Criptografia e Certificados Digitais

Prévia do material em texto

CRIPTOGRAFIA- Técnica de tornar a mensagem ininteligível.
Técnicas:
Criptografia Simétrica
implica o uso de uma única chave secreta utilizada tanto para codificar quanto para decodificar. 
Garante apenas o princípio da Confidncialidade.
Falha: Necessidade de compartilhar a chave.
Criptografia assimétrica
Há 2 chaves diferentes- uma chave pública e uma privada. Esse par de chaves formam um par exclusivo, de modo qu criptografado pela chave pública só pode ser descriptografado pela chave pública. A chave púbica pode ser enviada para todos e a e privada é exclusivamente sua. Similarmente a conta corrente e a senha.
Se criptografa uma mensagem com minha chave privada,eu garanto o Princípio da Autenticidade, se eu criptografo uma mensagem com chave pública do destinatário garanto a confidencialidade.
AUTENTICIDADE
Há diversos métodos de autenticação, inclusive uma combinação entre eles.
Método de Autenticação: O que você sabe?
Baseada no conhecimento de algo que somente você sabe, tais como: senhas, frases secretas, dados pessoas aleatórios, etc,.
· Senha: Uma senha de 5 dígitos pode ser quebrada facilmente utilizando um ataque de força bruta, já que só existem 100 mil possibilidades. No entantouma senha de 8 caracteres que podem ser números, símbolos, maiúsculo, minúsculo, pode ter mais de 600 trilhões..
Método de Autenticação: O que você é?
Baseada no conhecimento de algo que você é, como seus dados biométricos, impressões digitais, padrão de retina, reconhecimento de voz, reconhecimento facial, assinatura manuscrita etc.
· Biometria: utiliza carcterísticas físicas únicas para verificar sua identidade. Ex: impressão digital.
Método de Autenticação: O que você tem?
Baseada em algo que usuário possui. Exemplo: crachá, celular, Smart Cards, tokens, chaves físicas. Requer presença física do usuário, porém resolve o problema da adivinhação por força bruta.
· Smart Card: cartão contendo um microprocessador- um chip que armazena informações eletrônicas do usuário (certificado digital).
· Token: Servem para armazenar senhas ou contém um conector USB servindo como mídia criptográfica, armazenando informações sobre o usuário (certificado digital).
AUTENTICAÇÃO FORTE: Ocorre quando utiliza pelo menos dois desses três métodos de autencação. Exemplo: autenticação em dois fatores.
ASSINATURA DIGITAL
Garantirá a autenticidade, integridade e irretratabilidade.
Não garante sigilo (confidencialidade)
· Algorítmo de Hash (ou resumo): Recebe dados de entrada de qualquer tamanho e produz um dado de saída de tamanho fixo. Porém, diferentes entradas podem gerar a mesma saída- colisão. Portanto, recomenda-se uma saída com um número grande para evitar colisões.
CERTIFICADO DIGITAL
Registro eletrônico composto por um conjunto de dados que distingue uma entidade e associa a ela uma chave pública.
caracteriza-se por: 1)PAR DE CHAVES; 2) ASSINATURA DIGITAL; 3) DADOS PESSOAIS DO USUÁRIO; 4) VALIDADE = 1 A 3 ANOS
Funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação
Autoridade Certificadora é uma entidade responsável por emitir certificados digitais- espécie de cartório digital. É responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Emite um par de chaves (criptografia assimétrica)
ICP- BRASIL
Entidade público ou privada que tem como objetivo manter uma estrutura de emissão de chaves públicas. Garante a autenticidade, integridade e validade jurídica.. 
Há 2 entidades nessa infraestrutura: Autoridades Certificadoras e Autoridades de Registro
A autoridade Certificadora Raiz emite certificados digitais para as Autoridades Certificadoras hierarquicamente abaixo que emite certificados para equipamentos, pessoas físicas ou jurídicas. As autoridades de Registro não emitem certificados digitais. Elas o recebem, validam ou encaminham e guardam um registro dessas operações.
Tipos de Certificados:
· Certificado de assinatura Digital (A): reúne os certificados de assinatura digital, utilizados na confirmação de identidade na WEB, e-mails, redes privados virtuais (VPNs) e em documentos eletrônicos com reverificação da integridade das informações.
· Certificado de sigilo (s): reúne os certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados relacionais, de mensagens e de outras informações eletrônicas sigilosas.