 kbps TANENBAUM WETHERALL 2011 Ainda para Tanenbaum e Wetherall 2011 após a criação de redes de rádio e satélite os protocolos utilizados começaram a apresentar problemas para se conectarem criando assim a necessidade de desenvolvimento de um novo modelo de arquitetura de referência O objetivo dessa arquitetura seria conectar várias redes de forma uniforme e minimizar os problemas Aprofunde seus conhecimentos sobre o desenvolvimento da internet e sua história leia o livro Onde os magos nunca dormem a íncrível história da origem da internet e dos gênios por trás de sua criação de Katie Hafner e Matthew Lyon FONTE HAFNER K LYON M Onde os magos nunca dormem a incrível história da origem da internet e dos gênios por trás de sua criação Rio de Janeiro Red Tapioca 2019 DICAS De acordo com Sena 2017 foi a partir de 1972 que tivemos o desenvolvimento do protocolo TCPIP Transmission Control Protocol Internet Protocol em português Protocolo de Controle de Transmissão Protocolo de Internet e a sua padronização ocorreu somente no ano de 1983 Após esse protocolo tornouse oficial sendo utilizado pela maioria dos computadores e dispositivos na troca de dados Assim como a linguagem humana pesquisadores e cientistas precisaram definir padrões de comunicação para as máquinas Você já deve ter alguma vez apertado a tecla F12 enquanto navegava na internet e ter visto uns códigos estranhos não é mesmo Esses códigos que apareceram são padrões de escrita de uma página web internet Qualquer computador consegue compreender aqueles códigos Em redes de computadores ocorre o mesmo há padrões de linguagens nas máquinas que devem ser seguidos para que as máquinas se entendam o TCPIP é um deles E graças a essa padronização a internet tornouse intuitiva e de fácil acesso Com o padrão de comunicação definido empresas e pesquisadores conseguiram de forma mais fácil desenvolver novas tecnologias Protocolos de acesso remoto protocolos de envio e recebimento de emails transferência de arquivos são alguns exemplos Além das inovações nesses protocolos serviços e transmissão de informação passaram também por avanços de segurança UNIDADE 1 PREPARAÇÃO DE DADOS 10 Sena 2017 afirma que no ano de 1981 foi identificado o primeiro vírus ele foi desenvolvido por Rich Skrenta e era chamado de Elk Cloner Esse vírus mostrava ao usuário infectado um poema em ciclos de 50 reinicializações Por não haver na época ferramentas de extração do vírus sua remoção era complicada Já a primeira epidemia que se tem registro foi do vírus Brain em português Cérebro no ano de 1986 que diferente do anterior foi responsável por grandes prejuízos pois ele se alocava no boot inicialização do computador no disco rígido Já no ano seguinte temos outra pandemia agora do vírus STONED Somente após esses vírus é que surge uma das ferramentas que mais utilizamos nos computadores domésticos e corporativos o antivírus Dentre os desenvolvedores do antivírus estavam John McAfee e Eugene Kaspersky dois sobrenomes bem conhecidos quando falamos de antivírus Após McAfee criar seu próprio negócio essa ferramenta começou a ser difundida e os recursos de extração de vírus e proteção começaram a tomar uma maior atenção no mercado Conforme Tanenbaum e Wetherall 2011 para apoiar esse processo de segurança no ano de 1988 começa o desenvolvimento de uma ferramenta responsável por filtragem de pacotes o firewall em português parede de fogo Foi a partir desse momento que começamos a utilizar frequentemente outros mecanismos como firewalls proxies antivírus e controle de acessos Antes de iniciarmos nossos estudos sobre essas ferramentas vamos nos aprofundar sobre o mundo dos protocolos de redes 222 Protocolo TCPIP Após o avanço de hardwares e softwares foi necessário adotar padrões de comunicação para que os dispositivos pudessem trocar informações de maneira segura Assim como os seres humanos os dispositivos necessitam de uma linguagem padrão para enviar e receber os dados Os dois modelos mais conhecidos e difundidos em redes de computadores são o TCPIP e o OSI sendo o TCPIP pioneiro TANENBAUM WETHERALL 2011 Esses modelos foram responsáveis por segmentar e facilitar o envio de pacotes em uma rede em que cada camada possui suas responsabilidades e protocolos Nas camadas mais baixas como podemos observar na Figura 2 ficam a rede internet Elas são responsáveis por trabalhar com a comunicação envio e recebimento dos pacotes Já nas camadas superiores que são as de transporte e aplicação elas são responsáveis por definir a forma de envio tamanho e identificação do tipo de pacote TÓPICO 1 APRESENTAÇÃO 11 FIGURA 2 MODELOS FONTE httpswwwdlteccombrblogwpcontentuploads201902ositcpippng Acesso em 13 jan 2021 Analisando os modelos TCPIP e OSI apresentados na figura anterior podemos comparar as diferenças entre eles como a forma que são divididos e a correspondência das camadas TANENBAUM WETHERALL 2011 Observe que as cores definidas demonstram apenas equivalência de camadas entre os modelos Podemos observar as outras camadas e sua equivalência entre os modelos perceba que no modelo TCPIP o azul representa a camada de aplicação em relação ao modelo OSI é equivalente as camadas de aplicação apresentação e sessão Essa camada possui como responsabilidades definir uma função do pacote transferência de arquivos envio de email e entre outros formatação de dados e conversão de letras Já na camada em laranja transporte o objetivo é oferecer métodos para a entrega de dados ou seja verificar como os dados serão transportados Continuando na camada rosa internet constam as informações sobre qual endereço deve ser entregue o pacote endereço de internet máquina ou serviço Por fim temos a camada de acesso à rede identificada pela cor verde em relação ao modelo OSI é equivalente as camadas de enlace e física é responsável por garantir que a conexão física esteja funcionando De acordo com Kim e Solomon 2014 podemos compreender que esses modelos são como uma boneca russa em que os dados são colocados dentro de um compartimento e cada camada é responsável por colocar uma etiqueta e encapsular a informação Vejamos na figura a seguir um exemplo de como acontece o encapsulamento UNIDADE 1 PREPARAÇÃO DE DADOS 12 Não vamos nos aprofundar na explicação das camadas pois o objetivo deste livro é sobre segurança e criptografia Caso tenha ficado interessado sobre o assunto sugerimos que leia o livro Redes de computadores dos autores Tanenbaum e Wetherall 2011 DICAS FIGURA 3 CAMADAS E COMPORTAMENTO DOS DADOS FONTE httpsdocplayercombrdocsimages4723715490imagespage8jpg Acesso em 13 jan 2021 Segundo Tanenbaum e Wetherall 2011 cada camada dos modelos TCPIP e OSI possui protocolos com características diferentes Podemos fazer uma analogia e dizer que cada camada é como idiomas na linguagem humana que possuem suas próprias características como tipo de caracteres símbolos tamanhos e formatos Para auxiliar nesse processo e garantir a segurança da informação existem protocolos específicos que visam tornar a informação ainda mais segura e protegida Se tratando de segurança vejamos no quadro a seguir as camadas do modelo TCPIP e vulnerabilidades envolvidas TÓPICO 1 APRESENTAÇÃO 13 QUADRO 1 RISCOS POR CAMADAS Camada Vulnerabilidades Aplicação Ataques via SMTP HTTP DNS NIS NFS NTP WHOIS login remoto pishing Transporte Spoofing UDP ataque de roteamento sequencial Internet Spoofing ataque ICMP Acesso à rede Escuta passiva e Sobrecarga de Serviços broadcast FONTE O autor Nomes e siglas complicadas não é mesmo Nesse momento não fique preocupado com isso apenas atentese aos diferentes riscos que cada camada está suscetível Devido aos diversos ataques e vulnerabilidades que as redes de computadores estão expostas alguns pesquisadores desenvolveram projetos e tecnologias que pudessem tornar as redes mais seguras Dentre as técnicas para aumentar a segurança estava o uso de criptografia como mecanismo de proteção Agregar proteção e manter as funcionalidades dos protocolos seria como resolver dois problemas de uma única vez em um único protocolo Para Tanenbaum e Wetherall 2011 ele aponta que esse recurso de proteção pode ser utilizado em protocolos pois há protocolos que realizam suas atribuições na comunicação e também apresentam mecanismos adicionais de segurança Um exemplo desse mecanismo pode ser encontrado durante nossa navegação na internet Ao acessar uma página na internet você já deve ter reparado em umas letras antes do site que você está buscando correto Essas letras representam um protocolo de aplicação o HTTP ou HTTPS Conforme Tanenbaum e Wetherall 2011 o HTTPS Hyper Text Transfer Protocol Secure Protocolo de transferência de hipertexto seguro e o HTTP Hypertext Transfer Protocol Protocolo de transferência de hipertexto são protocolos básicos da internet e podem ser usados em qualquer aplicação clienteservidor Veja na figura a seguir um exemplo da utilização durante acesso ao site do banco HSBC FIGURA 4 ENDEREÇO UTILIZANDO HTTPS FONTE O autor UNIDADE 1 PREPARAÇÃO DE DADOS 14 O protocolo HTTPS é um protocolo que é utilizado constantemente durante navegação em sites de bancos corretoras de investimentos administração de seguros e em sites de prefeituras Ele possui as mesmas características do protocolo HTTP mas possui uma camada extra de segurança que utiliza o protocolo SSLTLS Segundo Tanenbaum e Wetherall 2011 outro mecanismo de proteção associado à segurança é o SSL e o TLS O SSL Secure Sockets Layer Camada de Soquetes Segura é um complemento criptográfico desenvolvido para a internet responsável por tornar mais seguro a camada de transporte e aplicação O TLS Transport Layer Security Segurança na Camada de Transporte é o sucesso do SSL Ele é um complemento que fornece privacidade e integridade de dados em uma troca de comunicação envio e recebimento de pacotes pois utiliza criptografia em sua comunicação trabalhando nas mesmas camadas do SSL 223 Firewall O firewall em tradução literal parede de fogo é um equipamento ou mecanismo responsável por efetuar o controle de tráfego de informações em uma rede ou computador Para Tanenbaum e Wetherall 2011 um firewall pode ser constituído por um hardware próprio ou estar configurado em alguma máquina Pois é através de parâmetros na sua configuração que lhe permite se tornar a autoridade máxima e limitar os acessos além de controlar o que pode ou não pode ser visto Segundo Centro de Estudos Resposta e Tratamento de Incidentes de Segurança no Brasil Certbr 2003 o firewall ajuda a reduzir riscos quando a informação necessita estar disponível na internet e também pode proteger as informações antes de serem compartilhadas na internet de ataques e vulnerabilidades O firewall consiste em autorizar ou bloquear pacotes de saída e entrada em uma rede de computadores No entanto você sabe o que são pacotes Um pacote pode ser compreendido como pedaços de uma informação que são encapsulados por protocolos transporte rede aplicação etc Por isso o firewall é responsável por consultar em seus parâmetros de bloqueio e permissão e com base nisso liberar ou negar a transição do pacote dentro da rede TANENBAUM WETHERALL 2011 Se estiver dentro do que foi definido ele poderá seguir e cumprir seu objetivo no computador de destino ou aplicação Agora se o pacote não apresenta as características de autorização ou tenha informações duvidosas ele será negado e descartado pelo equipamento Veja a figura a seguir sobre o funcionamento do equipamento que representa esse fluxo de triagem de pacotes TÓPICO 1 APRESENTAÇÃO 15 FIGURA 5 TRATAMENTOS DO FIREWALL FONTE httpswwwinfowestercomfirewallphp Acesso em 13 fev 2021 Vejamos na Figura 5 a simulação de uma rede com dois firewalls que estão configurados para filtrar pacotes vindos de uma rede pública internet e também filtrar pacotes do setor financeiro da rede privada rede local composta por equipamentos da própria empresa FIGURA 6 EXEMPLO COMPLEXO DE FIREWALL FONTE httpswwwcertbrdocssegadmredesimagesexfwcomplpng Acesso em 13 jan 2021 UNIDADE 1 PREPARAÇÃO DE DADOS 16 Perceba que no exemplo apresentado e colocado em destaque na Figura 7 temos um firewall exclusivo ao financeiro isso ocorre devido à necessidade de proteção das informações do servidor e computadores além da filtragem de pacotes vindos da rede interna da empresa para este setor FIGURA 7 DESTAQUE SETOR FINANCEIRO FONTE Adaptada de httpswwwcertbrdocssegadmredesimagesexfwcomplpng Acesso em 13 jan 2021 Referente aos outros servidores WWW DNS SMTP e SMTPPOPSSL apresentados na Figura 8 os pacotes transitam livremente na rede da empresa pois há configurações DMZ Demilitarized Zone ou Zona Desmilitarizada em português que autorizam o acesso e utilização dos serviços sem restrição ou bloqueio FIGURA 8 DESTAQUE SERVIDORES FONTE Adaptada de httpswwwcertbrdocssegadmredesimagesexfwcomplpng Acesso em 13 jan 2021 TÓPICO 1 APRESENTAÇÃO 17 De acordo com Tanenbaum e Wetherall 2011 o funcionamento do firewall utiliza configurações definidas pelo administrador e que elas não são fixas no equipamento ou seja o firewall pode atuar de diferentes maneiras realizando filtros de pacotes em um serviço filtros de pacotes em aplicações filtro em camadas rede aplicação sessão tudo parametrizado Essas configurações podem ser responsáveis apenas pelo redirecionamento de portas conexões externas e encaminhamento de pacotes Há também possibilidade de atuar no controle de protocolos dos pacotes roteamentos criptografias bloqueios de acesso a sites etc Como vemos o firewall é um ativo de rede ou ferramenta de tecnologia que diminui vulnerabilidades e ameaças através do controle de pacotes no entanto sua correta configuração é fundamental para tornar uma rede segura ou não 224 Proxy No tópico anterior vimos que o firewall é conhecido como mecanismo de proteção e filtragem já proxy é reconhecido por apoiar a segurança e assegurar que os usuários acessem conteúdos confiáveis Conforme Tanenbaum e Wetherall 2011 p 466 o proxy pode ser parametrizado de diferentes formas e possuir diferentes objetivos Um proxy Web é usado para compartilhar cache entre os usuários Um proxy é um agente que atua em favor de alguém como o usuário Existem muitos tipos de proxies Por exemplo um proxy ARP responde a solicitações ARP em favor de um usuário que está em outro lugar e não pode responder por si mesmo Um proxy Web busca solicitações Web em favor de seus usuários Ele normalmente oferece caching das respostas da Web e por ser compartilhado pelos usuários tem cache substancialmente maior do que um navegador Conforme Certbr 2006 durante a navegação em sites os usuários expõem seus endereços credenciais e informações pessoais Com a utilização de um servidor proxy os riscos na navegação diminuem pois eles deixam de acessar um servidor desconhecido na internet e passam a acessar um servidor local servidor proxy O servidor proxy é um equipamento físico semelhante a um servidor que armazena documentos só que ele armazena páginas de internet O Cache memória temporária do servidor proxy permite que usuários acessem um site na internet armazenado no cache do servidor localmente garantindo assim menor risco e contato com ameaças UNIDADE 1 PREPARAÇÃO DE DADOS 18 Tomemos como exemplo uma empresa de tecnologia se um funcionário recémcontratado acessa o Facebook na empresa pela primeira vez o servidor é responsável por armazenar a página da internet em sua memória localmente logo quando outros usuários acessarem o Facebook eles estarão acessando a memória do servidor e não mais a internet A vantagem disso é a velocidade de acesso percebida pelo usuário ou seja em vez dele acessar o servidor do Facebook em alguns casos localizados em outros países ele passa a acessar o site cacheado no servidor de sua própria empresa Outra vantagem percebida é com relação à segurança em que se diminui a chance de o usuário cair em golpes de páginas falsas Na Figura 9 podemos visualizar o exemplo apresentando em que ocorre a busca de um endereço Primeiramente é consultado o cache do navegador caso não seja encontrado aí sim a busca irá para o cache do proxy Vale reforçar que essas buscas até o momento ocorrem dentro da organização e somente quando não encontrado nos caches a busca é realizada na internet servidores de outras empresas FIGURA 9 EXEMPLO COMPLEXO DE FIREWALL FONTE O autor O servidor proxy possui outras vantagens além de fornecer agilidade de acessos ele também fornece proteção e limitação de acesso a conteúdo Por exemplo quando você é contratado por uma empresa ela geralmente fornece um manual de boas práticas durante utilização na internet Geralmente esse manual contém o que você pode e não pode acessar como exemplo de bloqueio pode estar redes sociais programas de emails que não corporativos assistir filmes entre outros Esses bloqueios geralmente são estabelecidos no proxy Segundo Tanenbaum e Wetherall 2011 estão associadas à proteção ofertada pelos proxies os filtros de conteúdo Em filtros de conteúdo a proteção de dados ocorre devido ao controle de acessos ou seja o proxy busca em sua lista de regras o que o usuário pode ou não acessar dentro da rede privada da empresa TÓPICO 1 APRESENTAÇÃO 19 Os parâmetros do proxy definem as regras de conexão e transição de pacotes dentro da rede Alguns parâmetros estão associados à tipo de protocolo porta de conexão endereço do remetente e destinatário horário de conexão etc Esse filtro também pode ser responsável por bloquear sites que requerem autorizações especiais sites que solicitam informações do usuário 225 Antivírus Conforme Tanenbaum e Wetherall 2011 um vírus nada mais é que um programa computacional que tem como objetivo danificar roubar ou apenas perturbar o usuário Já o antivírus também é um software só que com objetivo de neutralizar os vírus O antivírus é responsável por defender o usuário de um ataque vindo de qualquer lugar Essa poderosa ferramenta protege o usuário de si mesmo Sabe aquele momento que dá vontade de abrir um arquivo que você não conhece ou não tem segurança sobre a origem dele Sabe aquele email com assuntos interessantes Isso mesmo o antivírus nos protege quando caímos na tentação e de sofrermos prejuízos financeiros equipamentos e perdas de tempo Como já dito e reforçado por Castelló e Vaz 2020 o funcionamento do antivírus é simples ele trabalha com uma base de dados dos principais arquivos maliciosos encontrados e desenvolve uma vacina para combatêlos É importante reforçar que o antivírus pode trabalhar também com o firewall e softwares de proteção No mercado encontramos antivírus pagos e gratuitos sendo que a principal diferença encontrase na quantidade de camadas que eles protegem e a frequência de atualização da base de ameaças Visando à proteção do usuário o antivírus atua em diversas frentes para combater ameaças e diminuir os riscos durante a utilização do computador Caso pretenda desenvolver seus conhecimentos sobre o assunto de firewall antispam e spyware recomendase a leitura do livro Fundamentos de segurança da informação com base na ISO 27001 e na ISO 27002 de Jule Hintzbergen Kees Hintzbergen André Smulders e Hans Baars FONTE HINTZBERGEN J et al Fundamentos de segurança da informação com base na ISO 27001 e na ISO 27002 Rio de Janeiro BRASPORT 2018 DICAS UNIDADE 1 PREPARAÇÃO DE DADOS 20 226 Backup e Disaster Recovery Você já imaginou quantos arquivos temos armazenadas em nossos telefones e computadores E ainda se por um descuido houvesse uma invasão e todos essa arquivos se perdessem Foto em família vídeos mensagens Antes de continuar uma dica Realize backup constantemente de seus documentos e arquivos Na correria do nosso dia a dia muitas vezes não nos preocupamos em realizar cópia de segurança backup das nossas informações Em muitos casos só lembramos da importância desse recurso quando há um desastre não é mesmo Esse recurso foi desenvolvido para mitigar perda de dados ocasionados por um ataque ou problemas nos equipamentos Vamos conhecer um pouco mais sobre ele Conforme descrito por Castelló e Vaz 2020 um backup pode ser realizado de três formas Total diferencial e incremental Em cada tipo ele possui características diferentes bem como vantagens e desvantagens O processo de voltar um backup é denominado restore em português restauração O backup total conforme o próprio nome sugere é uma cópia completa de todos os arquivos seja um telefone ou uma base de dados Em caso de falhas ou ataques é realizado uma substituição dos dados corrompidos de acordo com a última data salva do backup escolhido A vantagem desse tipo de backup é que se pode escolher os dados que precisam ser restaurados individualmente Como desvantagens podemos listar o espaço de armazenamento e tempo de realização do processo Observe a figura a seguir que exemplifica essa situação FIGURA 10 BACKUP TOTAL FONTE httpswwwcontrolenetnovoassetsimgfaqbackupfulljpg Acesso em 13 jan 2021 TÓPICO 1 APRESENTAÇÃO 21 No backup diferencial ainda de acordo com Castelló e Vaz 2020 a cópia de segurança é realizada conforme as últimas alterações dos arquivos no último backup completo Ou seja nessa forma de backup é realizado um backup de todos os arquivos posteriormente quando há necessidade de um novo backup o mecanismo faz uma comparação do backup completo com as alterações que foram realizados no arquivo Caso tenha havido alterações o backup copia todas as alterações realizadas Neste tipo de backup as vantagens são o consumo menor de espaço no disco pois não há necessidade de sempre ter que copiar todos os arquivos Como desvantagens há uma maior demora para realizar o backup devido comparação de alterações e o tempo de restauração é maior consequentemente Observe a figura a seguir que exemplifica essa situação FIGURA 11 BACKUP DIFERENCIAL FONTE httpswwwcontrolenetnovoassetsimgfaqbackupdiferencialjpg Acesso em 13 jan 2021 O backup incremental consiste em uma cópia realizada em arquivos alterados Ou seja nessa forma de backup é realizado um backup de todos os arquivos posteriormente quando há necessidade de um novo backup o mecanismo faz uma comparação do backup completo com as últimas alterações nos arquivos Caso alguma alteração tenha ocorrido é realizado o backup do arquivo mais atual A diferença desse tipo de backup é que ele fragmenta os arquivos que foram copiados no backup No caso de uma restauração é restaurado o backup total e mais os fragmentos das cópias dos arquivos Observe a figura a seguir que exemplifica essa situação UNIDADE 1 PREPARAÇÃO DE DADOS 22 FIGURA 12 BACKUP INCREMENTAL FONTE httpswwwcontrolenetnovoassetsimgfaqbackupincrementaljpg Acesso em 13 jan 2021 Como vimos não faltam opções para manter os dados seguros Além de soluções de backup de arquivos existe soluções de segurança a nível de negócios e processos Para Tanenbaum e Wetherall 2011 temos ainda o disaster recovery em português recuperação de desastre A recuperação de desastres pode ser compreendida como um modelo de recuperação a nível de negócio e não somente restauração de arquivos backup Esse recurso visa reestabelecer processos arquivos aplicações e serviços após uma tragédia roubo incêndio desastre natural Podemos entender que esse método possui uma visão completa operacional 227 Controle de Acesso Como vimos é de suma importância manter cópias de segurança das informações mas também precisamos controlar quem as acessa Você já imaginou o que aconteceria se todos da empresa tivessem acesso a todas as informações se todos pudessem consultar o salário dos outros funcionários pudessem ter acesso aos planejamentos da gerência os planos de expansão ou as fórmulas dos produtos Com certeza isso seria um caos Para diminuir os riscos de vazamento de informações é necessário garantir o acesso somente a quem necessita da informação Segundo definem Tanenbaum e Wetherall 2011 o controle de acesso é a forma de bloquear ou permitir acesso de pessoas a um arquivo ou programa Para Castelló e Vaz 2020 esse controle de acesso ou permissionamento pode ocorrer de diversas maneiras e pode variar conforme o sistema que está sendo utilizando Através de ferramentas como Active Directory Domain Services em português Serviços de Domínios de Diretório ativado e Samba ferramenta utilizada em redes linux podemos controlar acessos a arquivos e pastas em computadores já em banco de dados podemos limitar o acesso através da criação de roles em português regras ou views em português visualizações Através dessas ferramentas é possível a criação e administração de grupos de usuários além de políticas permissionamento em diferentes escalas TÓPICO 1 APRESENTAÇÃO 23 Portanto em uma rede corporativa dar somente a permissão necessária para que ele execute suas atividades é uma medida aparentemente simples mas extremamente importante já é uma proteção contra atividades malintencionadas sejam usuário ou terceiros 23 RISCOS E AMEAÇAS Muitos são os ataques que podem comprometer a segurança dos dados de uma organização Todos os dias essas organizações estão expostas a diversos vírus e crimes cibernéticos Algumas dessas ameaças já são bem conhecidas Conheça os maiores ataques cibernéticos e os prejuízos causados Disponível em httpsmediumcomganeshicmcos10maioresataquescibernC3A9ticosda histC3B3ria9803db52462a DICAS Quando ouvimos nesses assuntos sobre sequestro e vazamento de informações clonagem de números telefônicos e roubos parece algo distante da nossa realidade não é mesmo Você sabia que somos o segundo país do mundo em ataques virtuais Além desses ataques que afetaram operações e até mesmo a sobrevivência das empresas temos como consequência o vazamento de informações confidenciais a espionagem industrial e como dissemos isso pode gerar danos permanentes que comprometem a sobrevivência da organizar Cada arquivo malicioso possui características diferentes de instalação na máquina propagação forma de contaminação e funcionamento Observe na imagem a seguir alguns arquivos maliciosos e como eles agem nos computadores UNIDADE 1 PREPARAÇÃO DE DADOS 24 FIGURA 13 ARQUIVOS MALICIOSOS E SEUS DANOS FONTE Certbr 2020 sp Após a contaminação de um mecanismo malicioso podemos sofrer grandes prejuízos não é mesmo Vamos estudar agora cada mecanismo desse e analisar os impactos que eles podem causar Segundo o Certbr 2020 o vírus computacional é um programa ou parte de um programa de computador geralmente malintencionado que visa se tornar parte de outros programas e arquivos Esses mecanismos necessitam ser ativados para cumprirem seu objetivo geralmente isso ocorre durante a execução do programa ou arquivo hospedeiro Os vírus propagamse principalmente através de emails e mídias removíveis TÓPICO 1 APRESENTAÇÃO 25 Worm em português verme é outro programa que devemos ter cuidado Segundo o Centro de Estudos Resposta e Tratamento de Incidentes de Segurança no Brasil 2020 ele é um programa que possui alto índice de propagação em redes enviando cópias de si mesmo de computador para computador Diferente do vírus o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores Worms são notadamente responsáveis por consumir muitos recursos devido à grande quantidade de cópias de si mesmo que costumam propagar e como consequência podem afetar o desempenho de redes e a utilização de computadores Outro mecanismo malintencionado são os bots e botnets em português robô e robôs Conforme o Centro de Estudos Resposta e Tratamento de Incidentes de Segurança no Brasil 2020 sp Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente Possui processo de infecção e propagação similar ao do worm ou seja é capaz de se propagar automaticamente explorando vulnerabilidades existentes em programas instalados em computadores A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC servidores Web e redes do tipo P2P entre outros meios Ao se comunicar o invasor pode enviar instruções para que ações maliciosas sejam executadas como desferir ataques furtar dados do computador infectado e enviar spam O spyware em português espia como o próprio nome sugere é um mecanismo de monitoramento das atividades de um sistema e envio das informações coletadas para terceiros Segundo Certbr 2020 ele pode ser utilizado de forma legítima em que o dono monitora a ação de outros usuários em uma máquina e na forma maliciosa onde há violação de privacidade sem a devida autorização O backdoor em português porta dos fundos é um programa que permite o retorno de um invasor a um computador comprometido por meio da inclusão de serviços criados ou modificados para este fim Pode ser incluído pela ação de outros códigos maliciosos CERTBR 2020 O Trojan em português cavalo de troia comumente conhecido como cavalo de troia é um programa que executa ações informadas pelo usuário e também ações desconhecidas por ele Segundo Certbr 2020 sp podemos perceber o uso desse programa nos seguintes exemplos Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados álbuns de fotos jogos e protetores de tela entre outros Estes programas geralmente consistem em um único arquivo e UNIDADE 1 PREPARAÇÃO DE DADOS 26 necessitam ser explicitamente executados para que sejam instalados no computador Trojans também podem ser instalados por atacantes que após invadirem um computador alteram programas já existentes para que além de continuarem a desempenhar as funções originais também executem ações maliciosas Por fim Rootkit termo formado por duas palavras Kit e root Em português conjunto de ferramentas e raiz é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido CERTBR 2020 Esse tipo de mecanismo visa remover evidências de ataques mapear vulnerabilidades capturar informações e entre outros Como podemos perceber há diferentes formas de mecanismos maliciosos que trazem preocupações à equipe de segurança da informação Cada um possui uma característica um impacto e explora as vulnerabilidades 24 CRIPTOLOGIA Já vimos que a criptografia é quase tão antiga quanto a escrita e que seu uso é bastante amplo Observamos que a criptografia esteve muito ativa durante a história da humanidade em conflitos e troca de informações Vamos agora aprofundar os nossos conhecimentos sobre as divisões da criptografia e suas responsabilidades Para realizar tais funções ela emprega conhecimentos de diversas áreas como matemática computacional psicológica e filológica A criptografia é parte integrante da ciência de símbolos a criptologia Vamos nos aprofundar mais no assunto de criptologia e suas divisões Conforme Tanenbaum e Wetherall 2011 a Criptologia estuda os conjuntos de técnicas que tornam uma mensagem incompreensível a pessoas não autorizadas que são a quebra das informações ocultadas e os métodos de ocultação de mensagens FIGURA 14 DIVISÃO DA CRIPTOLOGIA FONTE httpwwwmatufpbbrbienalsbmarquivosOficinasPedroMalaguttiTemasInterdisciplinares AprendendoCriptologiadeFormaDivertidaFinalpdf Acesso em 13 fev 2021 TÓPICO 1 APRESENTAÇÃO 27 A criptoanálise estuda as formas para decodificar uma mensagem sem tornarse conhecido Essa técnica utiliza métodos matemáticos para que uma mensagem codificada se torne a mensagem original ou seja busca quebrar o código da mensagem transformandose assim em mensagem legível e compreensível TANENBAUM WETHERALL 2011 A esteganografia estuda métodos e formas de inserir uma imagem responsável pela autenticidade da informação dentro da mensagem ou objeto Esse método é utilizado popularmente nas cédulas de papel moeda método conhecido popularmente como marca dagua responsável por identificar a autenticidade de uma nota A esteganografia é também utilizada na emissão de documentos imagens e até para atestar a originalidade uma obra como imagens transmitidas na TV digital O objetivo principal da esteganografia é manter obra produto imagem ou documento de forma original e com propriedades autorais TANENBAUM WETHERALL 2011 A criptoanálise responsável por estudar as formas de decodificar uma mensagem sem tornarse conhecido Essa técnica utiliza métodos matemáticos para que uma mensagem codificada se torne a mensagem original ou seja busca quebrar o código da mensagem transformandose assim a mensagem legível e compreensível Outra divisão da criptologia é a criptografia responsável por estudar a escrita oculta ou seja estudo voltado aos métodos de tornar uma mensagem não compreensível exceto a quem envia e quem recebe Para que a criptografia funcione ela necessita de códigos e cifras Lembra da brincadeira da língua do P Compare a cifra como sendo a regra de colocar o P na frente de cada palavra As cifras são responsáveis por converterem o texto utilizando um padrão Uma das vantagens da cifragem é que ela não necessita ter uma lógica ou um padrão para transformar o texto basta apenas não ser alterada Na criptografia também existem os códigos e eles são mecanismos complementares da cifra ou seja podemos comparálos como um cadeado em que o código é uma chave e a cifra é o próprio cadeado Outra divisão existe é das cifras elas podem ser de substituição ou transposição Conforme Bezerra 2020 as cifras estão divididas em cifras de substituição e cifras de transposição As cifras de substituição como o próprio nome sugere funcionam como um disfarce Neste tipo de cifra um texto é substituído por outro assim como no exemplo do envio da mensagem FACA Na cifra de transposição as letras são mantidas e há reordenação das letras nela não há o disfarce como na cifra de substituição No exemplo do envio da mensagem FACA a mensagem enviada poderia ficar AFCA ou ACAF entre outras combinações UNIDADE 1 PREPARAÇÃO DE DADOS 28 241 Criptografia Você já deve ter brincado alguma vez com seus amigos de símbolos ou ter usado a língua do P para se comunicar não é mesmo Observe que a criptografia já fazia parte da sua vida nessas brincadeiras de infância Segundo Nakamura e Geus 2007 podemos dizer que a criptografia é uma escrita responsável por tornar uma mensagem incompreensível a pessoas não autorizadas ou seja ela só é lida por quem consegue decifrar o código A criptografia utiliza de recursos como símbolos chaves e cifras para converter mensagens Vejamos um pequeno exemplo sobre como criptografar e descriptografar uma palavra Aplicaremos a cifra de César em nosso exemplo FIGURA 15 CIFRA DE CÉSAR FONTE Adaptada de https2bpblogspotcomjLRQZjbg5wVOu0QsgLYSI AAAAAAAAT2Y0yzQyvhdjws1600Cifra2Bde2BCesarpng Acesso em 13 jan 2021 Em nossa situação hipotética vamos enviar uma mensagem criptografada para um colega que tenha a mesma cifra que a sua A mensagem que pretendemos enviar é FACA Para realizar a cifragem observe as equivalências de letras a letra F da primeira linha será equivalente à letra C da segunda linha a letra A da primeira linha será equivalente à letra X da segunda linha e a letra C da primeira linha será equivalente à letra Z da segunda linha logo o que enviaremos será CXZX Seu amigo após receber a mensagem pegará a cifra e fará o processo inverso Supomos ainda que um terceiro integrante sem a cifra veja a mensagem você acha que ele entenderá o texto criptografado Percebeu que ninguém saberá a mensagem caso não souberem a cifra Saindo das brincadeiras de criança e indo para a computação em mecanismos automatizados de criptografia ela começou realmente a ser empregada através de algoritmos que realizam a criptografia Segundo Tanenbaum e Wetherall 2011 até 1970 a criptografia era utilizada exclusivamente pelo governo A popularização da criptografia foi realizada após o desenvolvimento do primeiro modelo denominado DES Data Encryption Standard em português Padrão de Criptografia de dado Esse algoritmo foi desenvolvido pela IBM em 1977 e tinha a capacidade de 72 quadrilhões de combinações TÓPICO 1 APRESENTAÇÃO 29 Seguindo com a evolução da criptografia nos algoritmos Segundo Singh 2013 nos anos de1990 Xuejia Lai e James Massey publicam um artigo denominado Uma proposta para um novo padrão de encriptação de bloco LAI 1990 denominado IDEA International Data Encryption Algorithm O objetivo do IDEA foi substituir o DES Nesse novo algoritmo proposto no IDEA utilizava se uma chave de 128 bits Além disso ele possuía uma melhor interface de implementações do que os outros softwares existentes na época além de melhor adequarse a computadores de uso popular Como nem tudo é perfeito no ano de 1997 aconteceu a primeira quebra de criptografia do código DES de 56 bits Na época para realizar essa façanha estima se que foram utilizados aproximadamente uma rede com 14000 computadores Graças aos avanços da tecnologia no ano seguinte o código DES foi quebrado em apenas 56 horas e em 1999 esse ataque foi baixado para apenas em apenas 22 horas e 15 minutos Como o processo que quebra de criptografia tornandose cada vez mais rápido foi necessário a implementação de novos modelos Então começaram a ser implementados os conceitos de utilização de chaves simétricos e assimétricos certificação digital assinatura digital além de novos mecanismos de cifragem de dados e protocolos customizados voltados a preservação da segurança da informação Veremos mais sobre esses mecanismos de cifragem no Tópico 2 da Unidade 1 e também nas demais unidades deste livro ESTUDOS FUTUROS 30 Neste tópico você aprendeu que A informação foi sempre objeto de pesquisa durante a evolução humana e desenvolvimento de novas tecnologias A informação possui características e que a segurança da informação visa resguardálas de ameaças A informação sempre foi peça principal em disputas de territórios táticas de guerra relacionamentos e comunicação Uma rede de computadores possui ligação direta com a segurança da informação Uma informação disponibilizada e compartilhada em rede sofre inúmeros riscos Os fundamentos de redes são necessários ser compreendidos para desenvolver o aprendizado sobre segurança da informação e criptografia Em redes de computadores o pacote é dividido em camadas Cada camada possui responsabilidades características e protocolos Em redes de computadores falamos sobre ameaças vulnerabilidades e medidas de segurança com os hardwares Em redes de computadores falamos sobre ameaças vulnerabilidades e medidas de segurança com os hardwares de uma transmissão de dados e a importância de clusters redundâncias de serviços e meios de transmissão A segurança física aborda aspectos de energia climatização controle de acesso descarte de equipamentos e conscientização ambiental Os fundamentos e conceitos sobre ferramentas de proteção lógica cuidados relacionados à parametrização de equipamentos e a correlação das ferramentas e parametrizações com a política de segurança A utilização de ferramentas como firewalls antivírus antispams e permissionamentos é muito importante As atualizações de softwares e firmwares são responsáveis por corrigir e prevenir ameaças RESUMO DO TÓPICO 1 31 A evolução da criptografia ocorreu de forma gradual Viuse que a criptografia estava associada a fatos históricos como guerras troca de mensagens e controle de acesso A Criptologia é uma grande área de estudo e que ela é dividida em diversas outras áreas Viuse também que a criptografia é um fragmento dessa área 32 1 PRODEB 2018 As estruturas de tecnologia dentro das empresas cresceram de forma desordenada ao longo dos anos tendo como justificativa a necessidade de manter os sistemas funcionando Sobre Infraestrutura Tecnológica assinale a alternativa CORRETA FONTE Adaptado de httpsarquivosqconcursoscomprovaarquivoprova68561 institutoaocp2018prodebanalistadeticiarquiteturadesolucoesprovapdf ga2268889841140062068716131405213879043011603801534 Acesso em 12 fev 2021 a Disponibilidade de modo amplo é a proporção de tempo e lugar em que um sistema permanece ativo dependendo da estrutura do hardware e da Infraestrutura downtime proposta b Quanto melhor for a operação do sistema maior terá de ser sua disponibilidade downtime isto é menor terá de ser o tempo em que o sistema fica sujeito a algum tipo de falha c Disponibilidade de modo amplo é a proporção de tempo e lugar em que um sistema permanece ativo dependendo da estrutura do hardware e da Infraestrutura uptime proposta d Quanto mais crítica for a operação do sistemamaior terá de ser sua disponibilidade uptime isto é menor terá de ser seu downtime tempo em que o sistema fica parado devido a alguma falha e Quanto melhor for a operação do sistema uptime maior terá de ser sua estrutura downtime isto é maior terá de ser o tempo em que o sistema uptime fica livre de falhas 2 QUADRIX 2019 A respeito de redes de computadores e dos aplicativos para segurança da informação julgue o item a seguir Os firewalls não podem ser usados como interface com outros dispositivos de segurança como servidores de autenticação FONTE Adaptado de httpswwwqconcursoscomquestoesdeconcursosquestoes c6e622397d Acesso em 12 fev 2021 a Certo b Errado 3 Sabemos que o backup é um recurso muito importante na segurança É ele que garante que uma recuperação de dados caso houver alguma falha sistêmica roubo de equipamentos ou corrompimento de arquivos Quais são os 3 tipos de backups mais utilizados AUTOATIVIDADE 33 TÓPICO 2 UNIDADE 1 FUNDAMENTOS DE REDE SEGURANÇA E CRIPTOGRAFIA 1 INTRODUÇÃO Agora que compreendemos um pouco sobre a origem e evolução da segurança da informação aprofundaremos os nossos conhecimentos nas áreas de redes de computadores segurança e criptografia O objetivo deste tópico é fazer com o leitor desenvolva um conhecimento teórico sobre o tema e possa adquirir um conhecimento crítico constatando a responsabilidade na administração de um ambiente Como vemos e lemos comumente notícias sobre a informática percebemos a quantidade de invasões e roubos de informações que as pessoas sofrem Perda de documentos sequestro de banco de dados estelionato e roubos são alguns dos crimes cibernéticos que mais atingem pessoas As vulnerabilidades e hipossuficiência de segurança são as duas situações que favorecem que pessoas malintencionadas consigam cometer os crimes citados Como discutido anteriormente a segurança da informação precisa atuar em duas frentes com pessoas e técnicas de proteção Neste tópico relacionado a pessoas trataremos sobre políticas de acesso administração de permissões e condutas Com relação às técnicas conceituaremos os itens introduzidos no tópico anterior e dissertaremos sobre o funcionamento deles É importante entendermos conceitualmente as funcionalidades que oferecem segurança aos usuários e os mecanismos de defesa de ataques 2 FUNDAMENTOS Agora que fomos introduzidos à criptografia e redes de computadores vamos conhecer os recursos de chaves assinaturas digitais mecanismos de segurança e certificados digitais que fornecem mais confiabilidade e que são responsáveis por proteger a empresas usuários e até ao funcionamento dos próprios sistemas Além da confiabilidade os recursos são responsáveis por prover integridade e controle de acesso Como veremos a seguir alguns mecanismos de segurança visam digitalizar documentos e comprovantes ou seja tornar algo que temos no mundo real em algo virtual Outro item em que podemos empregar a tecnologia é na utilização de arquivos virtuais como forma de autenticidade de uma açãodocumento 34 UNIDADE 1 PREPARAÇÃO DE DADOS 21 SEGURANÇA Compreendendo os fundamentos básicos de redes podemos seguir em nosso aprendizado sobre segurança Como vimos no tópico anterior a segurança na informática é complementada pelas redes de computadores Ambas as áreas se interligam no planejamento configuração e administração A segurança na informática ocorre da mesma forma e em uma camada a mais a virtual Como vimos na introdução a segurança na informática precisa ser responsável por guardar equipamentos fisicamente e informações e dados virtualmente TANENBAUM WETHERALL 2011 Vimos que a segurança zela nesses dois níveis por manter a informação confidencial íntegra e disponível aos usuários Para manter as informações com suas características ela utiliza de autenticação sigilo aceitação e controle de integridade Com isso vamos aos fundamentos da segurança da informação e expandir nossa base de conhecimento 211 Certificado digital No mundo físico a comprovação de autenticidade de uma informação sempre foi realizada de alguma forma Assinaturas carimbos digitais e selos todos utilizados para declarar um documento oficial Na informática e com a tecnologia meios de autenticidade têm sido empregados para substituir a comprovação presencial de determinado acordo ou informação O certificado digital e assinatura digital são alguns desses mecanismos de segurança que visam autenticar determinada informação A internet está cada vez mais presente no cotidiano das pessoas principalmente na vivência dos jovens NARDON 2006 Podemos nos conectar a empresas pessoas e ao governo para consultar processos realizar procedimentos bancários realizar compras de bens investir entre outras coisas Para executar todos esses processos é necessário que o usuário por trás da máquina seja quem realmente diz Esses processos por serem de grande importância precisam ser confiáveis e seguros a fim de que não haja fraudes Para isso os certificados digitais são empregados Eles são responsáveis por garantir que uma pessoa seja quem diz ser na rede O certificado é uma tecnologia na área da informática que visa identificar transações eletrônicas considerando sua autenticidade confidencialidade e integridade para que não ocorram interceptações adulterações entre outras fraudes possíveis O certificado digital possui um recurso que trabalha em paralelo que é a assinatura digital Conhecida por ser um mecanismo de segurança a assinatura digital utiliza chaves criptográficas Esse tipo de segurança de assinatura permite transformar uma assinatura em uma hash responsável por encapsular a informação Qualquer modificação nela ou acesso altera a hash invalidando assim o documento TÓPICO 2 FUNDAMENTOS DE REDE SEGURANÇA E CRIPTOGRAFIA 35 O certificado digital conforme acordo do ICPBrasil podem ser classificados em duas classes cada uma tem quatro tipos Na classe A existem os certificados A1 A2 A3 e A4 que são certificados de assinatura digital utilizados em emails redes privadas e documentos eletrônicos Na classe S existem os certificados S1 S2 S3 e S4 que são certificados de sigilo que são utilizados em base de dados mensagens e codificação de documentos O certificado digital é um documento eletrônico que armazena uma assinatura digital com informações como nome entidade emissora prazo de validade e uma chave pública O certificado é um documento responsável por comprovar a autenticidade do usuário QUALISIGN 2020 É através dele que é confirmado as primícias da segurança da informática para realização de uma negociação autenticidade não repúdio confidencialidade e integridade O certificado digital quando utilizado devese prezar pelo envio através de conexões seguras por exemplo conexões que utilizam o SSL É complicado entender o certificado digital sem nunca ter obtido um Portanto com o processo explicativo de aquisição pode ficar mais claro compreender este conteúdo Primeiramente na aquisição do certificado é necessário buscar um órgão certificador TANENBAUM WETHERALL 2011 O Certificador é responsável por associar a identidade de uma empresa ou pessoa a uma chave e registrar dados em um arquivo o certificado digital Para realizar tal processo é necessário agendar um dia para comparecer a empresa certificado e apresentar os documentos que comprovem a identificação Para adquirir o certificado é necessário que a pessoa apresente seus documentos RG CPF Contrato Social Comprovante de endereço originais e suas cópias Um órgão certificador precisa seguir normas estabelecidas por empresas homologadas pelo governo para realizar o registro de chaves QUALISIGN 2020 No Brasil existe a ICPBrasil que é responsável por estabelecer uma política de chaves Ela é responsável por garantir a autenticidade integridade e validade jurídica de documento em sua forma virtual aplicações transações eletrônicas e aplicações que utilizam o certificado 22 CRIPTOGRAFIA A Criptografia é um recurso utilizado frequentemente na segurança e nas tecnologias para proteção de dados e informação Como vimos a segurança da informação e a criptografia estão completamente ligadas e entrelaçadas A segurança utiliza a criptografia como o mecanismo particular de mascarar um conteúdo para tornar a informação inelegível para pessoas não autorizadas Neste subtópico vamos compreender a criptografia e sua aplicação e fundamentação Conforme Kim e Solomon 2014 a criptografia possui um papel importante no mundo globalizado e é responsável por encapsular informações importantes em tecnologias que utilizamos Alguns exemplos são as assinaturas 36 UNIDADE 1 PREPARAÇÃO DE DADOS digitais certificados digitais chaves simétricas e assimétricas protocolos de autenticação entre outras tecnologias A criptografia é utilizada em diversos segmentos da sociedade como tecnologia da informação economia administração saúde entre outros Emprega em ambos os setores que movimentam o país setor público e setor privado A criptografia permitiu a informática evoluir a um nível avançado e a alcançar áreas que necessitavam desse tipo de ferramenta para automatização Uma área que podemos citar é a bancária KIM e SOLOMON 2014 Pense nas inúmeras transações financeiras que estão acontecendo no momento que você lê este parágrafo Ocorreram muitas não é mesmo O banco por sua vez teve que administrar operações que aconteciam dentro de casa na agência bancária e via internet banking Os clientes que estavam na agência poderiam comprovar que eles realmente eram quem diziam ser através de um documento assinatura ou testemunha Na internet o contato físico não é possível para assegurar a segurança portanto o papel desses mecanismos de criptografia são assegurar que uma transação financeira feita através de um aplicativo foi autorizada ou realizada pelo cliente que realmente é quem diz ser Através disso vemos a importância desses mecanismos na tecnologia Vamos agora compreender a complexibilidade dessa ferramenta que assegura nossa segurança no dia a dia 221 Princípios da criptografia A criptografia é semelhante ao conjunto de técnicas e métodos responsáveis por codificar e cifrar informações através de um algoritmo TANENBAUM WETHERALL 2011 O objetivo é converter um texto compreensível em um texto ilegível A criptografia é realizada através de dois formas códigos e cifras Nas cifras a informação é criptografada através de uma cifra que é transposta ou substituída Nos códigos eles protegem a informações trocando partes por códigos prédefinidos Kim e Solomon 2014 afirmam que as cifras de transposição são responsáveis por misturar os caracteres da informação original e as cifras de substituição responsáveis por seguirem uma tabela e assim trocarem as letras ou caracteres A criptografia pode ser realizada por diversos mecanismos como hardwares específicos computadores celulares e manualmente por seres humanos O que diferencia cada um é a probabilidade de erros e a velocidade de execução Quando falamos em algoritmos de criptografia os principais são DES AES RC5 IDEA e RSA MD5 e SHA1 Cada qual possui uma particularidade e nível de segurança Tanenbaum e Wetherall 2011 afirma que na criptografia além de algoritmos são utilizadas chaves que são um número ou diversos números A chave assim como no mundo real deve estar acessível somente a quem possui autorização e acesso a determinado local ou objeto Através desses recursos da TÓPICO 2 FUNDAMENTOS DE REDE SEGURANÇA E CRIPTOGRAFIA 37 criptografia cifras chaves e esteganografia muitas ferramentas que utilizamos como certificado digital autenticação e validação de segurança podem ser utilizadas de forma confiável sem falarmos da segurança da comunicação Cada ferramenta possui um foco específico para garantir a confidencialidade autenticidade e disponibilidade 222 Cifras O papel de uma cifra na tecnologia é estabelecer uma forma de ocultamento da informação Essa ocultação de mensagem pode ser realizada através de métodos de substituição troca de uma letra ou parte de mensagem por outra letra ou parte da mensagem método de transposição troca da ordem das letras ou parte da mensagem por outra não substituídas ou misto Vamos compreender e exemplificar os métodos KIM e SOLOMON 2014 Na cifragem de transposição a mensagem mantém os conteúdos todavia há uma mudança na ordem dos caracteres KIM e SOLOMON 2014 Exemplificando vamos cifrar a palavra hospital para patilhso Vemos que a palavra se torna conhecida pois sabíamos o que era no início Caso uma pessoa sem apresentála ao contexto dificilmente saberia o que significa patilhso Outro exemplo que podemos citar nesse tipo de cifragem é com a utilização de chave Suponha que você agora entregue a palavra patilhso a alguma pessoa que tenha a chave para descriptografar ela possivelmente fará a descriptografia e descobrirá que você quis dizer hospital Veja a imagem a seguir ilustrando esse segundo exemplo FIGURA 16 EXEMPLO DE CIFRAGEM DE TRANSPOSIÇÃO COM CHAVE FONTE O autor 38 UNIDADE 1 PREPARAÇÃO DE DADOS Na cifragem de transposição existem inúmeras formas para cifrar uma mensagem KIM e SOLOMON 2014 A cifra pode ser implementada utilizando Fibonacci fórmulas matemáticas e símbolos que guia a ordenação Nos exemplos citados vimos a cifragem sendo realizada de forma manual geralmente até desenvolvida em um bloco de notas ou planilha Todavia essas mesmas cifras podem ser informatizadas para agilizar evitar erros e performar o processo de cifragem e decifragem de uma informação Segundo Kim e Solomon 2014 na cifragem de substituição há realmente um mascaramento de caracteres ou mensagem Na computação esse recurso é muito utilizado durante a substituição de caracteres por bloco de bits Exemplificando tomemos como exemplo a palavra hospital novamente A cifra de substituição que equivale a palavra hospital é s Caso você envie a palavra cifrada sem dizer que equivale a h equivale a o e sucessivamente a pessoa que receber a mensagem dificilmente a decifrará praticamente impossível Veja a imagem a seguir ilustrando esse exemplo FIGURA 17 EXEMPLO CIFRAGEM DE SUBSTITUIÇÃO FONTE O autor Na cifragem mista como o próprio nome sugere ambas as cifragens são utilizadas para estabelecer uma criptografia na mensagem KIM e SOLOMON 2014 Quando falamos em cifragem podemos utilizar diversos elementos para apoiar nesse processo de segurança Instrumentos cartões perfurados ou com altos relevos dados moedas são alguns exemplos Quando falamos em codificação de mensagens podemos exemplificar também cifras e códigos que empregamos na comunicação braile e Morse As cifras são peçaschaves na criptografia Como pode se observar elas estão diretamente ligadas a chaves algoritmos e certificados Observase que ela pode implementar um mecanismo que adicione uma camada de segurança extra na mensagem TÓPICO 2 FUNDAMENTOS DE REDE SEGURANÇA E CRIPTOGRAFIA 39 223 Chaves Privadas Segundo Tanenbaum e Wetherall 2011 as chaves privadas utilizamse da criptografia tradicional com uma ênfase diferente Ao invés de buscar algoritmos simples para codificação elas buscam formas de utilizar e possuir algoritmos complexos para criptografar Uma chave é uma cadeia de valores utilizada para cifrar ou decifrar dados Uma chave compreende um simples arquivo que armazena essa cadeia de valores Em uma criptografia que utiliza de chaves simétricas há utilização de uma única chave compartilhada entre os usuários que acessarem a informação Uma única chave é utilizada para criptografar e descriptografar o texto Quanto maior a chave de criptografia 128 a 256 bits mais segura é 224 Assinatura digital Esse mecanismo utilizase da criptografia para assegurar segurança para o remetente e destinatário a fim de manter os pilares principais da segurança autenticação sigilo não repúdio e controle de integridade A assinatura digital como o próprio nome propõe visa que uma pessoa assine um documento tornandoo tão válido como se fosse realizado fisicamente o processo A validade desse documento pode ser comprovada nas esferas jurídicas fazendo com que a autenticação realizada não permita de ambos os lados que façam repúdio ao documento assim como infira a ele controle de integridade e sigilo Basicamente esse mecanismo possui duas finalidades associar a identidade de uma pessoa ao documento digital original e estabelecer integridade neste documento Tal como QualiSign 2020 p 50 descreve A assinatura digital é uma modalidade de assinatura eletrônica resultado de uma operação matemática que utiliza criptografia e permite aferir com segurança a origem e a integridade do documento A assinatura digital fica de tal modo vinculada ao documento eletrônico que caso seja feita qualquer alteração no documento a assinatura se torna inválida A técnica permite não só verificar a autoria do documento como estabelece também uma imutabilidade lógica de seu conteúdo pois qualquer alteração do documento como a inserção de mais um espaço entre duas palavras invalida a assinatura Tecnicamente uma Assinatura Digital é um conjunto de dados que acompanha ou está logicamente associado a uma mensagem digital codificada que pode ser utilizada para certificação do autor do documento bem como para garantir que a mensagem não foi modificada desde que ela deixou o autor A Assinatura Digital é criada no momento da assinatura do Resumo Criptográfico O QUE de um arquivo com a chave privada do usuário QUEM Uma vez que a chave pública é distribuída como a parte da assinatura digital qualquer um que vê a assinatura pode verificar que esta foi assinada pela chave privada correspondente Desta maneira tanto o remetente quanto os receptores podem associar a identidade do remetente a um arquivo específico QUEM fez O QUE Assinaturas Digitais para a maioria dos documentos possuem a mesma força legal que as assinaturas em papel 40 UNIDADE 1 PREPARAÇÃO DE DADOS A assinatura digital é utilizada em diversas áreas da sociedade Pode se destacar as áreas de contratos emails laudos procurações balanços de empresas petições prontuários médicos arquivos eletrônicos transferidos entre empresas EDI apólices de seguros Dentre as vantagens dessa ferramenta estão a eliminação do uso do papel e diminuição de custos de emissão armazenamento e descarte de documentos A assinatura digital traz muitos ganhos às empresas e pessoas Com ela é possível ter vantagens extras como rastreabilidade localização e status de documentos confiabilidade integridade redução de custos sustentabilidade mobilidade entre outros Tudo isso sem deixar de lado a validade jurídica Lembrando que a assinatura digital é um complemento extra do certificado digital Portanto para uma assinatura digital poder ser realizada a pessoa ou empresa necessita ter apresentando todos os documentos originais e cópias a um órgão homologado certificador A assinatura digital pode estar associada a uma chave também pública ou privada Em ambas as assinaturas ocorre um processo de validação burocrático que visa assegurar o não repúdio integridade e sigilo Na assinatura de chave privada ou simétrica a autenticação ocorre por meio de um órgão que possui acesso a todas as informações de assinaturas que ele autorizou a criação Esse órgão é responsável por garantir que assinatura contenha a chave do usuário garantir que o usuário é quem diz ser datahora garantir a atualidade e mensagem criptografada os dados que estão em jogo Em assinatura de chave pública ou assimétrica visa resolver esta desvantagem Como a chave privada é exclusiva de cada participante há a autenticação na mensagem Portanto o repúdio e o sigilo não podem existir pois as mensagens foram autenticadas por uma chave específica autenticada 225 Certificado Digital O certificado digital é um mecanismo de segurança que engloba um conjunto de técnicas e processos para estabelecer que transações eletrônicas não sejam violadas TANENBAUM WETHERALL 2011 Ele também é responsável por evitar que dados transmitidos sejam adulterados e interceptados durante a comunicação O certificado digital pode ser reconhecido como um documento eletrônico que contém informações que identificam uma determinada pessoa instituição ou máquina na rede Um certificado pode ser emitido para pessoas físicas jurídicas máquinas e softwares A utilização dele geralmente é realizada através de uma outra aplicação A emissão desse mecanismo é realizada por uma entidade confiável Ela é responsável por associar ao usuário chaves criptográficas pública e privada Essas chaves são responsáveis por codificar e decodificar um documento Conhecemos e ouvimos sempre falar de certificados todavia conhecemos TÓPICO 2 FUNDAMENTOS DE REDE SEGURANÇA E CRIPTOGRAFIA 41 somente seu resultado Aprofundando esses certificados envolvem protocolos de segurança entidades certificadoras salascofre autoridades de registro e políticas de uso definidos por diretrizes de órgão especiais Existe uma hierarquia de administração desses documentos vide figura a seguir FIGURA 18 ESTRUTURA DE CERTIFICAÇÃO DIGITAL NO BRASIL FONTE Ribeiro 2020 p 7 42 UNIDADE 1 PREPARAÇÃO DE DADOS Segundo Ribeiro 2020 p 8 os certificados digitais são classificados em oito tipos São duas séries de certificados com quatro tipos cada A série A A1 A2 A3 e 4 reúne os certificados de assinatura digital utilizados na confirmação de identidade na Web em email em redes privadas virtuais VPN e em documentos eletrônicos com verificação da integridade de suas informações A série S S1 S2 S3 e S4 reúne os certificados de sigilo que são utilizados na codificação de documentos de bases de dados de mensagens e de outras informações eletrônicas sigilosas Os oito tipos são diferenciados pelo uso pelo nível de segurança e pela validade Nos certificados do tipo A1 e S1 as chaves privadas ficam armazenadas no próprio computador do usuário Nos tipos A2 A3 A4 S2 S3 e S4 as chaves privadas e as informações referentes ao seu certificado ficam armazenadas em um hardware criptográfico cartão inteligente smart card ou cartão de memória token USB ou pen drive Para acessar essas informações você usará uma senha pessoal determinada no momento da compra Cada certificado possui características como tamanho processo de geração mídias armazenadoras e validades diferentes Vide figura a seguir um exemplo de certificado de uma máquina FIGURA 19 CERTIFICADO FONTE O autor Os certificados digitais também são empregados e podem estar associados na receita federal como no caso do eCPF e eCNPJ Esses certificados são exclusivos para pessoas físicas e jurídicas que utilizam de sigilo fiscal no Brasil Com esses tipos de certificados é possível realizar agendamentos online TÓPICO 2 FUNDAMENTOS DE REDE SEGURANÇA E CRIPTOGRAFIA 43 pesquisa de situação fiscal Pesquisa dos rendimentos informados pelas Fontes Pagadoras beneficiário PF e PJ cadastro de representantes legais Exportação Mantra Importação Trânsito aduaneiro e entre outras atividades Como vemos o certificado digital utilizase de mecanismos relacionados a chaves públicas e privadas para ser gerado e utilizado 226 Chaves Públicas As chaves públicas ou assimétricas assim como as chaves simétricas são mecanismos de segurança desenvolvidos para que as pessoas possuam maior conforto durante a navegação na internet Essas chaves são responsáveis por manter a mensagem com suas características sem alteração com sigilo e autenticação Segundo Ribeiro 2020 diferente das chaves privadas cada usuário dispõe de uma chave privada única que é responsável por dizer que aquela pessoa que deverá ter acesso à mensagem é realmente quem diz ser Observase que nesse tipo de segurança não há um órgão intermediário que garante o não repúdio As chaves públicas por sua vez podem ficar disponíveis a qualquer um Fazendo uma analogia a esse assunto podemos citar um cadeado que protege um bem O cadeado é a chave pública a informação é o que o cadeado protege e quem tem a chave do cadeado chave privada pode abrilo e acessar a informação As chaves públicas podem ser compreendidas também como um conjunto de valores que podem criptografar e descriptografar uma mensagem Revise ambos os conceitos de chaves públicas e privadas e busque na internet por tutoriais de implementação desse mecanismo de segurança Há passo a passo disponibilizado de forma gratuita para criar chaves Efetuando isso você poderá aprimorar seus conhecimentos sobre o assunto e estudar sobre as fórmulas matemáticas utilizadas na criptografia DICAS 44 UNIDADE 1 PREPARAÇÃO DE DADOS 227 Protocolos de autenticação Em redes de computadores e segurança da informação nos deparamos constantemente com autenticações e mecanismos de controle de acessos como senhas usuários autorização via endereço físico e rede Esses mecanismos por sua vez utilizam de protocolos de redes para obter proteção na comunicação em redes privadas ou públicas Neste subtópico vamos abordar conteúdos sobre redes segurança criptografia e protocolos Conforme Ribeiro 2020 em redes de computação o padrão mais adotado e com maior sucesso de utilização é o 80211 Utilizado frequentemente em redes esse padrão de rede foi desenvolvido pelo IEEE e possui dois objetivos principais conexão e autenticação Como protocolo de segurança para esse tipo de rede o IEEE adotou o WEP Wired Equivalent Privacy O protocolo WEP utilizase de chaves précompartilhadas entre as estações e o roteador Essa chave é concatenada em vetor de inicialização responsável por alimentar um gerador de números pseudoaleatórios baseados no algoritmo RC4 Essa chave é formada por 40 bits ou 104 bits e seu vetor de inicialização é composto por 24 bits As chaves de 40 bits são conhecidas como WEP1 que são muito vulneráveis e sofrem ataques conhecidos como brute force Esse tipo de chave possui inúmeros tipos de falha como decodificação da cifra sem possuir uma chave falhas de RC4 falsificação de autenticação redirecionamento IP entre outras De acordo com Ribeiro 2020 para utilização do protocolo WEP é recomendável que se observe outros mecanismos de segurança por exemplo alteração de topologia empregabilidade de um firewall alteração do canal padrão utilização de chaves de difícil dedução e controle do alcance do sinal O processo de autenticação do WEP possui quatro passos básicos requisição tentativa resposta e aceitenegação O processo de autenticação é realizado através de uma requisição entre dois negociadores roteadores com outros dispositivos Em seguida é realizado uma tentativa utilizando uma chave précompartilhada para encriptação e envio da resposta Ambos os negociadores fazem o mesmo cálculo para ver se a resposta é igual Por fim após uma comparação dos resultados há autenticação se os resultados forem idênticos Segundo Ribeiro 2020 o protocolo WEP por possuir poucos mecanismos de segurança acabou não sendo mais considerado um protocolo viável a utilização Em redes 80211 para autenticação o WEP passou a ser substituído por servidores como RADIUS e TACACS ainda utilizavam o WEP Estes por sua vez apresentaram melhores mecanismo para manuseio de conexões Os protocolos utilizados por esses servidores foram EAPTLS e o EAPMD5 O EAPTLS utilizase do protocolo TLS sobre o encapsulamento EAP Extensible Authentication Protocol Protocolo de autenticação extensível O MD5 possui um processo de autenticação mais simplório em que utiliza o hash MD5 processo criptográfico de um algoritmo MD5 da senha de cada usuário TÓPICO 2 FUNDAMENTOS DE REDE SEGURANÇA E CRIPTOGRAFIA 45 Para substituição do WEP o IEEE após inúmeros esforços desenvolveu o WPA Wifi Protected Access Acesso protegido sem fio O WAP utiliza o TKIP Temporal Key Integrity Protocol Protocolo de Integridade de Chave Temporária que é responsável por gerar chaves por pacotes em que há um algoritmo de verificação de integridade e um vetor de inicialização de 48 bits superior ao utilizado pelo WEP RIBEIRO 2020 O WPA pode ser empregado de diferentes formas com chaves précompartilhadas ou com o 80211 Na figura a seguir podemos visualizar o fluxo de autenticação de um usuário Lembrando que esse é apenas um exemplo de topologia e que existem inúmeras formas FIGURA 20 FLUXO DE AUTENTICAÇÃO FONTE Adaptada de httpsencryptedtbn0gstaticcomimagesqtbn3AANd9GcSho5 hH85mezmY4K 2YiPQ6JPLrtFRQ2uavrwusqpCAU Acesso em 13 jan 2021 Concluindo este tópico e subtópico vemos que a autenticação é um dos mecanismos de segurança que podem ser empregados em redes de computadores Observamos que a criptografia é empregada também nas validações de usuário em uma rede para estabelecer autenticação confidencialidade e integridade 46 UNIDADE 1 PREPARAÇÃO DE DADOS 23 SEGURANÇA DA INFORMAÇÃO Como sabemos a segurança da informação não protege apenas a informação mas sim o conjunto de ferramentas que a acessa Portanto técnicas para utilizar os mecanismos de segurança devem ser estudadas também assim como formas de administrar chaves acessos frequência de atualizações gestão de senhas e entre outros Exemplificando uma chave privada é um excelente mecanismo de segurança concorda Todavia ela não deve estar acessível para utilização de qualquer pessoal Na administração de chaves existem quatro objetivos para proteção delas Armazenamento das chaves Atualizar as chaves Controlar acesso de usuários Diversificação de chaves De acordo com Tanenbaum e Wetherall 2011 em se tratando de política o armazenamento visa isolar as chaves e controlar o ambiente que elas estão Definir um armazenamento seguro é necessário Assim como no mundo real uma chave deve estar guardada em um local seguro com restrição de acesso e com outros mecanismos protegendoas Na segurança da informação as chaves podem ser armazenadas em sistemas de gestão de sistemas dispositivos móveis e em equipamentos específicos Recomendase que as chaves sempre estejam protegidas por senhas Na atualização de chaves o importante é uma que chave em mãos erradas funcione por um grande período A atualização visa manter o mecanismo que utilizam chaves operantes e atualizados com as últimas melhorias Nessa política podemos dizer que a atualização de segurança atualização de recursos e melhorias de chaves cabem em uma outra política específica Segundo Tanenbaum e Wetherall 2011 no controle acesso a chaves é definido quem terá a responsabilidade de administração de chaves controlá las criar chaves e atualizálas Geralmente os scripts senhas e ferramentas para administração e controle de chaves ficam com o gerente da segurança da informação Por fim a diversificação de chaves é responsável por existir um padrão de gestão de chaves mas que o padrão possa ter pequenas características ímpares como utilizar hashs diferentes para desenvolvimento da chave utilizar métodos criptográficos modificados entre outros Por fim todos os objetivos estipulados visam proteger as chaves Devemos observar que às vezes é a importância em administrar o recurso de segurança é semelhante a de propriamente utilizálo As preocupações tomadas na administração de chaves são igualmente importantes em todas as divisões da criptologia Algumas ferramentas que utilizam da criptografia como certificados digitais e assinaturas digitais necessitam de cuidados especiais quanto à segurança da informação Segundo Ordonez Pereira e Chiaramonte 2005 em uma política de certificados e assinaturas digitais a principal preocupação está em garantir que os dados e documentos não sejam violados Quando um documento que utilizou um certificado digital ou assinatura digital perde a confiabilidade juridicamente ele é inválido ocasionando o repúdio a informação TÓPICO 2 FUNDAMENTOS DE REDE SEGURANÇA E CRIPTOGRAFIA 47 Na segurança da informação quando empregamos qualquer mecanismo de proteção da criptologia mais precisamente da criptografia há necessidade em se apurar os riscos e ameaças da tecnologia evitando assim facilitar os ataques e usos indevidos dos mecanismos como chaves certificados digitais cifras e entre outros 48 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que O certificado digital funciona como um mecanismo de autenticação de segurança assim como os diferentes tipos e o processo para aquisição Existem diferentes tipos de criptografia Existem as cifras de transposição e substituição Existem diferentes tipos de cifragem de uma informação As chaves privadas possuem mecanismos de segurança e que esse tipo de chave é compartilhado entre os envolvidos na troca de informações A assinatura digital é utilizada com o certificado digital As chaves são um mecanismo de segurança e existem dois tipos de chaves públicas e privadas O certificado digital é um mecanismo de segurança e que possui diferentes tipos que podem ser adquiridos Há diferentes tipos de entidades certificadoras Há uma hierarquia para controle de emissões e homologações de certificados e certificadoras As chaves públicas podem ser compreendidas também como um conjunto de valores que podem criptografar e descriptografar uma mensagem Na administração de chaves existem quatro objetivos para proteção delas Armazenamento das chaves atualizar as chaves controlar acesso de usuários e diversificação de chaves 49 1 UFPR 2017 O desenvolvimento da criptografia de chave pública caracterizou uma revolução permitindo a alteração do modelo de distribuição de chaves utilizado pela criptografia simétrica A respeito de criptografia de chave pública analise as afirmativas a seguir FONTE Adaptado de httpsarquivosqconcursoscomprovaarquivoprova55344 ncufpr2017itaipubinacionalprofissionaldenivelsuperiorjrcomputacaoouinformatica suporteprovapdfga2197641007140062068716131405213879043011603801534 Acesso em 12 fev 2021 I Tornou a criptografia simétrica obsoleta II É mais resistente à criptoanálise em comparação à criptografia simétrica III Por definição a chave privada é a utilizada para descriptografar os dados IV Permite o uso de novos modelos de distribuição de chaves quando comparada à criptografia simétrica Assinale a alternativa CORRETA a Somente a afirmativa IV está correta b As afirmativas I e III estão corretas c As afirmativas II e III estão corretas d As afirmativas II e IV estão corretas 2 Quanto ao instrumento tecnológico que permite a identificação segura do autor de uma mensagem ou documento em uma rede de computadores assinale a alternativa CORRETA a Biometria b Cartão inteligente c Certificado digital d PIN 3 Como vimos até agora a segurança é uma preocupação crescente dos usuários e muitos recursos tecnológicos têm sido desenvolvidos para proteção dentre eles o certificado digital Disserte sobre o certificado digital e suas aplicações 4 UFSC 2019 Quais das seguintes propriedades são garantidas ao criptografar um arquivo usando uma chave secreta simétrica Analise as sentenças a seguir FONTE Adaptado de httpsarquivosqconcursoscomprovaarquivo prova60339ufsc2019ufsctecnicodetecnologiadainformacaoprovapdf ga233950625140062068716131405213879043011603801534 Acesso em 12 fev 2021 AUTOATIVIDADE 50 I Sigilo II Integridade III Autenticidade Assinale a alternativa CORRETA a Somente a sentença I está correta b Somente a sentença II está correta c Somente a sentença III está correta d As sentenças II e III estão corretas 51 TÓPICO 3 UNIDADE 1 ALGORITMOS E CRIPTOGRAFIA 1 INTRODUÇÃO Na atualidade os algoritmos já se tornaram comum ao linguajar das pessoas mesmo as que não são da área de tecnologia Páginas de internet expressões matemáticas e até mesmo sistemas comerciais tudo é organizado através de um algoritmo mas nem todos têm ao certo o conhecimento de como isso funciona Um algoritmo ou mais conhecido como sequência de passos é um conjunto de instruções sistemas ordenados cujo objetivo é alcançar um resultado através de comandos ou ordens lógicas Para muitos cursos da área de tecnologia a disciplina de algoritmo é talvez uma das que mais causa pavor aos acadêmicos pois ela difere do modo que pensamos Nosso pensamento não possui a necessidade de ser lógico e sequencial mas nos algoritmos são necessários que a ordenação dos passos seja executada para a resolução de um problema mesmo que esse problema seja algo simples Na área de informática um algoritmo pode aparecer em diferentes formatos da utilização de algoritmos acontece no desenvolvimento de aplicações e conforme a forma de visualização seja no computador ou no celular haverá um algoritmo que irá adequar a visualização até utilização de algoritmos nos bancos de dados que verificam se as informações são únicas ou para garantir que elas não sejam alteradas indevidamente São inúmeras as aplicações mas nosso foco são os algoritmos que são utilizados no processo de criptografia como eles são desenvolvidos que características precisam ter e o que necessitam possuir para que seus códigos não sejam descobertos Na criptografia os algoritmos são muito aplicados nos processos de criptografia em que há conversão de uma mensagem dado ou informação em um objeto não decifrável por pessoas não autorizadas 2 CONCEITOS Você já deve ter ouvido em algum da sua vida a palavra algoritmo não é mesmo O que você pensou na primeira vez que ouviu ela Uma tela cheia de códigos incompreensíveis números aleatórios códigos Difícil não é mesmo Mas agora que você está estudando sobre computação e sistemas essa palavra ficou bem mais compreensível pois vemos em nosso dia a dia diversos algoritmos em programas vídeos jogos e em nossos trabalhos 52 UNIDADE 1 PREPARAÇÃO DE DADOS Então vamos ver nesse tópico como algoritmos e criptografia se conectam Saber a relação entre ambos os conteúdos é muito importante devido ao papel ativo dos algoritmos nos mecanismos de segurança Vamos iniciar nossos estudos sobre algoritmos e os processos criptográficos 21 ALGORITMOS Antes de iniciarmos nossos estudos sobre os scripts e algoritmos você já tentou descrever como desenhar um objeto em uma folha ou escrever uma receita ou até mesmo detalhar o processo de escovar os dentes Interessante não é mesmo Quando descrevemos um processo para nós compreendêlo é algo simples mas para quando outra pessoa necessita compreender é mais trabalhoso não é Podem parecer um pouco estranhas essas perguntas e até mesmo desconexas mas por incrível que pareça todas elas são sequencias de passos finitos ou seja podem ser representadas através de algoritmos vejamos alguns exemplos Comer um sorvete 1 passo Pegar o sorvete 2 passo Retirar o papel 3 passo Colocar o sorvete na boca 4 passo Fim Calcular o troco 1 passo Ler o valor a ser pago 2 passo Ler o valor que você vai dar para pagar 3 passo Subtrair do valor que você deu o valor a ser pago 4 passo Fim Somar dois números 1 passo Ler o 1 número 2 passo Ler o 2 número 3 passo Calcular o 1 o 2 4 passo Fim Beber um copo de água 1 passo Pegar o copo 2 passo Ir até o filtro ou garrafa dágua 3 passo Encher o copo com água 4 passo BeberFim TÓPICO 3 ALGORITMOS E CRIPTOGRAFIA 53 Olhando em nosso dia a dia os exemplos das atividades que realizamos demonstram como ordenamos as atividades semelhantemente a um algoritmo Na informática o algoritmo está presente em todas as áreas e na criptografia não é diferente Há necessidade de termos instruções organizadas para que o computador possa entender e realizar as atividades para alcançar o resultado esperado Um algoritmo é classificado conforme a área que ele atua sua criticidade e complexidade Um algoritmo pode ser classificado como um programa desktop Em criptografia o algoritmo pode ser classificado em algoritmos de fluxos e algoritmos de blocos Como o próprio nome sugere o algoritmo de bloco opera usando bloco de dados O texto é dividido em partes que variam de 8 a 16 bytes que posteriormente serão decifrados ou cifrados De acordo com Kim e Solomon 2014 quando um bloco não possui quantidade suficiente de dados ele é automaticamente completado com algum conjunto de dados predeterminado Ex completar utilizando 0 ou algum outro caractere Em algoritmos de bloco existe um processo denominado realimentação responsável por resolver uma vulnerabilidade em que textos aparecem mais de uma vez sendo a cifra idêntica em diferentes momentos Esse processo permite a cifragem de blocos por encadeamento CBC Cipher Block Chaining Segundo Rouse 2020 no encadeamento de blocos de cifras cada bloco de texto sem formatação é XOR consulte XOR com o bloco de texto cifrado imediatamente anterior e em seguida criptografado Segundo Kim e Solomon 2014 os algoritmos de blocos processam de forma conjunta os bits possuindo como características a segurança resistência a erros devido à individualidade de blocos codificação fora de ordem e agilidade para a comunicação digital Uma segurança extra que a codificação fora de ordem fornece é em casos de acessos aleatórios a identificação de conversão não faz sentido em dados soltos A desvantagem deste tipo de algoritmos está relacionada a modificar a mensagem original Nos algoritmos de fluxo a criptografia ocorre de forma bit a bit em fluxo contínuo Não há divisão de blocos Quando falamos em algoritmos de criptografia os mais conhecidos são DES AES RC 2345 e 6 IDEA e RSA MD e SHA Vamos agora desenvolver nossos conhecimentos nesses algoritmos e chaves 211 Data Encryption Standard DES Segundo Tanenbaum e Wetherall 2011 o DES é um algoritmo de criptografia composto por 56 bits Com essa quantidade de bits ele é considerado pequeno e fraco podendo ser quebrado mais facilmente Ele foi o algoritmo simétrico mais utilizado no mundo antes da padronização do AES O DES é um dos algoritmos mais simples da criptografia Além de utilizar uma chave fixa de 56 bits ele utiliza um bloco de 64 bits 54 UNIDADE 1 PREPARAÇÃO DE DADOS É feita uma permutação inicial no bloco de 64 bits e depois o bloco é dividido em duas metades Após a divisão o seguinte procedimento é repetido dezesseis vezes 1 Uma metade do bloco serve de entrada para a função de embaralhamento função de Feistel juntamente com uma subchave de 48 bits derivada da chave principal de 56 bits Esta mesma metade é enviada para a próxima rodada e será entrada para o XOR juntamente com a saída da função de Feistel Existe um total de 16 subchaves uma para cada rodada 2 A função de Feistel expande os 32 bits de entrada para 48 bits e faz um XOR com a subchave 3 Os 48 bits de saída do XOR são separados em oito conjuntos de seis bits 4 É feita então uma transformação não linear que transforma os seis bits de cada conjunto em quatro bits de saída para cada conjunto 5 Finalmente os 32 bits de saída do passo anterior sofrem uma permutação e este é o resultado de saída da função 6 É feito um XOR entre a saída da função de Feistel e a outra metade do bloco de entrada do passo 1 Após as dezesseis rodadas é feita uma permutação final no bloco de 64 bits gerando o texto cifrado BRAZIL 2007 p 2021 Conforme Tanenbaum e Wetherall 2011 O algoritmo 3DES é uma mutação do algoritmo desenvolvido para o DES O 3DES utiliza três grupos diferentes da chave de 56 bits logo 168 bits mais 24 bits de paridade com um bloco de 64bits O DES triplo utiliza o sistema EDE para cifragem ou seja o texto plano é encriptado primeiro com a primeira chave descriptografado com a segunda e encriptado novamente com a terceira MORAES 2004 p 62 O 3DES é mais seguro todavia por possuir lentidão devido à utilização das 3 chaves No DES como podemos ver na imagem a seguir há um texto a ser criptografado 8 bits de verificação 56 bits do texto Lembrando que caso não seja preenchido o bloco ele será alto completado Os Ks apresentados são as permutações que ocorrem FIGURA 21 FLUXO ALGORITMO DES FONTE httpswwwtutorialspointcomcryptographyimagesdesstructurejpg Acesso em 13 jan 2021 TÓPICO 3 ALGORITMOS E CRIPTOGRAFIA 55 Conforme citado na figura a seguir há um exemplo de permutação que pode ocorrer FIGURA 22 PERMUTAÇÃO FONTE httpswwwtutorialspointcomcryptographyimagesinitialandfinalpermutationjpg Acesso em 13 jan 2021 Nos algoritmos 3DES o fluxo de criptografia e descriptografia ocorre da seguinte forma Há a criptografia dos blocos de textos usando o DES através da chave K1 Descriptografia da saída usando o DES através da chave K2 Criptografia da etapa 2 usando o DES através da chave K3 Finalizado o processo de criptografia 3DES A descriptografia desse algoritmo é realizado de forma reversa em que o usuário descriptografado primeiro usando K3 depois criptografa com K2 e descriptografado com K1 Na figura a seguir é possível ver o fluxo desses algoritmos 56 UNIDADE 1 PREPARAÇÃO DE DADOS FIGURA 23 FLUXO ALGORITMO 3DES FONTE httpswwwtutorialspointcomcryptographyimagesencryptionschemejpg Acesso em 13 jan 2021 O DES por possuir alguns riscos e desvantagens acabou se tornando obsoleto Outros algoritmos foram desenvolvidos e tornaramse padrões de utilização 212 Advanced Encryption Standard AES Segundo Ordonez Pereira e Chiaramonte 2005 o Advanced Encryption Standard Padrão de Criptografia Avançado ou AES é uma cifra de bloco que utiliza chaves privadas de criptografia Esse algoritmo foi desenvolvido pelo NIST National Institute of Standards and Technology em 2003 Esse é um algoritmo oficial empregado pelo governo americano e muito popular Ele foi considerado o padrão substituto do DES O AES possui como características a utilização de um bloco de tamanho fixo com 128 bits e uma chave de 128192 ou 256 bits Sua empregabilidade possui agilidade tanto em software quanto hardware tendo como característica a utilização pouca memória De acordo com Ordonez Pereira e Chiaramonte 2005 o algoritmo de AES é baseado em redes de substituiçãopermutação São operações vinculadas que associam de entradas por saídas específicas substituição e outras com bits aleatórios permutação Esse algoritmo tem como característica a utilização de cálculos no formato de bytes e não bits Diferente do DES não há um limite de ciclos de criptografia tudo dependerá conforme o comprimento da chave O AES caracteriza se por utilizar dez rodadas para chaves de 128 bits 12 rodadas para chaves de 192 bits e 14 rodadas para chaves de 256 bits Veja a seguir como a estrutura AES trabalha TÓPICO 3 ALGORITMOS E CRIPTOGRAFIA 57 FIGURA 24 FLUXO ALGORITMO AES FONTE httpswwwtutorialspointcomcryptographyimagesaesstructurejpg Acesso em 13 jan 2021 Segundo Moreno 2014 os algoritmos AES não possuem ciclo definido Geralmente a criptografia é realizada por rodadas Cada rodada possui quatro subprocessos O primeiro processo é denominado substituição de bytes Como o próprio nome sugere é realizado uma substituição da entrada consultando uma tabela fixa SBOX O resultado é uma matriz de 4x4 O segundo processo é denominado Shiftrows que é responsável para que cada uma das 4 linhas da matriz seja movida para a esquerda Todas as outras entradas saídas são reinseridas do lado direito da linha O resultado é uma nova matriz do mesmo tamanho O que ocorre é o seguinte A primeira linha não é deslocada A segunda linha é deslocada uma posição byte para a esquerda A terceira linha é deslocada duas posições para a esquerda A quarta linha é deslocada três posições para a esquerda O terceiro processo é denominado MixColumns Cada coluna de quatro bytes é transformada usando uma função matemática especial Essa função recebe como entrada os quatro bytes de uma coluna e gera quatro bytes completamente novos que substituem a coluna original O resultado é outra nova matriz composta por 16 novos bytes Por fim há o processo de Addroundkey em que os 16 bytes da matriz agora são considerados 128 bits e têm XOR nos 128 bits da chave redonda Se essa é a última rodada a saída é o texto cifrado Caso contrário os 128 bits resultantes serão interpretados como 16 bytes e iniciaremos outra rodada semelhante O 58 UNIDADE 1 PREPARAÇÃO DE DADOS processo de descriptografia funciona invertendo os 4 processos Adicionar chave redonda misturar colunas deslocar linhas e substituição de bytes Até o momento não foram identificados ataques cripto analíticos contra o AES que tenham sido notificados A segurança do AES assim como o DES está garantida quando implementado um bom gerenciamento de chaves TÓPICO 3 ALGORITMOS E CRIPTOGRAFIA 59 LEITURA COMPLEMENTAR TRANSPOSIÇÕES GEOMÉTRICAS Marcelo Ferreira Zochio Quando as cifras de substituição monoalfabéticas se tornaram frágeis havia a necessidade que fosse mais robusta Criouse então o método de transposição Cifras que se baseiam em trocam os caracteres do texto plano de lugar embaralhando a mensagem original seguindo um A seguir será descrito o funcionamento de algumas cifras de transposição geométricas Transposição colunar simples A entrada do texto plano é feita por linha e a saída em coluna usando uma matriz Tabela 11 rapazes são capazes Tabela 11 Transposição colunar simples O texto criptografado fica OAAASZOZRECEASASPSP Transposição linear simples A entrada do texto plano é feita por coluna e a saída em linha usando uma matriz Tabela 1 mesmo exemplo anterior 60 UNIDADE 1 PREPARAÇÃO DE DADOS Tabela 12 Transposição linear simples O texto criptografado fica OPSCZSASAERZAPSAEOA Transposição colunar com chave numérica Acrescentamos uma chave numérica para criptografar o texto plano A chave numérica é bas palavra ou frase Para produzir uma chave numérica a partir da chave as letras são numerad alfabética e as letras repetidas são numeradas em sequência da esquerda para a direita Tabe exemplo usaremos a palavrachave urubu Tabela 13 Transposição colunar com chave numérica O texto criptografado fica ASASSZOZOAAARECEPSP TÓPICO 3 ALGORITMOS E CRIPTOGRAFIA 61 Transposições por itinerário Esse tipo de transposição usa figuras geométricas nas quais é seguido determinado itinerário p letras do texto plano A mais famosa é a rail fence paliçada que segue um padrão fixo e Tabela 14 Apesar de ser uma das cifras de transposição mais antigas sua origem é desconhe Ela foi usada na Guerra Civil norteamericana 18611865 quando os confederados e os usaram para cifrar suas mensagens Usando o exemplo anterior Tabela 14 Transposição por itinerário com duas linhas O texto criptografado resulta na string ORPZSACPZSSAAESOAAE Outro exemplo com três linhas Tabela 15 usando a mesma frase Tabela 15 Transposição por itinerário com três linhas O texto criptografado resulta na string OPSCZSAAESOAAERZAPS Triângulo com saída por colunas Usando como exemplo a string Atacar os doces pelos flancos a montagem resulta na Tabela 16 62 UNIDADE 1 PREPARAÇÃO DE DADOS Tabela 16 Transposição por triângulo com saída por colunas Lendo da esquerda para a direita a saída por colunas resulta na string OOSACFTRELAAOSACSPNDECLOS Entrada por espiral externa com saída por colunas Usando o mesmo exemplo anterior temos como resultado a Tabela 17 Tabela 17 Transposição por entrada em espiral externa com saída em colunas Lendo da esquerda para a direita a saída por colunas resulta na string AOCLATDEFNASSSCCOPOOARELS Entrada em diagonal com saída por coluna Usando o mesmo exemplo anterior temos como resultado a Tabela 18 TÓPICO 3 ALGORITMOS E CRIPTOGRAFIA 63 Tabela 18 Transposição por entrada em diagonal com saída por coluna Lendo da esquerda para a direita a saída por coluna FONTE Adaptado de ZOCHIO M Introdução à Criptografia 1 ed S l Novatec Editora 2016 64 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que Os algoritmos são importantes e agregam muitas finalidades durante um processo de criptografia Viuse que é através de uma sequência lógica algoritmo padrão que a mensagem é tornada compreensível ou incompreensível Existem diferentes tipos de algoritmos e que eles não são utilizados em apenas desenvolvimento de aplicações e na web O algoritmo pode ser classificado em algoritmos de fluxos e algoritmos de blocos Nos algoritmos de fluxo a criptografia ocorre de forma bit a bit em fluxo contínuo Nos algoritmos de bloco a criptografia ocorre em grupo de dados O DES é um algoritmo composto por 56 bits pouco eficiente e com algumas falhas conhecidas de segurança O DES utiliza uma chave fixa de 56 bits e um bloco de 64 bits O algoritmo 3DES é uma mutação do DES Utiliza uma chave de 168 bits e um bloco de 64 bits O DES possui um fluxo para realizar a criptografia de um dado Observouse que ele trabalha com blocos de dados partes e em cada bloco realiza uma série de processos para entregar a mensagem criptografada Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA 65 1 AOCP 2018 Assinale a alternativa CORRETA que apresenta o Algoritmo de Hashing descrito a seguir Pode processar mensagens de menos de 264 bits de tamanho e produz uma mensagem de 160bits FONTE Adaptado de httpsarquivosqconcursoscomprovaarquivo prova68564institutoaocp2018prodebanalistadeticidatacenterprovapdf ga2197584431140062068716131405213879043011603801534 Acesso em 12 fev 2021 a MD2 b MD4 c MD5 d SHA1 2 AOCP 2018 Exemplos de algoritmos de criptografia usados na criptografia simétrica incluem os algoritmos RC1 WEP 3DES e o AES FONTE Adaptado de httpswwwqconcursoscomquestoesdeconcursos questoes490833f54c Acesso em 12 fev 2021 a Certo b Errado 3 AOCP 2018 Técnicas criptográficas permitem que um remetente disfarce os dados de modo que um intruso não consiga obter informação dos dados interceptados Sobre as características relacionadas à criptografia conceitos básicos e aplicações protocolos criptográficos criptografia simétrica e assimétrica principais algoritmos assinatura e certificação digital julgue o item a seguir O problema relacionado à cifra de bloco de tabela completa é que para valores efetivos de k em que k é o tamanho do bloco é inviável manter uma tabela com 2k entradas FONTE Adaptado de httpswwwqconcursoscomquestoesdeconcursos questoes139c8e3849 Acesso em 12 fev 2021 a Certo b Errado 4 IDECAN 2019 Em criptografia os termos algoritmo de DiffieHelman RC4 e SHA1 estão relacionados respectivamente com FONTE httpswwwqconcursoscomquestoesdeconcursosquestoesd8286db53f Acesso em 12 fev 2021 AUTOATIVIDADE 66 a Função hash criptográfica algoritmo de criptografia simétrica e método de troca de chaves b Função hash criptográfica algoritmo de criptografia assimétrica e método de troca de chaves c Método de troca de chaves algoritmo de criptografia simétrica e função hash criptográfica d Algoritmo de criptografía simétrica função hash criptográfica e criptografía simétrica 67 REFERÊNCIAS ALECRIM E O que é firewall Conceito tipos e arquiteturas S l 19 fev 2013 Disponível em httpswwwinfowestercomfirewallphp Acesso em 13 fev 2021 ALMADALOBO F A revolução da Indústria 40 e o futuro dos Sistemas de Execução de Fabricação MES Journal of Innovation Management v 3 n 4 2015 Disponível em httpsjournalsojs3feupptindexphpjimarticle view218306060030040003 Acesso em 13 jan 2021 ABNT NBR ISOIEC 27002 tecnologia da informação técnicas de segurança código de prática para a gestão da segurança da informação Rio de Janeiro ABNT 2005 Disponível em httpwwwfieborgbrdownloadsenainbr iso27002pdf Acesso em 12 fev 2021 ABNT NBR ISOIEC 27001 Tecnologia da informação técnicas de segurança sistema de gestão de segurança da informação requisitos Rio de Janeiro ABNT 2006 AVORIO A SPYER J Para entender a internet São Paulo Paraentender 2015 289 p BRAZIL G W Protegendo redes ad hoc com certificados digitais e limite criptográfico 2007 109 f Dissertação Mestrado Programa de PósGraduação em Computação Universidade Federal Fluminense Niterói 2007 CASTELLÓ T VAZ V Tipos de Criptografia 2020 Disponível em httpwww gtaufrjbrgrad071assdigTiposdeCriptografiahtml Acesso em 13 fev 2021 CASTELLS M A sociedade em rede São Paulo Paz e Terra 1999 CENTRO DE ESTUDOS RESPOSTAS E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL Certbr Cartilha de segurança para internet 2020 Disponível em httpscartilhacertbrmalware Acesso em 12 fev 2020 CENTRO DE ESTUDOS RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL Certbr Práticas de segurança para administradores de redes internet versão 12 2003 Disponível em http wwwcertbrdocssegadmredessegadmredeshtml Acesso em 10 out 2020 CENTRO DE ESTUDOS RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL Certbr Cartilha de segurança para internet versão 31 São Paulo Comitê Gestor da Internet no Brasil 2006 Disponível em https cartilhacertbrsobreoldcartilhaseguranca31pdf Acesso em 10 out 2020 68 DIAS C Segurança e auditoria da tecnologia da informação Rio de Janeiro Axcel Books do Brasil 2000 FONTOURA P Alan Turing é considerado pai da computação S l 2 jul 2015 Disponível em httpsmemoriaebccombrinfantilvocesabia201507 alanturingeconsideradopaidacomputacao Acesso em 13 fev 2021 GORHAM M 2019 Internet crime report 2019 Disponível em httpspdfic3 gov2019IC3Reportpdf Acesso em 16 jul 2020 HAYKIN S Sistemas de comunicação analógicos e digitais 4 ed Porto Alegre Bookman 2007 Disponível em httpswwwdocsitycomptsistemas decomunicacaoanalogicosedigitaissimonhaykin4aed4782988 Acesso em 14 jan 2021 ISO ISOIEC 1333512004 Information technology Security techniques Management of information and communications technology security Part 1 Concepts and models for information and communications technology security management 2004 Disponível em httpswwwisoorgstandard39066html Acesso em 13 jan 2021 ISO ISOIEC Guide 732002 Risk Management Vocabulary Guideliness for use in standards First edition Switzerland International Organization for Standardization 2002 Disponível em httpswwwisoorgstandard34998html Acesso em 13 jan 2021 KIM D SOLOMON M G Fundamentos de Segurança de Sistemas de Informação Rio de Janeiro LTC 2014 385 p MEIRELES T Curvas Elipticas e Criptografia 2020 73 f Trabalho de Conclusão de Curso Bacharel Universidade Federal de Uberlândia S l 2020 MORAES R F de Construção de um ambiente web com ferramentas para estudo de algoritmos de criptografia através do Matlab Rio de Janeiro Universidade Federal do Rio de Janeiro 2004 62p MOCHETTI K Alan Turing e a Enigma S l 22 nov 2020 Disponível em httphorizontessbcorgbrindexphp201611alanturingeaenigma Acesso em 13 fev 2021 NAKAMURA T E GEUS L P Segurança de redes em ambientes cooperativos São Paulo Novatec 2007 NARDON F A relação interpessoal dos adolescentes no mundo virtual e no mundo concreto Trabalho de Conclusão de Curso Criciúma Curso de graduação em Psicologia Universidade do Extremo Sul Catarinense 2006 69 OLIVEIRA R R Criptografia simétrica e assimétrica os principais algoritmos de cifragem 2012 Disponível em httpwwwronieltonetibrpublicacoes artigorevistasegurancadigital2012pdf Acesso em 12 fev 2021 MORENO E D PEREIRA F D CHIARAMONTE R B Criptografia em software e hardware São Paulo Novatec 2005 RAMALHO J A Preocupação com segurança deve estar também nas ruas e estradas 2017 Disponível em httpswwwcampograndenewscombrartigos preocupacaocomsegurancadeveestartambemnasruaseestradas Acesso em 19 jul 2020 RELATÓRIO DE CRIMES NA INTERNET DE 2019 S l 6 jan 2020 Disponível em httpswwwic3govMediaPDFAnnualReport2019 IC3Reportpdf Acesso em 13 fev 2021 RIBEIRO G Certificado digital como funciona o certificado digital c2020 Disponível em httpwwwcontabilestorilcombrpdfcertificadodigitalpdf Acesso em 12 fev 2021 RISTENPART T et al Hey you get off of my cloud exploring information leakage in thirdparty compute clouds 2009 Disponível em httpsdlacmorg doi10114516536621653687 Acesso em 13 jan 2021 SENA G Como surgiu os malwares 2017 Disponível em httpswww tutorialeinformacaocombr201707comosurgiuosmalwareshtml Acesso em 19 jul 2020 SILVA B et al Aplicação de técnicas de criptografia de chaves assimétricas em imagens 2013a Disponível em httpswwwucspedupesibgrapi2013 eproceedingswuw1149221pdf Acesso em 26 abr 2020 SILVA B et al Criptografia assimétrica de imagens utilizando algoritmo RSA 2013b Disponível em httpswwwpeteletricaufucomstaticceeldocartigos artigos2013ceel2013029pdf Acesso em 14 jan 2021 SILVA M B Uma abordagem de infraestrutura de chaves públicas para ambientes corporativos 2004 161 f Trabalho Final Graduação Engenharia da Computação Centro Universitário de Brasília Brasília 2004 SINGH G A study of encryption algorithms rsa des 3des and aes for information security International Journal of Computer Applications Foundation of Computer Science v 67 n 19 2013 SKLAR B Digital communications fundamentals and Applications 2 Ed Los Angeles Prentice Hall 2008 70 STALLINGS W Redes e sistemas de comunicação de dados 5 ed Rio de Janeiro Elsevier 2005 STALLINGS W BROWN L Segurança de computadores princípios e Práticas 2 ed Rio de Janeiro Elsevier 2014 TANENBAUM A S WETHERALL D Redes de computadores 5 ed São Paulo Pearson Prentice Hall 2011 TORRES G Redes de computadores Rio de Janeiro AXCEL Books do Brasil 2001 TUTORIALS POINT Data Encryption Standard 2019 Disponível em https wwwtutorialspointcomcryptographydataencryptionstandardhtm Acesso em 3 maio 2020 VIEIRA L Brasil é o 2º país com mais ataques virtuais que sequestram dados S l 24 set 2019 Disponível em httpsnoticiasr7comtecnologiaeciencia brasileo2paiscommaisataquesvirtuaisquesequestramdados24092019 Acesso em 17 set 2020 71 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de distinguir ferramentas e técnicas de criptografia relacionar características e diferenças entre algoritmos utilizados na criptografia compreender as funcionalidades e a importância da certificação digital identificar diferenças entre os certificados digitais e sua aplicabilidade Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO DE ALGORITMOS TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA TÓPICO 3 EXEMPLOS QUE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 73 UNIDADE 2 1 INTRODUÇÃO TÓPICO 1 FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO DE ALGORITMOS Na primeira unidade deste livro já conhecemos a história e a origem da segurança da informação que com o passar do tempo evoluiu à medida que novas ferramentas e tecnologias foram desenvolvidas Nesse sentido as últimas décadas foram marcadas pela criação e uso de redes de computadores e da internet Por isso com novas formas de se trocar informações entre as pessoas por meio dos computadores foi necessário desenvolver técnicas que assegurassem a integridade autenticidade e confiabilidade dessas informações A criptografia surge nesse contexto como uma forma de manter dados e informações seguras mesmo quando trafegadas por diferentes pontos geográficos de um país ou até mesmo do mundo por exemplo Assim como as tecnologias foram desenvolvidas e aprimoradas ao longo do tempo o mesmo aconteceu com a criptografia que teve início com sistemas mais simples e concisos Por esse motivo a criptografia vem evoluindo na mesma medida em que as ameaças contra a segurança da informação estão se tornando mais fortes e perigosas sejam relacionadas a dados pessoais ou de organizações Desta forma a criptografia tem se tornado primordial quando se trata de segurança da informação É por isso que vamos continuar conhecendo mais detalhes sobre os seus tipos e aplicações Neste tópico vamos trazer mais alguns conceitos mas também exemplos de aplicações e ferramentas que utilizam a criptografia para o seu funcionamento 2 CONCEITOS Vamos pensar em um exemplo prático de necessidade de criptografia João é um representante de vendas de uma empresa que produz chocolates Ele vende para médios e grandes mercados restaurantes e algumas lojas de conveniência em uma determinada região do país Entre os produtos que ele revende estão barras de chocolate bombons e chocolates para uso em gastronomia UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA 74 FIGURA 1 PASTA DE DOCUMENTOS PROTEGIDA FONTE httpsimagefreepikcomfotosgratispastacomdocumentoseum cadeado10482451jpg Acesso em 18 jan 2021 O final do semestre está chegando e João recebe de sua gerente de vendas Ana um memorando eletrônico com uma nova política de preços Essa nova política traz a lista de preços tabelados para todos os produtos assim como indica o menor preço que cada representante de vendas pode negociar com seus clientes Anteriormente o percentual de descontos era limitado ao tamanho do pedido entre outros fatores Agora o memorando informa que os representantes de vendas têm mais autoridade e autonomia para aumentar ainda mais os descontos de acordo com regras mais complexas João quer proteger da melhor forma possível esse memorando eletrônico sobre a nova política de vendas para que concorrentes ou ainda seus clientes não tenham acesso e assim tirem vantagens nas negociações futuras Visto que é necessário que João tenha acesso fácil às novas regras no momento que estiver tentando executar uma venda Não pode simplesmente memorizálo pois conta com mais de dez páginas Por isso ele decide encriptar o memorando para protegêlo O seu notebook poderia ser roubado e outra pessoa teria acesso as suas informações sigilosas por exemplo Nesse contexto adquire um sistema específico com a função de encriptar arquivos O arquivo de saída do referido programa gera um texto aparentemente sem sentido Por esse motivo que o sistema de encriptação também tem a opção de retornar ao arquivo original para que ele possa ser utilizado por João da forma que o recebeu Entretanto essa função não pode ser de fácil acesso senão o arquivo vai continuar desprotegido caso outra pessoa acesse seu notebook Então ele chega à conclusão que não é suficiente utilizar o sistema de encriptação sem colocar em prática a criação de uma chave que deve ser usada para o processo inverso Cabe agora manter essa chave segura TÓPICO 1 FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO DE ALGORITMOS 75 Nesse simples exemplo você pode perceber a importância das diferentes etapas de encriptação Mais do que um sistema é necessário pensar em como protegêlo assim como conhecer as suas funcionalidades Em outras palavras a proteção dos arquivos na criptografia é feita pela instalação de uma fechadura o algoritmo de criptografia na porta o computador Para utilizar essa fechadura encriptar os dados é preciso que você insira a chave senha e a gire execute o programa Um algoritmo de encriptação executa sua função utilizando a chave para modificar um texto simples e convertêlo em um texto cifrado Assim para desbloquear o arquivo encriptado é necessário inserir a mesma chave e depois executar novamente o algoritmo na ordem inversa Da mesma forma que apenas uma chave é correta para abrir uma porta em uma casa apenas a chave de criptográfica certa pode decriptar os dados Esse conceito se refere ao que já vimos nas sessões anteriores a chave simétrica BURNETT PAINE 2002 Consulte o artigo Estudo de algoritmos criptográficos simétricos na placa Beaglebone Black de Silva Ochôa e Leithardt para conhecer conceitos sobre a aplicação da criptografia simétrica relacionada à Internet das Coisas IoT Internet of Things FONTE SILVA B A da OCHOA I S LEITHARDT V R Q Estudo de algoritmos criptográficos simétricos na placa Beaglebone Black 2019 Disponível em httpssolsbcorgbrindex phperadrsarticleview70396928 Acesso em 19 fev 2021 DICAS O processo que acontece no exemplo do memorando eletrônico que citamos pode ser compreendido melhor pelo fluxo de informações representado na Figura 2 A entrada inicial é um texto simples que não está cifrado e a saída é um texto já cifrado Isso é possível por meio do processamento do algoritmo de criptografia Isso quer dizer que a entrada é um texto normal o processamento aplica regras de criptografia nesse texto e a saída apresenta um texto seguro já criptografado Essa é a forma criptográfica mais simples a chave simétrica pois somente uma chave é necessária para encriptar os dados que são inseridos no sistema UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA 76 FIGURA 2 UTILIZAÇÃO DE CHAVE SIMÉTRICA EM ALGORITMO DE ENCRIPTAÇÃO FONTE Burnett e Paine 2002 p 17 O processo inverso Figura 3 inicia com um texto cifrado o processamento do algoritmo somente acontecerá se for utilizada a mesma chave do processo anterior para no final se obter novamente o texto simples Ou seja a mesma chave que for utilizada para encriptar um texto simples e transformálo em um texto cifrado precisa ser empregada para desencriptar um texto cifrado para tornálo novamente um texto simples FIGURA 3 UTILIZAÇÃO DE CHAVE SIMÉTRICA EM ALGORITMO DE DESENCRIPTAÇÃO FONTE Burnett e Paine 2002 p 17 TÓPICO 1 FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO DE ALGORITMOS 77 Outro exemplo prático da utilidade da criptografia para manter a segurança da informação acontece nas compras pela internet Pense que você vai realizar uma compra dessa forma e uma das opções de pagamento é o cartão de crédito Suas informações pessoais como cliente e do seu cartão neste caso são enviadas a um servidor do site do vendedor ou a um servidor no site de algum serviço terceirizado de pagamento Para que suas informações cheguem a um destes servidores você as envia pela internet que é uma rede pública na qual qualquer um com conhecimento necessário consegue diferenciar os bits que passam por ela Assim se o número do seu cartão de crédito for enviado sem ser disfarçado de alguma forma qualquer pessoa poderá interceptar esse número e comprar mercadorias ou serviços por sua conta CORMEN 2017 Claro que é improvável que alguém fique monitorando o seu acesso à internet só para procurar dados que sejam parecidos com um número de cartão e assim roubálo O mais comum é que se fique esperando para ver se alguém envia essas informações desprotegidas de uma forma geral e você pode ser uma das vítimas desse tipo de golpe Por isso é importante manter a segurança desses dados disfarçando o número do cartão de crédito pelo uso de sites seguros com URL que inicie com https e não a comum http Com o uso do https o navegador protege as informações por meio de criptografia assim como prevê uma autenticação para que você saiba que está em site seguro CORMEN 2017 Consulte o artigo Segurança de dados no ecommerce a criptografia e a logística como diferencial competitivo de Eduardo Bragança para conhecer mais informações sobre como a criptografia pode ser útil para o comércio online O artigo está disponível no seguinte link httpswwwecommercebrasilcombrartigossegurancade dadosnoecommerceacriptografiaealogisticacomodiferencialcompetitivo DICAS Neste subtópico retomamos alguns conceitos principais de criptografia como a criptografia simétrica Também vimos exemplos que reforçam a importância da criptografia para a segurança da informação seja no seu dia a dia ou no trabalho de empresas e organizações Em seguida conheceremos alguns sistemas ou algoritmos utilizados para colocar esses conceitos em prática UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA 78 21 TIPOS DE ALGORITMOS UTILIZADOS NA CRIPTOGRAFIA Para que a criptografia seja útil para garantir a segurança de informações é muito importante saber quais informações são mais sensíveis e assim planejar que ferramentas são necessárias em cada caso Esse planejamento depende do conhecimento do profissional de tecnologia da informação ou do gerente de segurança da informação sobre os sistemas ferramentas e algoritmos de criptografia que estão disponíveis Assim será possível escolher qual algoritmo é mais adequado para cada informação e qual a forma mais segura de gerenciamento das chaves de criptografia por exemplo Essas escolhas vão impactar no desempenho e na utilidade dos mecanismos de segurança da informação COULOURIS et al 2013 Apesar da existência de muitas técnicas e ferramentas de segurança disponíveis quando se trata da segurança da informação ainda é complexo planejar um sistema seguro Isso porque é preciso que esse projeto preveja todos os ataques e brechas de segurança possíveis da mesma forma que um programador precisa excluir todos os erros de um programa que estiver desenvolvendo para que seja executado corretamente Por isso a importância tão grande de definir objetivos e analisar os seus resultados Em resumo segurança da informação significa evitar desastres ou grandes problemas e minimizar acidentes que provavelmente acontecer COULOURIS et al 2013 Nesse sentido deve ser previsto um plano de ação para os piores casos de falhas na segurança Por exemplo definir que procedimento adotar quando interfaces de sistemas internos forem expostas se as redes de comunicação forem inseguras quando os algoritmos e códigos de criptografia ficarem disponíveis para invasores se invasores tiverem acesso a recursos importantes e ainda se a base de dados não estiver mais confiável COULOURIS et al 2013 Consulte o artigo Tudo o que você sempre quis saber sobre criptografia e não perguntou de Filipe Siqueira para verificar mais conceitos e exemplos sobre o uso de chaves simétricas e assimétricas na segurança pessoal de informações Ele está disponível no seguinte link httpsnoticiasr7comtecnologiaecienciatudoquevocesemprequis sabersobrecriptografiaenaoperguntou24012018 DICAS TÓPICO 1 FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO DE ALGORITMOS 79 Além da criptografia com chave simétrica em que a mesma chave é utilizada tanto para encriptar quanto para desencriptar uma informação existe a criptografia com chave assimétrica A criptografia com chave assimétrica também chamada de criptografia de chave pública precisa de duas chaves uma chave que é pública e outra que permanece privada A chave pública pode ser distribuída entre todos que a utilizarão por meio de email por exemplo Já a chave privada precisa ser conhecida apenas pelo seu proprietário O processo de encriptação acontece da seguinte forma em sistemas com criptografia assimétrica a informação inicial ou texto simples é cifrada com a chave pública mas somente pode ser decifrada ou desencriptada com a chave privada correspondente Da mesma forma um texto simples que for cifrado com a chave privada somente pode ser decifrado com uso de sua chave pública correspondente BRANQUINHO et al 2014 Para compreender melhor o funcionamento da chave assimétrica observe a Figura 4 FIGURA 4 FLUXO DE ENVIO DE MENSAGENS POR MEIO DE CHAVE ASSIMÉTRICA FONTE Branquinho 2014 p 221 Na Figura 4 no passo 1 o receptor aquele que quer receber uma mensagem criptografada gera o par de chaves assimétricas uma pública e outra privada No passo 2 esse mesmo receptor envia para o remetente a chave pública que será necessária para decifrar a mensagem cifrada com a chave pública Já no passo 3 o remetente cifra a mensagem texto simples com a chave pública que recebeu e no passo 4 envia a mensagem cifrada para o receptor Por fim no passo 5 o receptor consegue decifrar a mensagem criptografada por meio de sua chave privada BRANQUINHO et al 2014 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA 80 A criptografia com chave pública facilita a distribuição das chaves entre os interessados porém seu desempenho é inferior em grandes volumes de dados Por isso quando há um grande volume de dados são mais indicadas as chaves simétricas Existe ainda a possibilidade do uso de protocolos mistos como o TLS Transport Layer Security Segurança da Camada de Transporte O protocolo TLS estabelece um canal seguro por meio da combinação o uso de chaves assimétricas e simétricas que podem ser empregadas em trocas de dados COULOURIS et al 2013 Para conhecer mais os conceitos e funções da TLS veja o vídeo SSL TLS Dicionário do Programador que está disponível no link httpswwwyoutubecomwatchveOsGqXy2vmA DICAS Por isso a criptografia com chave simétrica é a mais indicada para garantir que grandes volumes de dados permaneçam confidenciais pois é mais rápida Entretanto a criptografia de chave assimétrica apesar de ter processamento mais lento tem como vantagens um gerenciamento mais fácil sem a necessidade de um canal de comunicação específico para compartilhar as chaves CERTBR 2020 Por esse motivo é importante avaliar as características vantagens e desvantagens de cada um dos métodos de criptografia para utilizálos da melhor forma em cada caso Por exemplo a chave simétrica pode ser empregada na codificação de grandes volumes e a assimétrica em volumes menores de informações O uso combinado desses dois tipos de chaves geralmente é feito em navegadores da internet assim como em leitores de emails CERTBR 2020 A fim de garantir a segurança de mensagens de email é importante utilizar leitores de email com suporte nativo à criptografia que implementem o protocolo SMIME SecureMultipurpose Internet Mail Extensions Extensões de Email SegurasMultifuncionais O suporte nativo significa que esses leitores de email já possuem criptografia como uma capacidade integrada ou então que possibilitem a integração de outros complementos ou programas que possam ser instalados e utilizados nos navegadores para utilização de criptografia CERTBR 2020 TÓPICO 1 FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO DE ALGORITMOS 81 Existem diversos programas de criptografia pagos e livres como o GnuPG gratuito que além de disponibilizar a integração a programas de leitura de emails podem ser utilizados para encriptar outros tipos de informação como arquivos armazenados em computadores ou em mídias removíveis Há ainda outros programas tanto nativos nos sistemas operacionais ou que podem ser comprados separadamente que possibilitam cifrar todos os arquivos de um computador seus diretórios de arquivos e atém mesmo dispositivos de armazenamento externo CERTBR 2020 Veja informações adicionais sobre o GnuPG software livre que fornece funções de criptografia no seguinte link httpsgnupgorg DICAS Portanto a criptografia é formada por uma série de fórmulas matemáticas nas quais se utilizada uma chave para cifrar e decifrar uma informação a fim de mantêla segura Utilizando um software de criptografia e um par de chaves sejam públicas ou privadas um usuário pode proteger suas informações pessoais por exemplo Entre as finalidades dos softwares de criptografia estão a assinatura digital que é útil para garantir que um documento não foi alterado depois da assinatura Também a encriptação de documentos para que somente o dono do par de chaves a chave que cifra e a outra que decifra possa ler a informação E ainda a junção dessas duas funções assinar e cifrar um mesmo documento RNP 2012 Leia o artigo Um estudo comparativo de algoritmos de criptografia de chave pública RSA versus curvas elípticas para conhecer um caso prático do uso de chaves públicas Disponível em httprevistaurcamptchebrindexphpRevistaCCEIarticledownload32pdf58 DICAS UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA 82 Como já vimos na Unidade 1 existe uma grande quantidade de algoritmos que podem ser utilizados para criptografia tanto de chaves simétricas quando de chaves assimétricas Entre os exemplos de algoritmos de chave simétrica podemos citar DES Data Encryption Standard Padrão de Criptografia de Dados 3DES Triple DES Padrão de Criptografia Tripla de Dados IDEA International Data Encryption Algorithm Algoritmo de Criptografia de Dados Internacional RC4 e AES Advanced Encryption Standard Padrão de Criptografia Avançado Já os principais algoritmos de chave assimétrica são RSA e ECC Eliptic Curve Cryptography Algoritmos de Curva Elítpica BRANQUINHO et al 2014 83 Neste tópico você aprendeu que A criptografia é importante tanto para empresas quando para o uso pessoal na proteção de informações sigilosas O fluxo de utilização de chaves simétricas e assimétricas para encriptação de informações depende de diferentes etapas As chaves de sessão são criadas de acordo com sua necessidade específica principalmente no caso da cifragem de uma grande quantidade de dados O planejamento da segurança da informação é essencial para definir em quais casos é mais eficiente utilizar chaves simétricas assimétricas ou um misto das duas opções Existem diferentes métodos de criptografia que utilizam chave simétrica e assimétrica o que interfere no funcionamento de sistemas que utilizam esses conceitos RESUMO DO TÓPICO 1 84 1 A criptografia é uma das ferramentas mais importantes da segurança da informação Por meio dela é possível manter seguras informações sigilosas que precisam ser acessadas por diferentes usuários por meio de uma rede de computadores Nesse sentido assinale a alternativa CORRETA que descreve uma das funções ou características da criptografia a A criptografia é a única ferramenta indispensável para garantir a segurança da informação b A criptografia deve ser utilizada combinada a outros instrumentos de segurança da informação c A criptografia é à prova de falhas e de erros por conta de suas boas funcionalidades e fácil implementação d A criptografia soluciona sozinha todos as possíveis adversidades quando se trata de segurança da informação 2 A proteção de arquivos por meio da criptografia pode ser exemplificada pelo uso de uma chave em uma porta No sentido de que a porta seja o computador o algoritmo ou sistema de criptografia a fechadura e a senha para codificar e decodificar os dados a chave Nesse contexto classifique V para as sentenças verdadeiras e F para as falsas Em um algoritmo de criptografia a entrada da encriptação é chamada de texto cifrado Em um algoritmo de criptografia a saída da encriptação é chamada de texto cifrado Em um algoritmo de criptografia a entrada da decriptação é chamada de texto simples Em um algoritmo de criptografia a saída da decriptação é chamada de texto simples Assinale a alternativa que apresenta a sequência CORRETA a F F V V b V V F F c F V F V d V F V F 3 A chave de criptografia da chave é utilizada em casos em que é preciso proteger uma chave de sessão Basicamente utilizamse duas chaves nesse processo a primeira a chave da sessão que acaba sendo encriptada e a segunda que é a chave dessa criptografia Sobre o exposto analise as sentenças a seguir AUTOATIVIDADE 85 I A KEK precisa de proteção e é armazenada para sua próxima utilização II A KEK é descartada a cada uso pois pode ser gerada novamente III A KEK para ser gerada depende de um salt específico Assinale a alternativa CORRETA a Somente a sentença I está correta b Somente a sentença II está correta c Somente a sentença III está correta d As sentenças II e III estão corretas 4 A criptografia com chaves simétricas depende de chaves iguais tanto para codificar quanto para decodificar as informações Já no uso de chaves assimétricas dependem de chaves diferentes para os momentos de proteger e possibilitar o acesso a uma informação encriptada Nesse contexto classifique V para as sentenças verdadeiras e F para as falsas A criptografia assimétrica utiliza uma chave privada para encriptar e uma chave pública para decriptar os dados A criptografia assimétrica utiliza uma chave pública para encriptar e uma chave privada para decriptar os dados Na criptografia assimétrica se for empregada a mesma chave da encriptação para a decriptação será gerado um texto sem sentido Na criptografia simétrica se for empregada a mesma chave da encriptação para a decriptação será gerado um texto sem sentido Assinale a alternativa que apresenta a sequência CORRETA a V F F V b F V V F c F V V V d V F V V 5 A criptografia faz parte do planejamento da política de segurança da informação de uma organização Nesse sentido é importante definir para quais necessidades da informação pode ser utilizada criptografia simétrica ou funções específicas para a criptografia assimétrica Sobre este contexto analise as sentenças a seguir I O planejamento da segurança da informação é um processo simples visto que existem muitas técnicas de segurança disponíveis II De forma sucinta garantir a segurança da informação com o uso de criptografia visa evitar desastres e minimizar incidentes de segurança em uma organização III A criptografia com chave simétrica costuma ser utilizada em grandes volumes de dados por possuir um processamento mais rápido que a assimétrica IV A criptografia com chave assimétrica costuma ser utilizada em grandes volumes de dados por possui um processamento mais rápido que a simétrica 86 Assinale a alternativa CORRETA a Somente a sentença I está correta b Somente a sentença II está correta c Somente a sentença III está correta d As sentenças II e III estão corretas 87 UNIDADE 2 1 INTRODUÇÃO TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA O certificado digital é utilizado para garantir a segurança da informação por meio da criptografia Esse tipo de certificado possibilita que seja estabelecida confiança entre usuários e organizações que trocam documentos eletrônicos COULOURIS et al 2013 Nesse contexto um certificado digital é uma forma de documento eletrônico assinado digitalmente por uma autoridade certificadora a qual possui diversos dados sobre o emissor e o titular desse certificado A principal função do certificado digital é vincular uma pessoa ou entidade a uma chave pública TRT4 2020 A arquitetura de geração e de distribuição de certificados digitais pode ser separada em dois grupos diferentes a infraestrutura hierárquica e a rede de confiança A principal diferença entre esses dois grupos é o modo que é realizada a garantia sobre os certificados emitidos A infraestrutura hierárquica é mais centralizadora enquanto a rede de confiança é mais descentralizadora ASSIS 2013 A infraestrutura hierárquica é utilizada em muitos países inclusive no Brasil onde é controlada pela Infraestrutura de Chaves Públicas Brasileiras ICPBrasil Nessa infraestrutura a emissão e o controle dos certificados digitais são segmentados por meio de delegação dessa responsabilidade às entidades que estiverem interessadas e forem aptas a realizar essa tarefa Essas entidades passam a ser denominadas de Entidades Certificadoras EC ou Autoridade de Registros AR e são reguladas diretamente pela ICPBrasil ASSIS 2013 Na Figura 5 estão dispostas as nove entidades certificadoras reconhecidas pela ICP Brasil como oficiais e que estão autorizadas a emitir certificados digitais 88 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA FIGURA 5 HIERARQUIA DAS ENTIDADES CERTIFICADORAS CONVENIADAS À ICPBRASIL ACJUS ACPR CAIXA CASA DA MOEDA CERTISING IMPRENSA OFICIAL RECEITA FEDERAL SERASA SERPRO ICP Brasil FONTE Assis 2013 p 54 Para adquirir um certificado digital no Brasil o interessado precisa procurar uma EC ou AR devidamente credenciada e vinculada ao Instituto Nacional de Tecnologia da Informação ITI que é a Autoridade Certificadora Raiz da ICPBrasil Para emissão do certificado digital para pessoa física é necessário apresentar documentos pessoais como cédula de identidade ou passaporte CPF título de eleitor comprovante de residência atualizado e PISPASEP de acordo com a área de atuação Por esse motivo é indispensável a presença física do futuro titular do certificado já que esse documento eletrônico passará a ser como uma carteira de identidade utilizada no mundo virtual TRT4 2020 Para conhecer mais sobre a estrutura do Instituto Nacional de Tecnologia da Informação e as Autoridades Certificadoras acesse o site httpsestruturaitigovbr DICAS No caso de certificado digital para pessoa jurídica que é o caso de empresas e demais organizações com CNPJ também é necessário se dirigir a uma Autoridade de Registro ou Certificação Nesse caso apresentar os seguintes documentos registro comercial ato constitutivo estatuto ou contrato social CNPJ e documentos pessoas da pessoa física responsável pelo registro TRT4 2020 As principais informações que um certificado digital armazena são a chave pública de seu titular nome endereço e email período de validade do certificado nome da Autoridade de Registro ou Certificadora que emitiu o certificado número de série do certificado e assinatura digital da Autoridade de Registro ou Certificadora TRT4 2020 TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA 89 Já a rede de confiança é um segundo modelo de arquitetura para certificados digitais Diferente do modelo hierárquico a rede de confiança não possui um órgão central responsável pela emissão dos certificados o que torna o processo totalmente descentralizado Para compreender o funcionamento desse modelo as instituições que desejam ter uma relação de segurança da informação ou seja de confiança podem ser dispostas como um diagrama com várias arestas que representam cada certificado Quanto mais relacionamentos cada instituição construir no diagrama maior a sua rede de confiança Isso quer dizer que o certificado de cada instituição se torna mais confiável a cada nova instituição que passa a confiar nele O software chamado OpenPgP utiliza esse conceito de rede de confiança como um mecanismo de troca de certificado ASSIS 2013 Para conhecer mais sobre o OpenPGP acesse o site httpswwwopenpgporgabout Por exemplo se uma instituição chamada Instituição 1 precisa trocar documentos com outra chamada Instituição 2 utilizando certificados digitais com a infraestrutura de rede de confiança ela deve realizar uma sequência de passos definidos Primeiro é feita a conferência se já houve uma relação de confiança entre as duas instituições e se não houve passase a verificar se existe um vínculo entre as demais instituições que a Instituição 1 já se relaciona ASSIS 2013 DICAS Esse exemplo pode ser apresentado em forma de algoritmo em um pseudocódigo em que a Instituição 1 é I1 e Instituição 2 é I2 Veja o Quadro 1 90 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA QUADRO 1 ALGORITMO PARA VERIFICAÇÃO DE CONFIABILIDADE DE CERTIFICADO EM REDE DE CONFIANÇA 00 INÍCIO 01 02 Se I2 está contida na rede de confiança de I1 03 Inicia a transação 04 Senão 05 Inicia com 0 o nível de convergência 06 Para cada instituição Ix contida na rede de confiança em I1 faça 07 Para cada instituição Iy contida na rede de confiança em I2 faça 08 Se Ix for igual a Iy 09 Incrementa o nível de convergência 10 Fim Se 11 Fim Para 12 Fim Para 13 Fim Se 14 15 Se o valor da convergência for maior ou igual a um limiar T 16 Realiza a transação 17 Senão 18 Aborta a transação 19 Fim Se 20 21 Se a transação for bemsucedida 22 Insere I2 na rede de confiança de I1 23 Fim Se 24 25 FIM FONTE Assis 2013 p 56 No algoritmo apresentado na Tabela 1 primeiro é verificado que a Instituição 2 consta na rede de confiança da Instituição 1 Depois criamse procedimentos a serem adotados caso a verificação inicial seja negativa Uma das variáveis utilizadas é o nível de convergência que nada mais é do que comparar as redes de confiança das duas instituições envolvidas A cada instituição que coincida ou seja que esteja presente nas redes das duas instituições sendo comparadas aumentase o nível de contingência Por fim com um nível de convergência previamente definido no algoritmo chamado de limiar T definese se a transação será abortada ou realizada Caso seja realizada com sucesso a Instituição 2 passa a fazer parte da rede de confiança da Instituição 1 ASSIS 2013 TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA 91 2 CONCEITOS Já sabemos que a assinatura digital simula a função das assinaturas convencionais feitas em papel Figura 7 De toda forma é importante compreender que a assinatura digital não é igual ao certificado digital A principal diferença é que a criptografia utilizada para implantar o mecanismo de assinatura digital permite verificar se a mensagem ou documento é uma cópia sem alterações do que foi produzido por seu signatário ou remetente As técnicas de assinatura digital baseiamse na inclusão de um vínculo irreversível na mensagem ou documento original que pode ser retirado apenas pelo seu remetente Esse processo é feito cifrando a mensagem e criando uma forma compactada chamada de resumo ou digest com uma chave conhecida apenas por quem incluiu a assinatura digital O resumo possui valor de comprimento fixo que é calculado pela aplicação de uma função de resumo segura secure digest function O resumo devidamente cifrado serve como uma assinatura que acompanha a mensagem ou documento COULOURIS et al 2013 FIGURA 7 ASSINATURA DIGITAL FONTE httpsi1wpcomparanashopcombrwpcontentuploads202010assinatura digital5jpgw1000ssl1 Acesso em 18 jan 2021 92 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA Para decifrar as assinaturas digitais geralmente são utilizadas chaves públicas Neste caso o criador da mensagem gera uma assinatura digital com sua chave privada e essa assinatura pode ser decifrada pelo destinatário com a chave pública correspondente COULOURIS et al 2013 Ou seja no caso da utilização da assinatura digital não existe a preocupação específica com a confidencialidade do documento ou da informação mas sim com a sua origem que é garantida pela autenticação pela assinatura Qualquer pessoa que tenha a chave pública que é distribuída livremente poderá descriptografar a mensagem assinada digitalmente para ter certeza de que foi enviada por nós e que não foi alterada VALLE 2015 Na Figura 8 esse processo é detalhado veja FIGURA 8 PROCESSO DE ASSINATURA DIGITAL FONTE Valle 2015 p 64 O processo inicia com o texto original ou texto claro como traz a imagem Então o usuário realiza a assinatura digital com a sua chave privada A Em seguida o texto já assinado é enviado para outro usuário por meio da internet Com uma chave pública A é possível que o receptor do documento confira que ele foi assinado para assim confirmar sua autenticidade VALLE 2015 É inquestionável a necessidade de assinaturas em muitos tipos de transações sejam pessoais ou comerciais As assinaturas manuscritas são utilizadas como uma forma de confirmar a veracidade de informações desde que os documentos existem Entre as necessidades dos destinatários de documentos assinados seja na forma digital ou manuscrita estão verificação de autenticidade a fim de convencer o destinatário de que o signatário realmente assinou o documento e que o mesmo não foi alterado depois disso diminuição de falsificação pois fornece uma prova de que somente o signatário assinou o documento pois a assinatura não pode ser copiada ou colocada em outro documento e aplicação do não repúdio pois o signatário não pode negar que tenha assinado o documento COULOURIS et al 2013 texto claro chave privada A texto assinado texto assinado chave pública A texto assinado verificado internet TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA 93 De toda forma nenhuma dessas características desejáveis da assinatura é totalmente garantida nas assinaturas convencionais tendo em vista que falsificações e cópias desse tipo são difíceis de serem detectadas O que não acontece no caso das assinaturas digitais as quais não dependem da caligrafia de uma pessoa mas sim de um vínculo secreto e único do signatário com o documento As características dos documentos digitais por si só já são totalmente diferentes dos documentos digitais É muito mais fácil gerar copiar e alterar um documento digital Por isso simplesmente anexar a identidade do criador seja com texto ou uma imagem de uma assinatura não tem nenhum valor para a verificação pois pode ser feito por qualquer pessoa COULOURIS et al 2013 Isso que justifica a necessidade de vincular de forma irrevogável a identidade do autor do documento digital à sequência inteira de seus bits Isso satisfaz os requisitos que conhecemos anteriormente da autenticidade e da diminuição ou extinção da falsificação Quanto ao não repúdio ainda existem certas discussões sobre o assunto como no caso em que um usuário afirma que passou sua chave privada para outra pessoa De toda forma foi necessário o uso desta chave para efetivar a assinatura eletrônica o que torna inegável sua utilização COULOURIS et al 2013 Já o certificado digital é um documento que contém uma declaração geralmente curta previamente assinada digitalmente Para compreender o funcionamento do certificado digital vamos apresentar um exemplo Pense que B é um banco Quando os clientes de B entram em contato precisam ter certeza de que estão falando com B o banco mesmo que nunca tenham entrado em contato com ele anteriormente B também precisa autenticar seus clientes antes de conceder a eles acesso às suas contas COULOURIS et al 2013 A cliente Ana poderia achar útil obter um certificado do banco B informando o número de sua conta Assim Ana poderia utilizar esse certificado para fazer compras como uma maneira de garantir que realmente é correntista do banco B Esse certificado é assinado por uma chave privada de B Um vendedor Paulo pode aceitar o certificado para cobrar seus produtos diretamente na conta de Ana desde que ela possa validar sua assinatura Para isso Paulo precisa ter acesso à chave pública de B para certificar que o certificado de Ana é verdadeiro Portanto Paulo precisa de um certificado devidamente assinado por uma autoridade conhecida e confiável o qual contenha a chave pública de B COULOURIS et al 2013 94 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA FIGURA 9 FLUXO DA RELAÇÃO ENTRE BANCO B CLIENTE ANA E VENDEDOR PAULO FONTE O autor Por meio do nosso exemplo foi possível acompanhar três figuras diferentes B como banco Ana como cliente e Paulo como vendedor Os três dependem de certificados digitais para realizar suas transações de forma segura O banco B estabelece uma relação de confiança com seus clientes fornecendo a eles um conjunto de senhas ou certificados para acessarem suas contas Os clientes como Ana por sua vez precisam confirmar sua identidade a cada vez que se relacionarem com o banco B para garantir que não seja um terceiro acessando sua conta bancária Por fim empresas ou vendedores como Paulo também precisam de uma confirmação de que seus clientes também são realmente clientes do banco B Na Figura 10 observase a representação gráfica do certificado digital como uma identidade do seu portador como se fosse sua digital e ao mesmo tempo sua assinatura para assim tornar seguras as informações FIGURA 10 CERTIFICADO DIGITAL FONTE httpwwwcicgaribaldicombrwpcontentuploads202008Ativo3certificado digitalcdl1024x696png Acesso em 18 jan 2021 TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA 95 Os certificados digitais podem ser empregados para estabelecer a autenticidade de muitos tipos de declaração Duas coisas principais são necessárias para tornar certificados digitais úteis um formato padrão e uma boa representação para que os emitentes e os respectivos usuários do certificado possam construílos e interpretálos e um acordo sobre a forma pela qual os encadeamentos de certificados são construídos principalmente no que se refere à autoridade confiável que deverá ser empregada por todos os envolvidos Além disso é importante se preocupar com a possibilidade de revogação de um certificado Lembrando de nosso exemplo anterior Ana pode deixar de ser cliente do banco B Por isso é importante que o certificado do banco fornecido a seus clientes tenha data de expiração para que deixe de funcionar COULOURIS et al 2013 Certificado digitais ainda representam a única tecnologia com o atributo essencial de validade legal no país A certificação digital foi introduzida no Brasil simultaneamente à criação da Infraestrutura de Chaves Públicas ICPBrasil por meio da Medida Provisória 220022001 O Certificado Digital é um documento que utiliza uma chave criptográfica e um padrão específico contendo dados de seus titulares garantindo a identidade deles sendo assim assegura a confidencialidade a autenticidade e o respaldo de qualquer transação eletronicamente assinada bem como a troca de informações com integridade confidencialidade e segurança Atualmente há cerca de 88 milhões de certificados digitais ativos no Brasil isso corresponde a 3 da população total OCDE 2020 p 100 Por meio dos dados da Organização para Cooperação e Desenvolvimento Econômico OCDE apresentados anteriormente podemos perceber a importância que os certificados digitais possuem tanto em relações econômicas quanto em trocas de informações no Brasil Por isso é tão importante conhecer esse tipo de ferramenta que contribui para a segurança da informação com uso de métodos de criptografia Além das funcionalidades dos certificados digitais é importante conhecer a vantagem do uso desses certificados Entre as vantagens estão uma autenticação mais segura maior dificuldade para comprometer ou roubar certificados digitais e tanto o computador quanto o usuário podem ser autenticados sem a necessidade de intervenção do usuário Podemos afirmar que os certificados digitais proporcionam uma autenticação mais segura se comparados com senha tradicionais Isso porque o certificado digital é um arquivo real o que torna mais difícil burlar sua segurança Enquanto uma senha pode ser fraca muito simples muito curta anotada em um local que não seja seguro ou ainda falada em voz alta para outras pessoas o certificado não pode ser afetado por esses problemas WRIGHTSON 2014 Tanto o computador quanto o usuário podem se autenticar em uma rede sem fio por exemplo sem a necessidade de interação ou de preenchimento de senhas Isso é possível por meio de funcionalidades como as credenciais de cache dos sistemas Windows por meio das quais os usuários podem se autenticar 96 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA diretamente a um sistema em que já tenham se autenticado anteriormente Além disso os certificados digitais podem fornecer autenticação mútua isso quer dizer que as duas partes podem autenticar uma à outra Assim o usuário autentica a rede sem fio e a rede sem fio autentica o usuário Isso garante que as duas partes estão se comunicando com o destinatário desejado WRIGHTSON 2014 Outra vantagem importante do uso de certificados digitais da mesma forma que nas assinaturas digitais é chamada de não repúdio Esse benefício pode ser percebido quando você assina uma mensagem utilizando sua assinatura digital como parte do processo de certificação digital o que prova que apenas alguém que possua sua chave privada poderia ter criado a mensagem O que quer dizer que você não pode negar repudiar que aprovou a criação e o envio da mensagem Isso é muito bom quando se lida com contratos legais em um mundo digital por exemplo WRIGHTSON 2014 FIGURA 11 PRINCIPAIS DIFERENÇAS ENTRE ASSINATURA E CERTIFICADO DIGITAL FONTE httpswwwfacebookcomcolegionotarialdobrasilspposts13337125234445200 Acesso em 19 fev 2021 TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA 97 É importante deixar claro que certificado digital e assinatura digital são conceitos diferentes conforme ilustrado na Figura 11 Enquanto o certificado digital se torna uma espécie de carteira de identidade digital da pessoa ou organização que o detém a assinatura digital é uma forma de autenticar documentos para que seja garantida a sua validade jurídica usando para isso a criptografia Assim podemos definir a assinatura digital como uma modalidade de assinatura eletrônica resultado do uso de algoritmos de criptografia assimétrica que possibilita assegurar a segurança origem e integridade de um documento TRT4 2020 21 TIPOS DE CERTIFICADOS DIGITAIS Baseada na infraestrutura hierárquica a ICPBrasil disponibiliza oito principais tipos de certificados digitais os quais são baseados no protocolo X509 v3 Esses certificados são divididos em dois conjuntos de séries A e S de acordo com o seu propósito seu custo e a segurança efetiva que proporcionam Quatro certificados de assinatura digital fazem parte da série A A1 A2 A3 A4 que são utilizados principalmente para autenticar identidade Enquanto os quatro certificados da série S S1 S2 S3 S4 são úteis para garantia de sigilo e são relacionados à proteção de dados e informações confidenciais As características e diferenças desses certificadas serão abordadas em seguida na Tabela 2 ASSIS 2013 O protocolo X509 é um formato padrão para certificados de chave pública utilizado para associar com segurança pares de chaves criptográficas com identidades de organizações usuários ou sites por exemplo Esse protocolo foi utilizado pela primeira vez em 1988 como uma camada de autenticação de um protocolo anterior o X500 Depois ele foi adaptado para uso da internet pela PublicKey Infrastructure Infraestrutura de Chave Pública da Internet Engineering Task Force IETF ForçaTarefa de Engenharia da Internet que é uma organização internacional aberta que se preocupa em propor soluções para a Internet e padronização de suas tecnologias e protocolos Com o passar do tempo as versões 1 e 2 do protocolo foram corrigidas Isso foi relacionado aos esforços em padronizar os certificados digitais com chaves públicas e assim em 1996 foi disponibilizada a versão 3 que é a mais atual Certificados que utilizam o protocolo X509 podem ser utilizados para assinar códigos assinar documentos autenticar um cliente em um servidor servir como uma identidade eletrônica emitida pelo governo entre outras funções RUSSELL 2019 Esses tipos de certificados digitais são categorizados tecnicamente de acordo com vários fatores que são o tamanho de bits das chaves assimétricas utilizadas o seu período de validade o mecanismo de geração que utiliza e o tipo de dispositivos de armazenamento final ASSIS 2013 98 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA Na versão 3 do protocolo X509 foram incluídas algumas extensões mínimas para o transporte de dados como os atributos de chaves públicas dados adicionais sobre o titular do certificado e sobre as restrições e política de uso do certificado digital A partir daí os certificados digitais passaram a ser flexíveis e permitiram o desenvolvimento de muitos outros perfis de certificados que utilizam combinações de extensões e que podem ser úteis para muitas aplicações SOUZA 2014 Como no caso das diferentes séries dos certificados ICPBrasil Na Figura 12 temos apresentada a estrutura de um certificado digital do padrão X509 v3 que é composta pela versão número de série assinatura do certificado digital identificação do emissor validade nome do proprietário informações adicionais sobre o proprietário e assinatura digital do emissor Autoridade Certificadora Assim como os campos operacionais que são o ID do emissor e do proprietário e a lista de extensões com suas respectivas especificações de acordo com a função para a qual o certificado será utilizado FIGURA 12 PRINCIPAIS DIFERENÇAS ENTRE ASSINATURA E CERTIFICADO DIGITAL FONTE Silva 2004 p 75 Como vimos na Figura 12 a estrutura dos certificados digitais do protocolo X509 é composta basicamente pelo sujeito nome discriminado e chave pública emitente nome discriminado e assinatura período de validade não antes de data e não após data informações administrativas versão e número de série e informações estendidas qualquer outra informação complementar Portanto cada certificado é vinculado a um portador seja pessoa física ou jurídica além de conter a informação de que AR o emitiu com a respectiva assinatura digital Ainda outra informação importante é a validade do certificado que garante que ele possa ser empregado somente dentro do período para o qual foi emitido COULOURIS et al 2013 Nesse contexto um certificado X509 vincula uma chave pública a uma entidade nomeada que é chamada de sujeito subject Essa vinculação é feita por meio de assinatura da emitente issuer do certificado digital a Autoridade Certificadora A informação do nome discriminado distinguished TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA 99 name é empregada para preencher o nome de uma pessoa organização ou outra instituição atreladas a informações contextuais do certificado para que o torne exclusivo COULOURIS et al 2013 Veja na Figura 13 que representa cada uma dessas figuras relacionadas à emissão do certificado digital se pensarmos nos certificados ICPBrasil FIGURA 13 VINCULAÇÃO DE INFORMAÇÕES EM UM CERTIFICADO DIGITAL FONTE O autor É importante incluir as informações adicionais sobre a figura do nome discriminado que pode ser uma pessoa ou uma organização Isso porque não se pode considerar que apenas um nome torne um certificado exclusivo o que também pode acontecer em carteiras de habilitação por exemplo Caso não tivesse uma numeração específica e dependessem apenas do nome de seu portador pois é improvável que exista apenas uma pessoa no mundo com o mesmo nome por mais diferente que ele possa parecer Por isso a necessidade de construir sequências de verificação longas nos certificados digitais com assinaturas validadas por meio de um encadeamento de verificação que direcione a alguém conhecido e de confiança no caso a Autoridade Certificadora É a Autoridade Certificadora neste caso a responsável pela criação da sequência de verificação individual para cada certificado COULOURIS et al 2013 Veja no Quadro 2 as principais características de cada um destes certificados QUADRO 2 TIPOS DE CERTIFICADOS DIGITAIS DISPONÍVEIS NA ICPBRASIL Certificados Digitais Tipo de Certificado Origem do par de Chaves Tamanho das Chaves Tipo de Armazenamento Validade A1 Software 1024 bits Arquivo em Disco de um único Computador HD ou SSD Um ano A2 Hardware Criptográfico Móvel dispositivo físico independente 1024 bits Token ou Smartcard Até dois anos 100 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA FONTE Assis 2013 p 65 e ITI 2020 sp A3 Hardware Criptográfico Móvel dispositivo físico independente 1024 bits Token Smartcard ou Nuvem Até cinco anos A4 Hardware Criptográfico placa auxiliar instalada em um computador 2048 bits HSM Hardware Security Module Módulo de Segurança de Hardware ou Nuvem Até 11 anos se utilizar criptografia de curvas elípticas caso contrário até seis anos S1 Software 1024 bits Arquivo em Disco de um único Computador HD ou SSD Um ano S2 Hardware Criptográfico Móvel dispositivo físico independente 1024 bits Token ou Smartcard Até dois anos S3 Hardware Criptográfico Móvel dispositivo físico independente 1024 bits Token Smartcard ou Nuvem Até cinco anos S4 Hardware Criptográfico placa auxiliar instalada em um computador 2048 bits HSM Hardware Security Module Módulo de Segurança de Hardware ou Nuvem Até 11 anos se utilizar criptografia de curvas elípticas caso contrário até seis anos Lembrese que os Algoritmos de Curva Elípticas Eliptic Curve Cryptography ECC são um método utilizado para gerar pares de chaves pública privada com base em propriedades de curvas elípticas No ECC as chaves são mais curtas seguras e as demandas de processamento para cifrar e decifrar mensagens ou documentos são menores se comparadas às do RSA por exemplo Essa característica é útil para sistemas que incorporam dispositivos móveis que possuem recursos de processamento limitado A matemática relevante para seu processamento envolve propriedades complexas das curvas elípticas COULOURIS et al 2013 TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA 101 Leia o artigo Um estudo comparativo de algoritmos de criptografia de chave pública RSA versus curvas elípticas para conhecer um caso prático do uso de chaves públicas Ele está disponível no link httprevistaurcamptchebrindexphpRevistaCCEI articledownload32pdf58 DICAS Portanto de acordo com a Tabela 2 os certificados das séries A e S podem ser instalados diretamente no disco do computador em que serão utilizados disponibilizados em Tokens parecidos com Pendrives ou Smartcards Cartões inteligentes com chips como cartões de banco que possibilitam a sua mobilidade acessados na Nuvem ou embutidos em hardwares que são conectados a uma rede de computadores As mídias ou ferramentas de acesso aos certificados digitais são representadas na Figura 11 FIGURA 11 PRINCIPAIS MANEIRAS DE UTILIZAR UM CERTIFICADO DIGITAL FONTE httpscofrevirtualcombrblogwpcontentuploads201904smartcardtokenpc ounuvemqualeomelhordispositivoparaprotegerocertificadodigital795x405jpg Acesso em 18 jan 2021 Dos oito principais certificados ICPBrasil que vimos anteriormente os mais comuns e que são utilizados por mais pessoas atualmente são os da série A que permitem a assinatura digital em qualquer arquivo Eles têm como característica a possibilidade de identificar quem assinou o documento que podemos chamar de autenticidade Eles também confirmam a integridade do arquivo ou seja depois de usar um certificado da série A em um arquivo ele não pode mais ser alterado Esses certificados atendem necessidades de pessoas físicas jurídicas e profissionais liberais de diferentes áreas otimizando suas atividades ITI 2020 102 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA Por exemplo uma pessoa física pode utilizar um certificado a série A para acessar e atualizar os seus dados na Receita Federal referentes ao seu Imposto de Renda ou então para assinar documentos digitalmente Já pessoas jurídicas ou seja empresas com CNPJ podem utilizar esses mesmos certificados para garantir a segurança do envio de informações entre filiais ou mesmo entre vendedores e colabores externos Como profissionais liberais podemos citar o caso de advogados médicos ou dentistas que possuem seus escritórios ou consultórios e emitem documentos que precisam da garantia de autenticidade Fazem isso por meio do uso dos certificados Há ainda os certificados do tipo T que também são chamados de Carimbo de Tempo Timestamp Com um certificado de carimbo de tempo é possível garantir a existência de um arquivo em determinada hora e data o que além da integridade permite garantir a temporalidade de um documento específico Isso quer dizer que os certificados do tipo T garantem que um documento seja confiável e íntegro para que não seja alterado e ainda cria uma espécie de carimbo digital no documento com a data e hora da sua criação Essa informação é útil para garantir que o documento que foi criptografado não passou por nenhuma alteração desde sua criação até a sua assinatura ITI 2020 As Autoridades Certificadoras de Tempo ACTs devidamente credenciadas na ICPBrasil são responsáveis por emitir o carimbo de tempo e conferir os atributos de ano mês dia hora minuto e segundo que são associados à determinada assinatura digital As ACTs utilizam os certificados digitais do tipo T que precisam ser instalados nos computadores que emitem os carimbos de tempo ITI 2020 Consulte o vídeo Atributos Certificado Digital produzido pela ITI para conhecer mais detalhes sobre os certificados das séries A S e T Disponível em httpswwwyoutubecomwatchvsxwkAkDe9M DICAS Outros certificados mais específicos são o CFeSAT Cupom Fiscal Eletrônico e o OMBR Objetos Metrológicos O CFeSAT é empregado nas assinaturas de Cupons Fiscais Eletrônicos e pode ter validade de até cinco anos Já o certificado OMBR é utilizado em objetos metrológicos como aqueles que conferem medição de bombas de combustível ou relógios medidores de energia elétrica ou água por exemplo Esses objetos necessitam de regulação do INMETRO Instituto Nacional de Metrologia Qualidade e Tecnologia Seu prazo de validade é de até dez anos O par de chaves desses dois tipos de certificado precisa ser armazenado em um hardware criptográfico que seja homologado pela ICPBrasil ou no caso do OMBR pelo INMETRO ITI 2020 TÓPICO 2 CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA 103 Para mais informações sobre CFeSAT consulte o vídeo CFeSAT O que é como funciona e condições para uso O vídeo está disponível no link httpswww youtubecomwatchv7XnHxYhymHclistPL0xfQy3NwaQuc4PE2fbBlEbq8WFRYtm DICAS É importante deixar claro que os tipos de certificados apresentados de infraestrutura hierárquica não são gratuitos ou seja para utilizar suas funcionalidades é preciso realizar o pagamento de taxas específicas para cada um deles Eles devem ser adquiridos em entidades devidamente registradas e conveniadas a ICPBrasil Os preços não são padronizados e variam de acordo com a empresa e com o tipo de certificado ITI 2020 Para consultar mais conceitos sobre os certificados digitais e sua utilização no dia a dia das empresas para criação de documentos digitais acesse o endereço https wwwgovbritiptbrassuntosnoticiasitinamidiaitinamidiacertificadodigitaloque eparaqueserveecomofazerumdocumentovirtual DICAS Os tipos de certificados que conhecemos até aqui podem ser utilizados por pessoas empresas e organizações comerciais que emitem notas fiscais eletrônicas por exemplo Para cada um desses casos há um tipo de certificado digital específico que são respectivamente o CPFe CNPJe e NFe O CPFe por exemplo é útil para pessoas físicas que necessitam comprovar sua identidade seja para assinar procurações contratos ou pendências fiscais online ITI 2020 Já o CNPJe é empregado por pessoas jurídicas no caso o representante legal da empresa que é o detentor da assinatura que não pode ser utilizada por outros colaboradores da empresa Além das mesmas indicações do CPFe o CNPJe possui acesso a dados da empresa na Receita Federal permite participar de pregões eletrônicos promovidos por instituições públicas e ainda possibilita declarar informações sobre funcionários no sistema online eSocial plataforma do governo para essa finalidade Por fim o NFe é necessário para emissão de Nota Fiscal eletrônica e pode ser utilizado por qualquer funcionário da empresa que esteja em posse do certificado pois não está vinculado a uma só pessoa Os formatos possíveis desses três tipos de certificados são A1 A3 e A4 ITI 2020 104 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que Certificados digitais utilizam criptografia para garantir a segurança de dados e informações Existem duas arquiteturas de distribuição de certificados digitais infraestrutura hierárquica e rede de confiança A infraestrutura hierárquica se refere aos certificados digitais emitidos no Brasil por instituição conveniadas à ICPBrasil A rede de confiança depende de algoritmos específicos para verificar se as relações entre instituições podem ser consideradas seguras ou não Certificados e assinaturas digitais são conceitos diferentes Assinaturas digitais simulam uma assinatura convencional feita em papel Certificados digitais são assinados digitalmente e contém informações adicionais que declaram sua confiabilidade Os certificados digitais disponibilizados pela ICPBrasil podem ser divididos em séries sendo que as principais são A e S 105 1 Os certificados digitais utilizam de criptografia para auxiliar na segurança da informação Esses certificados possibilitam a criação de confiança entre usuários e organizações Nesse sentido assinale a alternativa CORRETA que descreve uma das características dos certificados digitais a Um certificado digital é assinado manualmente por uma autoridade certificadora b Um certificado digital é assinado digitalmente por uma autoridade certificadora c Um certificado digital vincula uma pessoa ou entidade a uma chave privada d Um certificado digital vincula uma pessoa ou entidade a uma assinatura privada 2 Os certificados digitais podem ser divididos em dois grupos de acordo com sua arquitetura de geração e de distribuição Sobre os grupos de certificados digitais infraestrutura hierárquica e rede de confiança classifique V para as sentenças verdadeiras e F para as falsas A diferença principal entre os dois grupos é a forma como a segurança dos certificados é garantida A rede de confiança é mais centralizadora e a infraestrutura hierárquica mais descentralizadora A rede de confiança é mais descentralizadora e a infraestrutura hierárquica mais centralizadora No Brasil a infraestrutura hierárquica é representada pela ICPBrasil As entidades que emitem certificados digitais segundo as regras da ICP Brasil são chamadas de Entidades de Registros ER Assinale a alternativa que apresenta a sequência CORRETA a V F V V F b F V V F F c F V F F V d V V F V V 3 A rede de confiança de certificados digitais pode ser construída por meio de um relacionamento entre diferentes instituições Sobre o exposto analise as sentenças a seguir I A rede de confiança possui um órgão central responsável pela emissão dos certificados II Quanto menor a rede de confiança maior a confiabilidade do certificado digital III Quanto mais instituições confiarem em um certificado maior a sua utilização pelas demais instituições que fazem parte da rede AUTOATIVIDADE 106 Assinale a alternativa CORRETA a Somente a sentença I está correta b Somente a sentença II está correta c Somente a sentença III está correta d As sentenças I e III estão corretas 4 Assinaturas e certificados digitais costumam ser confundidos como se fossem sinônimos porém possuem diferenças Nesse contexto classifique V para as sentenças verdadeiras e F para as falsas A assinatura digital tem a mesma função que uma assinatura convencional conferir autenticidade a um documento As assinaturas digitais geralmente são decifradas por meio de chaves privadas Para que os certificados digitais sejam úteis dependem de uma boa apresentação e um formato padrão Segundo a OCDE 5 da população brasileira utiliza certificados digitais Assinale a alternativa que apresenta a sequência CORRETA a V F F V b F V V F c F V V V d V F V F 5 Os certificados digitais disponibilizados pela ICPBrasil são divididos em séries distintas baseadas na infraestrutura hierárquica Sobre as características e funcionalidades das diferentes séries de certificados digitais analise as sentenças a seguir I Os certificados da série S são empregados principalmente para autenticar identidade II Os certificados da série A são empregados principalmente para autenticar identidade III Os certificados da série S geralmente são utilizados para proteger informações e dados confidenciais IV Os certificados da série A geralmente são utilizados para proteger informações e dados confidenciais Assinale a alternativa CORRETA a Somente a sentença I está correta b Somente a sentença II está correta c Somente a sentença III está correta d As sentenças II e III estão corretas 107 UNIDADE 2 1 INTRODUÇÃO TÓPICO 3 EXEMPLOS DE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL Anteriormente conhecemos conceitos sobre o uso de chaves públicas e privadas algoritmos de criptografia simétrica e assimétrica bem como as assinaturas e certificados digitais Nesse tópico vamos examinar alguns aspectos práticos do uso de chaves públicas e privadas para envio de mensagens seguras e o papel dos certificados digitais na garantia da segurança da informação com base em exemplos de sua utilização Você já sabe que um usuário pode utilizar a criptografia de chave pública para enviar uma mensagem e o seu destinatário pode verificar a autenticidade e integridade dessa mensagem Imagine duas pessoas fictícias que quisessem enviar mensagens uma para a outra de forma segura por meio de uma rede não confiável os nomes delas são Mônica e Sônia Mônica e Sônia são amigas próximas Um dia uma delas precisou viajar e elas trocaram suas chaves públicas por meio de pen drives Logo Sônia sabe que pode confiar na chave pública vinda de Mônica porque a entregou fisicamente WRIGHTSON 2014 Quando Mônica escreve um email endereçado à Sônia ela assina usando sua chave privada Para assinar a mensagem o programa de correio eletrônico que Mônica está utilizando submeterá o email inteiro a um algoritmo criptográfico que criptografará o valor gerado pelo algoritmo por meio da chave privada de Mônica Depois Mônica acrescentará o valor da assinatura ao final do email e o encaminhará para Sônia WRIGHTSON 2014 Quando Sônia recebe a mensagem verifica se o email realmente veio de Mônica e se a mensagem não foi violada por ninguém Para isso pega a chave pública de Mônica e descriptografa a assinatura no email para obter o valor gerado pelo algoritmo de criptografia chamado de valor de hash ou de resumo de hash Em seguida calcula ela mesma o seu próprio valor de hash e o compara com o valor da assinatura de Mônica Se os valores forem iguais Sônia tem a confirmação sobre a integridade e autenticidade da mensagem por meio do uso da criptografia assimétrica WRIGHTSON 2014 A tradução literal do termo hash se refere à cerquilha ou seja o símbolo 108 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA Conheça um pouco mais sobre o funcionamento do algoritmo de hash no vídeo Assinatura Digital e Hash Segurança da Informação FONTE httpswwwyoutubecomwatchvUlRCVihN3pEt Acesso em 19 fev 2021 DICAS É importante deixar claro que não é preciso entregar fisicamente a cópia da chave pública para alguém como vimos no exemplo anterior No entanto geralmente é aconselhável que essa chave seja enviada por um método fora da banda Isso porque você não vai querer enviar sua chave pública para alguém utilizando o mesmo caminho de comunicação que você precisa proteger por ser inseguro Por exemplo para proteger emails com criptografia de chave pública não enviaria pelo mesmo email ou em um email anterior a sua chave pública Qual o motivo de não fazer isso Veja se um invasor pode receptar suas mensagens nesse momento poderá simplesmente inserir sua chave pública em substituição à que foi enviada e o destinatário não terá como saber o que aconteceu WRIGHTSON 2014 De toda forma geralmente o processo de empregar uma chave privada para criar uma assinatura e anexála a um email é automático Isso porque seria inadequado esperar que um usuário sem conhecimentos avançados de segurança da informação executasse manualmente todas essas tarefas Assim como o destinatário do email não descriptografaria manualmente a assinatura e compararia os hashes isso também pode ser feito automaticamente pelo serviço de email utilizado WRIGHTSON 2014 Foi apenas um exemplo para que você consiga compreender a importância e funcionalidade desses algoritmos Em outras palavras o fluxo de um algoritmo de hash inicia com a mensagem que sai da origem que é o arquivo original Em seguida é calculado o seu resumo e ele é assinado com uma chave privada Assim o que vai para a rede de comunicação já é o arquivo criptografado e assinado digitalmente Quando o arquivo é recebido a assinatura é removida por meio de um algoritmo de descriptografa com a chave pública O próprio algoritmo compara a mensagem com e sem assinatura e sendo igual confirma sua autenticidade TÓPICO 3 EXEMPLOS DE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL 109 2 CRIPTOGRAFIA E CERTIFICAÇÃO EM DIFERENTES FRENTES DE SEGURANÇA Já conhecemos um pouco sobre os certificados digitais da ICPBrasil que utilizam a criptografia para garantir validade jurídica autenticidade confidencialidade integridade e não repúdio a informações e operações realizadas por meio deles no ambiente virtual Esses certificados permitem realizar vários procedimentos virtualmente sem a necessidade de deslocamento presencial à sede de órgãos governamentais ou de empresas para impressão de documentos por exemplo ITI 2017a Entre as possibilidades de uso dos certificados digital ICPBrasil está assinatura de documentos e contratos digitais autenticação em sistemas atualização de informações em sistemas e em rotinas de categorias profissionais específicas Os documentos e contratos assinados digitalmente com certificado digital ICPBrasil têm a mesma validade que documentos assinados em papel Isso proporciona economia com impressões além de agilizar a movimentação desses documentos por meio eletrônico ITI 2017a Como exemplo do uso de um certificado digital para autenticação em sistemas podemos pensar em uma empresa de tecnologia que possui colaboradores que trabalham presencialmente e outros a distância em home office Para que os colaboradores que estão em home office tenham o mesmo acesso aos sistemas de informação utilizados na empresa realizam seus acessos por meio de certificados digitais para garantir suas identidades Então mesmo trabalhando de suas casas esses colaboradores conseguem acessar a informações sigilosas com segurança Quanto à autenticação vários sistemas com informações confidenciais principalmente os sistemas de governo podem ser acessados de forma segura via internet com certificados digitais O que permite também a atualização de informações nesses sistemas Sobre as categorias profissionais médicos advogados contadores entre outros já vem empregando o certificado digital em sistemas virtuais unificados e seguros que possibilitam integração e desburocratização de processos ITI 2017a No caso de acesso seguro a sistemas de governo podemos citar o uso de certificados digitais por servidores públicos que realizam compras institucionais como pregões e licitações As instituições públicas possuem sistemas de informações específicos para o registro e controle desse tipo de transação e para que os processos sejam seguros e auditáveis cada servidor possui um certificado único vinculado ao seu CPF Assim é possível garantir a legalidade e segurança nas compras realizadas com verbas públicas 110 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA Confira a matéria Medida Provisória amplia possibilidades de assinaturas eletrônicas para incrementar serviços públicos digitais em httpswwwgovbritipt brassuntosnoticiasindicedenoticiasmedidaprovisoriaampliapossibilidadesde assinaturaseletronicasparaincrementarservicospublicosdigitais DICAS 3 TÉCNICAS DE REFORÇO CRIPTOGRÁFICO Já conhecemos exemplos de aplicações de criptografia e de certificados digitais que são úteis para realização de atividades em empresas e demais organizações ou ainda pelos cidadãos de forma geral A partir de agora vamos observar conceitos que podem ser empregados para reforçar as técnicas de criptografia utilizadas para garantir a segurança da informação Existem diferentes técnicas que podem ser utilizadas para aumentar a segurança de sistemas criptográficos sendo úteis se aplicadas de forma geral Entre elas vamos conhecer mais sobre a salt em tradução literal significa salgar e a key whitening clareamento de chave TEIXEIRA FILHO 2015 A salt é utilizada em funções de hash para concatenar uma parte dos dados extraído do próprio texto antes dele passar pela função de hash O seu objetivo é dificultar qualquer tentativa de deduzir o conteúdo completo do texto com base na saída da função de hash Deduzir o conteúdo nesse caso significa o ato de uma pessoa malintencionada conseguir interceptar partes de uma mensagem ou documento sigiloso e com essas partes conseguir deduzir ou compreender o que se quer dizer na mensagem ou documento TEIXEIRA FILHO 2015 A utilização do salt em outras palavras salgar o hash é importante pois existem listas disponíveis na internet com senhas conhecidas e seus respectivos digest resumos as chamadas Rainbow Tables tradução literal tabelas arcoíris Esse problema pode ser resolvido de forma fácil ao adicionar mais uma string letra ou número à senha antes de calcular o hash Neste caso a string a mais será o salt da criptografia portanto o reforço na segurança CABRAL CAPRINO 2015 Vamos a um exemplo de aplicação do salt em um hash com inclusão de uma string Suponha que Fernando seja um usuário que quer se cadastrar em um sistema online de uma empresa e para isso ele precisa criar um usuário e uma senha Fernando define como usuário Fernando e como senha abc1234 Esse usuário e senha precisa ser armazenado no banco de dados do sistema para que quando Fernando queira acessálo não precise criar um cadastro A senha não TÓPICO 3 EXEMPLOS DE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL 111 pode ser armazenada dessa forma no banco de dados para que seja garantida a sua segurança Então o que será armazenado é o hash dessa senha criado por meio de um algoritmo criptográfico Para aumentar a segurança desse procedimento utilizase o salt Para nosso exemplo o salt é apenas uma string a letra d assim a senha armazenada para Fernando depois da aplicação da função salt seria d mais o hash de abc1234 E é possível deixar ainda mais reforçado esse salt incluindo mais um cálculo de hash no processo ou seja calculando o hash do hash e depois armazenando o seu resultado Esse cuidado de salgar o hash anula o problema de gravar digests conhecidos nas tabelas disponíveis na internet CABRAL CAPRINO 2015 Já a key whitening é empregada em funções criptográficas para adicionar no início e no final da chave utilizada uma parte dos dados combinada com a própria chave por meio de uma operação lógica XOR ou Exclusivo antes dela ser cifrada A operação XOR lida com bits individuais ou seja com números binários Isso aumenta o seu tamanho efetivo e dificulta a descoberta da chave Depois de decifrado o documento ou mensagem o processo é revertido TEIXEIRA FILHO 2015 Pense no nosso exemplo anterior na senha do usuário Fernando Se fosse aplicada a função key whitening para aumentar a segurança da senha a senha armazenada poderia ser b mais abc1234 mais c e depois esses caracteres ainda seriam criptografados Conheça mais sobre os diferentes tipos de técnicas de encriptação e de reforço criptográfico inclusive utilizando o operador lógico XOR no texto Técnicas Clássicas de Encriptação O referido texto está disponível em httpwikistoauspbrimagesccfStallingscap2e3pdf DICAS Portanto além das técnicas de criptografia que já conhecemos ao longo deste livro aprendemos que elas podem ser complementadas para que tenham um melhor resultado na garantia da segurança da informação Assim como vimos que os certificados digitais podem ser utilizados em diferentes atividades e estão a cada dia mais presentes em nossas vidas 112 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA LEITURA COMPLEMENTAR SEGURANÇA DA INFORMAÇÃO CONHEÇA AS 12 MELHORES PRÁTICAS Segurança da informação é um tema estratégico da gestão de negócios que nunca pode ser deixado de lado Seus desvios interferem no bom andamento das atividades rotineiras no alcance dos resultados planejados e na sobrevivência e reputação de uma empresa Apesar de tão essencial as diversas facetas desse tema são desconhecidas da maior parte dos gestores de negócio Todos os aspectos da segurança da informação precisam estar em vista e serem tratados com o máximo de critério e cuidado para que os gestores e colaboradores da empresa sejam beneficiados assim como os públicos externos parceiros e clientes que interagem com ela As práticas de segurança vão do básico ao sofisticado dependendo do mecanismo escolhido pelo gestor de TI Algumas práticas são tradicionais e conhecidas pela maioria das pessoas e outras somente pelos especialistas da área Veja as 12 melhores práticas de segurança da informação descritas de forma simples e objetiva 1 Detectar vulnerabilidades de hardware e software Os equipamentos de TI hardwares e os sistemas e aplicativos softwares passam por evolução tecnológica contínua e precisam ser substituídos periodicamente Sua aquisição tem que levar em conta os aspectos técnicos e de qualidade não podendo se nortear apenas pelo quesito preço A defasagem tecnológica torna vulnerável toda a infraestrutura e a segurança de TI e gera consequências tais como perda de competitividade ineficiência operacional insatisfação de colaboradores e clientes morosidade e ineficácia do processo decisório Os equipamentos estão sujeitos a defeitos de fabricação instalação ou utilização incorreta quebra ou queima de componentes e má conservação o que pode comprometer um ou mais dos princípios da segurança da informação Os softwares estão sujeitos a falhas técnicas e de configurações de segurança mal uso ou negligência na guarda de login e senha de acesso Devem ser adotadas práticas de segurança específicas para cada elemento componente da infraestrutura de TI servidores computadores a rede os softwares e os componentes de comunicação dentre outros Assim como deve ser providenciado treinamento e atualização de conhecimentos para a equipe de TI e os usuários dos recursos tecnológicos Inabilidade técnica também gera vulnerabilidades de hardware e software É imprescindível detectar de forma rápida as possíveis vulnerabilidades de hardware e software para tomar providências imediatas no sentido da sua solução TÓPICO 3 EXEMPLOS DE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL 113 2 Cópias de segurança O tão conhecido backup ou cópia de segurança é um mecanismo fundamental para garantir a disponibilidade da informação caso as bases onde a informação esteja armazenada sejam danificadas ou roubadas O backup pode ser armazenado em dispositivos físicos servidores de backup CD pendrive HD externo ou em nuvem O mais importante é que haja pelo menos duas cópias das bases de dados armazenadas em locais distintos da instalação original ou seja ambas guardadas em locais seguros fora do prédio da sua empresa A partir do backup é possível recuperar em curtíssimo espaço de tempo informações perdidas acidentalmente ou em consequência de sinistros enchentes incêndio etc sabotagens ou roubos 3 Redundância de sistemas A alta disponibilidade das informações é garantida com a redundância de sistemas ou seja quando a empresa dispõe de infraestrutura replicada física ou virtualizada Se um servidor ou outro equipamento de TI roteador nobreak etc falhar o seu substituto entra em operação imediatamente permitindo a continuidade das operações às vezes de forma imperceptível para o usuário 4 Eficácia no controle de acesso Existem mecanismos físicos lógicos ou uma combinação destes de controle de acesso à informação Os mecanismos físicos podem ser sala de infraestrutura de TI com acesso restrito e com sistemas de câmeras de monitoramento Outra forma de restrição de acesso é o uso de travas especiais nas portas acionadas por senha misto físicológico Já os principais mecanismos lógicos são por exemplo firewall assinatura digital e biometria 5 Política de segurança da informação É um documento que estabelece diretrizes comportamentais para os membros da organização no que tange às regras de uso dos recursos de tecnologia da informação Estas regras servem para impedir invasões de cibercriminosos que podem resultar em fraudes ou vazamento de informações evitar a entrada de vírus na rede ou o sequestro de dados e garantir a confidencialidade confiabilidade integridade autenticidade e disponibilidade das informações Vale ressaltar é indispensável que o texto da política seja curto e objetivo para facilitar e estimular a leitura e tornar o processo de divulgação e treinamento das pessoas mais leve e eficaz 114 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA 6 Decisão pela estrutura de nuvem públicaprivadahíbrida Uma das formas mais avançadas de garantir a segurança da informação é a decisão pela utilização de uma estrutura de computação em nuvem Esta estrutura tem três categorias distintas nuvem pública privada ou híbrida Na nuvem pública toda a infraestrutura de TI a sua manutenção os seus mecanismos de segurança e a atualização são de responsabilidade do provedor do serviço A sua instalação é rápida e os seus recursos são escalonáveis de acordo com o perfil de demanda da empresa contratante A nuvem privada é de propriedade da empresa e fica instalada em sua área física requerendo infraestrutura de hardware software segurança e pessoal próprios para o seu gerenciamento Já a nuvem híbrida combina o melhor dos dois tipos anteriores com isso parte dos dados são disponibilizados na nuvem privada aqueles que exigem sigilo e outra parte fica na nuvem pública dados não confidenciais 7 Gestão de riscos apropriada Os principais riscos à segurança da informação estão relacionados com alguns aspectos 71 Falta de orientação Não saber como operar equipamentos sistemas e aplicativos enfim os recursos de TI coloca em risco a segurança da informação e o desconhecimento de técnicas de proteção também Por isso proporcionar treinamentos nas novas tecnologias eou recursos de TI aos usuários comuns e à equipe de informática é uma boa prática que tem o seu lugar 72 Erros de procedimentos internos Procedimentos de gestão da segurança da informação mal estruturados ou desatualizados podem acarretar vulnerabilidades e perdas de dados Essas vulnerabilidades podem se manifestar nos hardwares softwares ou nas pessoas despreparadas para fazer frente às ameaças que se renovam a cada dia 73 Negligência Deixar de cumprir com as regras da política de segurança da informação ou com os procedimentos internos de TI por mera negligência pode custar caro prejuízos financeiros de imagem ou materiais Campanhas de conscientização dos colaboradores para redobrarem os cuidados e estarem sempre alertas a ciladas cibernéticas especialmente em emails sites e arquivos maliciosos que provocam a propagação de vírus malwares trojans e outros na rede de informática são fundamentais TÓPICO 3 EXEMPLOS DE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL 115 74 Malícia As ações malintencionadas de colaboradores internos insatisfeitos e de pessoas externas tornam instável a segurança da informação especialmente se não houver mecanismos de detecção de intrusões Conhecer as principais fontes de riscos é o ponto de partida para mapear os diversos cenários que podem configurar ameaças à segurança da informação e tornar possível o desenvolvimento de boas práticas de gestão de riscos 8 Regras de negócio bem definidas As informações críticas devem ser identificadas e as regras de negócio referentes ao acesso manutenção inclusão alteração exclusão e tempo de guarda devem ser estabelecidas de forma criteriosa para garantir total segurança As regras de negócios são indispensáveis para a configuração de permissões de Acesso em softwares hardwares e redes lógicas Essas regras precisam ser melhoradas continuamente agregando novos mecanismos físicos e lógicos e novas práticas comportamentais que contribuam para minimizar os riscos à segurança da informação 9 Cultura da organização A terceira plataforma de TI combinou tecnologias sociais computação em nuvem dispositivos móveis smartphones tablets e tecnologias de análise de dados business intelligence e big data para promover a conectividade permanente romper as fronteiras da mobilidade e gerar informação em tempo real sobre o comportamento dos consumidores Esse movimento fez com que as metodologias de gestão da segurança da informação ganhassem uma nova dinâmica de readequação e realinhamento constantes para bloquear as novas rotas de ataques cibernéticos às bases de dados das empresas proporcionadas pelas novas tecnologias Tudo isto impacta diretamente na cultura organizacional que precisa se adequar a essa transformação digital modernizando os seus processos internos sem descuidar da segurança Para tanto velhos conceitos práticas e formas de pensar e trabalhar precisam ser revistas e até reinventadas para que todos estejam cientes dos riscos e sobre como proteger as informações empresariais 10 Contratos de confidencialidade Os colaboradores internos de uma organização e os terceirizados especialmente aqueles vinculados à área de TI no exercício de suas atividades muitas vezes têm acesso a informações sigilosas que precisam ser resguardadas A melhor forma de preservar a segurança da informação nesses casos é fazer um contrato de confidencialidade com todas as pessoas que conhecem e acessam informações sigilosas É importante que este contrato de confidencialidade seja redigido considerando os requisitos legais aplicáveis à organização e eventuais acordos deste gênero pactuados com clientes fornecedores prestadores de serviços e parceiros de negócios 116 UNIDADE 2 FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA 11 Gestão de continuidade de negócios GCN As informações de um negócio são essenciais para garantir a sua continuidade pois se compõem de dados dos clientes produtos parceiros comerciais transações financeiras e comerciais e demais assuntos pertinentes ao funcionamento de uma empresa A sua perda pode tornar inviável o negócio A gestão de continuidade de negócios GCN é uma prática que visa estabelecer planos de ação de emergência para resposta rápida a eventos adversos desastres naturais explosões incêndios fraudes financeiras atentados sabotagens falhas nos sistemas informatizados ou nos equipamentos etc 12 Benchmarking O benchmarking é um importante instrumento de gestão que parte do princípio de comparação de produtos serviços processos e práticas empresariais próprios de uma organização com os de terceiros concorrentes ou não Isso mesmo muitos insights fantásticos surgem da análise de situações das empresas de ramos diferentes de atividade e que podem ser replicadas casos de sucesso ou evitadas casos de insucesso com as devidas adaptações As atualizações tecnológicas ao mesmo tempo que produzem novos recursos para proteção da informação também abrem gaps que podem ser aproveitados por pessoas malintencionadas para realizar crimes cibernéticos visando obter fama eou dinheiro Inúmeros casos de violação da segurança da informação são divulgados todos os anos e precisam ser tomados para estudo de caso e determinação de novas práticas de proteção tanto no campo das máquinas e aplicativos quanto nas ações das pessoas Assim impedemse infortúnios que afetam a vida de muita gente Outro ponto de atenção quando o assunto é segurança tratase da adoção de critérios rigorosos para seleção e monitoramento da segurança da informação nos parceiros de negócios da área de TI e outras Eles são solidários na responsabilidade pelo atendimento aos princípios da segurança da informação É preciso também garantir a segurança jurídica das relações de trabalho e de parceria por meio da aplicação de contratos de confidencialidade FONTE Adaptado de httpswwwmeupositivocombrpanoramapositivosegurancada informacao Acesso em 15 jan 2021 117 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que É necessário garantir a segurança das chaves públicas e privadas utilizadas para criptografar e descriptografar mensagens e documentos preferencialmente transmitindoas fora da banda O valor ou resumo de hash é muito importante para realizar comunicações com uso de criptografia Os certificados digitais são utilizados em muitas frentes de segurança principalmente relacionados a informações pessoais ou de relacionamento com os órgãos governamentais Existem técnicas que podem ser utilizadas para reforçar um algoritmo utilizado na criptografia de informações Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA 118 1 A troca de informações como emails pode ser protegida pelo uso de criptografia por meio de chaves públicas e privadas Nesse contexto assinale a alternativa CORRETA que descreve um dos passos entre uma troca de emails criptografados entre duas pessoas a Por meio da criptografia simétrica um email a ser enviado deve ser cifrado com uma chave pública e decifrado com uma chave privada b Por meio da criptografia simétrica um email a ser enviado deve ser cifrado com uma chave privada e decifrado com uma chave privada c Por meio da criptografia assimétrica um email a ser enviado deve ser cifrado com uma chave privada e decifrado com uma chave privada d Por meio da criptografia assimétrica um email a ser enviado deve ser cifrado com uma chave privada e decifrado com uma chave pública 2 O uso de chaves públicas ou privadas na criptografia auxilia a manter documentos mensagens ou informações sigilosas protegidas Para isso é necessário preocuparse também com a segurança dessas chaves Nesse contexto classifique V para as sentenças verdadeiras e F para as falsas É preciso entregar fisicamente uma cópia da chave pública para outra pessoa para que se possa ter uma comunicação segura com uso de criptografia É preciso entregar fisicamente uma cópia da chave privada para outra pessoa para que se possa ter uma comunicação segura com uso de criptografia É aconselhável encaminhar por um meio diferente do envio de uma mensagem uma cópia da chave pública para outra pessoa para ter uma comunicação segura Enviar uma mensagem e uma cópia da chave pública pelo mesmo endereço de email para outra pessoa diminui a segurança da troca de mensagens Assinale a alternativa que apresenta a sequência CORRETA a F F V V b V V F F c F V V F d V F F V 3 Os certificados ICPBrasil podem ser utilizados em diversas funções para garantir a segurança de dados e informações Sobre este assunto analise as sentenças a seguir I O uso de certificados digitais ICPBrasil possibilita assinar documentos e contratos digitais II O uso de certificados digitais ICPBrasil possibilita atualizar informações em sistemas de governo III Os documentos assinados digitalmente com certificado ICPBrasil e em papel possuem validade diferente AUTOATIVIDADE 119 Assinale a alternativa CORRETA a Somente a sentença I está correta b Somente a sentença II está correta c Somente a sentença III está correta d As sentenças I e II estão corretas 4 Os certificados ICPBrasil são empregados em diferentes sistemas e ferramentas para proteger informações pessoais e de empresas Nesse contexto classifique V para as sentenças verdadeiras e F para as falsas O eCAC é um sistema da Receita Federal que possibilita o acesso a serviços protegidos por sigilo fiscal A CNH Digital é impressa e possui um chip de identificação com as informações do motorista O Passaporte Eletrônico é totalmente digital e possui a mesma validade que o passaporte em papel O eRPC é utilizado pelo INPI para realizar o pedido de registro de programas de computador Assinale a alternativa que apresenta a sequência CORRETA a V F F V b F V V F c F V V F d V F F V 5 As técnicas de reforço criptográfico são úteis para dificultar o trabalho de pessoas malintencionadas que têm como objetivo acessar informações sigilosas criptografadas Sobre o exposto analise as sentenças a seguir I A técnica de reforço criptográfico salt é utilizada em funções criptográficas para adicionar uma parte dos dados no início e no final da chave utilizada II A técnica de reforço criptográfico salt faz uso da operação lógica XOR ou exclusivo para lidar com números binários III A técnica de reforço criptográfico salt é útil para evitar o uso das chamadas tabelas arcoíris que disponibilizam na internet senhas e seus respectivos digest Assinale a alternativa CORRETA a Somente a sentença I está correta b Somente a sentença II está correta c Somente a sentença III está correta d As sentenças I e II estão corretas 6 As técnicas de reforço criptográfico tornam a criptografia de informações mais forte contra os ataques de segurança Sobre o exposto analise as sentenças a seguir 120 I A técnica de reforço criptográfico key whitening é utilizada para concatenar um pedaço dos dados extraídos do próprio texto antes de passar pela função de hash II A técnica de reforço criptográfico key whitening faz uso da operação lógica XOR ou exclusivo para lidar com números binários III A técnica de reforço criptográfico key whitening pode ser aplicada realizando o cálculo do hash do hash armazenando posteriormente seu resultado Assinale a alternativa CORRETA a Somente a sentença I está correta b Somente a sentença II está correta c Somente a sentença III está correta d As sentenças II e III estão corretas 121 REFERÊNCIAS ASSIS M R M Informática para concursos públicos de informática São Paulo Novatec 2013 ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS ABNT Conheça a ABNT 2020 Disponível em httpwwwabntorgbrabntconhecaaabnt Acesso em 28 jul 2020 BEZERRA E K Gestão de riscos de TI NBR 27005 Rio de Janeiro RNPESR 2013 BRANQUINHO M A et al Segurança de automação industrial e SCADA São Paulo GEN LTC 2014 BURNETT S PAINE S Criptografia e segurança o guia oficial Rio de Janeiro Elsevier 2002 CAIXA ECONÔMICA FEDERAL CEF Conectividade Social ICP FGTS o que é 2020 Disponível em httpswwwcaixagovbrempresaconectividade socialPaginasdefaultaspx Acesso em 13 nov 2020 CASA CIVIL DA PRESIDÊNCIA DA REPÚBLICA IMPRENSA NACIONAL Diário Oficial da União 2020 Disponível em httpswwwingovbrweb dicionarioeletronicodiariooficialdauniao Acesso em 13 nov 2020 CENTRO DE ESTUDOS RESPOSTA E TRATAMENTO DE INCIDANTES DE SEGURANÇA NO BRASIL Certbr Cartilha de Segurança para Internet criptografia 2020 Disponível em httpscartilhacertbrcriptografia Acesso em 4 ago 2020 CIC GARIBALDI Saiba como o Certificado Digital pode ser útil para sua empresa na pandemia 2020 Disponível em httpwwwcicgaribaldicom br20200817saibacomoocertificadodigitalpodeserutilparasuaempresa napandemia Acesso em 2 nov 2020 COFRE VIRTUAL Smart Card Token PC ou Nuvem qual é melhor para o certificado 2020 Disponível em httpscofrevirtualcombrblogdicassmart cardtokenpcounuvemcertificado Acesso em 3 nov 2020 COLÉGIO NOTARIAL DO BRASIL SEÇÃO SÃO PAULO Juristas a diferença entre assinatura digital e certificado digital 2019 Disponível em httpswww cnbsporgbrindexphppGX19leGliZV9ub3RpY2lhcwinMTc3Nzkfiltro 1DatafbclidIwAR00P7mjvJSZWhO3KeVCWz8PaLLENIz0Oh2W0dNTTV LDMO8bmBisCPFc Acesso em 2 nov 2020 COULOURIS G et al Sistemas distribuídos conceitos e projeto 5 ed Porto Alegre Bookmann 2013 122 CABRAL C CAPRINO W Trilhas em segurança da informação caminhos e ideias para a proteção de dados Rio de Janeiro Brasport 2015 CALOBA G KLAES M Gerenciamento de projetos com PDCA conceitos e técnicas para planejamento monitoramento e avaliação do desempenho de projetos e portfólios Rio de Janeiro Alta Books 2016 CARVALHO N Organizações e segurança informática Rio Tinto Lugar da Palavra 2009 CORMEN T H Desmistificando algoritmos Rio de Janeiro Campus 2017 DANTAS M L Segurança da Informação uma abordagem focada em gestão de riscos Olinda Livro Rápido 2011 DEPARTAMENTO NACIONAL DE TRÂNSITO DENATRAN Portal de serviços perguntas frequentes c2021 Disponível em httpsportalservicos denatranserprogovbrfaqcnhdigital Acesso em 13 nov 2020 FEDERAÇÃO DO COMÉRCIO DO ESTADO DE SÃO PAULO FECOMÉRCIO Segurança da informação para empresas soluções simples grandes resultados São Paulo Fischer2 2012 FERNANDES A A ABREU V F de Implantando a governança de TI da estratégia à gestão dos processos e serviços 3 ed Rio de Janeiro Brasport 2012 INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO ITI Certificado digital saiba mais 2020 Disponível em httpsaquitemcditigov brcertificadodigital Acesso em 3 nov 2020 INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO ITI Certificado digital benefícios 2017a Disponível em httpsantigoitigovbr certificadodigital2uncategorised95beneficios Acesso em 3 nov 2020 INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO ITI Certificado digital serviços 2017b Disponível em httpsantigoitigovbr certificadodigitalservicos Acesso em 3 nov 2020 MELENDEZ FILHO R Service desk corporativo solução com base na ITILR V3 São Paulo Novatec 2011 NERIS A Assinatura digitais ganham espaço nas empresas e despontam no cenário póspandemia 2020 Disponível em httpsparanashopcom br202010assinaturasdigitaisganhamespaconasempresasedespontamno cenariopospandemia Acesso em 2 nov 2020 NEVES J L S REGINALDO F dos Conquistando resultados superiores a administração à luz da ciência e da filosofia São Paulo Labrador 2018 123 ORGANIZAÇÃO PARA COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO OCDE A caminho da era digital no Brasil Paris OCDE Publishing 2020 PALMA F O que é ITIL c2021 Disponível em httpswwwportalgsticom britilsobretextO20que20C3A920ITIL3FdC3A9cadas20 de20acumulo20de20aprendizado Acesso em 29 jul 2020 PONTES E Políticas e normas para segurança da informação Rio de Janeiro Brasport 2012 POSITIVO TECNOLOGIA Cibersegurança e a necessidade de investimento em equipamentos e soluções de proteção 2018 Disponível em httpswww meupositivocombrpanoramapositivociberseguranca Acesso em 2 ago 2020 RECEITA FEDERAL DO BRASIL Portal eCAC c2021Disponível em https cavreceitafazendagovbrautenticacaologin Acesso em 13 nov 2020 REDE NACIONAL DE ENSINO E PESQUISA RNP Introdução à criptografia e PGP 2012 Disponível em httpsmemoriarnpbrcaiskeyserver Acesso em 5 ago 2020 RUSSELL A O que é um certificado X509 2019 Disponível em httpswww sslcomptfaqsoqueC3A9umcertificadox509 Acesso em 19 nov 2020 SANTOS JUNIOR A L dos Quem mexeu no meu sistema Segurança em sistemas de informação Rio de Janeiro Brasport 2008 SILVA L S D Public Key Infrastructure PKI São Paulo Novatec Editora 2004 SOUZA E A P de O certificado digital X509 como elemento de validação de confiança no serviço DNSSEC 2014 107 f Dissertação Mestrado em Engenharia de Computação Instituto de Pesquisas Tecnológicas do Estado de São Paulo São Paulo 2014 TEIXEIRA FILHO S A Segurança da informação descomplicada Brasília Clube de Autores 2015 TRIBUNAL REGIONAL DO TRABALHO DA 4ª REGIÃO TRT4 Certificado digital e assinatura digital 2020 Disponível em httpswwwtrt4jusbr portaismedia111407certificadodigitalinspdf Acesso em 1º nov 2020 VALLE A Gestão estratégica da tecnologia da informação 2 ed Rio de Janeiro Editora FGV 2015 WRIGHTSON T Segurança de redes sem fio guia do iniciante Porto Alegre Bookman 2014 125 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade você deverá ser capaz de entender os princípios básicos do uso de criptografia múltipla conhecer a importância da criptografia múltipla para a segurança da informação compreender a funcionalidade do gerenciamento de chaves criptográficas entender o funcionamento dos algoritmos de hash Esta unidade está dividida em três tópicos No decorrer da unidade você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado TÓPICO 1 CRIPTOGRAFIA MÚLTIPLA TÓPICO 2 GERENCIAMENTO DE CHAVES TÓPICO 3 ALGORITMOS DE HASH Preparado para ampliar seus conhecimentos Respire e vamos em frente Procure um ambiente que facilite a concentração assim absorverá melhor as informações CHAMADA 127 UNIDADE 3 1 INTRODUÇÃO TÓPICO 1 CRIPTOGRAFIA MÚLTIPLA Atualmente a criptografia está presente no cotidiano de todos nós seja em protocolos de comunicação caixas eletrônicos telefones celulares proteção de softwares e conteúdo urnas eletrônicas televisão digital entre outros exemplos O que também acontece nos sistemas de informação No caso desses sistemas mesmo que todos os demais mecanismos de segurança sejam quebrados e os dados sejam extraídos da base de dados a proteção que a criptografia fornece é a última barreira para garantir o sigilo das informações Já vimos nas unidades anteriores que a criptografia está se desenvolvendo e evoluindo constantemente por isso ela realiza um ótimo trabalho nesse sentido impedindo que dados e informações sigilosas caiam em mãos indesejadas UTO 2013 FIGURA 1 REPRESENTAÇÃO DE UMA ENCRIPTAÇÃO FONTE Certbr 2012 p 67 Uma implantação de mecanismos criptográficos de sucesso depende de diversos cuidados que se não forem observados comprometem a segurança da solução como um todo Esses cuidados principais são utilizar algoritmos e protocolos conhecidos e previamente analisados usar técnicas e ferramentas criptográficas adequadas para cada situação empregar bibliotecas que possuam implementações corretas dos sistemas criptográficos utilizados gerenciar as chaves criptográficas principalmente nos processos de geração distribuição e armazenamento UTO 2013 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES 128 Um exemplo do que pode dar errado ao não seguir esses cuidados é o uso de um certificado digital criado por pessoas malintencionadas Esse certificado pode ter informações prévias válidas mas na verdade é falsificado Um certificado falso pode ser utilizado para atacar as vulnerabilidades ou fraquezas do sistema UTO 2013 Por esse motivo é tão importante conhecer as autoridades certificadoras que são fornecedoras confiáveis de certificados digitais criptografados como as que vimos na unidade anterior Neste tópico conheceremos alguns conceitos complementares sobre a utilidade do uso de criptografia bem como formas em que ela pode ser reforçada como é o caso da criptografia múltipla A criptografia múltipla é basicamente um processo de criptografar de uma informação mais de uma vez seja utilizando o mesmo método ou algoritmo ou ainda métodos diferentes em cada uma das vezes Dessa forma ao observar os cuidados que elencamos acima no processo de implantação da criptografia e se ela for planejada de forma combinada ou multiplicada maior será a garantia de manutenção da segurança da informação 2 CONCEITOS O avanço das tecnologias e do poder de computação fortaleceu tanto a velocidade em que as informações transitam como as técnicas que os hackers desenvolveram para atacar algoritmos inclusive os de criptografia Uma das soluções para lidar com esse problema é utilizar um modelo complexo que utilize criptografia em mais de um nível o que pode ser chamado de criptografia múltipla criptografia multinível ou ainda criptografia em cascata Independente do nome que seja empregado a criptografia múltipla combina a força de vários algoritmos básicos de criptografia para construir uma abordagem complexa e sofisticada para assim aumentar a segurança da informação HABBOUSH 2018 Consulte o vídeo É possível contornar ou quebrar a criptografia para conhecer a influência das ações dos hackers na hora de utilizar criptografia em uma organização Não se esqueça de ativar as legendas em português O vídeo está disponível no link httpswwwyoutubecomwatchvAErkYC98Q2U DICAS TÓPICO 1 CRIPTOGRAFIA MÚLTIPLA 129 Para colocar esse modelo de criptografia em prática é preciso lidar com dois obstáculos principais manter a eficiência e a segurança do sistema A eficiência é a maior preocupação quando se pensa em enviar grandes quantidades de dados e a segurança Isso porque ela envolve deixar o processamento do sistema mais ou menos lento Por esse motivo pode ser um grande diferencial na escolha dos métodos de segurança a serem colocados em prática Já a segurança se refere em criar um sistema completo com vários níveis diferentes de criptografia e por consequência seguro HABBOUSH 2018 Portanto nesse modelo de criptografia uma informação criptografada uma vez passa por pelo menos mais dois estágios de encriptação Isso porque não estamos falando de criptografia dupla mas de criptografia múltipla e ela se refere a mais de duas encriptações A criptografia múltipla funciona assim no primeiro momento o texto simples é convertido em texto cifrado usando o algoritmo de criptografia Depois esse texto já cifrado passa a ser a entrada dele ou de outro algoritmo de criptografia por pelo menos mais duas vezes STALLINGS 2017 Nas duas unidades anteriores falamos sobre os diferentes tipos de algoritmos que podem ser utilizados na criptografia entre eles o 3DES Triple DES Padrão de Criptografia Tripla de Dados que é uma versão mais forte da versão DES Data Encryption Standard Padrão de Criptografia de Dados Por isso você já sabe que o 3DES consiste em aplicar o DES três vezes com duas ou três chaves diferentes Essa estratégia aumenta a resistência contra ataques de força bruta equivalente a um comprimento de chave de 112 bits COULOURIS et al 2013 Assista ao vídeo Triple DES para compreender mais detalhes sobre o funcionamento do algoritmo 3DES Não esqueça de ativar as legendas em português Ele está disponível no link httpswwwyoutubecomwatchv2O4dsChgcg8 DICAS Agora vamos conhecer uma forma simples de colocar em prática a criptografia múltipla com 3DES Imagine que você trabalha em uma empresa de investimentos financeiros e precisa enviar informações sigilosas para um de seus clientes Para isso você escolhe criptografar sua mensagem utilizando o algoritmo 3DES Esse algoritmo utiliza duas chaves para cifrar o texto simples e transformálo em um texto cifrado Esse processo de dois estágios pode ser UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES 130 representado por uma equação em que cada um dos elementos é representado por uma letra Na equação a letra C representa o texto cifrado que é aquele que se pretende encontrar ou seja aquele que você precisa enviar para o seu cliente já protegido Enquanto a letra P representa o texto antes de ser cifrado que são aquelas informações sigilosas antes de serem criptografadas STALLINGS 2017 Continuando nossa equação precisamos representar de alguma forma as duas chaves keys por isso são utilizadas as expressões K1 para chave 01 e K2 para a chave 02 Cada um dos processos de encriptação também precisa ser representado de alguma forma em nossa equação por isso é utilizada a letra E Assim dado um texto simples P e duas chaves de criptografia K1 e K2 o texto cifrado C é gerado por meio da seguinte equação STALLINGS 2017 C E K2 E K1 P Veja que a equação é utilizada para encontrar como resultado o texto cifrado C por isso ele está posicionado antes do símbolo Em sequência temos o processo de encriptação que é representado pela letra E Para fazer o cálculo necessário primeiro o texto simples P passa pela chave 01 a K1 Por isso o passo inicial é separado pelo primeiro parêntese Na sequência o texto P já protegido pela primeira chave é encriptado pela segunda chave K2 Por fim a solução do cálculo passa a ser o valor de C Assim você obtém uma mensagem cifrada com o algoritmo 3DES para enviar de forma segura as informações necessárias para seu cliente Logo a seguir na Figura 2 você pode ver como acontece esse processo de encriptação encryption em forma de fluxograma Veja que o texto simples P passa por duas chaves que são K1 e K2 para gerar o texto criptografado C A letra X representa o texto cifrado somente pela primeira chave FIGURA 2 CRIPTOGRAFIA MÚLTIPLA COM DES DE DUAS CHAVES FONTE Stallings 2017 p 209 Para decriptografar o texto cifrado as chaves são aplicadas na ordem inversa P D K1 D K2 C TÓPICO 1 CRIPTOGRAFIA MÚLTIPLA 131 Nessa equação o que se busca com o cálculo é o valor de P e a entrada dela é o texto já encriptado C Ela funciona da mesma forma que a equação anterior mas na sequência inversa Agora o primeiro passo é descriptografar o texto com a segunda chave K2 para em seguida fazer o mesmo com a chave K1 O resultado é alcançado executando os cálculos de dentro para fora ou seja dos parênteses internos para os externos Na Figura 3 o que temos é o fluxograma do processo de decriptação decryption Nele o texto criptografado C passa por duas chaves para que se torne novamente o texto simples P Relembrando do nosso exemplo do envio de uma mensagem segura para um cliente a decriptação é o que o cliente terá que fazer para conseguir ler a mensagem recebida FIGURA 3 CRIPTOGRAFIA MÚLTIPLA COM DES DE DUAS CHAVES FONTE Stallings 2017 p 209 A nossa próxima ilustração a Figura 4 mostra como o texto simples passa por três chaves tanto ao ser encriptado quanto decriptado Elas podem ser diferentes ou não ou seja podem ser empregadas as chaves K1 K2 e K3 ou então repetir uma das chaves durante o processo como a K1 Isso é o que diferencia a quantidade de chaves necessárias tanto na encriptação quanto na decriptação tripla FIGURA 4 CRIPTOGRAFIA MÚLTIPLA COM DES COM TRÊS CHAVES FONTE Stallings 2017 p 209 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES 132 É importante deixar claro que conforme vimos nas figuras anteriores existem duas versões do 3DES uma com duas Figuras 2 e 3 e outra com três chaves Figura 4 O 3DES com duas chaves tornouse relativamente popular e foi adotado para uso em padrões de gerenciamento de chaves muito importantes como o American National Standards Institute Instituto Americano de Normas Nacionais ANSI X917 1985 e International Organization for Standardization Organização Internacional de Normalização ISO 87321 1988 STALLINGS 2017 O 3DES que utiliza somente duas chaves aquele que vimos nas Figuras 2 e 3 está sujeito a um número maior de ataques que o algoritmo que emprega três chaves Isso porque é um método mais antigo de criptografia que já está sendo superado pelas novas tecnologias disponíveis no mercado Por esse motivo essa opção de criptografia não é muito recomendada para proteger informações atualmente somente para descriptografar dados que já protegidos por meio desse método Utilizar três chaves diferentes nesse tipo de criptográfica aumenta a segurança das mensagens ou dados cifrados STALLINGS 2017 Por conta dessa diferença no nível de segurança serviços de email e vários aplicativos para internet adotaram o 3DES de três chaves Por exemplo o software de encriptação PGP Pretty Good Privacy Muito Boa Privacidade que foi projetado inicialmente para garantir a privacidade autenticação e segurança de comunicações online As versões mais recentes da tecnologia PGP também são úteis em assinaturas digitais encriptação de discos físicos hard drives e proteção de redes de computadores Outro exemplo do uso do 3DES é o protocolo SMIME SecureMultipurpose Internet Mail Extensions Extensões de correio da Internet SegurasMultifuncionais utilizado na segurança e criptografia de serviços de email STALLINGS 2017 Consulte o texto SMIME para assinatura e criptografia de mensagens de David Maguire para compreender mais detalhes sobre o funcionamento da aplicação S MIME Ele está disponível no seguinte link httpsdocsmicrosoftcomptbrexchange policyandcompliancesmimesmimeviewexchserver2019textS2FMIME20 permite20que20vocC3AAfoi20iniciada20com20o20remetente DICAS TÓPICO 1 CRIPTOGRAFIA MÚLTIPLA 133 21 CRIPTOGRAFIA HOMOMÓRFICA E CRIPTOGRAFIA BASEADA EM ATRIBUTOS Muitos algoritmos e abordagens vêm sendo criados e utilizados para lidar com a questão da criptografia Além dos algoritmos simétricos e assimétricos que conhecemos nas unidades 1 e 2 deste livro novas categorias de algoritmos de criptografia vêm sendo introduzidas no mercado nos últimos anos como resultado de pesquisas de especialistas nesta área Entre estas categorias podemos citar a criptografia homomórfica e a criptografia baseada em atributos HABBOUSH 2018 A criptografia homomórfica é basicamente um esquema criptográfico que possibilita trabalhar com dados criptografados sem precisar descriptografá los o que diminui a possibilidade de exposição de informações confidenciais O principal objetivo dessa categoria de criptografia é poder realizar operações mesmo com os dados já criptografados Isso permite reduzir o número de vezes em que os dados precisam ser descriptografados e consequentemente reduz a probabilidade desses dados serem roubados Ou seja isso quer dizer que não é necessário descriptografar as informações já protegidas todas as vezes em que for preciso acessar uma informação presente no arquivo cifrado Seu uso torna mais rigoroso o controle sobre a disponibilidade da informação garantindo sua confidencialidade e integridade KUNDRO 2019 O primeiro esquema de criptografia homomórfica foi proposto em 1978 por Ronald Rivest Adlemann e Dertouzos os dois primeiros pesquisadores são os mesmos que publicaram com Shamir o famoso algoritmo RSA Entretanto o esquema não teve o sucesso esperado na época pois não apresentou de forma prática como as operações em um arquivo criptografado poderiam ser realizadas Por isso foi somente em 2009 que Craig Gentry disponibilizou bases teóricas para a construção desse esquema para que pudesse ser seguro e eficiente o que deu origem a muitas pesquisas e avanços nessa categoria de criptografia KUNDRO 2019 Na Figura 5 você pode visualizar um esquema que apresenta as funcionalidades de uma criptografia uma homomórfica UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES 134 FIGURA 5 EXEMPLO DE CRIPTOGRAFIA HOMOMÓRFICA FONTE Adaptada de httpswwwwelivesecuritycomwpcontentuploads201909 criptografiahomomorfica2jpg Acesso em 5 jan 2021 A Figura 6 traz o exemplo de dados sendo enviados por meio de um serviço de nuvem Os dados que estão em azul estão seguros criptografados Nela temos o exemplo da criptografia homomórfica em que um usuário está enviando dados criptografados para a nuvem no primeiro passo Esse usuário precisa acessar os dados para fazer uma operação mas agora consegue fazer isso mesmo com os dados criptografados no passo 2 O terceiro e último passo representados na figura já trazem o retorno dos dados criptografados ao usuário FIGURA 6 EXEMPLO DE CRIPTOGRAFIA NÃO HOMOMÓRFICA FONTE Adaptada de httpswwwwelivesecuritycomwpcontentuploads201909 criptografiahomomorfica2jpg Acesso em 5 jan 2021 TÓPICO 1 CRIPTOGRAFIA MÚLTIPLA 135 Na Figura 6 os dados que estão em vermelho estão descriptografados No caso da criptografia não homomórfica o usuário envia os dados para um serviço de nuvem no passo 1 Depois de certo tempo ele precisa acessar esses dados mas para isso ele precisa descriptografar seus dados que é o que acontece no passo 2 Somente assim o usuário consegue acessar os dados e realizar a operação que precisava Depois disso os dados são criptografados novamente ainda no passo 3 Por fim os dados retornam para o usuário novamente criptografados Veja que no caso da criptografia não homomórfica a operação com os dados somente pode ser realizada com os dados descriptografados Enquanto na criptografia homomórfica a operação com os dados é realizada mesmo com os dados cifrados A principal diferença entre essas duas formas de colocar a criptografia em prática demonstradas na Figura 4 é o fato de que os algoritmos de criptografia mais comuns são pensados justamente para não possuírem propriedades de homomorfismo ou seja para não possuírem nenhuma estrutura relacionada com os dados originais Por outro lado a criptografia homomórfica mesmo que seja segura depende de que o algoritmo de criptografia possibilite determinadas operações com uma implementação específica KUNDRO 2019 Assim podemos dizer que as vantagens dos sistemas criptográficos homomórficos podem atender as necessidades de gestão de informações de dados médicos sistemas de votação eletrônica sistemas de informação judiciais entre outros Principalmente no caso dos sistemas que são centrados na nuvem KUNDRO 2019 Consulte o artigo Compressão e otimização de chaves públicas usando algoritmo genético em criptografia completamente homomórfica de Joffre Gavinho Filho Gabriel Pereira da Silva e Claudio Miceli para conhecer mais conceitos de criptografia homomórfica e um exemplo de sua aplicação O artigo está disponível em httpssiaiap34univalibrsbseg2015anaisSBSegCompletosartigoCompleto18pdf DICAS Agora que já vimos a criptografia homomórfica vamos conhecer a criptografia baseada em atributos CBA Imagine um grande banco de dados de uma empresa Nesse banco estão listadas informações sobre os funcionários sobre os produtos e sobre os clientes atendidos ou seja seus atributos UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES 136 É por meio da política de acesso que os administradores desse banco de dados poderão restringir o acesso a determinadas informações aos seus funcionários Como especificar que somente quem trabalha com a gestão de pessoas pode ver as informações pessoais dos colaboradores enquanto somente quem trabalha no setor de vendas e expedição pode acessar os dados sobre os clientes Dessa forma a CBA associa chaves criptográficas de usuários com atributos dos dados aplicando uma política de acesso para criptografálos Nessa política está descrita uma estrutura de acesso aos dados pelos usuários COSTA et al 2018 Isso quer dizer que a política de acesso define atributos descritivos relacionados com operadores lógicos como E AND e OU OR os quais determinam quem pode acessar cada dado como texto claro É importante deixar claro que em um banco de dados atributos descritivos são aqueles que demonstram ou representam as características de um objeto data de nascimento sexo idade etc COSTA et al 2018 As operações lógicas podem ser encontradas em diferentes áreas do conhecimento como em cursos de eletrônica de banco de dados ou de programação A programação de algoritmos utiliza operadores lógicos para muitas funções pois eles são úteis para fazer comparações entre informações Os principais operadores lógicos são E e OU O operador lógico E tem resultado verdadeiro caso os valores comparados sejam iguais com a informação inicial Por exemplo em um banco de dados de uma empresa você faz a seguinte consulta selecione o nome dos funcionários que tem 20 anos E moram em São Paulo Nesse caso só vão ser listados os nomes dos funcionários que atendam as duas características que são ter 20 anos de idade e residir em São Paulo Por outro lado se a consulta do banco de dados utilizar o operador lógico OU ficaria assim selecione o nome dos funcionários que tem 20 anos OU moram em São Paulo Agora a lista de funcionários apresentada como resultado da consulta será maior pois não é necessário cumprir os dois quesitos mas somente um ou outro NOTA Por exemplo existe um documento criptografado dividido em duas partes a parte 1 e a parte 2 Os usuários A e B querem acessar o documento a política descreve que o usuário A tem acesso às partes 1 e AND 2 do documento enquanto o usuário B pode acessar somente a parte 1 Essas regras de acesso ou não a determinados dados são descritas na política de acesso dos dados da organização Esse exemplo é ilustrado na Figura 7 Por isso podemos dizer que a CBA é totalmente planejada para aplicação de controle de acesso COSTA et al 2018 TÓPICO 1 CRIPTOGRAFIA MÚLTIPLA 137 FIGURA 7 EXEMPLO DE CRIPTOGRAFIA BASEADA EM ATRIBUTOS FONTE O autor Nessa categoria de criptografia uma autoridade de atributos confiável é definida diretamente no algoritmo para que ela seja a responsável por gerar os parâmetros de todo o sistema assim como suas chaves públicas Em outras palavras é construída uma espécie de lista onde estão descritos que dados podem ser acessados pelos usuários de acordo com seus atributos Ou seja nessa lista não estão descritos os nomes dos usuários que tem acesso aos documentos mas sim os atributos que o usuário precisa ter para acessar determinada informação cifrada como trabalhar em determinado setor da empresa ter mais de cinco anos de casa entre outros COSTA et al 2018 Por isso que ela é chamada de criptografia de atributos Isso quer dizer que nesse caso o próprio sistema criptográfico é responsável por fazer esse controle de parâmetros de acesso do sistema e gerar as chaves públicas e privadas para os usuários conforme suas respectivas autorizações de acesso Se na lista de permissões de acesso um usuário não tiver a autorização para receber tais chaves elas não são geradas e distribuídas COSTA et al 2018 Nesse tipo de criptografia os atributos também são importantes na hora de enviar e receber mensagens cifradas Isso porque com a CBA uma mensagem é criptografada por um usuário que obedece a uma política de acesso baseada nos atributos e essa mensagem somente pode ser descriptografada se a chave secreta do destinatário tiver acesso a esses mesmos atributos COSTA et al 2018 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES 138 3 PESQUISAS NA ÁREA DE CRIPTOGRAFIA MÚLTIPLA Além das categorias que já conhecemos até agora existem outras iniciativas de criptografia múltipla que buscam combinar diferentes técnicas e ferramentas para assim aumentar a segurança confiabilidade e integridade das informações Em seguida veremos dois exemplos Os pesquisadores Aljawarneh Yassein e Talafha 2017 propuseram um algoritmo de criptografia multinível que tem como objetivo ser útil para proteger recursos para big data de multimídia É importante deixar claro que big data é um grande conjunto de dados cada vez mais comum nos dias de hoje Multimídia trata de meios e formas diferentes de comunicação que são combinadas Todos os dias uma quantidade imensa de fotos vídeos áudio e os famosos memes circulam pela internet Esses arquivos são criados por diferentes mídias e formas de comunicação e por isso são chamados de dados de multimídia Por esse motivo que os pesquisadores citados anteriormente se preocuparam em elaborar um estudo nessa área pois a multimídia pode ser considerada o maior big data da atualidade A ideia desse algoritmo de criptografia é diminuir os custos computacionais necessários para proteger esse tipo de informação que comumente utiliza criptografia simétrica HABBOUSH 2018 O algoritmo desses pesquisadores é composto por uma estrutura com criptografia multinível que inclui três técnicas diferentes o esquema de criptografia Feistel o AES Advanced Encryption Standart Padrão de Criptografia Avançada e ainda algoritmo genético que utiliza técnicas computacionais inteligentes Nesse algoritmo não há uma etapa específica para a geração de chave pois a chave é gerada a partir do texto simples O esquema de criptografia Feistel é uma estrutura simétrica utilizada para construir cifras em bloco utilizada por muitos algoritmos de criptografia inclusive o 3DES Já o AES conhecemos nas unidades anteriores Os algoritmos genéticos são métodos que utilizam técnicas computacionais inteligentes ou seja são ferramentas da Inteligência Artificial que tenta inserir em softwares uma inteligência similar à humana ALJAWARNEH YASSEIN TALAFHA 2017 Atualmente existem diferentes dispositivos que possuem esse tipo de inteligência embutida como as assistentes pessoais Alexa Amazon ou a Siri Apple e até mesmo aplicativos como o Google Maps que auxilia no cálculo de rotas TÓPICO 1 CRIPTOGRAFIA MÚLTIPLA 139 No vídeo Algoritmo genético aplicado ao problema da mochila você pode conhecer os conceitos básicos relacionados a esse tipo de algoritmo aplicados em um exemplo O vídeo está disponível no link httpswwwyoutubecomwatchvFYF6lSBHKA DICAS Portanto esses pesquisadores usam técnicas totalmente diferentes de criptografia em cada um dos níveis do seu algoritmo para aumentar a segurança da informação cifrada Os resultados dessa pesquisa mostraram que o sistema criado por eles tem um menor tempo de execução em processos de criptografia e descriptografia mesmo com grandes quantidades de dados HABBOUSH 2018 Outro exemplo é um estudo de Masadeh et al 2014 que com os demais pesquisadores envolvidos no trabalho traz uma abordagem de segurança em vários níveis Esses pesquisadores utilizam uma combinação de sistemas PGP Pretty Good Privacy Privacidade Muito Boa visto anteriormente que utiliza 3DES com três chaves e HMAC Hashbased Message Authentication Code Código de Autenticação de Mensagem Baseado em Hash para autenticar a comunicação de informações com criptografia Essa abordagem utiliza o PGP para gerar as mensagens que são criptografadas com a chave pública do receptor HABBOUSH 2018 O HMAC que também utilizado na iniciativa desses pesquisadores é uma técnica que emprega funções hash criptográficas para autenticação de mensagens Essa técnica tem dois parâmetros a mensagem original e uma chave secreta conhecida somente pelo remetente e pelo destinatário a da mensagem Essa técnica é empregada pelo remetente para produzir um valor que representa uma combinação da chave secreta e do resumo da mensagem Esse novo valor é chamado de MAC que é anexado à mensagem enviada ao destinatário O destinatário também utiliza o HMAC para poder comparar os resultados dos MAC que calculou e recebeu Se os dois forem iguais a mensagem foi recebida corretamente MASADEH et al 2014 Veremos mais detalhes sobre os algoritmos de hash no próximo tópico A técnica abordada no estudo de Masadeh et al 2014 possui um método de criação de chave elaborado com dois algoritmos de criptografia diferentes um para cifrar a mensagem e outro para decifrar Os algoritmos desenvolvidos realizam um cálculo aritmético para gerar as chaves e colocar em prática os processos criptográficos com o uso de matrizes em cada processo de encriptação MASADEH et al 2014 140 Neste tópico você aprendeu que A criptografia está presente no dia a dia das pessoas em diferentes formas de comunicação e transmissão de dados As técnicas criptográficas estão evoluindo ao mesmo tempo em que novas tecnologias da informação são colocadas em uso para garantir a segurança de dados e informações A criptografia multinível é uma das ferramentas disponíveis para aumentar o nível de segurança dos dados sensíveis e sigilosos que trafegam diariamente por diferentes tecnologias da informação de da comunicação Existem diversas técnicas utilizadas para colocar a criptografia multinível em prática sendo que a primeira delas foi o Padrão de Criptografia Tripla de Dados 3DES que continua sendo útil até os dias de hoje RESUMO DO TÓPICO 1 141 1 A implantação de técnicas e soluções criptográficas para que seja eficiente depende de diferentes precauções Sobre estas precauções que garantem o sucesso do uso da criptografia assinale a alternativa CORRETA a Gerenciar chaves criptográficas utilizar algoritmos conhecidos e analisados previamente empregar ferramentas criptográficas adequadas para cada situação b Gerenciar chaves criptográficas utilizar sistemas de informação baratos no mercado usar ferramentas genéricas para todas as situações c Empregar bibliotecas com implementações diferentes dos sistemas criptográficos utilizados usar algoritmos sem teste prévio d Empregar bibliotecas com ferramentas criptográficas variadas utilizar algoritmos e protocolos em língua portuguesa 2 O DES Padrão de Criptografia de Dados triplo consiste em aplicar o próprio DES com chaves diferentes Nesse contexto analise as sentenças a seguir I O 3DES pode utilizar duas ou três chaves diferentes II O 3DES com duas chaves é mais eficiente que o com três chaves diferentes III O 3DES com duas chaves diferentes foi popular na década de 1970 utilizado em serviços de email IV O 3DES com três chaves diferentes é utilizado na segurança de serviços de email Assinale a alternativa CORRETA a As sentenças II e III estão corretas b As sentenças I e IV estão corretas c Somente a sentença III está correta d Somente a sentença IV está correta 3 Diferentes algoritmos e abordagens vem sendo estudadas ao longo dos anos para tratar da questão do aumento da segurança da informação por meio da criptografia Nesse sentido classifique V para as sentenças verdadeiras e F para as falsas A criptografia homomórfica associa atributos dos dados a serem cifrados com chaves criptográficas de seus usuários A criptografia baseada em atributos associa atributos dos dados a serem cifrados com chaves criptográficas de seus usuários A criptografia homomórfica permite realizar operações em dados criptografados sem a necessidade de descriptografálos A criptografia baseada em atributos permite realizar operações em dados criptografados sem a necessidade de descriptografálos AUTOATIVIDADE 142 Assinale a alternativa que apresenta a sequência CORRETA a V F F V b F V V F c V F V F d F F V V 4 Os avanços das tecnologias da informação e da comunicação têm fortalecido a velocidade com que as informações transitam pelo mundo Da mesma forma esses avanços acontecem na experiência e nas técnicas utilizadas por hackers para atacar sistemas de segurança da informação criptografados Uma das soluções nesse sentido é a utilização da criptografia multinível Disserte sobre o conceito desse tipo de criptografia e cite as duas preocupações principais ao ser colocada em prática 5 Existem diferentes iniciativas e pesquisas que se preocupam em combinar ferramentas a fim de criar métodos de criptografia multinível mais seguros e eficientes Entre eles a criptografia multinível aplicada a recursos de big data de multimídia Neste contexto disserte sobre a proposta criada por Aljawarneh Yassein e Talafha 2017 para este fim 143 UNIDADE 3 1 INTRODUÇÃO TÓPICO 2 GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES Acadêmico no Tópico 2 abordaremos o gerenciamento e a distribuição de chaves criptográficas Os principais assuntos que podem ser relacionados ao gerenciamento e à distribuição de chaves são o processo de criptografia os protocolos de segurança e o planejamento do gerenciamento STALLINGS 2017 Neste tópico conheceremos vários aspectos e questões envolvidas com estes assuntos Você já sabe que a criptografia é utilizada para manter informações em segurança certo Da mesma forma as chaves criptográficas que garantem essa segurança também devem ser protegidas de divulgações não autorizadas Em outras palavras podemos dizer que as chaves são a base dos sistemas criptográficos Por esse motivo os equipamentos ou dispositivos utilizados para gerar armazenar e arquivar as chaves precisam ser protegidos fisicamente HINTZBERGEN et al 2018 As chaves criptográficas desempenham um papel muito importante na operação da criptografia podendo ser comparadas a uma combinação de um cofre Caso alguém descubra a chave do seu cofre a combinação que você possui não oferece mais a proteção necessária BARKER 2020 O gerenciamento de chaves é importante para o processo de criptografia pois é fundamental para a segurança da informação que as chaves criptográficas sejam protegidas contra alterações perda ou destruição Em qualquer um desses casos o usuário vai ficar sem acesso aos dados protegidos por criptografia Por isso um bom gerenciamento de chaves é primordial para manter a confidencialidade a disponibilidade e a integridade dos dados criptografados HINTZBERGEN et al 2018 Além da distribuição o gerenciamento de chaves preocupase com o registro de quem usa cada par de chaves a data de emissão e de validade das chaves assim como o procedimento a ser tomado quando as chaves forem comprometidas Ou seja caso as chaves sejam alteradas indevidamente perdidas ou destruídas por algum motivo o gerenciamento de chaves deve prever um plano de ação para cada situação HINTZBERGEN et al 2018 144 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Não se preocupe Veremos mais sobre como funciona o gerenciamento de chaves e a aplicação da distribuição de chaves ao longo deste tópico Leia o artigo Criptografia assimétrica para programadores evitando outros maus usos da criptografia em sistemas de software de Alexandre Braga e Ricardo Dahab para conhecer mais conceitos sobre a distribuição de chaves e sua relação com o uso de certificados digitais O artigo está disponível no link httpswwwatmosphereeubrazileusitesdefaultfilesSBSeg2018livrosomenteminicurso2pdf DICAS 2 CONCEITOS Você já sabe que para a criptografia simétrica funcionar as duas partes envolvidas emissor e receptor precisam ter acesso à mesma chave Para que seja possível garantir a segurança da comunicação entre o emissor e o receptor a maneira como cada um tem acesso ou recebe essa chave também precisa ser segura Para aumentar a segurança das informações uma maneira que as organizações utilizam é a troca frequente de senhas Isso porque a troca frequente de chave pelo usuário é uma das soluções possíveis para limitar a quantidade de dados comprometidos caso um invasor tenha acesso a essa chave Ou seja se o usuário descartar a chave que utiliza e passar a utilizar outra com outro valor há um aumento da segurança de suas comunicações criptografadas STALLINGS 2017 Dessa forma podemos dizer que a força da segurança de um sistema criptográfico pode ser medida pela forma como a chave é distribuída entre os interessados Compreenda que a distribuição de chaves é basicamente a forma como as chaves criptográficas são entregues aos usuários que precisam delas STALLINGS 2017 No caso de uma pequena empresa que não utiliza muito a troca de mensagens criptografadas essas chaves podem ser entregues pessoalmente Já em uma grande indústria com várias filiais distribuídas pelo país o cenário muda e outras formas de distribuição de chaves são necessárias Veremos mais sobre essas técnicas ao longo do tópico Por esse motivo a distribuição de chaves é um dos grandes desafios na criptografia simétrica Como vimos anteriormente ela não envolve somente a troca de chaves entre os usuários interessados mas também informações importantes para o gerenciamento delas como a data que foi criada ou substituída Esse TÓPICO 2 GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES 145 desafio é enfrentado de forma diferente no caso da criptografia assimétrica pois apesar de ser computacionalmente mais pesada esse tipo de criptografia é mais adequado para a troca de chaves NAKAMURA 2016 Você conhecerá mais informações sobre essas diferenças no gerenciamento e distribuição de chaves simétricas e assimétricas ao longo desse tópico Para que a criptografia realmente seja segura e eficaz para seus usuários ela depende de um gerenciamento ou seja de um controle adequado Pois de nada adianta utilizar algoritmos criptográficos fortes se o gerenciamento de chaves for fraco ou ruim pois isso pode comprometer o resultado final Por exemplo imagine que você possui um ótimo algoritmo de criptografia para trocar informações com seu banco No entanto você recebeu as chaves criptográficas para acessar o aplicativo do banco de uma forma insegura em um email sem proteção que pode ser facilmente interceptado Por isso o gerenciamento de chaves possui um ciclo de vida com diferentes fases que são sua geração armazenamento distribuição e uso BARKER 2020 É muito importante termos em mente que o processo de criptografia depende da força das chaves e ainda da eficácia dos mecanismos e protocolos criptográficos associados às chaves Isso quer dizer que todas as chaves secretas e privadas devem ser protegidas contra divulgação não autorizada e modificação BARKER 2020 Agora que já entendemos a importância de termos controle sobre as chaves criptográficas vamos conhecer mais sobre o ciclo de vida que citamos anteriormente Começando pelas fases de geração e distribuição que podem ser tratadas como uma só fase chamada de estabelecimento de chaves Esse processo inicia com a criação de uma chave ou reutilização de uma chave já compartilhada pelos usuários envolvidos ou seja com a geração ou busca de uma chave já utilizada anteriormente BARKER BARKER 2019 Isso quer dizer que a fase chamada de estabelecimento de chaves precisa que as chaves sejas novas ou reutilizadas sejam recebidas pelos usuários que precisam delas para se comunicar Isso só vai acontecer depois das chaves criptográficas serem geradas e encaminhadas para os seus respectivos interessados Por exemplo imagine que você more em um prédio onde o síndico é responsável pela distribuição das chaves aos novos moradores Quando um novo vizinho chega ao prédio receberá do síndico a chave do apartamento que já foi utilizada por seus antigos moradores Todavia para garantir sua segurança o novo vizinho realiza a troca de fechadura e providencia uma nova chave Isso também pode acontecer no caso de chaves criptográficas repetidas podem até ser utilizadas em algum momento mas para que se garanta que mais ninguém possui a chave além dos usuários autorizados empregase uma nova 146 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Isso quer dizer que o processo completo de estabelecimento das chaves envolve a geração e a distribuição das chaves Essa distribuição pode ser manual por transporte automatizado ou por comunicação via rede de comunicação Durante o estabelecimento da chave é necessário definir o tempo de duração dela ou seja a validade que ela poderá ser usada BARKER BARKER 2019 Como vimos as etapas que compõem o gerenciamento de chaves são a geração armazenamento distribuição e uso Todas elas possuem extrema importância e por isso devem estar detalhadas em uma Política de Gerenciamento de Chaves Criptográficas da organização É um documento necessário para que exista padrões de gerenciamento em cada uma dessas fases BARKER BARKER 2019 Ou seja é um documento no qual os responsáveis descrevem todas as regras que devem ser respeitadas na organização ou empresa para o gerenciamento de chaves criptográficas assim como quais são as obrigações e penalidades em caso de descumprimento Consulte o artigo Planejador de missões do rádio definido por software do ministério da defesa de Victor Feitosa de Carvalho Souza Filipe Machado Pinto Napolitano e Maurício Henrique Costa Dias para conhecer um sistema de informações criado para auxiliar no gerenciamento de chaves criptográficas O artigo está disponível em httpswwwresearchgatenetprofileMauricioDias6publication336107267 PlanejadordeMissoesdoRadioDefinidoporSoftwaredoMinisteriodaDefesa links5d8e662a92851c33e942f3d5PlanejadordeMissoesdoRadioDefinidopor SoftwaredoMinisteriodaDefesapdf DICAS Durante o processo de gerenciamento de chaves é importante que sejam definidas quais são as ações que devem ser realizadas indicando os procedimentos tanto em caso de sucesso como em caso de alguma falha ou acesso indevido da chave assim como quem será o responsável em caso de falhas Vejamos um exemplo prático imagine que você trabalhe em uma empresa e perdeu a chave da sua sala O que deve ser feito Com quem você deve entrar em contato para resolver o problema Se isso acontecer com uma chave criptográfica é preciso que esteja definido na Política de Gerenciamento de Chaves Criptográficas da empresa As principais funções procedimentos e responsabilidades que precisam ser definidas na Política de Gerenciamento de Chaves Criptográficas são as seguintes geração ou aquisição de chaves distribuição segura de chaves estabelecimento de validade das chaves e o gerenciamento do inventário de chaves eou certificados BARKER BARKER 2019 TÓPICO 2 GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES 147 Assim como a revogação de emergência de chaves comprometidas e substituição de chaves eou certificados armazenamento e recuperação de backups de informações e chaves arquivadas verificação de integridade de chaves armazenadas antes de utilizálas e por fim a destruição de chaves que não são mais necessárias BARKER BARKER 2019 Como vimos nos exemplos apresentados para que tenhamos um gerenciamento de chaves eficiente é necessário que seja feito um bom planejamento das atividades que envolvem esse processo Bem como a identificação dos procedimentos associados pois isso garantirá que o uso das chaves alcance o seu objetivo principal que é proteger os dados criptografados Gerenciar nesse caso referese a planejar as atividades necessárias em cada caso a fim de manter organizado o uso de chaves e certificados criptográficos de uma organização A organização das chaves criptográficas pode ser comparada com a identificação de um molho de chaves de diferentes portas por exemplo Cada chave possui um número ou uma cor existe uma lista indicando cada porta que determinada cor de chave abre além de informações complementares como a data que foi trocada pela última vez ou quem chamar caso ela seja perdida Se a organização tiver bem claro quem é responsável por cada procedimento do gerenciamento de chaves o usuário saberá a quem recorrer em cada situação de problema Por esse motivo que a construção da Política de Gerenciamento de Chaves gera uma sensação de controle e responsabilidade para todos os envolvidos Agora que já sabemos como é importante o gerenciamento de chaves vamos conhecer com mais detalhes como é feita a distribuição Segundo Stallings 2017 a distribuição de chaves entre duas partes os usuários A e B pode acontecer das seguintes formas 1 O usuário A pode entregála fisicamente para o usuário B Por exemplo se você ingressar em um novo trabalho em uma pequena empresa você pode receber uma chave criptográfica das mãos de seu chefe como em um token 2 Um terceiro pode selecionar a chave e entregála fisicamente para os usuários A e B Por exemplo novamente você como um novo funcionário de uma empresa pode receber sua chave criptográfica do profissional de TI da empresa a pedido do seu chefe Sendo ele o responsável por entregar também uma chave para o seu colega de mesa Ou seja apesar de ser responsabilidade do profissional de TI fazer essa entrega ele precisa primeiro receber essa ordem de outra pessoa pois não vai entregar novos certificados a todos os novos colaboradores que forem contratados 3 Se os usuários A e B tiverem utilizado uma chave recentemente um desses usuários pode transmitir a nova chave para o outro criptografada com a chave antiga Por exemplo se você utilizou ontem uma chave para conversar com um cliente hoje ele precisa te enviar uma nova chave para uma nova troca de mensagens Ele pode criptografar a nova chave com a antiga para que você receba via email 148 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES 4 Se os usuários A e B tiverem uma conexão criptografada com um terceiro usuário C ele pode entregar uma chave por meio de links criptografados Por exemplo caso você trabalhe em uma grande empresa em que as chaves criptográficas não são entregues manualmente O envio das chaves para você e seus colegas pode ser centralizado em um profissional interno de tecnologia da informação ou em um servidor que faça esse procedimento automaticamente Lembrese que um Token é um dispositivo eletrônico físico que geralmente é conectado ao computador por uma porta USB como um pen drive Ele pode ser utilizado para gerar senhas criptográficas ou para armazenar certificados e assinaturas digitais ATENCAO Veja que as opções 1 e 2 dependem da entrega manual de uma chave São opções até razoáveis para criptografia que utilize links criptografados pois cada dispositivo trocará dados via internet somente com seu parceiro na outra extremidade do link Um exemplo da opção 1 listada anteriormente é uma pequena empresa possui dez funcionários no total dois deles são vendedores externos que fazem viagens de visita aos clientes em diferentes cidades Os funcionários que ocupam o cargo de vendedor externo podem receber manualmente uma chave de seu chefe como um Smartcard ou Token para que nos momentos em que estiverem presencialmente na sede da empresa comuniquemse com ele Ou então como exemplo da opção 2 listada anteriormente o profissional de tecnologia da informação da empresa poderia entregar para todos os vendedores chaves específicas para se comunicarem entre si e com o seu chefe Ou seja a entrega de chaves seria feita por um terceiro e não por quem realmente vai realizar a troca de mensagens Só que essa forma de entregar manualmente uma chave criptográfica é bem mais difícil quando cada interessado está em locais muito distantes Principalmente quando for necessário distribuir várias chaves ao longo do tempo que precisam ser fornecidas de uma forma mais dinâmica Por isso a definição se essas duas opções são viáveis ou não depende do número de pares de chaves que precisam ser utilizados no sistema ou seja da quantidade de usuários equipamentos hosts e transações envolvidas STALLINGS 2017 Para as ocasiões em que a entrega manual não é possível ou viável utilizamse as opções 3 e 4 que são explicadas em seguida TÓPICO 2 GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES 149 Continuando com a distribuição de chaves há momentos em que ela não pode ser feita presencialmente Nesses casos pode ser utilizada a criptografia ponta a ponta aquela que protege a comunicação entre dois dispositivos específicos Se essa distribuição ponta a ponta for feita em uma rede interna como em uma empresa por exemplo será preciso uma chave para cada par de hosts conectados à rede que precisem se comunicar Portanto se houver N hosts o cálculo para a quantidade de chaves necessárias é o seguinte N N 1 2 STALLINGS 2017 Lembrese do exemplo anterior da empresa com dez funcionários Pense que cada um deles é um host que precisa se comunicar com os demais Portanto se o cálculo acima fosse aplicado seria o seguinte 10 10 01 2 Ou seja N 10 é o número de hosts que precisam se comunicar e o valor que fica entre parênteses na equação é de um host a menos 10 01 09 que é encontrado subtraindo um O resultado 10 X 09 90 é divido por dois 90 02 45 pois se trata de um par de chaves que são duas chaves iguais Portanto aplicando a equação para chegar a ao número de chaves necessário no exemplo da pequena empresa a conclusão é que seriam necessários 45 pares de chaves Já se a criptografia for feita em nível de aplicativo como em aplicativos de mensagens como o WhatsApp ou o Telegram por exemplo é preciso uma chave para cada par de usuários que querem se comunicar por meio de mensagens Isso quer dizer que uma rede pode ter centenas de hosts mas milhares de usuários e processos STALLINGS 2017 Confira o artigo Sobre a criptografia ponta a ponta do aplicativo WhatsApp para conhecer mais detalhes sobre o seu funcionamento O artigo está disponível em httpsfaqwhatsappcomgeneralsecurityandprivacyendtoendencryptionlangptbr DICAS Portanto no caso de grandes empresas ou para uso de criptografia a nível de aplicativo as duas primeiras opções não são viáveis Pois não é tão simples entregar uma grande quantidade de chaves criptográficas fisicamente Por exemplo quando você quer conversar com um amigo ou parente que mora longe de você você não conseguiria primeiro viajar até ele e entregar uma chave ou então mandála pelos Correios O mesmo acontece no caso de uma grande empresa com filiais por diferentes estados do país Não seria vantajoso entregar manualmente uma chave para cada filial toda vez que um funcionário precisasse falar com um colega de outra filial para resolver um problema da empresa 150 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Seguindo nossa lista a opção 3 é uma possibilidade para criptografia de link ou criptografia ponta a ponta Nesse caso um dos usuários que precisa se comunicar ainda possui uma chave e envia ela para o outro usuário criptografada com uma chave que os dois tenham acesso Pense no exemplo da grande empresa com várias filiais que vimos anteriormente Ana que é funcionária da filial da cidade de VideiraSC precisa enviar uma mensagem para Roberta uma funcionária da filial de RecifePE Ana havia trocado mensagens confidenciais com Roberta recentemente por isso ainda possui uma chave que ela também tem acesso Assim Ana manda para Roberta a nova chave criptografada com a chave que as duas possuem No entanto se um invasor conseguir obter acesso à primeira chave aquela que foi utilizada anteriormente por Ana e Roberta todas as chaves seguintes encaminhadas por esse meio podem estar em perigo Como vimos no exemplo das opções 1 e 2 o número de chaves necessárias é muito grande STALLINGS 2017 Os conceitos e possibilidades de distribuições de chaves de 1 a 3 são voltados para a criptografia simétrica aquela que utiliza uma mesma chave tanto para criptografar quanto para descriptografar uma informação Como já vimos nas unidades anteriores a criptografia simétrica tem como vantagens maior velocidade das aplicações facilidade de implementação em hardware e chaves pequenas que geram cifradores robustos Entretanto esse mesmo tipo de criptografia possui fragilidades entre elas a dificuldade no gerenciamento das chaves PEIXINHO 2013 Para entender melhor a dificuldade de gerenciar as chaves no caso da criptografia simétrica vejamos um exemplo Ana precisa conversar por meio de criptografia com Paulo conforme vemos na Figura 8 Para isso ela utiliza um algoritmo criptográfico e uma chave criptográfica Como ela empregou criptografia simétrica tanto Ana quanto Paulo possuem a mesma chave PEIXINHO 2013 FIGURA 8 COMUNICAÇÃO CRIPTOGRÁFICA ENTRE DOIS USUÁRIOS FONTE O autor TÓPICO 2 GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES 151 Agora Ana também precisa conversar com Luiz conforme ilustrado na Figura 9 Para isso ela precisa gerar uma nova chave pois a chave anterior é exclusiva para conversar com Paulo Se fosse utilizada a mesma chave para a comunicação com os dois usuários eles teriam acesso a todas as conversas Agora pense se Ana precisasse conversar com 100 pessoas seria preciso 100 chaves diferentes É fácil compreender a dificuldade em gerenciar todas essas chaves no caso da criptografia simétrica pois quando o número de usuários envolvidos aumenta ela se torna inviável PEIXINHO 2013 A solução para essas questões é apresentada ainda nesse tópico FIGURA 9 COMUNICAÇÃO CRIPTOGRÁFICA ENTRE TRÊS USUÁRIOS FONTE O autor Com o objetivo de tentar resolver os problemas do gerenciamento e distribuição de chaves simétricas para muitos usuários foi criada a criptografia assimétrica A criptografia assimétrica possui um gerenciamento de chaves mais eficiente e pode ser utilizada para garantir a confidencialidade e autenticidade das informações apesar de possuir um desempenho mais lento do que a criptografia simétrica Para evitar uma maior lentidão em todas as transações criptográficas normalmente as duas técnicas são utilizadas combinadas PEIXINHO 2013 Esse processo combinado pode acontecer da seguinte forma Ana cria uma chave simétrica randômica os dados que ela precisa enviar são cifrados com essa chave Depois a própria chave simétrica de Ana é cifrada com uma chave assimétrica do destinatário Paulo Por fim esse conjunto de chave de mensagem é enviado a Paulo que consegue decifrar o conjunto com sua chave assimétrica e decriptar os dados com a chave simétrica de Ana que acabou de receber PEIXINHO 2013 Agora vamos analisar a opção 4 que vimos lá no começo deste tópico que era Se os usuários A e B tiverem uma conexão criptografada com um terceiro usuário C ele pode entregar uma chave por meio de links criptografados Neste caso um terceiro usuário é o responsável por distribuir as chaves aos interlocutores que no nosso exemplo anterior foram Ana e Paulo Esse terceiro C não necessariamente precisa ser uma pessoa ou indivíduo mas pode ser um centro de distribuição chaves Key Distribution Center KDC ou seja um servidor específico para isso Esse servidor precisa ter instalado um sistema específico que faça a 152 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES autenticação dos usuários da rede em que está conectado É função desse servidor ter um banco de dados com as informações dos usuários efetivar a autenticação dos usuários e conceder chaves criptográficas sempre que eles solicitarem O servidor serve de centro de distribuição de chaves STALLINGS 2017 Esse KDC pode distribuir as chaves para os pares de usuários sejam hosts processos ou aplicativos conforme necessário Neste caso cada usuário precisa compartilhar uma chave exclusiva com o centro de distribuição para que por esse canal seguro receba suas chaves STALLINGS 2017 Isso significa que cada usuário ou host precisa ter uma chave criptográfica específica para conseguir se comunicar com o centro de distribuição Veja esse processo na Figura 10 João quer conversar com Maria mas para isso precisa de um par de chaves criptográficas Para isso João envia uma solicitação ao KDC com sua chave específica para esse tipo de comunicação Ao receber essa chave específica KDC confere os dados do usuário em seu banco de dados faz a devida autenticação e aí sim concede um novo par de chaves criptográfico O par de chaves é enviado igualmente para João e para Maria Por fim os dois usuários conseguem se comunicar de forma segura FIGURA 10 FUNCIONAMENTO DE UM CENTRO DE DISTRIBUIÇÃO DE CHAVES FONTE httpsmaterialpublicimdufrnbrcursodisciplina46238 Acesso em 25 jan 2021 A utilização de um KDC é baseada em uma hierarquia de chaves As chaves precisam ser divididas em pelo menos dois níveis hierárquicos pelo sistema utilizado no servidor Assim a comunicação entre esse centro de distribuição e os sistemas finais é criptografada com uma chave temporária chamada de chave de sessão STALLINGS 2017 TÓPICO 2 GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES 153 Geralmente a chave de sessão tem a duração de uma conexão lógica ou seja é usada em somente uma comunicação entre dois usuários e depois disso é descartada Cada chave de sessão deve ser obtida no centro de distribuição de chaves conectado a mesma rede utilizada pelo usuário final As chaves de sessão são transmitidas criptografadas por meio de uma chave mestra que é conhecida tanto pelo centro de distribuição quanto pelo usuário final STALLINGS 2017 Para compreender melhor a questão da hierarquia de chaves observe a Figura 11 Perceba que na ilustração a seguir estão apresentados três níveis hierárquicos A elipse maior que fica na parte de cima da figura representa o centro de distribuição que se comunica com o segundo nível por meio de chaves de sessão criptografadas A eclipse do meio simboliza os sistemas e usuários Já o terceiro nível representa os usuários finais que dependem das chaves mestras que não são criptografadas para receber as demais chaves FIGURA 11 FUNCIONAMENTO DA HIERARQUIA DE CHAVES FONTE Adaptado de Stallings 2017 p 444 Na organização que utiliza as funções de um servidor como centro de distribuição de chaves cada usuário final recebe uma chave mestra exclusiva para se comunicar com o respectivo centro de distribuição de chaves Portanto a quantidade de chaves mestras é limitada à quantidade de usuários e não tem relação com a quantidade de mensagens que eles precisam enviar ou receber É importante deixar claro que essas chaves mestras também precisam ser distribuídas de forma segura mas não necessariamente precisam ser protegidas por criptografia Por exemplo os usuários podem receber por email um link de acesso a essas chaves Assim como o número final de chaves mestras não é tão grande uma por usuário elas podem ser distribuídas até fisicamente como certificados em tokens STALLINGS 2017 154 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Portanto a partir das opções de distribuição de chaves que conhecemos até aqui podemos afirmar que a quarta opção é a mais viável e segura quando for preciso distribuir muitas chaves criptográficas em um pequeno espaço de tempo e em locais grandes ou distantes Por exemplo no caso de grandes empresas que possuem filiais em mais de uma cidade e que mesmo assim precisam manter segura a sua comunicação Da mesma forma essa distribuição depende de um bom gerenciamento dessas chaves para que elas se mantenham seguras Já sabemos que as chaves são a base de qualquer sistema criptográfico por esse motivo etapas como a geração armazenamento e arquivamento dessas chaves devem ser gerenciadas Da mesma forma o registro dos pares de chaves e de quem as usa o que é importante tanto na criptografia simétrica quanto na assimétrica Esse registro deve ser feito em um banco de dados da organização que contenha as informações básicas dos usuários relacionadas a uma identificação das chaves que utiliza HINTZBERGEN et al 2018 Por exemplo pense em uma biblioteca que possui armários em sua entrada para que cada pessoa que quiser entrar na biblioteca possa guardar seus pertences sem que pessoas não autorizadas tenham acesso Cada um desses armários possui uma identificação uma sequência de números 12 13 14 e assim por diante Para entrar na biblioteca é necessário que você realize um cadastro prévio que contenha seus dados pessoais como nome telefone email e endereço Assim a cada vez que você for entrar na biblioteca precisa se identificar e informar o número do armário que utilizou do qual só você tem a chave Dessa forma ficará armazenado no registro vinculado ao seu nome o armário que você está utilizando É isso que acontece no registro de chaves No banco de dados específico para esse fim estão listados os usuários e uma identificação das chaves que eles utilizam sem a chave propriamente dita Para que possa ser feito o seu gerenciamento como o controle de sua validade de acordo com a sua data de distribuição por exemplo No caso da criptografia assimétrica os pares de chaves são utilizados para determinar a autenticidade e o não repúdio das mensagens criptografadas Então o registro precisa ter a informação de quais pares foram emitidos por quem e em que momento Com essas informações é possível também relacionar a validade dessas chaves HINTZBERGEN et al 2018 TÓPICO 2 GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES 155 Leia o artigo Uma contribuição para a segurança da informação um estudo de casos múltiplos com organizações brasileiras de Napoleão Verardi Galegale Edison Luiz Gonçalves Fontes e Bernardo Perri Galegale para compreender a importância do planejamento e da política de segurança da informação nas organizações bem como o papel do gerenciamento de chaves nesse contexto O artigo está disponível no seguinte link httpswwwscielobrscielophpscriptsciarttextpidS141399362017000300075 DICAS Se a criptografia for utilizada para proteger informações em um computador é arriscado compartilhar as mesmas chaves em todos os computadores de uma empresa por exemplo Isso porque se essas chaves forem conhecidas fora da empresa todos os equipamentos terão que passar por uma nova criptografia Caso algo nesse sentido aconteça a alteração deve ser feita de forma rápida para prevenir a brecha na confidencialidade da informação HINTZBERGEN et al 2018 Agora imagine um algoritmo criptográfico que pode ser considerado tecnicamente perfeito pois não pode ser quebrado por nenhum tipo de ataque à segurança Esse algoritmo pode ser comparado a um grande e forte cadeado à prova de roubo No entanto se alguém malintencionado ou um ladrão tiver acesso à chave do cadeado fica muito fácil abrir e ter acesso ao que se considerava protegido HINTZBERGEN et al 2018 Portanto proteger as chaves de roubo duplicação ou destruição é essencial para que o cadeado funcione de acordo com o planejado mantendo pessoas não autorizadas do lado de fora e possibilitando que pessoas autorizadas abram a porta Da mesma forma a força de um sistema criptográfico está relacionada diretamente à qualidade do gerenciamento de suas chaves HINTZBERGEN et al 2018 Ou seja o gerenciamento de chaves depende da forma como as chaves são geradas armazenadas distribuídas e utilizadas pelos usuários Um bom gerenciamento de chaves depende de um sistema que auxilia a realizar todas as atividades de planejamento e controle necessárias Para isso utilizamse os Sistemas de Gerenciamento de Chaves Criptográficas Cryptographic Key Management System CKMS Os CKMS tratam da estrutura e dos serviços que possibilitam a geração distribuição controle contagem e destruição das chaves criptográficas e informações de gerenciamento associadas a elas BARKER BARKER 2019 Existem vários sistemas de gerenciamento de chaves disponíveis no mercado cada organização poderá escolher o que melhor se adeque as suas necessidades de acordo com seu número de usuários e hardware disponível 156 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Consulte o artigo Windows Server como usar o Serviço de Gerenciamento de Chaves KMS para a ativação de sistemas com licenciamento por volume para compreender o funcionamento desta ferramenta O artigo está disponível no link httpswwwdellcomsupportkbdocptbr000179240windowsservercomousaro servic3a7odegerenciamentodechaveskmsparaaativac3a7c3a3ode sistemascomlicenciamentoporvolume DICAS Isso quer dizer que o CKMS não se refere somente ao sistema de informação mas sim a todos os elementos envolvidos no processo ou seja hardware software documentação e outros equipamentos Assim como as instalações pessoal procedimentos e padrões que formam o sistema que estabelece gerencia e oferece suporte aos produtos e serviços criptográficos aos usuários finais da organização Por isso mesmo que os CKMS podem lidar tanto com chaves simétricas quanto com chaves assimétricas ou ambas BARKER BARKER 2019 Por isso que a Política de Gerenciamento de Chaves sobre a qual falamos no início do texto deve identificar todos os elementos ligados ao CKMS e ainda descrever relações entre eles A infraestrutura de gerenciamento de chaves é grande e complexa mas pode ser descrita em quatro partes que são Os algoritmos criptográficos utilizados As relações operacionais e de comunicação entre os elementos organizacionais disponíveis ou seja uma descrição da responsabilidade de cada funcionário ou setor da organização evolvido no processo para saber como e com quem falar sobre cada assunto e atividade Os propósitos para os quais a criptografia é empregada ou seja em quais casos ela é empregada na organização É necessário definir quais dados e informações dentro da empresa que são sigilosos a ponto de precisarem ser criptografados por exemplo dados financeiros contábeis de faturamento etc O número e a complexidade nível de segurança dos relacionamentos de chave criptográfica necessário para a organização BARKER BARKER 2019 A estrutura a complexidade e o tamanho do CKMS podem variar muito pois dependem das necessidades de cada organização Isso quer dizer que organizações maiores dependem de mais complexos e robustos CKMS enquanto organizações menores podem precisar de menos para manter suas informações seguras De toda forma os elementos e funções descritas anteriormente precisam estar presentes na maioria das organizações que precisam de proteção criptográfica BARKER BARKER 2019 TÓPICO 2 GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES 157 3 EXEMPLOS DE DISTRIBUIÇÃO DE CHAVES Para explicar de forma mais simples o funcionamento de um centro de distribuição de chaves imagine um sistema de venda de ingressos de um cinema para um filme com classificação para maiores de 18 anos Para comprar o ingresso você precisa ir à bilheteria do cinema centro de distribuição para realizar o pagamento e provar com a documentação necessária que você tem mais de 18 anos PEIXINHO 2013 Essa relação está ilustrada na Figura 12 Ao realizar a comprovação e adquirir o ingresso com sucesso a bilheteria vai lhe entregar um ingresso ticketnonce que você vai precisar apresentar ao bilheteiro autenticador para conseguir acesso à sala de cinema onde o filme está sendo exibido O bilheteiro é o responsável por verificar a autenticidade do ticket antes de autorizar sua entrada PEIXINHO 2013 FIGURA 12 COMUNICAÇÃO CRIPTOGRÁFICA ENTRE TRÊS USUÁRIOS FONTE O autor Viu Dessa forma o processo de distribuição de chaves não fica tão complexo mas os passos são basicamente os mesmos que vimos anteriormente O processo inicia com o usuário fazendo a solicitação inicial ao centro de distribuição e segue com as comprovações de veracidade e autenticidade das mensagens de solicitação do usuário Em criptografia esse tipo de identificador exclusivo é chamado de nonce e vem do inglês da expressão numbers used once números usados uma vez O nonce é útil tanto para o estudo e aplicação de criptografia como em diferentes técnicas de programação O nonce pode ser a informação de data e hora um contador ou número aleatório ou qualquer outra numeração que seja diferente em cada solicitação O nonce não pode ser um número muito fácil de ser descoberto por interceptores mal intencionados por isso números aleatórios costumam ser uma boa escolha STALLINGS 2017 IMPORTANTE 158 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Em seguida o usuário recebe uma resposta do centro de distribuição devidamente identificada e criptografada para que somente o destinatário ou receptor possa abrir essa mensagem Por fim a mensagem é autenticada e as chaves podem ser utilizadas nas comunicações criptografadas O conceito de distribuição de chaves pode ser implantado de diferentes formas Vamos apresentar aqui um cenário mais comum no qual cada usuário compartilha uma chave mestra exclusiva com um centro de distribuição de chaves Key Distribution Center KDC Isso é ilustrado na Figura 10 Suponha que o usuário A precisa enviar uma mensagem segura para o usuário B e para isso ele necessita de uma chave de sessão única O usuário A tem uma chave mestra que vamos chamar de Ka como se fosse a junção da palavra key chave com o nome do usuário que é A A chave Ka é conhecida apenas por A e pelo centro de distribuição de chaves Da mesma forma o usuário B também tem sua chave mestra Kb somente compartilhada com o centro de distribuição de chaves STALLINGS 2017 A primeira etapa que é a primeira flecha apontando do notebook do usuário A para o centro de distribuição de chaves na Figura 13 é uma solicitação de chave de sessão de A para o centro de distribuição de chaves para proteger sua conexão com B A solicitação contém um identificador de A IDa um identificador de B IDb e um identificador exclusivo N1 que é um número definido para ser utilizado apenas uma vez em uma comunicação criptográfica STALLINGS 2017 FIGURA 13 CENÁRIO DE DISTRIBUÇÃO DE CHAVES FONTE Adaptado de Stallings 2017 p 445 TÓPICO 2 GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES 159 Na segunda etapa o centro de distribuição de chaves responde com uma mensagem criptografada utilizando a chave Ka para que somente A tenha acesso e tenha a certeza de sua origem Essa mensagem possui dois itens destinados ao usuário A que são a chave de sessão única solicitada Ks e a mensagem de solicitação inicial incluindo o nonce para que A possa confirmar sua veracidade vendo que a mensagem não foi alterada tanto no envio quando no retorno do centro de distribuição de chaves STALLINGS 2017 A mesma mensagem da segunda etapa inclui ainda dois itens para o usuário B a chave de sessão única Ks para ser usada na comunicação com A e um identificador de A o IDa Estes dois últimos itens são criptografados com a chave Kb para que somente B tenha acesso e para comprovar a identidade de A STALLINGS 2017 Na terceira etapa que pode ser vista na Figura 10 como uma flecha entre o usuário A e B o usuário A armazena a chave de sessão Ks recebida e encaminha para o usuário B as informações recebidas do centro de distribuição de chaves Agora B também possui a chave de sessão Ks sabe que a outra parte é A pois recebeu seu identificador e confirmar que a informação veio do centro de distribuição de chaves porque ela estava criptografada om a chave Kb Estas foram as etapas de distribuição das chaves STALLINGS 2017 Agora A e B possuem uma chave de sessão para iniciar sua comunicação protegida No entanto ainda são necessárias as etapas quatro e cinco para que o processo ocorra dentro do esperado que são as etapas de autenticação Antes trocar mensagens e informações sigilosas na quarta etapa B envia para A um nonce o N2 por meio da chave de sessão Ks STALLINGS 2017 Na ilustração essa etapa é a primeira flecha que sai do usuário B receptor representado por um computador de mesa e vai para o usuário A emissor Depois na quinta etapa também usando Ks A responde com f N2 Nesse caso f é uma função que realiza alguma transformação em N2 somando um ao número enviado por exemplo Essas duas últimas etapas garantem a B que a mensagem recebida na etapa 3 é segura STALLINGS 2017 Somente depois dessas cinco etapas tanto as de distribuição de chaves quanto as de autenticação que A e B poderão ter uma troca de mensagens segura por meio do uso de uma chave de sessão Perceba que esse é um exemplo simples de comunicação entre dois usuários e um centro de distribuição No caso de muitos usuários o processamento operacional será muito maior e mais complexo exigindo um gerenciamento de chaves efetivo Não é preciso limitar a função de distribuição de chaves a um único centro de distribuição como o que vimos na Figura 13 Na verdade em redes muitos grandes não seria prático fazer isso Uma alternativa é criar uma hierarquia de centros de distribuição de chaves podem ser definidos centro locais ou globais cada um responsável por um mesmo domínio dentro de uma rede STALLINGS 2017 160 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Assim para uma comunicação entre usuários dentro do mesmo domínio ou rede de comunicação o centro de distribuição de chaves local é o responsável por essa distribuição Já se dois usuários que estão em domínios diferentes precisarem se comunicar C e L por exemplo os centros de distribuição de chaves locais podem ser comunicar com um centro de distribuição de chaves global definido previamente Esse centro global não fica dentro de nenhuma das duas organizações pode ser um servidor contratado externamente para prestar esse tipo de serviço Portanto neste caso a seleção da chave pode acontecer na organização do usuário C na do usuário D ou ainda no centro global STALLINGS 2017 Confira uma entrevista com Ammie Stepanovich que na ocasião era diretora de políticas públicas de uma Organização Não Governamental ONG chamada Acess Now dedicada a direitos digitais Na entrevista são abordados temas como criptografia hackers e acesso a informações que podem ser relacionados à importância do gerenciamento de chaves O vídeo com a entrevista está disponível no seguinte link httpswwwyoutubecomwatchlistPLdTwYiNwRSwVDGg6jQLF8Zs4xQejDG6lvs uZmQ2HwAQfeatureemblogo DICAS 161 RESUMO DO TÓPICO 2 Neste tópico você aprendeu que O gerenciamento de chaves é uma atividade essencial para o sucesso da criptografia das organizações As chaves são a base de um sistema criptográfico e a manutenção de sua segurança garante a confidencialidade a disponibilidade e a integridade dos dados criptografados A distribuição de chaves é uma das fases do gerenciamento de chaves que envolve o repasse das chaves criptográficas necessárias aos usuários que necessitarem Existem diferentes técnicas de distribuição de chaves que podem ser adequadas à realidade de cada organização A complexidade do gerenciamento de chaves necessário para a organização vai depender do seu tamanho e da quantidade de informações que necessitam ser protegidas por meio do uso da criptografia 162 1 As chaves são a base dos sistemas criptográficos e por esse motivo devem ser mantidas em segurança por meio de um gerenciamento para evitar acessos não autorizados Sobre o gerenciamento de chaves e o uso da criptografia assinale a alternativa CORRETA a O gerenciamento de chaves preocupase com a aquisição devolução e perda das chaves criptográficas b O gerenciamento de chaves trata da compra finalidade e venda das chaves criptográficas c O gerenciamento de chaves trata da emissão validade e uso das chaves criptográficas d O gerenciamento de chaves visa alterar e destruir chaves criptográficas antes de serem utilizadas 2 A distribuição de chaves é uma função importante do gerenciamento de chaves sejam simétricas ou assimétricas Nesse contexto analise as sentenças a seguir I A distribuição de chaves assimétricas é mais difícil de ser realizada do que a de chaves simétricas II A criptografia assimétrica mesmo mais pesada computacionalmente é mais adequada para a troca de chaves III A distribuição de chaves envolve a troca de chaves entre os usuários seu uso e substituição IV A criptografia simétrica mesmo mais pesada computacionalmente é mais adequada para a troca de chaves Assinale a alternativa CORRETA a As sentenças II e III estão corretas b As sentenças I e IV estão corretas c Somente a sentença II está correta d Somente a sentença IV está correta 3 O gerenciamento de chaves criptográficas inadequado pode comprometer a eficácia de algoritmos criptográficos considerados fortes Nesse sentido classifique V para as sentenças verdadeiras e F para as falsas O gerenciamento de chaves aborda o ciclo de vida completo de uma chave criptográfica desde sua geração distribuição armazenamento e uso A segurança das informações criptografadas depende da eficiência dos mecanismos e protocolos criptográficos associados às chaves Profissionais de qualquer área do conhecimento mesmo sem experiência podem ser responsáveis pela gestão de chaves criptográficas AUTOATIVIDADE 163 É responsabilidade do gestor de chaves criptográficas adquirir com seu dinheiro os sistemas e equipamentos necessários para a organização na qual trabalha Assinale a alternativa que apresenta a sequência CORRETA a V F F V b F V V F c V V F F d F F V V 4 O gerenciamento de chaves criptográficas envolve planejar as atividades necessárias em cada fase de uso das chaves Para que assim a criação distribuição uso e descarte das chaves e certificados digitais em uma empresa se mantenha organizado Uma etapa muito importante nesse processo é a distribuição de chaves Disserte sobre as quatro formas principais de distribuição de chaves e deixe clara a maior dificuldade de cada uma delas 5 A eficácia do gerenciamento de chaves criptográficas depende de um sistema que contribuía no controle de todas as atividades e funções necessárias para este fim Entre elas estão a geração distribuição contagem e distribuição das chaves criptográficas Neste contexto disserte sobre a proposta a função e a importância dos Sistema de Gerenciamento de Chaves Criptográficas 165 UNIDADE 3 1 INTRODUÇÃO TÓPICO 3 ALGORITMOS DE HASH Acadêmico no Tópico 3 abordaremos os algoritmos de hash que traduzindo do inglês significa resumo Já vimos um pouco sobre esse assunto nas unidades anteriores e o objetivo desse tópico é aprofundar seus conceitos Esperase que você compreenda como esses algoritmos se relacionam com as fases e técnicas criptográficas abordadas até o momento neste livro Visto que a função de hash é utilizada associada a técnicas criptográficas para garantir a segurança de dados e informações Uma função de hash é aplicada em uma quantidade de informações de tamanho variável para gerar um resultado único e de tamanho fixo Ou seja na função de hash já se sabe que tamanho terá a saída da função independentemente do tamanho que a informação de entrada dela tenha O valor hash é criado de uma forma que não é possível realizar o processamento inverso para se obter a informação original Isso quer dizer que ele não pode ser desfeito Da mesma forma qualquer alteração na informação original resultará em um resumo diferente CERTBR 2012 O algoritmo de hash é um dos algoritmos criptográficos mais versáteis pois pode ser empregado por uma grande variedade de sistemas de segurança e protocolos de Internet A autenticação de mensagens é uma dessas possibilidades pois possibilita confirmar se os dados recebidos são os mesmos que os enviados STALLINGS 2017 Ou seja por meio dele é possível confirmar se os dados enviados não foram interceptados e modificados excluídos reproduzidos ou ainda se houve inclusão de informações diferentes das originais Há casos em que é possível que o destinatário verifique também se a identidade do remetente é válida STALLINGS 2017 Para que uma função hash seja considerada eficiente ela deve produzir resumos que pareçam ser aleatórios Quanto mais aleatório o resumo parecer maior será a segurança dos dados criptografados STALLINGS 2017 Por exemplo se o resumo não for aleatório lendo ele você poderá saber de qual assunto a mensagem resumida trata Já se as palavras e informações forem bem misturadas aleatórias não será possível descobrir o conteúdo da mensagem somente tendo acesso ao resumo 166 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES O hash pode ser utilizado para verificar a integridade de um arquivo já armazenado seja em um computador ou em um backup Também é útil para verificar a integridade de um arquivo que tenha sido obtido na Internet pois muitos sites disponibilizam o hash do arquivo para esse tipo de verificação Ainda o hash pode ser utilizado para gerar assinaturas digitais pois é mais rápido codificar o hash do que a informação completa de uma mensagem CERTBR 2012 Entre os exemplos de métodos de hash estão o MD5 Message Digest Algorithm 5 Algoritmo de Sintetização de Mensagem 5 e o SHA Secure Hash Algorithm Algoritmo de Hash Seguro sobre os quais veremos mais ao longo desse tópico CERTBR 2012 2 CONCEITOS Podemos dizer que a função hash H aceita como entrada um bloco de dados M com comprimento variável e como saída produz um valor hash h com tamanho fixo Preste atenção que a letra H em maiúsculo é utilizada para representar a função de hash que vai calcular o resumo enquanto a letra h em minúsculo representa o valor de hash que é o resumo propriamente dito Esse processo pode ser representado pela seguinte equação STALLINGS 2017 h H M Lembrese de que como todo algoritmo a função de hash precisa de uma entrada para realizar um processamento e assim produzir uma saída Na Figura 14 temos uma ilustração do funcionamento básico dessa função Nesse exemplo a entrada é representada pela letra M que é uma mensagem ou o bloco de dados com um tamanho variável Reforçando a mensagem a ser resumida pode ter qualquer tamanho Para realizar o processamento são necessárias algumas informações adicionais sobre a entrada como a letra L que é a quantidade de bits de M Assim como P que é uma variável que pode ser utilizada pela função quando necessário para facilitar o seu cálculo A letra P representa um valor de preenchimento padding que pode ser somado à largura L de M Veja que a mensagem entra na função de hash H e por ela é transformada no resumo no valor de hash h Perceba que o resumo possui um tamanho fixo prédefinido na função Na ilustração a função é representada por um moedor de carne manual no qual a carne seria a mensagem completa e a carne processada é o resumo resultado do processamento da mensagem de entrada TÓPICO 3 ALGORITMOS DE HASH 167 FIGURA 14 REPRESENTAÇÃO DA FUNÇÃO DE HASH FONTE Stallings 2017 p 341 Qualquer mudança em um bit da mensagem inicial M resulta em uma mudança no resumo Ou seja ainda utilizando nosso exemplo do moedor cada grama a mais de carne colocada no moedor resultará diferença no resultado Bom você deve estar se perguntando e o que se faz com esse resumo ou essa carne moída O resumo é utilizado em trocas de mensagens que utilizam criptografia para garantir a integridade das mensagens STALLINGS 2017 Como isso acontece O resumo criado por meio da função da hash é enviado junto da mensagem original pelo remetente ao seu destinatário Utilizando a mesma função o destinatário consegue gerar novamente o resumo com o conteúdo da mensagem original Se o valor que ele calculou coincidir com o recebido significa que a mensagem não foi interceptada e alterada no meio do caminho STALLINGS 2017 O processamento feito por funções hash também pode ser comparado a uma mistura de tintas Quando tintas de duas cores são misturadas uma com a outra é impossível separálas novamente Por exemplo ao misturar as tintas branca e preta temos como resultado a cor cinza Depois que já tivermos o cinza não conseguiremos separar ele em duas partes uma parte branca e outra preta Esse exemplo quer ilustrar que essa função produz um cálculo irreversível ou seja não se pode desfazer o resumo e com ele obter o texto original novamente HINTZBERGEN et al 2018 168 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Agora que já vimos alguns conceitos sobre o que são os algoritmos que utilizam funções de hash vamos ver exemplos de sua aplicação e funcionalidade Esse algoritmo pode ser utilizado para confirmar se uma mensagem enviada de um usuário para outro se manteve íntegra Pense que a usuária Alice precisa enviar uma senha para o usuário Bob Quando a senha é definida por Alice o sistema cria um determinado resumo e armazena esse valor e com a senha propriamente dita Na ilustração o resumo é representado pela letra H Assim nem mesmo uma pessoa com um acesso de alto nível do sistema como um analista de tecnologia da informação conseguirá ver o que Alice incluiu e enviou para Bob como senha HINTZBERGEN et al 2018 Quando Bob receber a mensagem de Alice ele vai utilizar o mesmo algoritmo de hash e criará também um resumo da senha para que possa comparar com o resumo que recebeu Se os dois resumos forem iguais é comprovado que Bob recebeu a senha correta Portanto esse método é empregado para verificar a integridade das mensagens HINTZBERGEN et al 2018 Esse processo é ilustrado na Figura 15 FIGURA 15 AUTENTICAÇÃO DE MENSAGENS COM HASH FONTE Adaptado de Stallings 2017 p 342 É bom ressaltar que o resumo precisa ser transmitido de forma segura Para que no caso de um usuário malintencionado receptar a mensagem para alterála ou substituíla ele não consiga alterar também o valor do hash para enganar o destinatário da mensagem STALLINGS 2017 Veremos mais sobre as formas de aplicar a função de hash ao longo deste tópico TÓPICO 3 ALGORITMOS DE HASH 169 Esse tipo de ataque é ilustrado na Figura 16 cujo usuário Darth intercepta a mensagem enviada por Alice a Bob Darth altera o bloco de dados calcula e anexa à mensagem um novo valor do hash e a reencaminha para Bob Bob neste caso não consegue perceber a interceptação pois o resumo foi substituído na mensagem por não estar devidamente seguro Para evitar esse tipo de ação antes de ser encaminhado pela remetente Alice o resumo precisa ser protegido por meio de criptografia por exemplo STALLINGS 2017 Nessa ilustração o resumo também é representado pela letra H FIGURA 16 INTERCEPTAÇÃO DE MENSAGENS COM HASH FONTE Adaptado de Stallings 2017 p 342 Agora que já vimos exemplos sobre o uso de resumos em troca de mensagens conheceremos mais funcionalidades como a autenticação de mensagens Uma forma comum dessa funcionalidade do algoritmo é obtida com o uso de um código de autenticação de mensagens Message Authentication Code MAC que também é chamado de função hash com chave Geralmente esses códigos são utilizados entre duas partes ou usuários que compartilham uma chave secreta para autenticar as informações trocadas entre eles STALLINGS 2017 A função MAC recebe como entrada uma chave secreta em um bloco de dados com isso produz um valor de hash MAC que é associado à mensagem protegida Assim se for preciso verificar a integridade da mensagem a função MAC pode ser aplicada à mensagem e o seu resultado comparado com o valor hash MAC que estiver associado STALLINGS 2017 Perceba que assim como o os exemplos de algoritmos de hash que vimos anteriormente que precisam de uma função e produzem um valor de hash a função de MAC também utiliza uma função e tem como resultado um valor calculado 170 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Um interceptor de uma mensagem protegida pela função MAC não será capaz de mudar o valor hash MAC associado sem conhecer a chave secreta Da mesma forma o usuário que recebe a mensagem também consegue confirmar quem é seu emissor pois somente eles dois conheciam a chave secreta STALLINGS 2017 Acesse ao artigo MACs hashes e assinaturas para ver como esses métodos podem ser aplicados para garantir a segurança de dados e informações em plataformas Windows Não esqueça de habilitar a versão em português do texto httpsdocsmicrosoftcomptbrwindowsuwpsecuritymacshashesandsignatures DICAS Outra aplicação importante dos algoritmos de hash é no acompanhamento de assinaturas digitais cujo processo é bem parecido ao da autenticação de mensagens por meio da função MAC No caso da assinatura digital o valor de hash de uma mensagem é criptografado com a chave privada do usuário emissor Isso quer dizer que qualquer pessoa que conheça a chave pública do usuário pode verificar a integridade da mensagem que está associada à assinatura digital Portanto se um invasor quiser alterar a mensagem precisa saber a chave privada do usuário STALLINGS 2017 As funções de hash também são úteis para criar arquivos de senha unilaterais em sistemas operacionais ou seja para proteção de equipamentos físico Para isso o sistema operacional armazena somente o resumo da senha e não ela própria Assim a senha real não pode ser recuperada por um intruso que consiga obter o seu arquivo pois ele terá somente o resumo dela STALLINGS 2017 Segundo Stallings 2017 existem diferentes métodos pelos quais um código hash pode ser útil para fornecer a autenticação de mensagens entre eles a A mensagem M e o valor hash H são criptografados por meio de criptografia simétrica E O usuário A envia para B uma mensagem Neste caso somente A e B tem acesso à chave secreta K então ao receber e conseguir descriptografar D a mensagem com a mesma chave K B já tem a primeira confirmação de sua autenticidade Neste caso tanto a mensagem como o valor de hash foram criptografados por isso também há uma garantia de confidencialidade da mensagem Esse processo é ilustrado na Figura 17 TÓPICO 3 ALGORITMOS DE HASH 171 FIGURA 17 CRIPTOGRAFIA DA MENSAGEM E DO VALOR DE HASH FONTE Stallings 2017 p 343 b Somente o valor hash H é criptografado E também por criptografia simétrica o que reduz a carga de processamento de sistemas e aplicativos que não exigem uma verificação de confidencialidade da mensagem M Esse fluxo é ilustrado na Figura 18 FIGURA 18 CRIPTOGRAFIA SOMENTE DO VALOR DE HASH FONTE Stallings 2017 p 343 c A função hash é utilizada sem nenhuma criptografia de autenticação da mensagem M Essa técnica assume que as duas partes usuários que se comunicam compartilham um valor secreto em comum S como uma senha só para abrir o arquivo e não para cifrálo e decifrálo Neste caso o usuário A calcula o valor hash sobre a concatenação de M e S e acrescenta o valor hash de M Como B possui S ele pode recalcular o valor de hash para verificar a mensagem Como o S em si não é enviado um interceptor da mensagem não conseguirá gerar uma mensagem falsa e passar despercebido Veja o fluxo desse método na Figura 19 FIGURA 19 FUNÇÃO DE HASH SEM NENHUMA CRIPTOGRAFIA FONTE Stallings 2017 p 343 172 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES d Este caso realiza a verificação da integridade por meio de um valor S compartilhado entre os usuários A e B da mesma forma que o método c Entretanto adiciona a verificação de confidencialidade à mensagem criptografando a mensagem inteira mais o valor de hash Todo esse fluxo é ilustrado na Figura 20 FIGURA 20 VERIFICAÇÃO DE INTEGRIDADE COM SENHA COMPARTILHADA FONTE Stallings 2017 p 343 Quando não é necessário garantir a confidencialidade da mensagem o método b é mais vantajoso que os métodos a e d que criptografam a mensagem inteira pois ele exige menor poder de processamento computacional Nesse sentido é crescente o interesse em técnicas que evitam a criptografia na troca de mensagens Devido ao valor cada vez maior de investimentos em hardware de criptografia assim como para evitar a diminuição de velocidade do fluxo de mensagens em softwares criptográficos STALLINGS 2017 Nesse contexto de acordo com Peixinho 2013 as características de algoritmos de hash eficientes são as seguintes 1 Impossibilidade de descobrir a mensagem original de entrada do algoritmo por meio do resultado da função hash Por esse motivo os algoritmos de hash são conhecidos como algoritmos de uma só via oneway 2 Não gerar um valor de hash repetido igual ao um valor gerado com uma mensagem original anterior pela função de hash Característica chamada de resistência à colisão fraca 3 Não gerar dois valores de hash iguais para duas entradas de mensagens originais já conhecidas que são diferentes Característica chamada de resistência à colisão forte Para o processamento de uma função de hash ser considerado ótimo além das características anteriores é preciso que o algoritmo tenha as seguintes propriedades poder ser aplicado em um bloco de dados de qualquer tamanho produzir uma saída de comprimento fixo ser de fácil implementação em hardware e software A função de hash que atender a todas as seis características citadas anteriormente é chamada de função de hash forte Caso a terceira característica não seja atendida é denominada de função de hash fraca STALLINGS BROWN 2014 TÓPICO 3 ALGORITMOS DE HASH 173 No próximo subtópico veremos dois exemplos de algoritmos que utilizam as funções hash e são utilizados em diferentes aplicações Fique atento pois são abordados assuntos importantes para a compreensão do funcionamento dessas funções 3 EXEMPLOS DE ALGORITMOS HASH Agora que você conhece os principais conceitos sobre o funcionamento e a finalidade dos algoritmos de hash conheceremos alguns exemplos de sua aplicação iniciando com os algoritmos deste tipo mais conhecidos que são o MD5 e o SHA O MD5 Message Digest Algorithm 5 Algoritmo de Sintetização de Mensagem 5 foi inventado por Ron Rivest do MIT Massachusetts Institute Of Technology Instituto de Tecnologia de Massachusetts O pesquisador também trabalhava para a indústria RSA de Segurança de Dados Esse algoritmo basicamente produz um valor de hash de 128 bits para mensagens de qualquer tamanho que sejam inseridas Além disso ele utiliza a função de uma só via que tem como principal objetivo verificar se um arquivo ou mensagem enviada não foi alterada PEIXINHO 2013 Ele foi proposto pela primeira vez em 1991 depois de alguns ataques que tiveram sucesso contra sua versão anterior o MD4 Para enfrentar esses problemas o algoritmo foi projetado para ser veloz simples e seguro Seus detalhes são públicos e já foram analisados e verificados por diversos profissionais que trabalham com criptografia PEIXINHO 2013 Em seguida conheceremos o algoritmo SHA Para conhecer um algoritmo de exemplo de geração do método MD5 na linguagem CNET acesse o link httpwwwlinhadecodigocombrartigo3141metodomd5aspx DICAS Já o SHA Secure Hash Algorithm Algoritmo de Hash Seguro é mais recente pois teve sua primeira versão SHA0 lançada em 1993 pelo NIST National Institut of Standards and Technology Instituto Nacional de Padrões e Tecnologia norteamericano Ele foi baseado na função hash MD4 Ele pode ser usado para produzir resumos de 160 bits e de mensagens de qualquer tamanho Por essa característica é eficiente contra os ataques de força bruta PEIXINHO 2013 Como já vimos nas unidades anteriores ataques de força bruta são aqueles em que se tenta descobrir a chave criptográfica por meio de um sistema de tentativa e erro tentando adivinhála 174 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES O SHA possui diferentes versões desde a primeira o SHA0 passando por versões posteriores como SHA1 1995 SHA2 2001 e o mais recente o SHA3 2015 A estrutura e as operações matemáticas do SHA1 segunda versão do algoritmo são muito semelhantes as do MD5 e do SHA0 Por esse motivo ele foi descontinuado por ser considerado inseguro Nos anos seguintes foram lançadas versões melhoradas e mais robustas do algoritmo que foram o SHA2 e o SHA3 Esse último SHA3 tem como objetivo ser complementar ao SHA 2 com um padrão aprovado por uma grande gama de sistemas e aplicações de segurança STALLINGS 2017 Para conhecer mais sobre a história de criação e para ver um exemplo do algoritmo de hash criptográfico SHA3 acesse o link httpsimasterscombrdotnetsha3onovopadraodehashcriptografico DICAS A principal diferença do SHA3 para seus predecessores é sua função esponja Apesar de possuir uma estrutura geral parecida as outras versões do SHA nesse caso a função esponja pega a mensagem de entrada e a divide em blocos com tamanho fixo Depois cada bloco é processado gerando uma saída específica de cada um e somente depois disso é feita uma junção de todos esses resultados para formar o bloco de saída Veja na Figura 21 que a mensagem message de entrada composta por uma quantidade n bits do SHA3 é dividida em uma quantidade k blocos de tamanho fixo de r bits cada STALLINGS 2017 Ou seja a letra k é utilizada para representar o nome de cada bloco e a letra r trata de uma quantidade aleatória de bits O uso dessas letras não têm uma explicação relacionada à abreviação de palavras mas servem para diferenciar cada parte da ilustração que podemos ver na Figura 21 Da mesma forma que a letra n que em muitas fórmulas e equações matemáticas é utilizada para descrever um número que não é conhecido Por exemplo em um caso real um bloco de dados poderia ser dividido em bloco A bloco B bloco C e assim por diante TÓPICO 3 ALGORITMOS DE HASH 175 FIGURA 21 ENTRADA DO SHA3 FONTE Stallings 2017 p 366 Em outras palavras é preciso definir valores matemáticos para cada quantidade de bits da mensagem de entrada para que a função do SHA3 consiga realizar os cálculos necessários por meio da divisão em blocos Como a quantidade total de bits da mensagem pode variar então ela é representada por um tamanho n Esse tamanho n é dividido em partes iguais que são divisíveis por r Por exemplo imagine uma mensagem com 100 bits Ela pode ser dividida em cinco blocos de vinte bits e isso deve ser informado na função do SHA3 para que assim o processamento seja feito por meio dessa quantidade de blocos Isso significa que o valor de n pode ser encontrado multiplicando o número de blocos k pela quantidade de bits de cada um r como vemos na Figura 15 Da mesma forma é preciso dividir o total de bits k da mensagem por r e obter um resultado com números inteiros Que são aqueles números sem vírgula sem decimais depois da vírgula Se o resultado dessa divisão não for um número inteiro uma função mod é acionada pela função para incluir um bloco de bits para arredondar esse resultado Na Figura 15 esse bloco é apresentado como pad Depois de a entrada input ser dividida e o processamento do hash ser realizado em cada um de seus blocos numerados como P0 P1 até Pk 1 começa a construção da saída output da função Cada saída também é numerada de Z0 Z1 até Zj1 A quantidade de bits dos blocos de saída vai depender do tamanho de saída previamente definido Isso pode ser visto na Figura 19 STALLINGS 2017 176 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES FIGURA 19 SAÍDA DO SHA3 FONTE Stallings 2017 p 366 Entenda que esse é um exemplo simplificado do processamento de um algoritmo que utiliza SHA3 Vários outros cálculos são necessários para produzir uma saída satisfatória e segura Por exemplo existe a possibilidade de configurar os valores a serem calculados de acordo com o nível de segurança alcançável pela função hash Assim diminuindo ou aumentando o tamanho de r no processamento por exemplo Os métodos de hash que vimos nesse tópico não são os únicos mas se trata dos mais comuns no dia a dia de usuários e organizações que trabalham com segurança da informação aliada à criptografia Ao longo desta unidade foram abordadas ferramentas e técnicas importantes para ampliar o poder da criptografia no processamento e troca de dados e informações Ao final dessa unidade é importante lembrar que vimos conceitos desde a criptografia múltipla que combina várias camadas de criptografia a proteção e o gerenciamento de chaves criptográficas bem como os algoritmos de hash utilizados para criar resumos das mensagens por meio de algoritmos especializados Sendo que todos eles são essenciais para a aplicação da criptografia na garantia da segurança das informações TÓPICO 3 ALGORITMOS DE HASH 177 LEITURA COMPLEMENTAR AFINAL O QUE É CRIPTOGRAFIA E PARA QUE ELA SERVE Altieres Rohr A cada conversa iniciada no WhatsApp o aplicativo avisa as mensagens e chamadas desta conversa estão protegidas com criptografia de ponta a ponta O que é essa tal de criptografia Faz alguma diferença ela ser de ponta a ponta Pode parecer coisa de filme a ideia de que todas as suas conversas precisam ser feitas em código transformando o texto que você envia em algo incompreensível para a leitura humana A criptografia faz exatamente isso ela embaralha todo o conteúdo que você envia usando uma fórmula o algoritmo e uma chave secreta Criptografar a comunicação na internet é indispensável Enquanto as antigas redes de telefonia e até as entregas de correspondência sempre foram controladas por poucos a internet cresceu graças à facilidade com que novos provedores e redes podiam se integrar a ela Ou seja a internet é um lugar onde estamos sempre falando com estranhos E como não sabemos exatamente quem pode estar no meio de uma conexão usamos a criptografia para dispensar a necessidade de confiança total na rede Além da internet a criptografia também é uma excelente ferramenta para controle de identidade É ela que torna possível o eCPF e o eCNPJ validando as assinaturas eletrônicas dos certificados digitais Também é provável que seu celular esteja protegendo todos os seus dados e aplicativos com criptografia vinculando uma chave ao desbloqueio da tela Por que conversar em código na internet Embora a criptografia tenha sido usada desde o início em algumas atividades da internet serviços financeiros e compras por exemplo a ação de hackers tem justificado o uso dela em cada vez mais serviços Brasileiros passam 90 do tempo de navegação em sites com criptografia segundo dados do Google O motivo é fácil de entender ela resolve três problemas ao mesmo tempo São eles 1 Identificar as partes da comunicação Um impostor não pode se passar por outra entidade em uma comunicação criptografada sem roubar a chave criptográfica o segredo que alimenta a fórmula criptográfica para embaralhar o conteúdo 178 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Quando um site usa criptografia isso diz ao seu navegador que ele está conectado ao site verdadeiro que reside no endereço acessado A mesma situação ocorre no WhatsApp quando ele avisa que o código de segurança de um contato mudou pode ser que seu amigo tenha trocado de telefone ou reinstalado o app mas pode ser que a conta do WhatsApp dele tenha sido roubada Como o criminoso não tem a chave original ele é obrigado a cadastrar uma chave nova alertando todos os contatos sobre esse acontecimento 2 Impedir grampos e espionagem Como os dados trafegam em código um invasor não consegue ver o conteúdo da transmissão mesmo que controle o canal por onde ela passa 3 Detectar adulterações e mensagens corrompidas A comunicação criptografada quando sofre alterações não será mais decifrada de forma limpa e correta Isso permite detectar conexões que tenham sofrido interferência seja ela intencional por causa de um ataque ou acidental erros de rede A popularidade de redes sem fio públicas também contribuiu para a adoção da criptografia na web Os roteadores sem fio já utilizam um tipo de criptografia mas nem todas as redes são criptografadas e nem sempre a criptografia do WiFi é boa inclusive porque redes públicas podem usar senhas fracas A solução para os aplicativos e sites é adotar uma criptografia entre eles e seus usuários Quando você está na mesma rede que outras pessoas todas elas podem desviar seu acesso ou roubar dados de conexão inclusive os cookies que na prática dão acesso total às suas contas de redes sociais lojas e email Com criptografia no canal de comunicação com o site todo esse conteúdo inclusive os cookies é transmitido de maneira segura Na prática a criptografia é um pilar de segurança que viabiliza o uso de serviços e redes que normalmente não seriam adequados O que é criptografia de ponta a ponta Muitos serviços antigos de comunicação da web permitiam a conexão direta entre dois usuários especialmente para a transferência de arquivos Se ainda fosse assim toda criptografia seria de ponta a ponta mas não é O aumento no número de pessoas com acesso à internet e as restrições cada vez mais severas de acesso em empresas além do compartilhamento de endereços de IP o que acontece inclusive na sua casa quando você conecta ao mesmo tempo o celular notebook e a smart TV dificultam as conexões diretas TÓPICO 3 ALGORITMOS DE HASH 179 A regra agora são as comunicações intermediadas pelos serviços que utilizamos como o Facebook o WhatsApp o Telegram o Skype o Discord e assim por diante Todos esses serviços usam criptografia mas a criptografia comum não é entre as pontas os participantes da conversa e sim até o intermediário A conexão vai criptografada até o intermediário que decifra os dados e criptografa novamente para envio ao destinatário A criptografia de ponta a ponta como a utilizada pelo WhatsApp garante que o conteúdo da mensagem seja decifrado apenas pelo destinatário final O aplicativo tem dois estágios de criptografia para isso um até o servidor intermediário do WhatsApp com os dados do destinatário que o app precisa para saber a quem encaminhar a conversa em seu papel de intermediário e outro para o conteúdo da mensagem que só será decifrado pelo destinatário Além do WhatsApp o Signal também oferece um serviço de comunicação totalmente criptografado enquanto o Telegram e o Facebook Messenger oferecem o recurso de chat secreto que criptografa conversas específicas mas não pense que a criptografia de ponta a ponta é especial Ela só é um diferencial em sistemas de troca de mensagens Quando você usa um serviço ou site que é ele próprio o destino dos dados seu banco uma loja online ou um site de notícias como o G1 a criptografia é sempre de ponta a ponta Criptografia no seu bolso Se você comprou um smartphone nos últimos três anos tudo que você guarda nele provavelmente está protegido com criptografia A chave é atrelada ao seu bloqueio de tela quando você desbloqueia o aparelho ele passa a ter acesso à chave que permite decifrar o conteúdo da memória interna Se o seu smartphone for roubado um criminoso não é capaz de acessar os seus arquivos mesmo que ele retire o chip de memória presente na placa lógica Notebooks nem sempre fornecem a mesma segurança Sem criptografia não adianta muito ter uma senha de bloqueio do sistema os dados ficam totalmente expostos quando o armazenamento é ligado em outro computador No Windows a criptografia é privilégio da edição Pro e superiores o recurso chamase BitLocker Os MacBooks da Apple também contam com essa tecnologia e o sistema da Apple não possui versões com recursos distintos A mágica da assimetria e o risco quântico O funcionamento técnico da criptografia é complexo mas uma das características mais interessantes da tecnologia está na chamada criptografia assimétrica Nesse tipo de fórmula a chave capaz de decifrar uma mensagem é diferente da chave que gera o texto cifrado 180 UNIDADE 3 CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES Na criptografia simétrica a mesma chave embaralha e desembaralha as informações Usar chaves diferentes para cifrar e decifrar mensagens é útil em diversos cenários inclusive no WhatsApp Como a chave enviada aos seus contatos chamada de chave pública serve apenas embaralhar os dados seus contatos podem criptografar mensagens destinadas a você sem que isso dê a eles a possibilidade de decifrar suas outras comunicações A chave que decifra os dados chamada de chave privada jamais é transmitida para ninguém Para essa mágica funcionar o elo entre as chaves é estabelecido com alguma propriedade matemática que os computadores têm dificuldade para calcular Uma dessas técnicas é a fatoração de números primos Computadores levariam milhares de anos para conseguir encontrar a chave privada que faz par com uma chave pública O maior risco para esse truque hoje é a computação quântica Computadores quânticos são muito diferentes dos computadores tradicionais ou binários Um cálculo complicado para um sistema binário pode não ser tão desafiador para um sistema quântico Até hoje nenhum ataque desse tipo já foi demonstrado na prática Nossos dados continuam seguros com a criptografia mas é importante ficar de olho no que pode acontecer FONTE Adaptado de httpsg1globocomeconomiatecnologiablogaltieresrohr post20200114afinaloqueecriptografiaeparaqueelaserveghtml Acesso em 17 jan 2021 181 RESUMO DO TÓPICO 3 Neste tópico você aprendeu que Os algoritmos de hash são utilizados de forma combinada a diferentes métodos criptográficos Uma função de hash produz como resultado um valor de hash com tamanho fixo mesmo tendo como entrada mensagens ou blocos de dados de tamanho variável Por sua característica de não reversão o valor de hash é comumente utilizado para verificar se um dado foi alterado durante o trânsito entre diferentes usuários Existem diferentes algoritmos que colocam em prática as funções de hash entre os mais conhecidos estão o MD5 e as versões do SHA Ficou alguma dúvida Construímos uma trilha de aprendizagem pensando em facilitar sua compreensão Acesse o QR Code que levará ao AVA e veja as novidades que preparamos para seu estudo CHAMADA 182 1 As funções hash são empregadas sobre uma quantidade de informações de tamanho variável e geram um resultado único e de tamanho fixo Nesse contexto sobre o conceito e os objetivos das funções hash assinale a alternativa CORRETA a Uma função hash eficiente produz saídas que são aleatórias b O objetivo principal de uma função de hash é adulterar a integridade dos dados c O objetivo principal de uma função de hash é manter a agilidade dos dados d Uma função hash eficiente produz saídas que parecem ser aleatórias 2 O algoritmo de hash pode ser considerado um dos algoritmos criptográficos mais versáteis Nesse contexto analise as sentenças a seguir I Entre as utilidades de um algoritmo de hash está a autenticação de mensagens II Os algoritmos de hash são úteis para criar senhas de sistemas operacionais III Assinaturas digitais são criadas por meio de algoritmos de hash IV Há sites que disponibilizam o hash de seus arquivos para possível verificação de integridade Assinale a alternativa CORRETA a As sentenças I e III estão corretas b As sentenças I II e IV estão corretas c Somente a sentença II está correta d Somente a sentença III está correta 3 Algoritmos de hash podem ser empregados de forma combinada a verificações de confidencialidade de mensagem por meio de criptografia As combinações com outros métodos de segurança da informação podem ampliar as características desses algoritmos Nesse sentido classifique V para as sentenças verdadeiras e F para as falsas A mensagem original de entrada do algoritmo de hash pode ser descoberta se o processamento for revertido É impossível descobrir a mensagem de entrada do algoritmo de hash pois o valor de hash não permite reversão O valor de hash gerado por uma função não pode ser igual ao valor que seja resultado de outra mensagem original de entrada É característica de uma boa função de hash a difícil implementação em hardware e software AUTOATIVIDADE 183 Assinale a alternativa que apresenta a sequência CORRETA a V F F V b F V V F c V V F F d F F V V 4 As funções hash são fortemente empregadas para autenticar mensagens entre diferentes usuários Um caso específico é o uso do valor de hash associado ao código de autenticação de mensagens Message Authentication Code MAC Disserte sobre o funcionamento do MAC 5 O SHA Secure Hash Algorithms Algoritmo de Hash Seguro foi lançado em 1993 pelo NIST National Institut of Standart and Techonology que é uma instituição norte americana Neste contexto disserte sobre a principal diferença entre o SHA3 e suas versões anteriores e sobre o funcionamento dessa característica 184 REFERÊNCIAS ALJAWARNEH S YASSEIN M B TALAFHA W A A resourceefficient encryption algorithm for multimedia big data Multimed Tools Appl DordrechtNetherlands v 76 n 01 p 2270322724 2017 BARKER E Recommendation for Key Management part 1 general National Institute of Standards and Technology NIST Gaithersburg edição especial maio 2020 Disponível em httpsnvlpubsnistgovnistpubs SpecialPublicationsNISTSP80057pt1r5pdf Acesso em 25 fev 2021 BARKER E BARKER W C Recommendation for Key Management part 2 best practices for key management organizations National Institute of Standards and Technology NIST Gaithersburg maio 2019 Disponível em httpsnvlpubsnistgovnistpubsSpecialPublicationsNISTSP80057pt2r1pdf Acesso em 25 fev 2021 CENTRO DE ESTUDOS RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL Certbr Cartilha de segurança para internet 4 ed São Paulo Comitê Gestor da Internet no Brasil 2012 COSTA L da et al Compartilhamento seguro de arquivos de saúde usando criptografia baseada em atributos e redes descentralizadas 2018 Disponível em httpssolsbcorgbrindexphpsbcasarticleview36823634 Acesso em 5 jan 2021 COULOURIS G et al Sistemas distribuídos conceitos e projeto 5 ed Porto Alegre Bookmann 2013 HABBOUSH A MultiLevel Encryption Framework International Journal of Advanced Computer Science and Applications New York v 9 n 4 p 130134 2018 HINTZBERGEN J et al Fundamento de segurança da informação com base na ISSO 27001 e na ISSO 27002 3 ed Rio de Janeiro Brasport 2018 KUNDRO D Criptografia homomórfica um esquema de criptografia cada vez mais usado 2019 Disponível em httpswwwwelivesecuritycom br20190906criptografiahomomorficaumesquemadecriptografiacada vezmaisusadotextAtualmente2C20os20sistemas20de20 criptografiaLevelled20Homomorphic20e20Fully20Homomorphic Acesso em 5 jan 2021 MASADEH S R et al A novel Paradigm In Authentication System Using Swifi Encryption Decryption Approach International Journal of Network Security Its Applications v 6 n 1 p 1724 2014 185 NAKAMURA E T Segurança da informação e de redes Londrina Editora e Distribuidora Educacional 2016 PEIXINHO I de C Segurança de redes e sistemas Rio de Janeiro RNPESR 2013 STALLINGS W Cryptography and Network Security principles and practice 7 ed Boston Pearson 2017 STALLINGS W BROWN L Segurança de computadores 2 ed Rio de Janeiro Elsevier 2014 UTO N Teste de invasão de aplicações web Rio de Janeiro RNPESR 2013