PROFESSOR: CLEBER RAMOS SEGURANÇA DE DADOS – SENAI - VILHENA

Segurança de Dados

CriptoGrafia

O QUE VEREMOS??Criptologia, Criptografia e Criptoanálise

• Conceito

• História

CHAVES :

Simétricas

Assimétricas

ALGORITMOS, RC4

AES

DES

RC4

Como identificar se um site é seguro

Cookies

ORGANOGRAMA SIMPLIFICADO DA CRIPTOLOGIA

HISTÓRIA• A criptografia é tão antiga como a escrita. Desde que o

homo sapiens iniciou sua jornada sobre este planeta, o mesmo tem necessitado comunicar-se com seus semelhantes mas em outras ocasiões não quer que outros se entendam.

• Em situações de guerra nenhum comandante deseja que seus inimigos conheçam suas estratégias caso viesse interceptar uma mensagem.

• A despeito do fato de existirem pessoas cuja grafia faria qualquer médico se morder de inveja ( e em muitos casos a própria pessoa não entende o que escreveu) esta “técnica” NÃO pode ser classificada como Criptografia.

• Os espartanos foram os primeiros a utilizar um sistema de criptografia militar, por volta do século V a.C. Eles cifravam e ocultavam mensagens usando um bastonete que eles chamavam de (cítara) e uma cinta enrolada nele, na qual a mensagem era escrita. A cinta era desenrolada e enviada ao destinatário, o qual tinha outra (cítara) , de igual diâmetro. Ele então enrolava de novo a cinta e lia a mensagem [Ric00]. Se o bastonete fosse do tamanho errado, a mensagem seria ilegível

CÍTARA (SCYTALE) ESPARTANA

• Dois bastões construídos perfeitamente idênticos sobre os quais se enrolava uma fita de pergaminho ou papiro e se escrevia a mensagem clara no sentido do seu comprimento; Depois de desenrolar a fita ela é enviada ao destinatário que possuí a segunda cópia do bastão. Enrolando-se novamente a fita, lia-se a mensagem clara”

• O general romano Júlio César também relatou o uso de mensagens cifradas em seu livro, sobre as Guerras Gálicas. A ele é atribuída a criação de um sistema simples de substituição de letras, que consistia em escrever o documento codificado com a terceira letra que seguiria a ela no alfabeto. Assim a letra A era substituída pela D, e a B pela E e assim sucessivamente. Por conseguinte seu nome foi dado a qualquer tipo de método de cifragem semelhante ao que usou:

• alf. puro: a b c d e f g h i j k l m n o p q r s t u v x y w z

• alf. César: D E F G H I J K L M N O P Q R S T U V X Y Z A B C D

• Na Idade Média. os Alquimistas, de forma geral, ficaram bastante conhecidos por escreverem suas receitas de forma cifrada.

• Pulando alguns séculos, Leonardo da Vinci escreveu seus projetos, na época mirabolantes (e passíveis de serem premiados com um churrasco promovido pela Inquisição) através da escrita em forma reversa ( ou especular), podendo ser lida colocando-se o original de frente a um espelho.

• O principal uso da criptografia na era moderna foi no campo militar. Em 1917, por exemplo, o serviço de Inteligência Naval de Inglaterra entregou aos Estados Unidos uma mensagem que havia sido enviada ao embaixador alemão na Cidade do México pelo governo germânico.

• Na mesma se autorizava ao diplomata a negociar um acordo com o México para entrar a favor de Alemanha na Primeira Guerra Mundial.

• Em troca, os mexicanos receberiam os territórios de Novo México, Arizona e Texas, caso resultassem vencedores.

• O texto conhecido como Telegrama Zimmermann levou os norte americanos a participar dessa guerra contra Alemanha [Leo01]

• A aparição dos computadores, e a disponibilização de capacidade de processamento sempre crescente, fez com que a criptografia se fizesse agora de forma digital. Em 1976, a IBM desenvolveu um sistema criptográfico denominado Data Encryption Standard (DES)

ALGORITMOS DES

• O DES baseia-se em elaborados sistemas matemáticos de substituição e transposição os quais fazem que seja particularmente difícil de ser rompido.

• Entretanto o DES depende de que tanto o remetente da mensagem como o receptor conheçam a chave com a qual ela foi encriptada.

• Neste sentido este mecanismo se parece com o sistema usado pelos espartanos, que necessitavam ter o cilindro com o qual se havia codificado o texto para que o mesmo pudesse ser lido. No caso do DES este “cilindro” se denomina “chave”.

• Uma chave de 56 bits é atualmente o padrão no DES. Para ler uma mensagem cifrada com o DES é necessário usar a mesma chave com a qual ela foi encriptada.

• Para fins de transações comerciais virtuais esta propriedade se torna pouco prática e insegura, porque a própria chave deve ser transmitida por meios eletrônicos.

• Para resolver este problema se criou a criptografia de chave pública. Neste sistema existem duas chaves: uma privada e outra pública. Quando A quer enviar uma mensagem para B, este solicita sua chave pública (que como o nome indica pode ser conhecida por todo mundo).

CRIPTOGRAFIA CLÁSSICA

A criptografia pré-computacional era formada por um conjunto de métodos de substituição e transposição de caracteres de uma mensagem que pudessem ser executados manualmente (ou até mesmo mentalmente) pelo emissor e pelo destinatário da mensagem.

O surgimento de máquinas especializadas e, posteriormente, dos computadores evoluíram as técnicas criptográficas .

O QUE É CRIPTOGRAFIA?

• A criptografia é um conjunto de técnicas para esconder informação de acesso não autorizado.

QUAL O OBJETIVO DA CRIPTOGRAFIA?

• O objetivo da criptografia é transformar um conjunto de informação legível, como um e-mail, senhas ou trecho de um código de programação, em um emaranhado de caracteres impossível de ser compreendido.

ESCRITA CIFRADA

• A escrita cifrada é uma "mania" muito antiga. Foi só o homem inventar o alfabeto e começar a escrever que logo surgiu a vontade de escrever textos secretos.

• Os métodos ou códigos utilizados para criar uma mensagem cifrada evoluíram lentamente.

• No início, havia poucas pessoas que sabiam escrever e pouca necessidade de esconder o conteúdo de qualquer mensagem.

Carta Enigmática

CRIPTOGRAFIA – CONCEITOS:

"Cripto" vem do grego kryptós e significa oculto, envolto, escondido. Também do grego,

graphos significa escrever.

"Mundo mundo vasto mundo, se eu me chamasse Raimundo, seria uma rima, não seria uma solução."

Sou Carlos Drummond de Andrade.

NÃO SE ENGANE!

Criptologia é ("o estudo dos segredos")

Esteganografia vem do grego "escrita escondida“ e é o estudo das técnicas de ocultação de mensagens dentro de outras. Diferente da Criptografia, que a altera de forma a tornar seu signif icado or iginal inintel igível.

A Esteganogra f ia não é cons iderada par te da Cr ip to log ia , apesar de mui tas vezes ser es tudada em contex tos semelhantes e pe los mesmos pesquisadores .

É importante frisar a diferença entre a esteganografia e a criptografia. Enquanto a primeira oculta a existência da mensagem, a segunda oculta o significado da mensagem. Muitas vezes, as duas são utilizadas em conjunto.

A CRIPTOGRAFIA BUSCA OS SEGUINTES OBJETIVOS:

• Confidencialidade: só o destinatário autorizado será capaz de extrair o conteúdo da mensagem da sua forma cifrada. Além disso, a obtenção de informação sobre o conteúdo da mensagem (como uma distribuição estatística de certos caracteres) não pode acontecer, uma vez que, se ocorrer, torna fácil a análise da mensagem criptográfica por terceiros.

• Integridade: o destinatário deve ser capaz de determinar se a mensagem foi alterada durante a transmissão.

• Autenticação do remetente: o destinatário deve ser capaz de identificar o remetente e verificar que foi mesmo este quem enviou a mensagem.

• Não-repúdio ou irretratabilidade do emissor: não deverá ser possível ao emissor negar a autoria da mensagem enviada.

FIQUE ATENTO!Nem todos os sistemas ou algoritmos criptográficos são utilizados para atingir todos os objetivos listados.

Existem algoritmos específicos para cada função.

Mesmo em sistemas criptográficos bem concebidos, bem implementados e usados adequadamente, alguns dos objetivos acima não são práticos (ou mesmo desejáveis) em algumas circunstâncias.

Por exemplo, o remetente de uma mensagem pode querer permanecer anônimo, ou o sistema pode destinar-se a um ambiente com recursos computacionais limitados, ou pode não interessar a confidencialidade.

A origem do baile de máscaras foi a necessidade de esconder a própria identidade - neste caso, a chave é a fantasia e a máscara.

Hoje em dia a criptografia voltou a ser muito utilizada devido à evolução dos meios de comunicação, à facilidade de acesso a estes meios e ao volume muito grande de mensagens enviadas. Telefone fixo e celular, fax, e-mail, etc. são amplamente utilizados e nem sempre os usuários querem que o conteúdo seja público.

CRIPTOLOGIA

• A palavra Criptologia deriva da palavra grega kryptos (oculto) e logos (estudo). Este campo de estudo mais abrangente abarca as áreas da Criptografia e da Criptoanálise.

• Um conceito que possa definir Criptologia em poucas palavras é que ela seria o estudo das escritas secretas.

O que é Criptologia

• Na verdade Criptologia é o estudo de Códigos e Cifras (não necessariamente secretos).

• “Atenção” Mensagens ocultas que não são nem “codificadas” nem “cifradas” são, simplesmente, ocultas. A técnica da tinta invisível é um exemplo de mensagem oculta.

• Um código é um sistema preestabelecido de substituição de palavras ou de parágrafos.

• Um idioma estrangeiro, por exemplo, é como um código secreto onde cada palavra em português possui uma equivalente nele. Assim, “oi" em português equivale a " hola " em espanhol ou " hi" em inglês.

• A maioria dos códigos funcionam com um "livro de códigos" onde estão relacionadas as equivalências, como se fosse um dicionário.

O que é um Código?

O QUE É CIFRA?

• A Palavra CIFRA vem do hebraico saphar, que significa "dar número". A maioria das cifragens são intrinsecamente sistemáticas, frequentemente baseadas em técnicas de sistemas numéricos.

• Alfabeto normal: a b c d e f g h i j k l m n o p q r s t u v w x y z

• Alfabeto para a cifragem:8 F H G 3 l 1 L E I w o M X 6 Q P b V 9 a Z S D j r

• Formada a partir da concatenação do termo grego kryptos (escondido, oculto) e da palavra grapho (grafia, escrita), a Criptografia apresenta-se como a ciência de escrever em códigos ou em cifras, ou seja, uma ciência capaz de prover meios através dos quais seja possível transformar um texto “em claro” (inteligível) em um texto “cifrado” (ininteligível).

CRIPTOANÁLISE

• O termo Criptoanálise é o estudo de como “QUEBRAR” os mecanismos criptográficos, podendo assim revelar o conteúdo das mensagens cifradas.

• Dentro da Criptologia a ciência da Criptografia tem como seu objeto de estudos os processos de Encriptação ou seja, a transformação dos dados em uma forma que torna impossível a sua leitura sem o apropriado conhecimento.

• O seu propósito é assegurar privacidade da informação mantendo o entendimento da mensagem oculto de qualquer um a qual ela não seja destinada.

• A Decriptação, por outro lado, é o reverso da Encriptação; é a transformação de dados encriptados novamente em uma forma inteligível.

• Encriptação e Decriptação geralmente requerem o uso de uma informação secreta que atua como uma chave. Para alguns mecanismos de encriptação a mesma chave é usada para tanto para a cifragem dos dados quanto para a sua decifragem; para outros mecanismos as chaves usadas para a encriptação e decriptação são diferentes.

REVISÃO! CRIPTOGRAFIA

Como já vimos, que a criptografia, é a ciência de escrever mensagens que ninguém deveria poder ler, exceto o remetente e o destinatário.

Mas existe a criptoanálise que é a ciência de "quebrar" o método utilizado, decifrar e ler estas mensagens cifradas.

O QUE É CRIPTOLOGIA?

Confidencialidade ou Privacidade

• Ninguém pode invadir seus arquivos e ler os seus dados pessoais sigilosos (Privacidade).

• Ninguém pode invadir um meio de comunicação e obter a informação trafegada, no sentido de usufruir vantagem no uso de recursos de uma rede (confidencialidade).

DUVIDAS?

CHAVES

Criptografia AssimétricaCriptografia Simétrica

A cifragem com chave privada de

Bob garante a sua Autenticidade

FINALIZANDO CRIPTOGRAFIA

CERTIFICADO DIGITAL

Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que acredita-se ser de posse unicamente da entidade especificada no certificado.

CERTIFICADO DIGITAL

Basicamente, trata-se de um documento eletrônico com assinatura digital que contém dados como nome do utilizador (que pode ser uma pessoa, uma empresa, uma instituição, etc), entidade emissora (você saberá mais sobre isso adiante), prazo de validade e chave pública. Com o certificado digital, a parte interessada obtém a certeza de estar se relacionando com a pessoa ou com a entidade desejada.

CERTIFICADO DIGITAL (CONT...)

Um exemplo de uso de certificados digitais vem dos bancos. Quando uma pessoa acessa sua conta corrente pela internet, certificados digitais são usados para garantir ao cliente que ele está realizando operações financeiras com o seu banco. Se o usuário clicar no ícone correspondente no navegador de internet, poderá obter mais detalhes do certificado. Se algum problema ocorrer com o certificado - prazo de validade vencido, por exemplo -, o navegador alertará o usuário.

CERTIFICADO DIGITAL (CONT...)

É importante frisar que a transmissão de certificados digitais deve ser feita através de conexões seguras, como as que usam o protocolo Secure Socket Layer (SSL), que é próprio para o envio de informações criptografadas.

TIPOS DE CERTIFICADOS

A ICP-Brasil oferece duas categorias de certificados digitais: A e S, sendo que cada uma se divide em quatro tipos: A1, A2, A3 e A4; S1, S2, S3 e S4. A categoria A é direcionada para fins de identificação e autenticação, enquanto que o tipo S é direcionado a atividades sigilosas.

A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano;

A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade máxima de dois anos;

A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos;

A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos.

TIPOS DE CERTIFICADOS (CONT...)

Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado no computador do solicitante, enquanto que o segundo é guardado em cartões inteligentes protegidos por senha.

e-CPF e e-CNPJ

Falar de certificação digital no Brasil frequentemente remete a duas importantes iniciativas: o e-CPF e o e-CNPJ. O primeiro é, essencialmente, um certificado digital direcionado a pessoas físicas, sendo uma espécie de extensão do CPF (Cadastro de Pessoa Física), enquanto que o segundo é um certificado digital que se destina a empresas ou entidades, de igual forma, sendo um tipo de extensão do CNPJ (Cadastro Nacional da Pessoa Jurídica).

Ao adquirir um e-CPF, uma pessoa tem acesso pela internet a diversos serviços da Receita Federal, muitos dos quais até então disponíveis apenas em postos de atendimento da instituição. É possível, por exemplo, transmitir declarações de imposto de renda de maneira mais segura, consultar detalhes das declarações, pesquisar situação fiscal, corrigir erros de pagamentos, entre outros. No caso do e-CNPJ, os benefícios são semelhantes.

COMO IDENTIFICARSE UM SITE É SEGURO

A utilização do Certificado Digital para servidor web em conjunto com a tecnologia SSL (Secure Socket Layer), também conhecida como TLS (Transport Layer Security), possibilita criptografar e proteger as informações transmitidas pela Internet, garantindo uma conexão segura entre o navegador do usuário e o servidor web.

Obrigado Pela Paciente Atenção!!

CLEBER RAMOS DISCIPLINA SEGURANÇA DE DADOS

REFERÊNCIA

http://www.numaboa.com/criptografiahttp://pt.wikipedia.org/wiki/Criptografiahttp://www.marinha.pt/extra/revista/ra_jan2004/pag_10.htmlhttp://www.certisign.com.brhttp://www.infowester.com/assincertdigital.phphttp://www.certificadosdigitais.com.brhttp://www.rapidssl.com.br