Autenticidade Digital CERTIFICAÇÃO DIGITAL · A emissão de um certificado digital permite a...

25/08/2013

1

CERTIFICAÇÃO DIGITAL

Autenticidade Digital

Certificação Digital

25/08/2013

2

Políticas de Segurança

� Regras que baseiam toda a confiança em um determinado sistema;

� Dizem o que precisamos e o que não precisamos proteger;

� São responsáveis por mostrar contra quem é preciso proteger as informações;

� Documentos e regras a serem utilizadas nas transações eletrônicas

Infraestrutura de Segurança

� São os mecanismos básicos para garantir que as políticas sejam seguidas;

� Infraestrutura física◦ servidores;◦ roteadores;◦ hardwares de firewalls◦ controle de acesso aos CPDs◦ etc.

� Infraestrutura lógica◦ sistemas operacionais;◦ sistemas antivírus;◦ sistemas anti-spyware;◦ software de firewalls;◦ etc.

� São normalmente utilizados por qualquer empresa que possua um Website.

25/08/2013

3

Introdução

Certificação DigitalAuten

ticação

Privacidade

Autorização

Integridade do

s dado

s

Não

Rep

údio



Autenticação

� É o ato de estabelecer ou confirmar algo ou alguém como autêntico;

� Confirmação da procedência de um objeto ou pessoa, geralmente por meio da verificação da sua identidade.

� As pessoas são quem dizem ser?

25/08/2013

4

Autenticação

� A identidade pode ser verificada das seguintes formas:◦ O que você tem

� Ex: RG, CPF, título de eleitor, certidão de nascimento;� É diretamente vinculada à pessoa para a qual foi emitida;� É difícil de forjar, copiar ou alterar;� É emitido por um terceiro confiável.

◦ O que você sabe� Ex: segredos, senhas;� Pode ser interceptado e usado de forma ilícita

◦ O que você é� Ex: biometria: digitais, face, retina ou íris, geometria da mão, voz;� É inconveniente e intrusiva� Uma vez digitalizados para comparação, torna-se um conjunto de bits

que pode ser copiado;;� Qualquer alteração no corpo (mutilações, machucados) pode interferir

no reconhecimento

Autenticação

� Autenticação por certificação digital◦ Pode ser efetuada através dos certificados digitais, por exemplo, por seu e-CPF;

1. Identificação inequívoca;

2. Validade é facilmente verificável por outras pessoas;

3. Proteção contra fraude e falsificação;

4. Vincula uma pessoa física ou jurídica a uma transação eletrônica;

5. É de utilização simples e fácil

25/08/2013

5

Privacidade

� Habilidade de uma pessoa controlar a exposição e a disponibilização de informações acerca de si;

� Capacidade de existir na sociedade de forma anônima, bem como garantir que informações sobre si não sejam expostas;

� Diz respeito à capacidade que temos de garantir sigilo às informações sensíveis, protegendo-as contra acesso não autorizado;

� No mundo físico, a privacidade é buscada mediante o uso de chaves, cofres, alarmes, etc.

� No mundo digital é necessário a utilização de algum mecanismo que nos permita um certo grau de sigilo nas transações;

� CRIPTOGRAFIA

Privacidade

� Criptografia◦ Grego: kriptos (oculto) grapho (escrita);

◦ Ciência ou arte de codificar mensagens usando uma fórmula que também será utilizada para decodificar a mesma mensagem;

◦ Os navegadores Web, a maioria dos programas de e-mail, processadores de texto, etc. já estão preparados para prover essa funcionalidade de maneira segura e transparente.

25/08/2013

6

Autorização

� Mecanismo responsável por garantir que apenas usuários autorizados utilizem recursos protegidos de forma controlada;

� Diz respeito à garantia de que as pessoas não executarão qualquer ação para a qual não possuam explícita permissão;

� Garante que o usuário só consiga fazer aquilo que ele realmente tem autorização para fazer.

� Com a utilização da certificação digital, as aplicações podem reconhecer o usuário e, automaticamente, atribuir-lhe as autorizações necessárias à execução de suas funções.

Integridade dos dados

� Garantia de que possamos identificar que um determinado dado ou informação não tenha sofrido alterações não autorizadas;

� No mundo físico:◦ Autenticação de cópias por agentes autorizados ou cartórios;

◦ Assinatura de testemunhas;

◦ Papéis especiais;

◦ Assinaturas de próprio punho;

◦ Análises grafotécnicas;

◦ Perícias;

◦ etc.

� Quando existe alguma alteração, existem meios técnicos e científicos para provar essa alteração

25/08/2013

7

Integridade dos dados

� No mundo digital a identificação de alterações é geralmente difícil;

� Para atender a esta necessidade, a certificação digital utiliza um mecanismo de resumo (hash), que permite gerar um extrato/resumo do conteúdo a ser protegido;

� Se um bit for alterado, a assinatura digital inicialmente criada não funcionará mais, mostrando que o documento foi alterado;

Não repúdio

� Garantia de que o autor não negue ter criado e assinado o documento;

� No mundo físico, quando uma pessoa assina um documento, mesmo diferente da sua assinatura habitual, existem mecanismos periciais que permitem identificar se uma pessoa foi quem assinou ou não o documento;

� No mundo digital, o não repúdio pode ser realizado por mecanismos de certificação digital;

� A emissão de um certificado digital permite a associação de uma pessoa ao seu respectivo certificado;

� Na emissão do e-CPF, por exemplo, existe sempre um “terceiro de confiança”, que é responsável pela identificação do usuário e sua vinculação ao e-CPF;

� Nesse processo é necessário apresentar uma série de documentos físicos;

25/08/2013

8

Criptografia

Criptografia Clássica

� Se evidencia com o início da comunicação escrita;◦ Scylate

◦ Escrita ao contrário� ODERGES � SEGREDO

25/08/2013

9


� Substituição Monoalfabética

SEGREDO � 19, 05, 07, 18, 05, 04, 15 � segredo

chave = 3 � 22, 08, 10, 21, 08, 07, 18 � vhjuhgr

01 02 03 04 05 06 07 08 09 10

A B C D E F G H I J

11 12 13 14 15 16 17 18 19 20

K L M N O P Q R S T

21 22 23 24 25 26

U V W X Y Z


� Evoluções◦ aumento no nível de segurança

� Criptografia para fins militares◦ Com máquinas, a cifragem era feita de forma mais rápida e segura, permitindo transmitir às tropas determinadas estratégias sem que o inimigo compreendesse.

◦ Também se desenvolveu a criptoanálise, que consiste em estudar métodos para decifrar as mensagens sem a necessidade de chaves.

Durante a Segunda Guerra Mundial, os alemães utilizaram a máquina Enigma, que era capaz de criptografar mensagens, cujo código foi quebrado pelos aliados (que mantiveram esse feito em segredo durante toda guerra), ocasionando muitas perdas aos alemães.

25/08/2013

10


� Dois tipo de criptografia◦ Criptografia Simétrica

◦ Criptografia Assimétrica

Criptografia Simétrica

� A mensagem a ser enviada é cifrada pela mesma chave que será utilizada pera decifrá-la;

� Para que o destinatário consiga decifrar a mensagem é necessário que ele conheça o método (algoritmo) e a chave utilizados na cifragem;

� A segurança depende da combinação prévia e segura entre o emissor e o receptor de uma chave;

� É utilizada em hardware e software atuais;

� Alguns algoritmos◦ DES (Data Encryption Standard) – Chaves de 40 e 56 bits

◦ Triple-DES – chaves de 80, 112 e 168 bits

◦ RC2, RC4, RC5 e RC6 – chaves que variam de 40 a 128 bits

◦ IDEA – chaves de 128 bits

25/08/2013

11


� Na medida em que a capacidade computacional cresce, os atuais sistema criptográficos ficam mais suscetíveis à quebra por força bruta;

Tamanho da chave Qtd. chaves possíveis Tempo necessário para quebrar o código

40 bits 1x1012 (1 trilhão) 2 horas

56 bits 7x1016 20 horas

64 bits 2x1019 9 anos

112 bits 5x1033 1015 anos

128 bits 3x1038 1019 anos

256 1x1077 1058 anos

* tempo necessário para um ataque de força bruta usando um computador para quebrar o código


� É importante observar que de acordo com a lei de “Moore”, comprovada na prática há mais de 30 anos, a capacidade computacional dobra a cada 18 meses;

� Mas a tecnologia e os recursos e criptografia também evoluem;

� Em 30/06/2010 a AC (autoridade certificadora) da ICP-Brasil publicou uma nova estrutura utilizando chaves de 512 bits.

25/08/2013

12

Criptografia Assimétrica

� A criptografia simétrica garante apenas a privacidade;

� É preciso garantir os outros pilares:◦ autenticação, autorização, integridade e não repúdio;

� Na criptografia simétrica as chaves precisam ser combinadas previamente entre emissor e receptor;

� Nos processos eletrônicos via Web, isso seria uma barreira, pois os interlocutores geralmente não se conhecem;

Criptografia Assimétrica� Chaves assimétricas◦ São usadas duas chaves (privada e pública) ligadas matematicamente;

◦ Uma das chave é mantida em segredo: chave privada;

◦ Uma das chave pode ser disponibilizada a todos: chave pública;

◦ O que uma chave cifra, apenas a sua chave correspondente pode decifrar;

As chaves não são apenas senhas, mas arquivos digitais complexos que eventualmente até podem estar associados a uma senha

25/08/2013

13



25/08/2013

14



ticação

Privacidade

Autorização

Integridade do

s dado

s

Não

Rep

údio



OKOKOKOKParcialParcialParcialParcial

Resumo (HASH) das mensagens

25/08/2013

15


� Consiste em gerar um valor, chamado message digest(MD), a partir de um texto qualquer;

� O algoritmo HASH é composto por fórmulas matemáticas que garantem a irreversibilidade e a unicidade do MD gerado;

� Irreversibilidade: Não é possível reconstruir o texto a partir do MD;

� Unicidade: Textos diferentes produzem necessariamente MD diferentes;◦ A alteração de um simples bit na mensagem gera um MD completamente diferente;

http://redeicpbrasil.viainternet.com.br/default.asp?nred=1&rd=s&link=/hash/Default.asp{{


25/08/2013

16



ticação

Privacidade

Autorização

Integridade do

s dado

s

Não

Rep

údio



OKOKOKOK OKOKOKOKParcialParcialParcialParcial

Vídeos

25/08/2013

17

Vídeos

� Criptografia (3 min)

� Criptografia simétrica e assimétrica (5 min , 30 seg)

� Criptografia, chaves (12 min)

Bibliografia

25/08/2013

18

Bibliografia

Autenticidade Digital CERTIFICAÇÃO DIGITAL · A emissão de um certificado digital permite a...

Documents

Transcript of Autenticidade Digital CERTIFICAÇÃO DIGITAL · A emissão de um certificado digital permite a...