Diferença entre Fenômenos

Prévia do material em texto

<p>E-Book PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO E-Book Esse recurso é uma versão estática. Para melhor visualizar, acesse esse conteúdo pela mídia interativa.</p><p>E-Book Princípios da Segurança da Informação Olá, estudante! Nesta unidade de estudo, vamos estudar os conceitos fundamentais de criptografia, segurança da comunicação e da informação. Além disso, iremos conhecer tipos de criptografia amplamente utilizados. o Brasil é o 3° país em que pessoas passam mais tempo em aplicativos. Fonte: VALENTE, 2020. (Clique na imagem para interagir com o conteúdo) ? Com tantos dados das pessoas armazenados em aplicativos e trafegando pela internet, quais são os riscos? o que as pessoas podem fazer para se proteger? Os riscos de incidentes de segurança da informação multiplicam-se e, portanto, nesta unidade de estudo iremos tratar dos principais conceitos sobre criptografia, segurança da informação, assinaturas digitais e autenticação de mensagens, que são formas de se proteger contra esses Ao fim desta unidade de estudo, você será capaz de: compreender e refletir sobre os princípios em criptografia, segurança de comunicação e da informação; entender as diferenças entre criptografia simétrica e assimétrica, suas vantagens e desvantagens; compreender funções hashing e suas aplicações; compreender métodos de autenticação de mensagens; compreender o funcionamento de assinaturas digitais. 2 de 22 páginas</p><p>E-Book Bons estudos! Segurança da informação Existem três elementos em segurança da informação que precisam ser bem compreendidos e devem constar em todo o programa. São eles: Confidencialidade; Integridade; Disponibilidade. São elementos muito relevantes, considerados como princípios da segurança da informação e estão presentes no Preâmbulo da Convenção de Budapeste sobre Cibercrime e também no Comitê Gestor da Internet no Brasil. FIGURA 1 - - CID, a tríade da segurança 3 de 22 páginas</p><p>E-Book Integridade Confidencialidade Objetivos da segurança Disponibilidade Fonte: MACHADO, 2014, p. 13. Vejamos, agora, detalhes de cada um desses elementos. Confidencialidade A confidencialidade está relacionada com o segredo da informação, com a capacidade de garantir o nível necessário de sigilo, de forma que somente as pessoas autorizadas tenham acesso às informações. Engloba, também, a prevenção da divulgação não autorizada. Monitoramento de rede, engenharia social e roubo de senhas são formas que os atacantes utilizam para burlar a confidencialidade. FIGURA 2 - Roubo 4 de 22 páginas</p><p>E-Book Fonte: PIXABAY. Criptografia de dados é uma técnica utilizada para garantir a confidencialidade, que estudaremos a fundo. Outras medidas, como acompanhamento de tráfego de rede, controle de acesso rigoroso, classificação de dados e treinamento de pessoal sobre os procedimentos adequados na utilização de informações na empresa, são eficazes na garantia da confidencialidade Integridade A integridade trata de garantir que não ocorrerão modificações não autorizadas nos dados, ou seja, somente usuários previamente autorizados poderão modificá-los. Segundo Machado (2014, p. 13), para garantir a integridade "os mecanismos de hardware, software e comunicação devem trabalhar de maneira conjunta para manter e processar dados corretamente e movimentar dados para os destinos desejados sem qualquer alteração não autorizada ou não esperada". Proteger os sistemas e a rede da empresa também é necessário, a fim de evitar interferências e contaminações externas. Disponibilidade Disponibilidade diz respeito à capacidade de executar e disponibilizar os dados de maneira adequada às necessidades da empresa. Garantir a disponibilidade impacta na produtividade das operações. 5 de 22 páginas</p><p>E-Book Falhas de equipamentos e softwares podem afetar a disponibilidade, assim como problemas ambientais, como calor, umidade e eletricidade estática. Os ataques conhecidos como negação de serviço (DoS) também afetam diretamente a disponibilidade. A realização de backups periódicos é uma medida importante para uma rápida recuperação de sistemas e dados críticos da empresa, em casos de indisponibilidade. Vejamos, agora, o vídeo a seguir, sobre os fundamentos de segurança da informação: Vídeo VIDEOAULA 1 - Fundamentos de Segurança da Informação Clique aqui para abrir o vídeo Por fim, após ter compreendido os fundamentos da segurança da informação, faça a seguinte leitura: Momento biblioteca digital Para complementar a importância da confidencialidade, integridade e disponibilidade e entender o impacto desses três elementos na segurança da informação, recomendo a leitura das páginas 45 a 54, do livro "Segurança da Informação: princípios e controle de ameaças": 4/2@100:0.00 MACHADO, F.N.R. Segurança da Informação: princípios e controle de ameaças. São Paulo: Érica, 2014. 6 de 22 páginas</p><p>E-Book Agora que já sabemos quais são os princípios fundamentais da segurança da informação, vamos conhecer as formas de alcançá-los. Criptografia A criptografia é de grande importância no contexto da segurança da informação e uma grande aliada para alcançar os objetivos de confidencialidade e integridade. É uma palavra de origem grega que significa "escrita oculta". É um método que permite transformar dados originais e legíveis em dados reversivelmente ilegíveis. Os dados originais são conhecidos por texto simples e os dados ilegíveis por texto cifrado. Após texto simples ser transformado em texto cifrado, pessoas ou máquinas só poderão compreendê-lo e processá-lo corretamente depois de ser descriptografado. Dessa maneira, somente emissor e receptor poderão conhecer o conteúdo de uma mensagem. Segundo Machado (2014, p. 146), "este processo permite que sejam realizadas transmissões de informações confidenciais por meio de canais inseguros, sem riscos de acontecer uma divulgação não autorizada". É um dos principais mecanismos de segurança da informação utilizado para garantir a confidencialidade de dados. FIGURA 3 - Processo de Criptografia Texto Texto claro Encriptação criptografado Decriptação Texto claro processo de cifragem transforma um texto simples em um texto cifrado e processo de descriptografia transforma um texto cifrado em um texto simples Fonte: MACHADO, 2014, p. 146. 7 de 22 páginas</p><p>E-Book A Cifra de César foi um dos primeiros sistemas de criptografia utilizado. Ele foi usado pelo imperador romano Júlio César, aproximadamente em 50 a.C. Este método de criptografia baseava-se em substituir cada letra do alfabeto por outra que se apresenta três posições à frente dela no alfabeto. Saiba Mais Para conhecer um pouco mais sobre a Cifra de César e a história da criptografia, recomendo a leitura do capítulo 10 do livro "Teoria elementar dos números". Acesse: !/4/8/4@0:0 A partir da leitura indicada, podemos compreender melhor a respeito do Código de César até a criptografia de chave pública. Sistema Criptográfico Um sistema capaz de criptografar e descriptograr dados é chamado de sistema criptográfico e pode ser criado por hardware ou software. Dessa maneira, a informação será transformada em algo ilegível durante o transporte e somente emissor e receptor poderão conhecer o conteúdo real da mensagem. A base da maioria dos métodos de criptografia são as chaves. Elas são uma longa sequência de bits. Um algoritmo matemático utiliza as chaves para criptografar e descriptografar os textos. FIGURA 4 - Processo Criptográfico 8 de 22 páginas</p><p>E-Book Chave Algoritmo o resultado é aplicado à mensagem de texto Texto Mensagem criptografado Fonte: MACHADO, 2014, p. 147. Algoritmos Criptográficos Mediante funções matemáticas, eles codificam dados, permitindo que somente quem conhece o segredo de codificação possa decodificar e, dessa maneira, garantindo confidencialidade dos dados. A segurança de tais algoritmos é baseada na chave, que deve possuir tamanho suficiente para não ser descoberta de maneira simples. Uma chave pode ser um valor composto por uma grande sequência de bits aleatórios. Segundo Machado (2014, p. 147), Um algoritmo contém um chamado "keyspace", que é uma gama de valores que podem ser utilizados para a construção de uma chave. A chave é composta de valores aleatórios nesta gama de valores (keyspace). Quanto maior o keyspace, mais valores disponíveis podem ser usados para representar chaves diferentes, e mais aleatórias as chaves são, o que torna mais difícil para invasores entendê-las e quebrar a criptografia utilizada. FIGURA 5 - Chaves criptográficas 9 de 22 páginas</p><p>E-Book Chaves 101 1010001 010100 1110011 10100110011010100101011110 Keyspace 010101101010101100001010001111010 10101001 101010110110 101010101011 1010011 1000111 1110001 111 Fonte: 2014, p. 147. De maneira resumida, a chave criptográfica é um segredo utilizado para codificar e decodificar uma informação. Existem dois tipos de codificação e eles se diferem pelo tipo de chave utilizada: simétrica ou assimétrica. Criptografia simétrica Na criptografia simétrica, emissor e receptor utilizam a mesma chave. A chave é representada por uma senha, usada tanto pelo remetente para codificar a mensagem em uma das pontas como pelo destinatário para decodificá-la na outra. FIGURA 6 - Criptografia simétrica 10 de 22 páginas</p><p>E-Book Aluno 1 Aluno 2 Mesma chave Oi, aluno1. Oi, aluno2. Você está lendo Rqcm99r0u Você está lendo o livro? o livro? Fonte: MACHADO, 2014, p. 148. Esse tipo de criptografia apresenta a vantagem de ser fácil de usar e rápida, justamente devido a sua simplicidade. Uma desvantagem da criptografia simétrica é que necessita de um canal de comunicação seguro para transmitir a chave do emissor até o receptor. Isso é necessário para manter a confidencialidade da chave. Como estamos tratando de um método que utiliza chaves iguais, se uma das pontas de comunicação vazar a chave, a confidencialidade da informação transmitida pode ser comprometida. Segundo Machado (2014, p. 149), "no método de criptografia simétrica a segurança é completamente dependente da forma como os usuários protegem a chave". QUADRO 1 - Vantagens e desvantagens da criptografia simétrica 11 de 22 páginas</p><p>E-Book Vantagens Desvantagens É muito mais rápida do que Exige um mecanismo seguro para sistemas assimétricos. chaves de entrega. Difícil de quebrar se usarmos Dificuldade no gerenciamento de chave de grande tamanho. grandes quantidades de chaves. Fonte: Elaboração do autor, 2021. Algoritmos de criptografia que utilizam chaves simétricas: 3DES; AES; Blowfish; RC4. Criptografia assimétrica Diferentemente do sistema de criptografia simétrica, aqui são utilizadas duas chaves: uma para realizar a codificação da informação e outra para decodificar a informação. Esse método também é conhecido como criptografia de chave pública, que é constituído por um sistema para codificar e decodificar uma informação com duas chaves distintas, sendo uma pública (chave pública), que pode ser divulgada, e outra privada, que deve ser mantida em segredo (chave privada). A chave pública codifica a mensagem e a chave privada decodifica. 12 de 22 páginas</p><p>E-Book Normalmente, as chaves públicas são listadas em sites para que estejam disponíveis para quem quiser usá-las durante a troca de informações com uma pessoa e garantir a confidencialidade dos dados. As chaves públicas e privadas são relacionadas através de um algoritmo matemático, o que significa que uma mensagem cifrada com a chave pública só pode ser decifrada pela sua chave privada correspondente. Uma das vantagens dos algoritmos assimétricos é fornecer um mecanismo de autenticação. Se um emissor quer ter certeza de que somente um determinado receptor irá ler uma mensagem, ele deve codificar a mensagem com a chave pública daquele receptor, porque somente o receptor desejado irá possuir a chave privada capaz de decodificar a mensagem. Chaves públicas podem ficar disponíveis para qualquer pessoa que queira se comunicar com outra de modo seguro. Porém, a chave privada deverá ser mantida em segredo e protegida contra vazamentos. Segundo Machado (2014, p. 151), "podemos imaginar que a chave pública de alguém é como um cadeado, pode ficar exposta, enquanto a chave privada, que permitirá abrir este cadeado, é efetivamente uma chave específica (chave privada) para este cadeado". FIGURA 7 - Criptografia assimétrica 13 de 22 páginas</p><p>E-Book Aluno 1 Aluno 2 Chaves diferentes Chave privada Chave privada do aluno 1 do aluno 2 Rqcm99r0u Oi, aluno1. Oi, aluno2. Você está lendo Você está lendo o livro? o livro? Fonte: MACHADO, 2014, p. 151. Até então sabemos que: A chave pública deve ser utilizada para codificar. A chave privada deve ser utilizada para decodificar. Algumas pessoas não têm conhecimento dessa informação, mas nada impede que a chave privada seja utilizada para codificar e a chave pública seja utilizada para decodificar. A respeito da criptografia assimétrica, o mais importante é não esquecer que a mesma chave nunca pode ser utilizada para codificar e decodificar, mas nada impede que: 14 de 22 páginas</p><p>E-Book Se uma informação for codificada pela chave pública, ela possa ser decodificada pela chave privada; Se uma informação for codificada pela chave privada, ela possa ser decodificada pela chave pública. Entretanto, fica claro que codificar uma mensagem com a chave privada não é seguro, pois qualquer pessoa que tenha acesso à chave pública, que é amplamente divulgada, poderá decodificar a mensagem, não garantindo a confidencialidade dos dados. Atenção Então, por que alguém codificaria uma mensagem com a chave privada? Devido ao fato do mecanismo de chaves assimétricas garantir autenticidade, o receptor da mensagem saberia quem é o emissor, pois somente a chave pública do emissor seria capaz de decodificar a mensagem. Para tornar uma mensagem codificada com uma chave privada segura e garantir sua confidencialidade, a solução é o remetente criptografar a mensagem com sua chave privada e, em seguida, criptografá-la novamente com a chave pública do receptor. Dessa maneira, teremos uma mensagem com garantia de autenticidade e também de confidencialidade. Algoritmos de criptografia que utilizam chaves assimétricas: 15 de 22 páginas</p><p>E-Book Diffie-Hellman; DSS; RSA. algoritmo RSA é atualmente o mais popular dos que utilizam criptografia assimétrica. tamanho da chave utilizada pode variar entre 512 a 2.048 bits. Não existe a possibilidade de descobrir o valor de uma chave privada a partir da chave pública ou vice-versa ou a partir, ainda, do próprio texto codificado, o que irá garantir integridade e autenticidade. A seguir, há um vídeo do professor Rodrigo Faria resumindo os tipos de criptografia existentes: Vídeo VIDEOAULA 1 - Explicando as variações da criptografia por cifras Clique aqui para abrir o vídeo Funções Hash Este é um importante mecanismo para confirmar integridade de É um método que, ao ser aplicado sobre uma informação, gera um resultado único e de tamanho fixo, chamado hash, que são strings semelhantes a 3b6d2c43e10a067b1a98005d6b1c13c1 Funções hash podem ser utilizadas para: 16 de 22 páginas</p><p>E-Book Verificação de integridade de arquivos armazenados em um computador; Verificação de integridade de backups; Verificação de integridade de arquivos provenientes de downloads. Alguns sites disponibilizam o arquivo para download e também o hash, para que o usuário possa verificá-lo ao término do download; Geração de assinaturas No exemplo, a seguir, da distribuição Linux Debian, os valores do hash de cada arquivo disponível para download são informados. FIGURA 8 - Hash de ISOs do Debian Linux 8 cdimage.debian.org e221f43f4fdd409250908fc4305727d4 4053678af215434d6d61706659aecb55 debian-10.8.0-amd64-xfce-CD-1.iso ae47e9f44f0167270f128f9de195482e debian-edu-10.8.0-amd64-netinst.iso 57232420d39c35e61d315b53af51721f debian-mac-10.8.0-amd64-netinst.iso Fonte: Elaboração do autor, 2021. Após o download, o usuário poderá utilizar um aplicativo de verificação de hash e comparar o resultado obtido com o disponível no site. Se os resultados forem os mesmos, significa que o arquivo está íntegro. Segundo Basta, Basta e Brown (2014, p. "muitas vezes se faz referência aos hashes como "impressões digitais" porque permitem que os destinatários verifiquem que os arquivos recebidos são realmente genuínos." Hash é considerado um método confiável, pois qualquer alteração na informação original produzirá um hash diferente. 17 de 22 páginas</p><p>E-Book Teoricamente, é possível que informações diferentes gerem hashes iguais, porém, a probabilidade dessa ocorrência é relativamente baixa. Apesar de se relacionar para aumentar a segurança de informações, é importante ressaltar que algoritmos de hash são diferentes de algoritmos de criptografia. Dois populares algoritmos de hash são o MD5 e SHA,SHS. Algoritmo Resumo de Mensagem 5 (MD5): Foi desenvolvido em 1992 por Ron Rivest, um dos inventores do também algoritmo de criptografia RSA. MD5 realiza uma operação nos dados de entrada usando blocos de 512 bits e gera um valor hash de 128 bits como resultado. Algoritmo de Hash Seguro (SHA, SHS): É conhecido como Algoritmo de Hash Seguro (SHA) ou Padrão de Hash Seguro (SHS). Foi desenvolvido pelo governo dos Estados Unidos. SHA realiza operações em blocos de 512 bits ou 1024 bits. Existem duas versões do algoritmo SHA. Os hashes SHA-1 têm 160 bits de comprimento, já os hashes do SHA-2, possuem 224, 256, 384 e 512 bits. SHA-1 é considerado superior ao MD5. Assinatura digital A assinatura digital utiliza-se dos métodos de criptografia assimétrica e hash para garantir autenticidade e integridade. 18 de 22 páginas</p><p>E-Book Por meio da assinatura digital, podemos comprovar que uma informação foi realmente gerada por quem diz ter feito isso. Essa comprovação é possível, pois apenas o dono conhece a chave privada e se ela realmente foi utilizada para codificar uma informação, somente a chave pública daquela pessoa será capaz de decodificá-la. FIGURA 9 - Criação de assinatura digital Arquivo com assinatura digital Arquivo Chave privada Criptografado Assinatura digital Assinatura digital com chave Valor de Hash Valor de Hash Valor de Hash criptografado criptografado Criar uma Assinar o arquivo com assinatura digital uma assinatura digital Fonte: MACHADO, 2014, p. 155. De maneira objetiva, uma assinatura digital corresponde a um valor hash criptografado. A seguir, há um vídeo do professor Rodrigo Faria sobre assinatura digital: 19 de 22 páginas</p><p>E-Book Vídeo VIDEOAULA 1 Assinaturas Digitais Clique aqui para abrir o vídeo Agora que você assistiu ao vídeo, de que forma ele pode acrescentar ao seu conhecimento? Pense sobre isso! ? Você Sabia? No contexto de criptografia, uma mensagem pode: ser criptografada, o que fornece confidencialidade; possuir um hash, o que fornece integridade; ser assinada digitalmente, o que fornece autenticação e integridade; ser criptografada e assinada digitalmente, o que fornece autenticação, confidencialidade e integridade. Certificado Digital Uma limitação dos algoritmos assimétricos é que não é possível confirmar se a chave pública pertence realmente à pessoa que se diz dona dela. 20 de 22 páginas</p><p>E-Book A solução encontrada para resolver esse problema é a utilização de certificados digitais, que são um certificado de chave pública. Uma organização de confiança, chamada Autoridade Certificadora, irá garantir a propriedade das chaves públicas. o certificado digital é um documento eletrônico que contém dados sobre a pessoa ou entidade que o utiliza para comprovação mútua de autenticidade. FIGURA 10 - Utilização de certificação digital Autoridade certificadora Aluno 1 Aluno 2 i Aluno 1 e aluno 2 confiam cada um no outro indiretamente Fonte: MACHADO, 2014, p. 156. Saiba Mais Para complementar o estudo e entender mais sobre tipos de criptografia, certificados digitais, autoridade certificadora e como são emitidos e armazenados os certificados, recomendo a leitura da sequência dos quatro artigos a seguir, disponíveis no blog da Autoridade Certificadora Certsign: 1 - Certificado Digital: o que é? https://blog.certisign.com.br/o-que-e-certificado-digital/?cod_rev=38788 2 - Chaves Públicas e Privadas no Certificado Digital: como funcionam? 21 de 22 páginas</p><p>E-Book funcionam/ 3 - que é uma Autoridade Certificadora? https://blog.certisign.com.br/o-que-e-uma-autoridade-certificadora/ 4 - Quais são os Tipos de Certificados Digitais que existem? https://blog.certisign.com.br/tipo-de-certificado-digital/ Cada vez mais, pessoas e empresas realizam suas tarefas de maneira on-line, o que proporciona muitos benefícios, mas também cria desafios, principalmente no sentido de proteger os dados em trânsito contra acessos não autorizados. Para finalizarmos essa unidade ouça, no podcast abaixo, uma síntese da unidade: Podcast PODCAST 1 - Síntese Princípios em criptografia, segurança de comunicação e da informação Clique aqui para abrir o podcast Conteúdo de audio transcrição disponibilizado no formato digital. Agora que você concluiu esta unidade de estudo, vamos testar seu conhecimento. Confira quiz, a seguir, e responda com atenção. 22 de 22 páginas</p>