Criptografia e ICP

•
IFF

Anderson Ranquetat de Lara
27/07/2017
Prévia do material em texto
>> Gestão da Segurança da Informação e Comunicações >> 2009-2011
Anderson Clayton do Nascimento
CRIPTOGRAFIA E INFRAESTRUTURA DE 
CHAVES PÚBLICAS
G
SI
C2
50
VERSÃO 1
Este material é distribuído sob a licença creative commons
http://creativecommons.org/licenses/by-nc-nd/3.0/br/
Secretaria Pedagógica
Andréia Lacê
Eduardo Loureiro Jr.
Lívia Souza
Odacyr Luiz Timm
Ricardo Sampaio
Assessoria Técnica
Gabriel Velasco
Secretaria Administrativa
Indiara Luna Ferreira Furtado
Jucilene Gomes
Martha Araújo
Equipe de Produção Multimídia
Alex Harlen
Lizane Leite
Rodrigo Moraes
Equipe de Tecnologia da Informação
Douglas Ferlini
Osvaldo Corrêa
Edição, Revisão Técnica e de Língua Portuguesa
Jorge Henrique Cabral Fernandes
CEGSIC
Coordenação
Jorge Henrique Cabral Fernandes
Texto e ilustrações: Anderson ClaytonNascimento | Capa, projeto gráfico e diagramação: Alex Harlen 
Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da 
Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011.
José Elito Carvalho Siqueira
Ministro do Gabinete de Segurança Institucional
Antonio Sergio Geromel
Secretário Executivo
Raphael Mandarino Junior
Diretor do Departamento de Segurança da Informação e 
Comunicações
Reinaldo Silva Simião
Coordenador Geral de Gestão da Segurança da 
Informação e Comunicações
Fernando Haddad
Ministro da Educação
UNIVERSIDADE DE BRASÍLIA
José Geraldo de Sousa Junior
Reitor
João Batista de Sousa
Vice-Reitor
Pedro Murrieta Santos Neto
Decanato de Administração
Rachel Nunes da Cunha
Decanato de Assuntos Comunitários
Márcia Abrahão Moura
Decanato de Ensino de Graduação
Oviromar Flores
Decanato de Extensão
Denise Bomtempo Birche de Carvalho
Decanato de Pesquisa e Pós-graduação
Noraí Romeu Rocco
Instituto de Ciências Exatas
Priscila Barreto
Departamento de Ciência da Computação
Dilma Rousseff
Presidente da República
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
3
Sumário
[5] Currículo resumido do autor
[6] Resumo
[7] 1 Introdução
[8] 2 Conceitos Básicos
2.1 Texto em claro, texto cifrado ou criptograma • . . . . . . . . . . . . . . . . . . . . . . . 8
2.2 Sistema criptográfico, criptossistema, cifrador e decifrador • . . . . . . . . . . 8
2.3 Processo de criptografia • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.4 Visão Matemática do Ciframento e Deciframento • . . . . . . . . . . . . . . . . . . . 10
2.5 Tipos de Criptossistemas • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.6 Objetivos de um Criptossistema • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.1 Sigilo • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.2 Integridade • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.6.3 Autenticidade e Não-Repúdio. • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.7 Segurança em criptosistemas e sistemas criptográficos • . . . . . . . . . . . . . 12
[14] 3 Criptografia Simétrica
3.1 Sigilo Perfeito: O One Time Pad • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.2 Cifras de Bloco • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.2.1 Permutação • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.2.2 Substituição • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.2.3 Difusão/Confusão • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2.4 Redes SP • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2.5 Estrutura Básica • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.2.6 Modos de Uso • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.2.7 DES • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2.8 AES • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.3 Cifras de Fluxo • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3.1 O que são as Cifras de Fluxo? • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3.2 Vantagens • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3.3 Observações sobre Segurança de Cifras de Fluxo (Sigilo) •. . . . . . . . . . . 23
3.3.4 Alguns Exemplos Reais • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4 Funções de Hash e Aplicações • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4.1 Definições • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4.1 Aplicações • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
4
[28] 4 Criptografia de Chave Pública
4.1 Motivação • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.2 A Proposta de Diffie e Hellman • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.3 Vantagens da Criptografia de Chave Pública • . . . . . . . . . . . . . . . . . . . . . . . . 29
4.4 Assinaturas Digitais • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.5 Certificados Digitais e Autoridades Certificadoras • . . . . . . . . . . . . . . . . . . . 30
4.6 Segurança na WEB: O protocolo TLS/SSL • . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
[35] 5 Conceitos Matemáticos de Criptografia de Chave 
Pública
5.1 Acordo de Chaves Diffie-Hellman •. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
5.2 Criptossistema RSA • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5.3 Criptossistema ElGamal • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
5.4 Segurança Necessária para Criptossistemas de Chave Pública Práticos •
39
5.5 Assinatura Digital • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
5.6 Conceitos Matemáticos • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
5.7 Esquema de Assinatura RSA • . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
5.8 Algoritmo de Assinatura Digital (Digital Signature Algorithm, DSA) • . . 41
5.9 Segurança Necessária para Esquemas de Assinatura Digital Práticos • . 41
[43] 6 Conclusões
[44] Referências
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
5
CURRÍCULO RESUMIDO DO AUTOR 
Anderson Clayton do Nascimento
Possui graduação em Engenharia Elétrica pela Universidade de Brasília (1998), mestrado em 
Information And Communication Engineering - University Of Tokyo (2001) e doutorado em In-
formation And Communication Engineering - University Of Tokyo(2004). Atualmente é professor 
adjunto da Universidade de Brasília, coordenador de graduação do curso de engenharia de redes 
de comunicação e coordenador acadêmico do mestrado profissional em informática forense do 
departamento de engenharia elétrica. É revisor dos periódicos IEEE Transactions on Information 
Theory , IEICE Transactions on Fundamentals of Electronics, Journal of Physics A, Journal of Cryp-
tology, dentre outros. Tem experiência na área de Engenharia Elétrica, com ênfase em Seguran-
ça da Informação e Criptografia. É bolsista de produtividade em pesquisa do CNPq (nível 2). O 
prof. Nascimento é membro efetivo do programa de pós-graduação em engenharia elétrica e 
do programa de pós-graduação em informática da universidade de Brasília, tendo participado 
ativamente da criação de ambos os programas. Ele publicou algumas dezenas de artigos em 
conferências e periódicos científicos de alto prestígio e é detentor de uma patente internacional. 
O professor Nascimento é consultor da Agência Brasileira de Inteligência, membro designado do 
comitê técnico ICP-Brasil e vice-coordenador da comissão especial de segurança da informação 
da sociedade brasileira de computação (SBC). O professor Nascimento foi coordenador do comi-
tê de programa do IX Simpósio Brasileiro de Segurança da Informação e de Sistemas Computa-
cionais e será o coordenador geral da XI edição do mesmo evento.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
6
Resumo
A disciplina de criptografia e infra-estrutura de chaves públicas introduz ao aluno con-
ceitos elementares de criptografia presentes nas soluções de segurança de sistemas de infor-
mação correntes. A disciplina inicia-se com conceitos básicos de criptografia e segurança da 
informação tais como: modelos de segurança; definição de cifras simétricas; definição de cifras 
assimétricas e modelo adversarial. Em seguida, as principais técnicas de criptografia simétrica 
bem como as principais cifras de fluxo e de bloco atualmente em uso são explicadas. Os princi-
pais criptossistemas de chave pública são introduzidos juntamente com noções de assinaturas 
digitais. Por fim, explica-se o que são certificados digitais, autoridades certificadoras e infra-
-estrutura de chaves públicas.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
7
1 Introdução
A criptografia tem como um dos seus objetivos principais prover a troca de mensagens se-
cretas entre duas partes, geralmente chamadas de Alice e Bob, de forma que uma terceira parte 
maliciosa, geralmente chamada de Eva, não possa obter nenhuma informação relevante sobre o 
significado das mensagens secretas. A Figura 1 representa abstratamente esta situação.
Figura 1: Eva não deve obter informação relevante sobre as mensagens trocadas entre Alice e Bob.
A infra-estrutura de chaves públicas consiste numa solução geral para o uso da criptogra-
fia em redes de comunicação abertas, quando não se pode assumir que Alice e Bob tenham 
conhecimento prévio um do outro, pois uma vez que a rede é aberta e a todo instante entram e 
saem novos agentes na rede. Mesmo nestas condições, o uso de uma infra-estrutura de chaves 
públicas impede que Eva alcance seu intento.
Este texto apresenta conceitos básicos acerca de criptografia e infra-estrutura de chaves 
públicas e encontra-se organizado em sete seções. A segunda seção introduz os conceitos bá-
sicos de criptografia de uma maneira geral, com definições dos diferentes tipos de cifras (cifra 
simétrica e assimétrica), modelos adversariais1 etc. A terceira seção estabelece idéias e técnicas 
básicas a respeito de cifras simétricas e funções de hash. A quarta seção trata de criptografia 
de chaves públicas, com uso de cifras assimétricas e sua aplicação em assinaturas digitais e 
segurança na Web. A quinta seção, a mais densa do texto, aborda conceitos matemáticos da 
criptografia de chave pública e conclui com discussão sobre a segurança necessária em esque-
mas de assinatura digitais práticos. O tratamento matemático dispensado à compreensão da 
criptografia foi reduzido ao máximo, visando sua acessibilidade ao leigo que possui noções 
básicas de matemática discreta.
1 Modelos adversariais classificam os ataques a um sistema critpográfico.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
8
2 Conceitos Básicos
A seguir, serão estabelecidos conceitos básicos e terminologia relacionados à criptografia.
2.1 Texto em claro, texto cifrado ou criptograma
Com o objetivo de alcançar sigilo em um canal de comunicação que pode estar sujeito a 
escuta, Alice desordena sua mensagem, conhecida como texto em claro, respeitando algumas 
regras pré-estabelecidas, as quais são determinadas por uma chave2 previamente comparti-
lhada com Bob. Alice envia para Bob o texto desordenado. Ao receber o texto desordenado, 
Bob o reordena, de acordo com as regras previamente acordadas, representadas por sua cha-
ve, e assim recupera a mensagem. O texto desordenado é conhecido como texto cifrado ou 
criptograma, e pode ser abstratamente representado pela Figura 2. Perceba que o texto em 
claro está dentro do texto cifrado, mas apenas com a combinação da chave e do “cadeado” é 
(teoricamente) possível recuperá-lo. Em outras palavras, o texto cifrado não deve proporcionar 
a Eva qualquer informação a respeito da mensagem compartilhada entre Alice e Bob.
Figura 2 – Um texto cifrado.
Os processos de desordenar e reordenar a mensagem são conhecidos como ciframento e 
deciframento, respectivamente, e são representados na Figura 3.
Figura 3. Ciframento e Deciframento, usando uma chave criptográfica.
2.2 Sistema criptográfico, criptossistema, cifrador e 
decifrador
O ciframento e o deciframento são possíveis através do uso de um sistema criptográfico, 
que é um sistema computacional (uma combinação de hardware e software) que implemen-
2 Uma chave criptográfica é uma sequencia de caracteres (bits, números, letras etc).
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
9
tam uma cifra3 e é usado para realizar criptografia, tanto a cifragem como a decifragem. Como 
metaforicamente ilustra a Figura 4, pode-se representar uma chave criptográfica por meio de 
uma chave física, o sistema criptográfico por um cadeado, a cifra, cryptosystem ou criptossis-
tema por uma engrenagem (é um algoritmo), a parte do sistema criptográfico ou do criptosis-
tema (algoritmo) que realiza o ciframento por um cadeado fechando, e a parte do que decifra 
o texto cifrado, chamada de decifrador, por um cadeado abrindo.
Figura 4 – Uma “Chave Criptográfica”, um “Sistema Criptográfico”, um “Criptosistema”, o “cifrador” e o “decifrador”.
2.3 Processo de criptografia
O processo de criptografia pode ser representado pelas Figuras 5, 6 e 7.
Figura 5 – O processo de criptografia.
Na Figura 5 um sistema criptográfico, que implementa uma cifra ou criptosistema, é ope-
rado por meio de uma chave, que transforma um texto claro em texto cifrado. De outra forma, 
o mesmo sistema criptográfico é operado por uma chave (usualmente a mesma) para transfor-
mar o texto cifrado em texto claro.
De forma mais detalhada, o processo também pode ser representado pela Figura 6.
Figura 6 – O processo de criptografia, com destaque para a cifragem e decifragem.
3 Uma cifra, criptosistema ou cryptosystem é um algoritmo de ciframento, isto é, um conjunto de 
passos que devem ser realizados por um computador, para transformar um texto claro em um 
texto cifrado.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
10
De outra forma, usualmente os criptologistas estão preocupados com as características 
matemáticas dos algoritmos de ciframento, e estudam e representam o processo de criptogra-
fia do ponto de vista de suas cifras, como ilustra a Figura 7.
Figura 7. Criptossistemagenérico (visão de um criptologista).
Sob uma perspectiva organizacional, os processos das Figuras 5, 6 e 7 são definidos tanto 
pelo sistema criptográfico empregado, cuja implementação é baseada numa combinação de 
cifras, bem como pelos procedimentos organizacionais necessários à manipulação das chaves 
e dos sistemas criptográficos (hardware e software), à execução do ciframento e deciframento, 
ao envio e recebimento do texto cifrado.
2.4 Visão Matemática do Ciframento e Deciframento
Matematicamente, denota-se o ciframento de uma mensagem m com uma chave k por 
um algoritmo de ciframento E( ) por:
( )kE m
e o deciframento do texto cifrado acima com uma chave Kb por um algoritmo de decifra-
mento D( ) por:
( ( ))kb km D E m=
2.5 Tipos de Criptossistemas
Um esquema como o representado na Figura 6 é chamado de cryptosystem ou criptos-
sistema. Se as chaves usadas no ciframento e no deciframento são iguais, o criptossistema é 
classificado como de chave simétrica. Se as chaves utilizadas nas duas etapas forem distintas, 
então é um criptossistema de chave assimétrica. Os criptossistemas de chave simétrica mais 
comuns são as cifras de bloco e as cifras de fluxo.
Cifras de bloco operam em grupos de bits (blocos de bits) enquanto cifras de fluxo ope-
ram no texto em claro bit a bit. Maiores detalhes sobre esses dois tipos de criptossitemas simé-
tricos serão vistos adiante.
Criptossistema de chave pública é o principal tipo de criptossistema de criptografia as-
simétrica. Whitfield Diffie e Martin Hellman introduziram o conceito de criptografia de chave 
pública em 1976 em um trabalho histórico.
Criptossistemas de chave pública utilizam duas chaves distintas com o objetivo de esta-
belecer uma comunicação segura. Uma chave é pública, e a outra chave é secreta. Embora haja 
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
11
uma relação matemática precisa entre as duas chaves, é difícil gerar uma em função da outra, 
tendo-se acesso apenas às chaves. A Figura 8 apresenta, abstratamente um par de chaves assi-
métricas. São diferentes, mas uma é função matemática da outra.
Na criptografia de chave pública, dadas suas características mate-
máticas, o ciframento de uma mensagem pode ser feito por qualquer 
agente, enquanto o deciframento poderá ser feito somente por aquele 
que possui a chave secreta. Através de esquemas desse tipo, duas pesso-
as que não se conhecem podem estabelecer uma comunicação segura 
através de um canal inseguro, sem que tenham compartilhado previa-
mente de uma chave criptográfica. Uma construção prática de criptossis-
temas de chave pública foi proposta por um grupo de pesquisadores do 
MIT (Massachusetts Institute of Technology), o famoso RSA.
2.6 Objetivos de um Criptossistema
Além de prover trocas de mensagens de forma sigilosa entre usuários de um sistema, crip-
tossistemas modernos geralmente devem prover integridade, autenticidade e não-repúdio. 
O sistema busca impedir que o adversário reduza o grau de uma ou mais destes atributos de 
segurança da informação. Estes conceitos são definidos abaixo, por meio de ilustrações de 
ataques realizados pelo adversário.
2.6.1 Sigilo
Sigilo se refere à impossibilidade de um adversário descobrir uma quantidade não-des-
prezível de informação acerca da mensagem transmitida. No cenário da Figura 9, Eva não con-
segue obter informação significativa mesmo que tenha acesso aos pacotes de informação tro-
cados entre Alice e Bob, por exemplo, por meio de packet sniffing.
Figura 9 – Cenário de possível perda de confidencialidade, caso não seja usada criptografia.
2.6.2 Integridade
Integridade garante ao destinatário da mensagem, Bob, que não houve alterações no tex-
to cifrado após o envio feito pelo remetente, Alice. No cenário da Figura 10, Eva não poderia 
interceptar, modificar e enviar a Bob uma mensagem, sem que Bob descubra que a mensagem 
foi adulterada (perdeu sua integridade).
Figura 8 – Um par de 
chaves assimétricas.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
12
Figura 10 – Cenário de possível perda de integridade, caso não seja usada criptografia.
2.6.3 Autenticidade e Não-Repúdio.
Autenticidade garante ao destinatário, Bob, que a mensagem recebida foi realmente en-
viada por Alice, e por mais ninguém. Não-repúdio impossibilita um remetente de uma men-
sagem negar seu envio. Conforme ilustra a Figura 11 em algunas ataques é possível que Eva 
realize um ataque de personificação, fazendo-se passar, por exemplo, por Alice ou por outro 
agente. Alguns criptossistemas impedem que isto ocorra, garantindo autenticidade. Uma con-
seqüência da autenticidade é que Alice também não pode repudiar o envio prévio de uma 
mensagem autêntica recebida por Bob.
Figura 11 – Cenário de possível perda de autenticidade, caso não seja usada criptografia.
Em alguns casos deseja-se que o criptossistema proporcione anonimato a seus usuários, 
isto é, a identidade dos usuários do sistema é mantida oculta. Tal ocorre, por exemplo, em sis-
temas de votação secreta realizados por computador.
2.7 Segurança em criptosistemas e sistemas criptográficos
Como já dito anteriormente, um criptosistema é uma abstração matemática (algoritmo) 
que possibilita o uso da criptografia, enquanto que o sistema criptográfico é a implementação 
computacional da criptografia (hardware e software), o que pode envolver o uso de um ou 
mais criptosistemas. Para que se possa discutir a respeito da segurança de criptossistemas e 
sistemas criptográficos é necessário que, antes, seja especificado o que está disponível a um 
adversário, para que este tente quebrar a segurança do criptosistema (um ataque de nível teó-
rico) ou do sistema (um ataque de ordem prática, isto é, por meio de manipulação e acesso ao 
sistema). A seguir estão os principais tipos de ataques considerados na literatura. É usual em 
criptografia assumir que o adversário possui uma descrição completa do criptossistema em 
uso, a menos de sua chave secreta.
1. Ataque de texto cifrado (Ciphertext-only attack): Nesse ataque o adversário possui 
acesso somente a uma certa quantia de texto cifrado.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
13
2. Ataque de texto em claro conhecido (Known-plaintext attack, KPA): O adversário possui 
acesso ao texto em claro de uma quantidade de dados, além do acesso ao texto cifrado.
3. Ataque de texto em claro escolhido (Chosen-plaintext attack, CPA): O adversário pode 
escolher quais dados e seus respectivos textos cifrados e ter acesso aos mesmos A 
Figura 12 ilustra um exemplo deste tipo de ataque onde, mesmo sem ter acesso ao 
sistema criptográfico contido dentro de um terminal ATM, um atacante escolhe um 
número de identificação pessoal (PIN – Personal Identification Number) que é cripto-
grafado e capturado quando em tráfego através de uma rede.
4. Ataque adaptativo de texto em claro escolhido (Adaptive chosen-plaintext attack, 
CCA2): O adversário tem acesso ao sistema criptográfico e pode escolher pares de 
texto cifrado/texto em claro de forma adaptativa, isto é, o adversário pode modificar 
suas decisões a respeito dos pares de texto cifrado/texto em claro baseado nos dados 
previamente recebidos. Estas mudanças adaptativas são usualmente efetuadas por 
algoritmos de busca, e demandam que o atacante tenha acesso direto ao sistema 
criptográfico.
Figura 12 – Um Exemplo de Ataque CPA (chosen plaintext attack) ao sistema criptográfico de um Banco.
1. Ataque de texto cifrado escolhido (Chosen-ciphertext attack, CCA1): Nesse tipo de ata-
que o adversário possui acesso ao decifrador que decifra outros textos cifrados dife-
rentes do criptograma que lhe interessa. O objetivo aqui é garantir que uma cifra pos-
sua segurança mesmo que alguns textos em claro correspondentes a certos textos 
cifrados pela mesmatenham sido disponibilizados para um adversário. O decifrador 
pode ser, na prática, implementado através de suborno de uma pessoa responsável 
pela operação da maquina de ciframento, por exemplo. É importante ressaltar que 
em criptologia deve-se desenvolver sistemas criptográficos assumindo-se que o adver-
sário possui acesso à descrição completa dos algoritmos de ciframento e deciframen-
to, o que é conhecido como o Princípio de Kerckhoff, que expressa que a segurança 
de um criptossistema deve depender apenas da segurança de sua chave. Deve-se 
procurar seguir o princípio de Kerckhoff ao construir um criptossistema, uma vez que 
um adversário sempre pode roubar um dispositivo criptográfico e utilizar engenharia 
reversa, ou reconstruir um dispositivo de ciframento baseado apenas em pares de 
texto em claro/texto cifrado.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
14
3 Criptografia Simétrica
Esquemas de ciframento simétrico podem ser desenvolvidos a partir de diferentes técnicas 
e conceitos. Exemplos de cifras simétricas são o one-time pad, cifras de bloco e cifras de fluxo.
3.1 Sigilo Perfeito: O One Time Pad
Um dos grandes desafios no desenvolvimento de criptossistemas está relacionado a como 
definir e medir a segurança deste sistema. O estudo científico da segurança de criptossiste-
mas se deu início com o trabalho de Claude Shannon [1]. Entre outros trabalhos relevantes de 
Shannon encontra-se o uso de álgebra booleana na análise de circuitos digitais, criando o que 
é chamado hoje de chaveamento lógico. Um trabalho posterior de Shannon, A Mathematical 
Theory of Communication [2], que iniciou uma área que conhecemos hoje como Teoria da In-
formação, descreve a medida da informação por dígitos binários, que representam alternativas 
de sim/não, e que é a base fundamental das telecomunicações existentes hoje em dia.
Shannon também provou que uma cifra proposta por Gilbert Vernan, um pesquisador 
da AT&T, é um esquema de ciframento perfeito, isto é, um esquema que garante o sigilo da 
mensagem até mesmo contra os adversários mais poderosos. Este esquema é conhecido 
como o One-Time Pad. Sem perda de generalidade, o one-time pad será descrito por men-
sagens binárias {0,1}.
Suponha que ambos agentes, remetente e destinatário, possuem uma cópia de uma sequ-
ência aleatória de 0’s e 1’s (a chave). O remetente, Alice, pode cifrar a mensagem combinando-a 
com a chave através de um ou-exclusivo bit a bit. A operação de ou-exclusivo será denotada 
pelo símbolo , e é caracterizada pelas seguintes relações:
•	 0 0=0
•	 0 1=1
•	 1 0=1
•	 1 1=0.
Em termos gerais, quando dois termos da operação forem iguais, o resultado é zero. Quan-
to dois termos da operação forem diferentes o resultado é um. Ainda, observe que quaisquer 
que sejam as mensagens a e b, sempre é sempre verdade que:
•	 a b b = a.
Voltando ao one-time pad, Alice cifra a mensagem M, usando uma chave aleatória K, ge-
rando um texto cifrado C, da seguinte maneira:
C = M K
Onde é a operação de Ou-Exclusivo, realizada bit a bit em cada um dos bits da mensagem.
Ao receber o texto cifrado C, que é igual a M K, Bob, o destinatário, pode facilmente 
recuperar a mensagem M, realizando a seguinte operação:
M= C K,
•	 Isto é sempre verdade porque, como já dissemos, se a b b = a. então M = M K K.
Este processo é ilustrado na Figura 13.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
15
Figura 13. O one-time pad.
Observe que ambos, texto em claro e chave, possuem o mesmo tamanho. O one- time pad 
é completamente seguro quanto ao sigilo, caso o texto cifrado, formado pelo ou-exclusivo 
da mensagem com a chave aleatória seja completamente aleatório. Porém, para garantir este 
completo sigilo, a chave deve ser usada somente uma única vez, pois se a mesma chave for 
reutilizada para cada nova cifragem o atacante poderá o ou-exclusivo destes diferentes cripto-
gramas, cancelando assim a chaves comum, e recuperar alguma informação acerca das mensa-
gens em questão (sabendo, por exemplo, se as duas mensagens cifradas com a mesma chave 
são idênticas ou nao). Na verdade, se as mensagens cifradas com a mesma chave possuírem 
um grau de redundância elevado, é factível recuperar cada uma delas a partir do ou-exclusivo 
das mesmas. Para realizar uma nova cifragem de uma mensagem, Alice e Bob devem gerar 
uma nova chave completamente aleatória.
A restrição acima, e o fato da chave ter que ser do mesmo tamanho da mensagem, fa-
zem do one-time pad um esquema de criptografia não-prático. Sua utilização fica restrita à 
situações que exigem uma comunicação com o mais alto nível de segurança. Por exemplo. O 
one-time pad era usado na comunicação entre a Casa Branca, em Washington, e o Kremlin, em 
Moscow, para cifrar as comunicações do famoso telefone vermelho.
Shannon não somente provou que o one-time pad garantia sigilo perfeito, como também 
provou que qualquer criptossistema com sigilo perfeito deve possuir chave do mesmo tama-
nho da mensagem a ser transmitida. Isso faz com que criptossistemas com sigilo incondicional 
sejam muito custosos e de difícil uso.
Contudo, em um cenário realista, é comum considerar que os adversários possuem res-
trições computacionais quando atacando sistemas criptográficos. Em outras palavras, pode-se 
considerar a existência de tarefas computacionais que são difíceis de serem realizadas por um 
adversário. Essa idéia é usada no que é chamado de criptossistemas com segurança computa-
cional. Nesse tipo de criptossistema, a segurança é baseada na dificuldade de realizar algumas 
operações computacionais.
No caso de criptografia simétrica as principais cifras com segurança computacional que 
estudaremos são as cifras de bloco e as cifras de fluxo.
3.2 Cifras de Bloco
Cifras de bloco são os criptossistemas simétricos mais utilizados. Esse tipo de cifra age 
cifrando blocos de texto em claro e transformando-os em texto cifrado. Dois importantes pa-
râmetros de uma cifra de bloco são o tamanho da chave e o tamanho dos blocos com o qual a 
cifra opera. Duas importantes técnicas utilizadas na construção de cifras simétricas são permu-
tação e substituição. A seguir, encontram-se detalhes sobre cada uma das técnicas.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
16
3.2.1 Permutação
Em uma permutação, as letras de uma mensagem são simplesmente reordenadas, crian-
do um anagrama. Nesse tipo de criptossistema, as regras de transposição compõem a chave. 
Pode-se ver facilmente que, para mensagens muito curtas, essa técnica não é segura, pois ao 
reordenar, obtém-se um número pequeno de possibilidades de mensagens “embaralhadas”. 
Contudo, com o aumento do número de caracteres, o número de possibilidades de mensagens 
desorganizadas aumentam exponencialmente, tornando impossível recuperar a mensagem 
sem saber a chave. Um alto nível de segurança é atingido ao utilizar transposição aleatória, 
porém para que seja eficiente, as regras de transposição devem seguir um sistema direto, o 
que restringe muito o conjunto de possíveis chaves.
Figura 14 - Exemplo de Permutação.
3.2.2 Substituição
Além da transposição, outra técnica muito utilizada para a construção de cifras é a subs-
tituição. Em cifras de substituição, cada caracter da mensagem é substituído por um outro ca-
racter do mesmo alfabeto. Caracteres podem ser substituídos individualmente ou em grupos. 
Um exemplo trivial de substituição é ordenar os caracteres de um alfabeto em pares, aleato-
riamente, e substituir as letras de uma mensagem por seus pares determinados na ordenação 
aleatória. Por exemplo, as letras da primeira linha podem ser substituídas pelas letras da se-
gunda linha na Tabela 1.
Texto em Claro A B C D E F G H I J K L M
Texto Cifrado Q W E R T Y U I O P A S D
Texto em Claro N O P Q R ST U V X W Y Z
Texto Cifrado F G H J K L Z X C V B N M
Tabela 1: Uma tabela de substituição.
Para um texto em claro com a mensagem “Iloveyou”, o texto cifrado seria “osgctngx”. O 
primeiro documento que se teve notícia de usar cifras de substituição é o famoso “Guerras 
da Gália”, escrito por Caesar. O mais famoso sistema usado por Caesar foi a Cifra de Caesar. 
Nesse sistema o remetente substitui cada letra do texto em claro por uma letra que está três 
posições à frente no alfabeto. Por exemplo, a letra A é substituída pela letra D, B pela letra E, e 
assim por diante. Pode-se ver facilmente que este sistema é fácil de ser atacado. Se o alfabeto 
é composto por 25 letras, o número de possíveis chaves é 25, e, portanto, quebrar este siste-
ma por um simples método de tentativa e erro é plausível, mesmo sem usar um computador. 
Observa-se que uma condição necessária para um criptossistema ser seguro quanto ao sigilo, 
é que o mesmo possua um espaço de chaves possíveis grande. Porém, essa condição não é 
suficiente. Por exemplo, uma técnica de substituição genérica baseada numa chave binária 
com comprimento de 30 digitos possui um espaço de chaves contendo 2ˆ30 (dois elevado à 
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
17
trigésima potência) possíveis chaves, um número da ordem de 1 bilhão. Mesmo usando que se 
use uma chave grande, uma forma de se quebrar uma cifra de substituição é usar um método 
conhecido como análise de frequência. Em análise de frequência, a frequência em que aparece 
cada caracter do texto cifrado é computada e comparada com a frequência em que aparecem 
caracteres em um texto normal na língua em que o texto em claro foi escrito. A proximidade 
entre as frequências dos caracteres do texto em claro e do texto cifrado indicam prováveis 
regras de ciframento e deciframento. Isto é, mesmo que a chave criptográfica seja grande, um 
sistema completamente baseado em cifra de substituição é bastante susceptível a ataques.
Outro famoso exemplo de cifra de substituição é o usado no sistema Enigma, o sistema de 
ciframento usado por Nazistas Alemães durante a Segunda Guerra Mundial. A grande inova-
ção do Enigma foi de implementar um algoritmo criptográfico em uma máquina. Este era o fim 
da era da criptografia de papel e lápis. O Enigma era um grande avanço em muitos aspectos, 
uma vez que tornou possível o ciframento de grandes quantidades de documentos em um 
espaço muito curto de tempo. Além disso, algoritmos mais complicados, e mais seguros, po-
deriam ser implementados. O Enigma era um máquina de ciframento formidável e complexa, 
ilustrada na Figura 15.
Figura 15 – O sistema criptográfico Enigma. Fonte: Wikipédia.
O Enigma foi lançado como produto comercial em 1923, e foi produzida por um alemão 
chamado Arthur Scherbius com o objetivo de suprir a necessidade do comércio de comunica-
ções seguras. Era um dispositivo de fácil manuseio, onde após ajustá-lo para uso, o operador 
digitava o texto em claro da mensagem. Cada vez que uma tecla era apertada, uma letra em 
um painel era acesa, e essa letra corresponderia à letra do texto cifrado. O operador simples-
mente anotava o texto cifrado, e assim continuava até o fim da mensagem.
Os alemães viam o Enigma como um sistema criptográfico praticamente inquebrável. E 
eles estavam errados. A cifra usada na implementação do Enigma, e os procedimentos que 
este utilizava para cifrar mensagem, continham várias fragilidades, as quais foram exploradas 
pelos oponentes dos alemães para investigar táticas e estratégias secretas do exército alemão.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
18
3.2.3 Difusão/Confusão
Em seu trabalho, Shannon afirma que bons criptossistemas devem proporcionar confusão 
e difusão. Confusão tenta garantir uma relação entre o texto em claro e o texto cifrado que seja 
a mais complicada possível. A difusão significa que a influência de cada bit do texto em claro 
no texto cifrado deve ser a mais distante possível, e assim resultando em um texto cifrado com 
propriedades estatísticas aparentemente não relacionadas ao texto em claro. Shannon tam-
bém propôs que se combinasse cifras simples e talvez inseguras na construção de um sistema 
criptográfico, e assim obter criptossistemas mais fortes e potencialmente mais seguros, com 
boas propriedades de confusão e difusão. Essas cifras construídas através da combinação de 
cifras mais simples são conhecidas como cifras produto. Uma forma trivial de implementar tais 
cifras seria cifrando uma mensagem múltiplas vezes, cada vez utilizando uma chave distinta. O 
deciframento seria feito de forma similar, porém na ordem inversa.
3.2.4 Redes SP
O conceito de cifras produto é utilizado no que é conhecido como redes SP, onde S re-
presenta substituição e P permutação. Em uma rede SP, a cada passo a mensagem é subs-
tituída e permutada. As substituições são executadas por algoritmos denominados S-boxes, 
que consistem em tabelas de consulta que mapeiam n bits em m bits (onde muitas vezes n 
e m são iguais). Geralmente, bits da chave são usados para determinar qual substituição será 
empregada ao texto em claro. Os algoritmos S-boxes aumentam a confusão do texto cifrado. 
As permutações são ferramentas muito utilizadas para misturar bits (aumentando a difusão). 
Permutações são operadores lineares, e, portanto, não são suficientes para garantir sigilo. Con-
tudo, quando usados com bom algoritmos S-boxes não-lineares, permutações são de grande 
importância para a segurança, uma vez que essas ferramentas propagam a não-linearidade 
uniformemente por todos os bits. Estes conceitos estão ilustrados na Figura 16.
Figura 16 Uma cifra de Redes-SP.
Diversas cifras modernas possuem sua estrutura baseada em redes-SP.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
19
3.2.5 Estrutura Básica
A maioria das cifras de bloco utilizadas atualmente são baseadas em redes-SP. Em particu-
lar, a rede Feistel é uma interessante rede-SP. A rede Feistel é composta por diversos passos. A 
cada passo, um bloco de dados é utilizado como entrada e é gerado um bloco de saída do mes-
mo tamanho. Os passos basicamente repetem as mesmas operações. Inicialmente, a mensa-
gem é dividida ao meio. A segunda parte da mensagem é usada como entrada de uma função 
não-linear F (onde geralmente depende da chave secreta usada no processo de ciframento). 
A saída da função não-linear é então somada (operação de ou-exclusivo, por se tratar de bits) 
à primeira metade da mensagem. A saída de operação de ou-exclusivo será a segunda parte 
do bloco de saída. A primeira parte do bloco de saída será uma repetição da segunda parte do 
bloco de entrada. Esse procedimento é ilustrado na Figura 17.
Figura 17. Redes Feistel
Assim como a função F é usada para aumentar a confusão de um texto cifrado, o swapping 
(inversão da primeira e segunda metades) é utilizado para aumentar a difusão.
3.2.6 Modos de Uso
Existem várias formas de cifrar utilizando cifras de bloco. Abaixo, uma lista dos modos 
mais utilizados.
•	 Electronic Codebook Book (ECB), onde a mensagem é dividida em blocos independen-
tes de tamanho igual ao utilizado pela cifra de bloco, e depois os blocos são todos 
cifrados com uma única chave, conforme ilustra a Figura 18.
Figura 18: Cifra de Bloco no Modo ECB.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
20
•	 Cipher Block Chaining (CBC) (Veja Figura 19), onde a mensagem também é divida em 
blocos, porém nesse caso, na operação de ciframento há uma ligação entre os blocos 
e um vetor de inicialização. Isto é, um vetor de inicialização (uma cadeia de bits), com 
tamanho igual ao tamanho utilizado na cifra de bloco é cifrado. É feita uma operação 
de ou-exclusivo entre esse bloco cifrado e um bloco de texto em claro, e o resultado 
é cifradomais uma vez resultando em um novo bloco de texto cifrado. Esse processo 
se repete até que todos os blocos de texto em claro estejam cifrados.
Figura 19 – Cifra de Bloco no modo CBC
•	 Cipher FeedBack (CFB) (Veja figura 20), onde mensagem é vista como uma cadeia de 
bits, adicionada à uma cadeia de bits gerada pela cifra de bloco a partir de um vetor 
de inicialização. O ciframento procede da seguinte forma. O vetor de inicialização é 
cifrado e o resultado é somado (operação de ou-exclusivo) ao primeiro de texto em 
claro gerando o primeiro bloco de texto cifrado. O bloco de texto cifrado é então 
cifrado novamente, e o resultado é somado com o segundo bloco de texto em claro, 
onde o resultado será um feedback para o próximo estágio. 
Figura 20 - Cifra de Bloco no modo CFB.
•	 Output FeedBack (OFB), onde mensagem é tratada como uma cadeia de bits, assim 
como no modo CFB, porém no OFB o feedback é independente da mensagem. Isto é, 
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
21
um valor de inicialização é cifrado e depois somado ao primeiro bloco de texto em 
claro. Para gerar um segundo bloco de texto cifrado, o valor de inicialização cifrado 
é cifrado mais uma vez e o resultado é somado ao segundo bloco de texto em claro. 
Esse processo se repete até que todos os blocos de texto em claro estejam cifrados.
Cifras de Bloco no modo ECB são inseguras, uma vez que o ciframento de blocos idênticos 
de texto em claro resultam em blocos idênticos de texto cifrado. Os modos CBC e CFB são mais 
seguros, contudo, se existirem erros durante o processo de transmissão do texto cifrado, esses 
erros se propagam ao longo do processo de deciframento, para todos os blocos subsequentes.
3.2.7 DES
Indiscutivelmente, a mais famosa cifra de bloco é o DES, abreviação para Digital Encryp-
tion Standard. O DES foi o primeiro algoritmo proposto por uma agência oficial de um governo, 
e neste caso foi a NSA (National Security Agency) pertencente ao governo dos Estados Unidos.
O DES é uma cifra de bloco com blocos de tamanho de 64 bits, e utiliza chaves de 56 bits. 
O mesmo algoritmo é usado com a mesma para converter o texto cifrado em texto claro. O DES 
consiste de 16 passos de operações que combinam os dados e a chave de maneira determina-
da usando as operações fundamentais de permutação e substituição. A maior parte das cifras 
de bloco usadas atualmente consistem em redes SP, e o DES não é exceção.
De fato, o DES pode ser visto como uma rede Feistel. O objetivo é “embaralhar” comple-
tamente os dados e a chave, de forma que qualquer bit do texto cifrado dependa de todos os 
bits do texto em claro e de todos os bits da chave (Uma string de 56 bits, para o DES). O DES 
é suscetível à procura de chave por exaustão através de computadores modernos e hardware 
com objetivos específicos. O DES é ainda forte o suficiente contra a maioria dos hackers e in-
divíduos, porém é quebrado facilmente através de hardware especial criado por organizações 
com acesso à supercomputação, como governo, grandes organizações criminosas ou grandes 
corporações.
Um variante do DES, o Triple-DES (também conhecido como 3DES) é baseado em usar o 
DES três vezes com chaves diferentes. O Triple-DES é mais forte que o DES padrão e é conside-
rado uma cifra segura, porém, é mais lento comparado a algumas cifras de bloco modernas.
3.2.8 AES
O Advanced Encryption Standard (AES) foi o nome escolhido para o substituto do DES. O 
AES foi selecionado entre inúmeros criptosistemas submetidos por candidatos a uma consulta 
pública efetuada pelo National Institute of Standards and Technology (NIST). A cifra escolhida, o 
Rijndael, foi proposta pelos pesquisadores Belgas Rinjmen and Daemen.
O Rijndael é uma cifra de com blocos de 128 bits, e três possibilidades de tamanhos de 
chaves, 128 bits, 192 bits e 256 bits (esses parâmetros foram especificações do NIST). Apesar 
de ser baseado em uma arquitetura de rede SP, o Rijndael não é baseado em redes Feistel. O 
número de passos depende do tamanho da chave. São 10 passos se a chave é de 128 bits, 12 
se é uma chave de 192 bits, e 14 se a chave for de 256 bits.
O Rijndael é aparentemente resistente a todos os ataques conhecidos contra cifras de blo-
cos. Até o presente momento, não há nenhum ataque mais eficiente que busca de chave por 
exaustão para o Rijndael. A Figura 21 apresenta a estrutura básica do Rijndael.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
22
Figura 21 - Estrutura Básica do Rijndael – AES.
3.3 Cifras de Fluxo
3.3.1 O que são as Cifras de Fluxo?
Cifras de fluxo são algoritmos de ciframento simétrico que atuam bit a bit do texto em 
claro. Essas cifras são semelhantes ao one-time pad, contudo, ao invés de fazer uma operação 
de ou-exclusivo entre a mensagem e uma sequência de bits perfeitamente aleatória , cifras de 
fluxo operam através de ou-exclusivo a mensagem e uma sequência de bits pseudo-aleatória, 
que é chamada de keystream, gerada a partir de uma pequena sequência de bits perfeita-
mente aleatória. Uma sequência é pseudo-aleatória se for computacionalmente impraticável 
para um adversário distinguir a sequência pseudo-aleatória de uma sequência perfeitamente 
aleatória. O processo de deciframento procede operando, através de ou-exclusivo, o texto ci-
frado e o keystream. Cifras de bloco também podem ser usadas como cifras de fluxo quando 
usados os modos CFB e OFB. Cifras de fluxo são geralmente categorizadas em síncronas e 
auto-sincronizáveis.
•	 Cifras de fluxo síncronas: a geração do keystream pode ser independente do texto 
cifrado e do texto em claro.
•	 Cifras de fluxo auto-sincronizáveis: a geração do keystream depende dos dados e sua 
cifra. A Figura 22 ilustra um esquema genérico de cifra de fluxo.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
23
Figura 22. Esquema de uma Cifra de Fluxo.
3.3.2 Vantagens
Essa abordagem apresenta várias vantagens das cifras de fluxos, quando comparadas ao 
one-time pad e às cifras de bloco:
•	 Diferentemente do one-time pad, o tamanho da chave pode ser muito menor que o 
tamanho da mensagem a ser cifrada.
•	 A operação de ciframento é muito rápida, e geralmente cifras de fluxo são muito mais 
rápidas que as cifras de blocos.
•	 Não há propagação de erro, isto é, se partes do texto cifrado forem corrompidas du-
rante a transmissão, isto não afetará as partes não corrompidas.
Observe que as cifras de fluxo não são basaedas nos princípios de confusão e difusão 
criados por Shannon.
3.3.3 Observações sobre Segurança de Cifras de Fluxo 
(Sigilo)
Existem algum pontos que devem ser ressaltados ao estudar as cifras de fluxo:
•	 Se a chave for usada mais de uma vez, o sistema pode ser comprometido, uma vez 
que o adversário, se capturar mensagens, possuirá dois textos cifrados que foram 
cifrados com a mesma chave, e assim ele pode computar o ou-exclusivo dos dois 
textos cifrados e obter como resultado o ou-exclusivo das duas mensagens em claro. 
Utilizando-se métodos estatísticos apropriados e assumindo um certo grau de redun-
dância presente nas mensagens em questão, pode-se separá-las facilmente.
•	 Outro detalhe a ser observado é que todas as cifras de fluxo são periódicas, isto é, a 
cifra repete a saída do keystream após um tempo. Assim, ao cifrar mensagens muito 
grandes, tem-se o mesmo efeito de usar a mesma chave duas vezes. O período da 
repetição depende do desenho da cifra de fluxo.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
24
3.3.4 Alguns Exemplos Reais
Aqui, são apresentados alguns exemplos de cifras de fluxo que foram propostas e postas em uso:
•	 RC4: É um algoritmo proposto por Ron Rivest (um dos criadores do RSA). O algoritmo 
é muito simples, e não há resultados de cripto-análise eficiente conhecidos.
•	 SEAL:Desenvolvido por Phil Rogaway e Don Coppersmith. Este algoritmo expande 
uma chave aleatória de tamanho 160 e uma string n de 32 bits, em uma sequência 
pseudo aleatória de até 65kbytes.
3.4 Funções de Hash e Aplicações
3.4.1 Definições
Funções de hash são componentes fundamentais de criptossistemas modernos. Elas pos-
suem aplicações em identificação de usuários, na garantia de autenticidade e integridade no 
contexto de criptografia simétrica e assimétrica. Um função de hash criptográfica, também 
conhecida como função de hash one-way, mapeia uma entrada arbitrária em uma saída de 
tamanho constante. Em termos gerais, uma função de hash one-way de possuir as seguintes 
propriedades:
•	 Qualquer mensagem de tamanho arbitrário pode ser uma entrada;
•	 O tamanho da saída é fixo, um valor constante;
•	 É relativamente fácil computar a saída a partir de uma dada entrada;
•	 Para uma dada saída da função, é difícil encontrar a entrada correspondente, uma vez 
que a função é one-way;
•	 Não deve ser factível do ponto de vista computacional descobrir entradas distintas 
que produzam saídas idênticas.
3.4.1 Aplicações
Uma das principais aplicações de funções de hash é na garantia de integridade e autenti-
cidade no contexto de criptossistemas simétricos.
Seja o seguinte cenário: Alice e Bob compartilham uma chave simétrica denominada CHA-
VE e desejam garantir a integridade a autenticidade de uma mensagem a ser enviada de Alice 
para Bob. Uma maneira de conseguir tal objetivo é Alice enviar para Bob a mensagem “m” se-
guida por HASH(CHAVE, mensagem) onde HASH denota uma função de hash criptográfica e a 
virgula denota a operação de concatenação. HASH(CHAVE, mensagem) é denominado código 
de autenticação de mensagem (ou MAC do inglês message authentication code). Ao receber 
“m” Bob computa por conta própria HASH(CHAVE, mensagem) e verifica se o valor obtido é 
igual ao enviado por Alice. Caso seja diferente isso significa que alguém alterou a mensagem 
no decorrer da transmissão. A idéia aqui, sumarizada nas Figuras 23 e 24, é que somente gerará 
um código de autenticação de mensagens correto aquela parte que conhecer CHAVE.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
25
Figura 23. Integridade e Autenticação (Parte 1).
Figura 24 –Integridade e Autenticação (Parte 2).
Uma outra aplicação de grande relevância prática de funções de hash é nos sistemas de 
identificação de usuários do tipo “login/password”.
Uma maneira de implementar determinado sistema de identificação em um computa-
dor, por exemplo, seria armazenar no computador em questão todas as senhas de todos os 
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
26
usuários e exigir que as senhas sejam digitadas pelos usuários no momento da identificação. 
Assim o sistema poderia comparar a senha digitada com a senha armazenada. Uma obvia vul-
nerabilidade desse tipo de solução é a necessidade de armazenar todas as senhas. Isto possi-
bilita que um adversário roube o arquivo de senhas e comprometa totalmente a segurança do 
sistema de identificação em questão. Com o uso de funções de hash podemos implementar 
uma solução mais segura. Ao invés de armazenar as senhas do usuário, armazenaríamos o 
hash das senhas. Um usuário que quer se identificar para o sistema deveria digitar a sua senha. 
O sistema, por sua vez, calcularia o hash da senha e compararia o resultado com o o hash da 
senha original que foi armazenado. Assim, caso caia nas mãos de um adversário, o arquivo de 
hash de senhas seria inútil. Esta solução foi adotada nos sistemas operacionais UNIX, conforme 
ilustra a Figura 25.
Figura 25 – Uso de hashes para guarda de senhas em sistemas UNIX.
Outro uso das funções de hash ocorre nos chamados “One-Time Passwords” (OTP) tam-
bém conhecidos como Hash de Lamport, em homenagem ao seu criador. Estes mecanismos 
são muito empregados no contexto de acesso bancário pela internet. Neste caso, o banco for-
nece ao usuário um dispositivo que contem uma senha secreta. Ao usar este dispositivo para 
acessar o sistema bancário pela primeira vez, o dispositivo fornecerá ao usuário o resultado de 
n (onde n é um parâmetro pré-acordado do sistema) aplicações repetidas de uma função de 
hash criptográfica usando como entrada a senha. Esta valor será fornecido ao banco. O banco 
por sua vez realizará as mesmas operações que foram efetuadas pelo dispositivo (também 
conhecido como token), ou seja calculará o resultado da aplicação repetida de uma função de 
hash sobre a senha pré-compartilhada, caso o resultado seja igual ao apresentado pelo usuáio 
ele será identificado com sucesso e terá acesso ao sistema. Na segunda vez em que o usuário 
for se autenticar, o mesmo procedimento será realizado, porem, nao mais n vezes, mas n-1 ve-
zes. A idéia é que computar as funções de hash em uma direção é fácil, dado o conhecimento 
da senha, porem inverter a função de hash seria impraticável para um adversário. Este sistema 
permite que n autenticações sejam feitas. Depois de n autenticações deve-se trocar a senha.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
27
Figura 26 – Uso de One-Time-Passwords.
A seguir serão apresentados conceitos básicos de criptografia de chave pública, assinatu-
ras digitais, alguns conceitos matemáticos necessários, e modelos adversariais.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
28
4 Criptografia de Chave Pública
4.1 Motivação
No mundo das redes abertas, como é o caso da internet, o sigilo de dados a serem trans-
mitidos não pode ser garantido usando somente esquemas simétricos. Isto é, para que seja 
possível a troca de dados sigilosos entre agentes que não se conheceram previamente os usu-
ários não devem ser obrigados a compartilhar uma chave em comum como usada em esque-
mas de criptografia simétrica. Ocorre que se os usuários distantes não puderem, usando um 
canal inseguro, estabelecer a chave de forma segura, algum adversário pode de forma ilegal 
obter a chave, e dessa forma, ter acesso à mensagem. Uma das melhores soluções práticas para 
este problema é utilizar criptografia de chave pública, onde um remetente cifra uma mensa-
gem (ou uma chave de sessão) usando apenas as informações públicas do destinatário.
4.2 A Proposta de Diffie e Hellman
A idéia da criptografia de chave pública (usando algoritmos assimétricos) foi proposta por 
Diffie e Hellman em um trabalho pioneiro em 1976, onde as chaves para cifrar e decifrar eram 
conhecidas como chave pública e chave privada, respectivamente. A idéia revolucionária dos 
autores foi estabelecer uma troca segura de mensagens entre o remetente e o destinatário, sem 
que os agentes nunca tivessem se encontrado para estabelecer uma chave secreta comum.
Criptografia de chave pública pode ser modelada de seguinte forma: em uma situação 
onde Bob tem a intenção de enviar uma mensagem à Alice, primeiramente, Alice gera uma 
chave pública, que é publicada em seu nome em um diretório público acessível a qualquer 
usuário, e também gera uma chave privada, a qual é função matemática da chave pública, mas 
está acessível somente a ela. Para mandar uma mensagem secreta a Alice, Bob procura a chave 
de Alice no diretório público, Bob então cifra a mensagem usando a chave pública. O texto 
cifrado resultante será enviado a Alice através de um canal público, por exemplo, Internet. 
Finalmente, ao receber o texto cifrado, Alice poderá decifrar e recuperar a mensagem usando 
sua chave secreta (ver Figura 27). O mecanismo de ciframento de chave pública é baseado na 
dificuldade de resolver certos tipos de problemas matemáticos, por exemplo, fatoração de 
inteiros e logaritmo discreto, e isso garante que seria necessário um tempo muito grande para 
que se pudesse encontrar a chave privada a partir da chave pública somente.Figura 27. Criptossistema de Chaves Públicas
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
29
Até o momento, diversas técnicas de criptografia de chave pública foram desenvolvidas 
de forma intensa, o que resultou em diferentes níveis de eficiência e segurança. Um dos pro-
gressos mais importantes é o relacionado ao tópico de segurança demonstrável, que é a segu-
rança onde pode ser rigorosamente provada a impossibilidade de um adversário quebrar um 
criptossistema, enquanto este adversário não for capaz de resolver um problema matematica-
mente difícil.
Antes, aproximações heurísticas eram constantemente utilizadas para analisar a seguran-
ça de esquemas criptográficos, isto é, se ninguém fosse capaz de quebrar o esquema após 
muitos anos, então sua segurança era amplamente aceita. Contudo, essa abordagem está sen-
do substituída pela abordagem de segurança demonstrável. Segurança demonstrável vem 
se tornando uma condição indispensável para criptossistemas padrão, e assim, a maioria dos 
criptossistemas atuais atendem a essa condição. Posteriormente nessa seção, será analisada a 
segurança demonstrável em detalhes.
4.3 Vantagens da Criptografia de Chave Pública
Observa-se que uma das maiores vantagens da criptografia de chave pública é o estabe-
lecimento de comunicação segura utilizando apenas dados publicamente acessíveis. Ainda, o 
número de chaves correspondente a cada parceiro de comunicação que um usuário precisa 
administrar em esquemas convencionais é reduzido de forma significante ao utilizar cripto-
grafia de chave pública, onde um usuário precisa guardar apenas sua própria chave privada.
À primeira vista, parece que em todos os aspectos a criptografia de chave pública é supe-
rior à criptografia de chave privada. Contudo, isso não é sempre verdade. Umas das desvanta-
gens da (atual) criptografia de chave pública é sua velocidade: esses tipos de criptossistemas 
demanda muitos recursos computacionais e o tamanho da mensagem é significantemente 
limitado. A melhor solução é, portanto, uma combinação das vantagens da criptografia con-
vencional e da criptografia de chave pública. Isto é, não é prático cifrar a mensagem inteira 
usando apenas criptografia de chave pública. É mais sensato usar criptografia de chave pública 
para cifrar a chave de uma sessão de trabalho, de natureza temporária, a qual então será uti-
lizada como uma chave simétrica comum entre o remetente e o destinatário, enquanto eles 
estabelecem a sessão de trabalho.
4.4 Assinaturas Digitais
Uma conseqüência do conceito de criptografia de chaves públicas é a idéia de assinatu-
ras digitais. Conforme explicado anteriormente, uma chave pública e uma chave privada são 
atribuídas a cada agente no contexto de criptografia de chaves públicas. A chave privada é 
usualmente empregada para decifrar mensagens cifradas com a chave pública. No entanto, a 
mesma pode ser usada para “cifrar” uma mensagem quando o objetivo em vista é autenticida-
de e não confidencialidade. Quando uma determinada parte, por exemplo Alice, deseja provar 
a outras partes que é a originadora de uma determinada mensagem, ela “cifra” a mensagem 
em questão com sua chave privada resultando em uma assinatura digital. A assinatura digital 
pode ser verificada por qualquer parte que conheça a chave pública de Alice. Por exemplo, se 
Bob recebe a mensagem mais a respectiva assinatura de Alice, ele pode verificar se a assinatura 
foi realmente criada por Alice ou não. Assumindo que Bob conhece a chave pública de Alice, 
ele pode aplicar a chave publica de Alice a assinatura recebida. A chave pública cancela a ope-
ração feita pela sua respectiva chave privada. Logo, se a assinatura for realmente produzida 
por Alice, o resultado desse processo de verificação deve ser a mensagem original.
Na maioria dos esquemas de assinatura digital, geralmente a transação de assinatura ini-
cia gerando resumo da mensagem usando função de hash one-way. Em vez de computar a as-
sinatura da própria mensagem, um resumo da mensagem é usado para gerar assinaturas. Isso 
porque é muito mais fácil computar assinaturas a partir de resumo de mensagens comparadas 
às mensagens originais, que podem ser muito longas.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
30
Figura 28 – Assinatura Digital: Idéia Básica.
4.5 Certificados Digitais e Autoridades Certificadoras
Uma hipótese implícita em toda a nossa argumentação acerca de criptografia de chaves 
públicas é de que as chaves públicas de seus respectivos usuários são conhecidas. Essa é uma 
hipótese que não se reflete na prática. Dessa forma é importante instalar mecanismos que 
garantem a relação entre a chave pública e a identidade de uma determinada pessoa. Uma 
solução prática que tipicamente é usada para este problema é registrar uma terceira parte con-
fiável, para ambos remetente e destinatário, conhecida como autoridade certificadora (CA), 
responsável por determinar a relação entre a identidade de uma parte e a sua respectiva chave 
pública. A CA garante que o vínculo entre a identidade de um agente e certifica que a chave 
pública atribuída a ele no banco de dados público realmente a ele pertence. Uma vez que a Au-
toridade Certificadora verifica a correta associação entre a identidade de um usuário e sua cha-
ve pública, a CA emite um certificado. Um certificado é um relatório computacional que atesta 
a ligação entre uma chave pública e um agente (indivíduo ou uma entidade). Este relatório é 
assinado pela autoridade certificadora. É importante frisarmos que assume-se que a chave pú-
blica da autoridade certificadora é conhecida por todos os seus usuários. Se o destinatário qui-
ser verificar se é válida a associação entre o remetente e sua chave pública, o destinatário pode 
verificar a assinatura digital da autoridade certificadora diretamente no certificado anexado. 
A CA deve ser uma terceira parte imparcial, com uma reputação estabelecida, e que adota um 
conjunto de medidas de segurança de elevadíssimo grau, para que os certificados emitidos 
possuam credibilidade confiável. A Figura 29 apresenta, de forma conceitual, um certificado 
emitido por uma autoridade certificadora. Note que o certificado contém três elementos:
•	 Dados sobre a identidade do agente ou usuário, que pode ser um sítio web, por 
exemplo cegsic.unb.br.
•	 A chave criptográfica pública, referente ao agente ou usuário.
•	 A assinatura digital da autoridade certificadora, que atesta que a chave criptográfica 
pertence ao usuário indicado.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
31
Figura 29. Visão abstrata de um certificado emitido por uma Autoridade Certificadora.
Um certificado contém o nome do remetente, sua chave pública, um numero de série, 
data de validade, e assim por diante, e mais importante, contém a assinatura digital da Autori-
dade Certificadora, de forma que o destinatário possa verificar que o certificado é verdadeiro. 
O conceito de assinatura digital é discutido na seção 2.16. De forma concreta, o modelo de 
certificado digital atualmente em uso da Web é o X.509. O protocolo X 509 especifica que in-
formações devem constar no certificado digital, tais como cifras utilizadas, prazo de val;idade 
do certificado, numero serial do mesmo, identificação da autoridade certificadora etc.
Em redes de grande escala, a certificação de chaves públicas pode ser considerada muito 
onerosa, e uma única CA pode não ser suficiente para controlar a emissão de certificados e ve-
rificação de identidades para todos usuários. Considere, por exemplo, que 25% da população 
mundial tem acesso a internet, e à medida que aumenta o comércio eletrônico, bilhões de con-
versações seguras precisam ser estabelecidas entre os sítios web de comércio eletrônico e seus 
clientes. Apesar desse problema parecer se resolver com o uso demúltiplos CAs, é difícil de ad-
ministrar vários CAs (confiáveis) simultâneamente. A principal solução vigente é construir um 
sistema hierárquico de autoridades certificadoras. Tipicamente, redes hierárquicas de CAs são 
construídas da seguinte forma: uma CA raiz serve para sublicenciar CAs pais, as quais emitem 
certificados da mesma maneira para seus CAs filhos. Cada CA filho gera certificados para um 
pequeno subgrupo de usuários, que podem servir como nós para a hierarquia completa. Essa 
estrutura hierárquica tem estabelecido interrupção mínima para os serviços de autenticação 
de certificados.
No caso específico do Brasil, o governo criou uma infra-estrutura de chaves públicas 
composta por autoridades certificadores organizadas de maneira hierárquica denominada 
ICP-Brasil. A autoridade certificadora raiz é mantida pelo Instituto Nacional de tecnologia da 
Informação. A AC raiz assina os certificados de autoridades certificadoras de níveis inferiores. A 
ICP-Brasil foi constituída pela medida provisória 2.200-2 de 24 de agosto de 2001.
4.6 Segurança na WEB: O protocolo TLS/SSL
Apresentaremos nesta seção como os conceitos até agora discutidos podem ser reunidos 
para implementar uma tarefa relativamente complexa: a garantia de segurança nas comunica-
ções que ocorrem na World Wide Web (WWW).
No contexto das comunicações WEB, usualmente, temos um cliente (aquele que inicia a 
conversação) e um servidor (aquele que recebe a primeira mensagem da conversação). O pro-
tocolo TLS (Transport Layer Security) é a versão atual do protocolo SSL (Secure Sockets Layer) 
e foi criado com o objetivo de prover sigilo, integridade e autenticidade as comunicações WEB.
O protocolo TLS consiste de duas fases. A primeira fase é denominada fase de Handshake 
enquanto a segunda fase é conhecida como fase Record. Explicaremos brevemente estas duas 
fases, com o auxílio das Figura 30, 31 e 32.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
32
Figura 30 – Handshake no protocolo TLS.
Na fase handshake o cliente (normalmente um navegador ou browser) envia, inicialmente 
uma mensagem contendo um numero aleatório Nc, uma lista como o nome do conjunto de 
cifras simétricas e assimétricas por ele suportadas (denominadas de suite) bem como indica a 
versão do protocolo suportada.
O servidor (por exemplo, um servidor de um website bancário) responde enviando um 
numero aleatório Ns, o conjunto de cifras suportadas pelo servidor bem como o seu certificado 
digital, contendo sua identidade S e sua chave pública Pks. O certificado digital é assinado por 
uma autoridade certificadora válida.
Ao receber o cetificado digital do servidor normalmente o cliente (navegador do usuário) 
verificará a assinatura digital do mesmo para determinar a sua validade. As chaves públicas das 
principais autoridades certificadoras encontram-se disponíveis nos principais navegadores do 
mercado. Neste momento, o usuário recebe uma mensagem informando que a assinatura di-
gital do certificado foi validade e se concorda em utilizar o certificado digital em questão. A 
Figura 31 ilustra esta situação.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
33
Figura 31 – Sucesso na verificação de uma assinatura digital.
Caso o usuário concorde em utilizar o certificado em questão, o navegador (cliente) esco-
lhera uma função de hash, uma cifra simétrica e um criptossistema de chave pública compatí-
veis com as cifras suportadas tanto pelo navegador quanto pelo servidor.
Uma vez escolhidas essas cifras, o navegador cifrara uma chave de sessão simétrica 
(Secret_C) com a chave pública do servidor.
A chave de sessão estabelecida no Handshake será utilizada na próxima fase do protocolo 
TLS, denominada de Record.
Na fase de Record, quando uma mensagem deve ser trocada pelo cliente e servidor, os 
seguintes passos são executados:
1. Inicialmente esta será segmentada
2. A mensagem é então comprimida com algum algoritmo de compressão de dados;
3. Calcula-se um código de compressão de mensagem para cada segmento baseado na 
chave de sessão acordada na fase de Handshake.
4. Cifra-se a mansagem concatenada com o código de autenticação de mensagem.
5. Adiciona-se um cabeçalho ao criptograma resultante do passo 4.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
34
Figura 32 – Fase Record do TLS.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
35
5 Conceitos Matemáticos de Criptografia 
de Chave Pública
Esta seção faz uma breve revisão alguns conceitos matemáticos relacionados à criptogra-
fia de chave pública, visando aprofundar a discussão da seção anterior. Suponha que Bob envie 
uma mensagem a Alice utilizando criptografia de chave pública. Seja m a mensagem, c seu 
correspondente texto cifrado, skAlice a chave privada do destinatário e pkAlice sua chave pública. 
Como c é calculado usando m e pkAlice, c pode pode ser representado matematicamente como 
c=fpkAlice(m), onde fpkAlice(x) é uma função de ciframento que depende de pkAlice. Note que, em 
um sistema de criptografia de chave pública prático, um valor aleatório é também escolhido 
por Bob, e esse valor também será usado para calcular c. Uma condição necessária (porém não 
suficiente) para que se tenha um criptossitema de chave pública seguro, é garantir que a chave 
privada do destinatário, fpkAlice(x), tenha a seguinte propriedade: deve ser significantemente di-
fícil calcular x0 a partir de fpkAlice(x0) para todo x0. Pode-se ver como um processo fácil de se fazer, 
porém muito difícil, ou até mesmo impossível de se desfazer. Um tipo de função que satisfaz 
essa condição é chamado de funções one-way ou de mão única(Alice é capaz de quebrar a ca-
racterística one-way usando sua chave privada skAlice, mais precisamente, fpkAlice(x) deve ser uma 
função trap-door one-way. ou função de mão única com alçapão )
Todos os criptossitemas de chave pública práticos são baseados em funções (trap-
-door) one-way. A seguir um exemplo de como as funções one-way são geralmente 
usadas em criptografia de chave pública.
Definimos a função módulo para inteiros a, b da seguinte maneira: sejam a,b,c, inteiros, 
a mod b = c onde c é o resto da divisão de a por b. Defina fg,p(x)=g
xmod p. Uma função f7,11(x) é 
expressa como f7,11(x)= 7
xmod 11 e para x=1,2,…,10 esta função é eficientemente calculada da 
seguinte forma:
f7,11(1)=7 mod 11=7
f7,11(2)=f(1)*7 mod 11=5
f7,11(3)=f(2)*7 mod 11=2
f7,11(4)=f(2)*f(2) mod 11=3
f7,11(5)=f(2)*f(3) mod 11=10
f7,11(6)=f(3)*f(3) mod 11=4
f7,11(7)=f(3)*f(3)*7 mod 11=6
f7,11(8)=f(2)*f(3)*f(3) mod 11=9
f7,11(9)=f(3)*f(3)*f(3) mod 11=8
f7,11(10)=f(3)*f(3)*f(3)*7 mod 11=1
Contudo, temos o seguinte problema: para um y0, calcular x0 tal que y0= f7,11(x0). Pode-se 
observar que é muito mais difícil de obter a resposta neste caso. De fato, não se conhece ne-
nhum método eficiente para resolver este problema popularmente conhecido como o proble-
ma do logaritmo discreto. Imediatamente, pode-se calcular f7,11(4) para ser 3, porém não é fácil 
calcular x0 onde f7,11(x0)=3 (talvez para o problema acima, a maneira mais rápida seria produzir 
uma tabela de possíveis pares de x e f7,11(x), para todo x).
O problema do logaritmo discreto é o problema de encontrar o inverso de fg,p(x), e este 
problema tem um papel importante em diversos esquemas criptográficos. A diferença no cus-
to computacional para fg,p(x) e para seu inverso aumenta significantemente à medida que os 
parâmetros aumentam. Para um cenário de parâmetros grandes, pode-se assumir que a fun-
ção fg,p(x) é uma função one-way. Em termos gerais, computar o inverso de fg,p(x) é considerado 
impraticável quando um p de tamanho de 1024 bits (ou maior) é selecionado (juntamente com 
outros parâmetros escolhidos apropriadamente). Por causa de suanatureza intratável, a cons-
trução de funções one-way é possível, onde essas são o coração de esquemas de criptografia 
de chave pública.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
36
Assim como o problema do logaritmo discreto, o problema de fatoração de inteiros é conside-
rado um problema difícil: sejam p e q primos grandes, e n = p*q, então, para um dado n, encontrar 
p e q é considerado uma tarefa difícil. Esse problema se torna extremamente difícil à medida que 
o tamanho dos números aumentam. Criptossitemas RSA são baseados no problema de fatoração 
de inteiros, o que implica em o RSA ser quebrado ao se resolver a fatoração de inteiros envolvida.
5.1 Acordo de Chaves Diffie-Hellman
O acordo de chaves Diffie-Hellman [3] foi a primeira solução para o problema de distribui-
ção de chaves, permitindo que duas partes, as quais nunca haviam se encontrado, acordassem 
uma chave secreta usando somente discussões que podem ser publicamente vistas. Protoco-
los de acordo de chaves são diferentes de protocolos de ciframento de chave pública, no sen-
tido em que eles não são feitos para cifrar mensagem, mas sim usados para que partes possam 
entrar em acordo a respeito de algum segredo a ser usado para cifrar mensagens.
Até o momento foram desenvolvidos muitos algoritmos práticos e seguros que permitem 
o acordo de chaves , e a técnica do acordo de chaves Diffie-Hellman é uma das propostas 
clássicas e ainda é utilizada em muitas aplicações. A Figura 33 sumariza alguns elementos do 
Protocolo Difie-Hellman.
Suponha que Alice e Bob queiram entrar em acordo a respeito de alguma chave secreta 
usando o protocolo de acordo de chaves Diffie-Hellman. Primeiramente, Alice gera sua chave 
secreta, escolhendo aleatoriamente um valor, xAlice entre 1 e p-2, onde p é um número primo 
grande. De forma semelhante, bob gera sua chave secreta, xBob. Então, para algum parâmetro 
público apropriado g (isto é, g é um “gerador” de um grupo cíclico de ordem p-1 pertencente a 
{1,2,…,p-1}), Alice e Bob calculam suas chaves públicas, yAlice = fg,p(xAlice) e yBob= fg,p(xBob), respec-
tivamente. Procedem trocando suas chaves públicas entre si. Finalmente, Alice computa K= f 
yBob,p(xAlice) e Bob computa K’= f yAlice,p(xBob) . Como K=K’, Alice e Bob podem usar essa chave como 
uma chave secreta segura para cifrar suas comunicações nessa sessão.
Atualmente o melhor método conhecido para quebrar o protocolo de acordo de chaves Diffie-
-Hellman é resolvendo o problema de logaritmo discreto relacionado, que acredita-se ser one-way.
Figura 33 – Protocolo Diffie-Hellman.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
37
5.2 Criptossistema RSA
O criptossistema Rivest-Shamir-Adleman (RSA) [4] é um dos métodos de ciframento de 
chave pública mais aceitos atualmente. O algoritmo RSA é baseado na dificuldade de fatorar 
números inteiros muito grandes.
O RSA usa aritmética modular e teoria de números básica para realizar alguns cálculos.
O algoritmo procede da seguinte maneira: Alice escolhe dois primos grandes p e q e com-
puta n=p*q. Posteriormente, Alice calcula l , que é o mínimo múltiplo comum de p-1 e q-1. 
Então Alice seleciona aleatoriamente um inteiro e tal que 1 < e < l onde e e l são primos entre 
si. Alice também calcula d tal que e*d = 1 mod l (esse procedimento pode ser eficientemente 
realizado por técnicas matemáticas conhecidas). A chave pública de Alice é o par n e e, e sua 
chave privada é d.
Para cifrar uma mensagem m, onde m não pode ser maior que n-1, Bob (o remetente) 
calcula o texto cifrado c da seguinte forma:
c = me mod n
E, Bob envia c a Alice.
Para decifrar c, Alice computa
cd mod n = m
A segurança do criptossistema RSA é baseada na dificuldade do problema de fatoração de 
inteiros (isto é, acredita-se que é extremamente difícil fatorar números inteiros muitos grandes, 
formados por 100 a 200 dígitos). Se um adversário é capaz de fatorar n em p e q e computar a 
chave de deciframento d, seu ataque é considerado bem sucedido. A descoberta de d é consi-
derado o pior cenário, isto é, o adversário será capaz de ler todas as mensagens cifradas com a 
chave pública e ainda falsificar assinaturas. Como nenhum outro método para determinar d sem 
fatorar n é conhecido, um n grande o suficiente deve ser usado para garantir a segurança do RSA. 
Atualmente, n de tamanho de 1024 bits são recomendados para uso em sistemas práticos.
A seguir, apresentamos uma noção mais forte de segurança para o RSA. A Implementação 
“livro texto” do RSA, que é a implementação direta do algoritmo, é considerada insegura por 
causa da seguinte observação: mesmo que seja impossível de quebrar a característica one-way 
do RSA, ainda é possível obter certas informações sobre a mensagem a partir do texto cifrado.
Como um exemplo extremo, considere o caso onde um adversário saiba que Bob vai enviar 
uma mensagem do tipo sim/não para Alice. O adversário pode facilmente descobrir a mensagem 
ao obter o texto cifrado que Bob enviou a Alice e comparando-o com o texto cifrado gerado a 
partir do ciframento da palavra sim utilizando a chave pública da Alice. Se esses dois textos cifra-
dos forem idênticos, sem mesmo nunca ter decifrado nada, o adversário saberá que a mensagem 
transmitida era sim, e se os texto cifrados forem diferentes, o adversário saberá que a mensagem 
era não. Outra situação, um adversário pode ter a permissão de gerar qualquer texto cifrado 
(com exceção do texto cifrado alvo ) e pedir para Alice para decifrar e ainda ver o correspondente 
texto em claro. Se isso for possível, o adversário pode obter o texto em claro correspondente ao 
texto cifrado alvo, sem mesmo pedir a Alice para decifrar o texto cifrado alvo. Esse tipo de mode-
lo de ataque é conhecido como ataque de texto cifrado escolhido (chosen ciphertext attack, CCA).
Inicialmente, desenvolvedores não consideraram proteger seus sistemas contra ambientes 
de fortes ataques. Contudo, no final dos anos 90, foi mostrado por Daniel Bleichenbacher do Bell 
Labs, Lucent Technologies que um adversário é de fato capaz de efetuar tais tipos de ataques em 
criptossistemas reais. Ele ainda encontrou uma falha em um tipo de protocolo baseado no RSA, que 
é o tipo de criptossistema mais utilizado no ciframento e deciframento de dados. Proteção contra 
ataques como os ataques CCA atualmente possui grande importância, e novos criptossistemas são 
implementados de forma mais segura do que costumavam ser. Criptossistemas RSA, por exemplo, 
atualmente são complementados com Optimal asymmetric encryption padding (OAEP) [5] que é um 
tipo de envelope digital, um conhecido método para intensificar a segurança.
>> CEGSIC 2009-2011 >> Criptografia e infraestrutura de chaves públicas
38
5.3 Criptossistema ElGamal
O criptossitema ElGamal [6] é um criptossistema de chave pública baseado no problema 
do logaritmo discreto. O acordo de chaves Diffie-Hellman, também é baseado na dificuldade 
do problema do logaritmo discreto. Contudo, o acordo de chaves não é um esquema de ci-
framento de chaves pública. Por outro lado, o criptossistema de ElGamal cryptosystem é uma 
versão modificada do acordo de chaves Diffie-Hellman e também possui funcionalidade de 
ciframento de chave pública.
O algoritmo de ciframento do criptossistema de ElGamal tem sua natureza semelhante ao 
acordo de chaves Diffie-Hellman. Considere que Bob envie uma mensagem a Alice, Primeira-
mente Alice escolhe aleatoriamente sua chave secreta x (não maior que p-2, onde p é um primo 
grande). Alice então calcula, para um g apropriado, sua chave pública y= fg,p(x) , e a publica.
Para cifrar uma mensagem m (mais uma vez, m não pode ser maior que p-1), Bob procura 
pela chave pública da Alice y= fg,p(x), e escolhe uma chave aleatória one-time, r (não maior que 
p-2), e calcula o correspondente texto cifrado {c1, c1}