25/08/2013
1
CERTIFICAÇÃO DIGITAL
Autenticidade Digital
Certificação Digital
25/08/2013
2
Políticas de Segurança
� Regras que baseiam toda a confiança em um determinado sistema;
� Dizem o que precisamos e o que não precisamos proteger;
� São responsáveis por mostrar contra quem é preciso proteger as informações;
� Documentos e regras a serem utilizadas nas transações eletrônicas
Infraestrutura de Segurança
� São os mecanismos básicos para garantir que as políticas sejam seguidas;
� Infraestrutura física◦ servidores;◦ roteadores;◦ hardwares de firewalls◦ controle de acesso aos CPDs◦ etc.
� Infraestrutura lógica◦ sistemas operacionais;◦ sistemas antivírus;◦ sistemas anti-spyware;◦ software de firewalls;◦ etc.
� São normalmente utilizados por qualquer empresa que possua um Website.
25/08/2013
3
Introdução
Certificação DigitalAuten
ticação
Privacidade
Autorização
Integridade do
s dado
s
Não
Rep
údio
Infraestrutura de Segurança
Políticas de Segurança
Autenticação
� É o ato de estabelecer ou confirmar algo ou alguém como autêntico;
� Confirmação da procedência de um objeto ou pessoa, geralmente por meio da verificação da sua identidade.
� As pessoas são quem dizem ser?
25/08/2013
4
Autenticação
� A identidade pode ser verificada das seguintes formas:◦ O que você tem
� Ex: RG, CPF, título de eleitor, certidão de nascimento;� É diretamente vinculada à pessoa para a qual foi emitida;� É difícil de forjar, copiar ou alterar;� É emitido por um terceiro confiável.
◦ O que você sabe� Ex: segredos, senhas;� Pode ser interceptado e usado de forma ilícita
◦ O que você é� Ex: biometria: digitais, face, retina ou íris, geometria da mão, voz;� É inconveniente e intrusiva� Uma vez digitalizados para comparação, torna-se um conjunto de bits
que pode ser copiado;;� Qualquer alteração no corpo (mutilações, machucados) pode interferir
no reconhecimento
Autenticação
� Autenticação por certificação digital◦ Pode ser efetuada através dos certificados digitais, por exemplo, por seu e-CPF;
1. Identificação inequívoca;
2. Validade é facilmente verificável por outras pessoas;
3. Proteção contra fraude e falsificação;
4. Vincula uma pessoa física ou jurídica a uma transação eletrônica;
5. É de utilização simples e fácil
25/08/2013
5
Privacidade
� Habilidade de uma pessoa controlar a exposição e a disponibilização de informações acerca de si;
� Capacidade de existir na sociedade de forma anônima, bem como garantir que informações sobre si não sejam expostas;
� Diz respeito à capacidade que temos de garantir sigilo às informações sensíveis, protegendo-as contra acesso não autorizado;
� No mundo físico, a privacidade é buscada mediante o uso de chaves, cofres, alarmes, etc.
� No mundo digital é necessário a utilização de algum mecanismo que nos permita um certo grau de sigilo nas transações;
� CRIPTOGRAFIA
Privacidade
� Criptografia◦ Grego: kriptos (oculto) grapho (escrita);
◦ Ciência ou arte de codificar mensagens usando uma fórmula que também será utilizada para decodificar a mesma mensagem;
◦ Os navegadores Web, a maioria dos programas de e-mail, processadores de texto, etc. já estão preparados para prover essa funcionalidade de maneira segura e transparente.
25/08/2013
6
Autorização
� Mecanismo responsável por garantir que apenas usuários autorizados utilizem recursos protegidos de forma controlada;
� Diz respeito à garantia de que as pessoas não executarão qualquer ação para a qual não possuam explícita permissão;
� Garante que o usuário só consiga fazer aquilo que ele realmente tem autorização para fazer.
� Com a utilização da certificação digital, as aplicações podem reconhecer o usuário e, automaticamente, atribuir-lhe as autorizações necessárias à execução de suas funções.
Integridade dos dados
� Garantia de que possamos identificar que um determinado dado ou informação não tenha sofrido alterações não autorizadas;
� No mundo físico:◦ Autenticação de cópias por agentes autorizados ou cartórios;
◦ Assinatura de testemunhas;
◦ Papéis especiais;
◦ Assinaturas de próprio punho;
◦ Análises grafotécnicas;
◦ Perícias;
◦ etc.
� Quando existe alguma alteração, existem meios técnicos e científicos para provar essa alteração
25/08/2013
7
Integridade dos dados
� No mundo digital a identificação de alterações é geralmente difícil;
� Para atender a esta necessidade, a certificação digital utiliza um mecanismo de resumo (hash), que permite gerar um extrato/resumo do conteúdo a ser protegido;
� Se um bit for alterado, a assinatura digital inicialmente criada não funcionará mais, mostrando que o documento foi alterado;
Não repúdio
� Garantia de que o autor não negue ter criado e assinado o documento;
� No mundo físico, quando uma pessoa assina um documento, mesmo diferente da sua assinatura habitual, existem mecanismos periciais que permitem identificar se uma pessoa foi quem assinou ou não o documento;
� No mundo digital, o não repúdio pode ser realizado por mecanismos de certificação digital;
� A emissão de um certificado digital permite a associação de uma pessoa ao seu respectivo certificado;
� Na emissão do e-CPF, por exemplo, existe sempre um “terceiro de confiança”, que é responsável pela identificação do usuário e sua vinculação ao e-CPF;
� Nesse processo é necessário apresentar uma série de documentos físicos;
25/08/2013
8
Criptografia
Criptografia Clássica
� Se evidencia com o início da comunicação escrita;◦ Scylate
◦ Escrita ao contrário� ODERGES � SEGREDO
25/08/2013
9
Criptografia Clássica
� Substituição Monoalfabética
SEGREDO � 19, 05, 07, 18, 05, 04, 15 � segredo
chave = 3 � 22, 08, 10, 21, 08, 07, 18 � vhjuhgr
01 02 03 04 05 06 07 08 09 10
A B C D E F G H I J
11 12 13 14 15 16 17 18 19 20
K L M N O P Q R S T
21 22 23 24 25 26
U V W X Y Z
Criptografia Clássica
� Evoluções◦ aumento no nível de segurança
� Criptografia para fins militares◦ Com máquinas, a cifragem era feita de forma mais rápida e segura, permitindo transmitir às tropas determinadas estratégias sem que o inimigo compreendesse.
◦ Também se desenvolveu a criptoanálise, que consiste em estudar métodos para decifrar as mensagens sem a necessidade de chaves.
Durante a Segunda Guerra Mundial, os alemães utilizaram a máquina Enigma, que era capaz de criptografar mensagens, cujo código foi quebrado pelos aliados (que mantiveram esse feito em segredo durante toda guerra), ocasionando muitas perdas aos alemães.
25/08/2013
10
Criptografia Clássica
� Dois tipo de criptografia◦ Criptografia Simétrica
◦ Criptografia Assimétrica
Criptografia Simétrica
� A mensagem a ser enviada é cifrada pela mesma chave que será utilizada pera decifrá-la;
� Para que o destinatário consiga decifrar a mensagem é necessário que ele conheça o método (algoritmo) e a chave utilizados na cifragem;
� A segurança depende da combinação prévia e segura entre o emissor e o receptor de uma chave;
� É utilizada em hardware e software atuais;
� Alguns algoritmos◦ DES (Data Encryption Standard) – Chaves de 40 e 56 bits
◦ Triple-DES – chaves de 80, 112 e 168 bits
◦ RC2, RC4, RC5 e RC6 – chaves que variam de 40 a 128 bits
◦ IDEA – chaves de 128 bits
25/08/2013
11
Criptografia Simétrica
� Na medida em que a capacidade computacional cresce, os atuais sistema criptográficos ficam mais suscetíveis à quebra por força bruta;
Tamanho da chave Qtd. chaves possíveis Tempo necessário para quebrar o código
40 bits 1x1012 (1 trilhão) 2 horas
56 bits 7x1016 20 horas
64 bits 2x1019 9 anos
112 bits 5x1033 1015 anos
128 bits 3x1038 1019 anos
256 1x1077 1058 anos
* tempo necessário para um ataque de força bruta usando um computador para quebrar o código
Criptografia Simétrica
� É importante observar que de acordo com a lei de “Moore”, comprovada na prática há mais de 30 anos, a capacidade computacional dobra a cada 18 meses;
� Mas a tecnologia e os recursos e criptografia também evoluem;
� Em 30/06/2010 a AC (autoridade certificadora) da ICP-Brasil publicou uma nova estrutura utilizando chaves de 512 bits.
25/08/2013
12
Criptografia Assimétrica
� A criptografia simétrica garante apenas a privacidade;
� É preciso garantir os outros pilares:◦ autenticação, autorização, integridade e não repúdio;
� Na criptografia simétrica as chaves precisam ser combinadas previamente entre emissor e receptor;
� Nos processos eletrônicos via Web, isso seria uma barreira, pois os interlocutores geralmente não se conhecem;
Criptografia Assimétrica� Chaves assimétricas◦ São usadas duas chaves (privada e pública) ligadas matematicamente;
◦ Uma das chave é mantida em segredo: chave privada;
◦ Uma das chave pode ser disponibilizada a todos: chave pública;
◦ O que uma chave cifra, apenas a sua chave correspondente pode decifrar;
As chaves não são apenas senhas, mas arquivos digitais complexos que eventualmente até podem estar associados a uma senha
25/08/2013
13
Criptografia Assimétrica
Criptografia Assimétrica
25/08/2013
14
Criptografia Assimétrica
Certificação DigitalAuten
ticação
Privacidade
Autorização
Integridade do
s dado
s
Não
Rep
údio
Infraestrutura de Segurança
Políticas de Segurança
OKOKOKOKParcialParcialParcialParcial
Resumo (HASH) das mensagens
25/08/2013
15
Resumo (HASH) das mensagens
� Consiste em gerar um valor, chamado message digest(MD), a partir de um texto qualquer;
� O algoritmo HASH é composto por fórmulas matemáticas que garantem a irreversibilidade e a unicidade do MD gerado;
� Irreversibilidade: Não é possível reconstruir o texto a partir do MD;
� Unicidade: Textos diferentes produzem necessariamente MD diferentes;◦ A alteração de um simples bit na mensagem gera um MD completamente diferente;
http://redeicpbrasil.viainternet.com.br/default.asp?nred=1&rd=s&link=/hash/Default.asp{{
Resumo (HASH) das mensagens
25/08/2013
16
Resumo (HASH) das mensagens
Certificação DigitalAuten
ticação
Privacidade
Autorização
Integridade do
s dado
s
Não
Rep
údio
Infraestrutura de Segurança
Políticas de Segurança
OKOKOKOK OKOKOKOKParcialParcialParcialParcial
Vídeos
25/08/2013
17
Vídeos
� Criptografia (3 min)
� Criptografia simétrica e assimétrica (5 min , 30 seg)
� Criptografia, chaves (12 min)
Bibliografia
25/08/2013
18
Bibliografia
Top Related