Baixe o app para aproveitar ainda mais
Prévia do material em texto
Curso de Qualificação de Agentes de Registro ICP-Brasil (Ensino a Distância - EAD) Documento de uso exclusivo em cursos da Rede ICP-Brasil 2 Documento de uso exclusivo em cursos da Rede ICP-Brasil 3 Sumário Lista de Siglas e Acrônimos .................................................................................................................................. 7 Apresentação ........................................................................................................................................................10 1. Segurança da Informação: Conceitos Básicos................................................................................................11 1.1 Componentes de Uma Rede de Computadores ............................................................................................12 1.2 Exemplos de Ataque em Uma Rede ............................................................................................................16 1.2.1 Trapdoor ou Backdoor .........................................................................................................................16 1.2.2 Trojan ou Cavalo de Tróia ....................................................................................................................16 1.2.3 Vírus ....................................................................................................................................................16 1.2.4 Worms ou Vermes ...............................................................................................................................17 1.2.5 Ataques Virtuais...................................................................................................................................17 1.3 Como prover Segurança ..............................................................................................................................20 1.4 Criptografia ................................................................................................................................................21 1.4.1 História da Criptografia ........................................................................................................................21 1.4.2 Eventos Históricos da Criptografia .......................................................................................................22 1.4.3 Aplicações Atuais da Criptografia ........................................................................................................24 1.4.4 Modelos de Criptografia .......................................................................................................................24 1.4.5 Chaves Criptográficas ..........................................................................................................................24 1.4.6 Criptografia Simétrica ..........................................................................................................................26 1.4.7 Criptografia Assimétrica ......................................................................................................................27 1.4.8 Resumo Criptográfico ou Hash.............................................................................................................27 1.4.9 Assinatura Digital ................................................................................................................................28 1.4.10 Certificados Digitais ...........................................................................................................................29 2. Infraestrutura de Chaves Públicas (ICP) ........................................................................................................31 2.1 Componentes de uma ICP ...........................................................................................................................31 2.1.1 Autoridade Certificadora (AC) .............................................................................................................32 2.1.2 Autoridade de Registro (AR) ................................................................................................................33 2.1.3 Usuários ...............................................................................................................................................33 2.1.4 Uso das Chaves em uma ICP ................................................................................................................34 2.2 Outras Informações sobre Certificados Digitais ...........................................................................................35 2.2.1 Hierarquias de Certificado ....................................................................................................................37 2.2.2 Processo de verificação da cadeia de confiança ....................................................................................38 2.2.3 Revogação de Certificados Digitais ......................................................................................................38 2.2.4 Política de Certificação Digital (PC).....................................................................................................40 2.2.5 Declaração de Práticas de Certificação (DPC) ......................................................................................40 2.3 Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)............................................................................40 2.3.1 Medida Provisória 2200-2 ....................................................................................................................41 2.3.2 Legitimidade dos documentos digitais ..................................................................................................41 2.3.3 Regulamentação ICP-Brasil .................................................................................................................44 2.3.4 Regulamentação da ICP-Brasil aplicável ..............................................................................................46 2.4 Modelo da ICP-Brasil .................................................................................................................................46 2.4.1 O Comitê Gestor ..................................................................................................................................47 2.4.2 Instituto Nacional de Tecnologia da Informação ...................................................................................48 2.4.3 Prestadores de Serviço de Suporte ........................................................................................................48 2.4.4 Laboratório de Ensaios e Auditoria ......................................................................................................49 2.4.5 Titulares de Certificados ......................................................................................................................50 2.4.6 Estrutura ..............................................................................................................................................50 2.5 Tipos de Certificados Digitais na ICP-Brasil ...............................................................................................52 2.6 Procedimentos da ICP-Brasil ......................................................................................................................55 2.6.1 Auditoria ..............................................................................................................................................55 2.6.2 Auditorias Independentes e/ou Internas ................................................................................................56 2.6.3 Fiscalizações ........................................................................................................................................572.7 Política de Segurança ..................................................................................................................................57 2.7.1 Política de Segurança na ICP Brasil .....................................................................................................58 2.7.2 Análise e Gerenciamento de Risco .......................................................................................................59 2.7.3 Análise e Gerenciamento de Riscos da AC ...........................................................................................62 2.7.4 Análise e Gerenciamento de Riscos da AR ...........................................................................................62 2.7.5 Tipos de Ameaças ................................................................................................................................63 Documento de uso exclusivo em cursos da Rede ICP-Brasil 4 2.7.6 Segurança de Pessoal ...........................................................................................................................64 2.7.7 Documentação fornecida ......................................................................................................................66 2.7.8 Dicas para lidar com informações privilegiadas ....................................................................................67 3. Preparativos para a Utilização de Certificados Digitais .................................................................................68 3.1 Dispositivos Criptográficos .........................................................................................................................68 3.1.1 PIN/PUK..............................................................................................................................................69 3.1.2 Smart card ............................................................................................................................................70 3.1.3 Token Criptográfico .............................................................................................................................80 3.1.4 Módulo de Segurança Criptográfica (MSC) ..........................................................................................88 3.2 Gerenciador Criptográfico...........................................................................................................................89 3.2.1 SafeSign Standard ................................................................................................................................90 3.3 Ciclo de vida do Certificado ........................................................................................................................99 3.3.1 Renovar um Certificado ..................................................................................................................... 100 3.3.2 Revogar um Certificado ..................................................................................................................... 100 3.4 Repositórios de Certificados ..................................................................................................................... 101 3.4.1 Cadeia de Certificação ....................................................................................................................... 101 3.4.2 No Internet Explorer .......................................................................................................................... 101 3.4.3 No Mozilla Firefox ............................................................................................................................. 108 3.5 Exportação e Importação de Certificados Digitais ..................................................................................... 110 3.5.1 Exportar Certificados ......................................................................................................................... 111 3.5.2 Importar Certificados ......................................................................................................................... 117 4. Como Utilizar Certificados Digitais ............................................................................................................ 123 4.1 Assinatura de Documentos Eletrônicos ..................................................................................................... 123 4.1.1 Assinar um Documento PDF .............................................................................................................. 123 4.1.2 Assinar um Documento do Word ....................................................................................................... 143 4.1.3 Assinar um E-mail ............................................................................................................................. 148 4.1.4 Assinador Digital Registral de Documentos Eletrônicos ..................................................................... 151 4.1.5 Bry Signer .......................................................................................................................................... 157 4.2 Outras Aplicações ..................................................................................................................................... 158 4.2.1 Aplicações ......................................................................................................................................... 160 5. Rotina Operacional dos Agentes de Registro ............................................................................................... 166 5.1 Postura e Ética do Agente de Registro ....................................................................................................... 166 5.1.1 Ética ................................................................................................................................................... 167 5.1.2 Postura ............................................................................................................................................... 168 5.2 Procedimentos de Segurança para o Agente de Registro ............................................................................ 168 5.2.1 Senhas ................................................................................................................................................ 169 5.2.2 O que não se deve usar na elaboração de uma senha? ......................................................................... 169 5.2.3 O que é uma boa senha? ..................................................................................................................... 170 5.2.4 Cuidados especiais que devo ter com as senhas .................................................................................. 170 5.2.5 Contas de Login ................................................................................................................................. 171 5.2.6 E-mails............................................................................................................................................... 171 5.2.7 Descarte ............................................................................................................................................. 171 5.2.8 Sanções para ações não autorizadas .................................................................................................... 171 5.3 Plano de Continuidade de Negócios (PCN) ............................................................................................... 171 5.4 Agente de Registro.................................................................................................................................... 173 5.4.1 Processo de Emissão de Certificado Digital ........................................................................................173 5.4.2 Organização para Validação Presencial .............................................................................................. 175 5.4.3 Validação Externa .............................................................................................................................. 176 5.4.4 Os 10 mandamentos da validação correta ........................................................................................... 181 5.4.5 Processo de Venda de Certificado Digital ........................................................................................... 182 5.5 Identificação do Solicitante ....................................................................................................................... 183 5.5.1 Documentos para Identificação de Pessoa Física ................................................................................ 183 5.5.2 Documentos para Identificação de Pessoa Jurídica ............................................................................. 184 5.5.3 Documentos para identificação de Equipamentos ou Aplicação. ......................................................... 185 5.5.4 Cédulas de Identidade ........................................................................................................................ 186 5.5.5 Comprovante de Residência ............................................................................................................... 197 5.5.6 O Título de Eleitor ............................................................................................................................. 197 5.5.7 O PIS/PASEP ..................................................................................................................................... 197 5.6 Termo de Titularidade/Responsabilidade .................................................................................................. 198 Documento de uso exclusivo em cursos da Rede ICP-Brasil 5 5.6.1 Termo de Titularidade de Pessoa Física .............................................................................................. 198 5.6.2 Termo de Titularidade e Responsabilidade de Pessoa Jurídica ............................................................ 198 5.6.3 Regras para Verificação das Assinaturas ............................................................................................ 199 5.6.4 Organização do Dossiê ....................................................................................................................... 199 5.6.5 Obrigações do Titular do Certificado .................................................................................................. 200 5.7 Estrutura de Atendimento e Suporte .......................................................................................................... 201 5.8 Renovação do Certificado Digital ............................................................................................................. 201 5.9 Revogação do Certificado Digital ............................................................................................................. 202 5.9.1 Quem pode solicitar a Revogação de certificado ................................................................................. 203 5.9.2 Processo de Revogação de certificado ................................................................................................ 203 5.10 Sistema de Gestão de Autoridades de Registro - GAR ............................................................................. 204 5.10.1 Acesso Inicial ................................................................................................................................... 204 5.10.2 Validação no Sistema GAR .............................................................................................................. 206 5.10.3 Verificação no Sistema GAR ............................................................................................................ 213 5.10.4 Emissão no Sistema GAR................................................................................................................. 216 5.10.5 Rejeição no Sistema GAR ................................................................................................................ 219 5.10.6 Revogação no Sistema GAR ............................................................................................................ 219 5.10.7 Certificados Emitidos/Revogados ..................................................................................................... 222 5.10.8 Cadastros Excluídos ......................................................................................................................... 222 5.10.9 Trilha Auditoria ............................................................................................................................... 222 6. Análise de Contratos Societários ................................................................................................................. 225 6.1 Pessoa Física ............................................................................................................................................. 225 6.2 Pessoa Jurídica .......................................................................................................................................... 226 6.2.1 CNPJ.................................................................................................................................................. 226 6.2.2 Nascimento da Pessoa Jurídica ........................................................................................................... 226 6.3 Pessoa Jurídica de Direito Público ............................................................................................................ 226 6.3.1 Das Autarquias ................................................................................................................................... 227 6.4 Pessoa Jurídica de Direito Privado ............................................................................................................ 228 6.5 Das Entidades Paraestatais ........................................................................................................................ 231 6.5.1 Administração das entidades paraestatais ........................................................................................... 231 6.6 Da Empresa em Liquidação ...................................................................................................................... 231 6.6.1 Administração da empresa em liquidação ........................................................................................... 232 6.7 Do Empresário Individual ......................................................................................................................... 232 6.8 Gêneros e Sociedades ............................................................................................................................... 234 6.8.1 Dos Gêneros de Sociedades ................................................................................................................ 234 6.8.2 Da Sociedade Empresária ................................................................................................................... 234 6.8.3 Sociedade Simples ............................................................................................................................. 235 6.9 Dos Tipos de Sociedades .......................................................................................................................... 236 6.9.1 Sociedade em Comandita Simples (C/S)............................................................................................. 236 6.9.2 Sociedade em Comandita por Ações (C/A) .........................................................................................236 6.9.3 Sociedade em Conta Participação (C/P) .............................................................................................. 236 6.9.4 Das Sociedades Limitadas (Ltda.) ...................................................................................................... 237 6.9.5 Sociedade Anônima (S.A.) ................................................................................................................. 238 6.9.6 Da Sociedade Simples Pura ................................................................................................................ 240 6.10 Contrato Social e Estatuto ....................................................................................................................... 241 6.10.1 Requisitos de Validade (Genéricos e Específicos) ............................................................................ 242 6.10.2 Das Cláusulas Essenciais .................................................................................................................. 243 6.11 Da Análise dos Contratos/Estatutos ......................................................................................................... 244 7. Grafoscopia ................................................................................................................................................ 245 7.1 Conceito de Grafoscopia ........................................................................................................................... 245 7.2 Conceito de Escrita ................................................................................................................................... 246 7.2.1 Características da escrita .................................................................................................................... 246 7.3 Ciclo da Escrita ......................................................................................................................................... 246 7.3.1 Grafismo Primário.............................................................................................................................. 247 7.3.2 Grafismo Secundário .......................................................................................................................... 248 7.3.3 Grafismo Terciário ............................................................................................................................. 248 7.4 Princípios e Leis Fundamentais da Escrita ................................................................................................. 249 7.4.1 Princípios Fundamentais .................................................................................................................... 249 7.4.2 Leis da Escrita .................................................................................................................................... 250 Documento de uso exclusivo em cursos da Rede ICP-Brasil 6 7.5 Elementos Técnicos da Escrita .................................................................................................................. 252 7.5.1 Dinâmica............................................................................................................................................ 253 7.5.2 Trajetória ........................................................................................................................................... 254 7.6 Elementos Dinâmicos da Escrita ............................................................................................................... 258 7.7 Elementos Estáticos da Escrita .................................................................................................................. 258 7.8 Diferença entre Gênese e Forma Gráfica ................................................................................................... 259 7.9 Tipos de Escrita ........................................................................................................................................ 259 7.9.1 Assinatura e Rubrica .......................................................................................................................... 260 7.9.2 Maneirismos gráficos ......................................................................................................................... 260 7.9.3 Causas Modificadoras da Escrita ........................................................................................................ 261 7.10 A fraude documental ............................................................................................................................... 263 7.10.1 Tipos de falsários ............................................................................................................................. 264 7.10.2 As falsificações ................................................................................................................................ 264 7.10.3 Autenticidades.................................................................................................................................. 267 7.11 A Autoria Gráfica e os Processos preferidos pelos Falsários .................................................................... 269 7.12 Algumas Dicas ........................................................................................................................................ 270 8. Prática do Agente de Registro ..................................................................................................................... 271 8.1 Procedimentos de Segurança Durante a Validação Presencial ................................................................... 271 8.2 Cuidados Necessários Para Validações Presenciais ................................................................................... 272 8.3 Conhecendo as Mídias .............................................................................................................................. 274 8.4 Inicialização de Mídia ............................................................................................................................... 275 8.4.1 Inicialização do token Aladdin ........................................................................................................... 280 8.5 Reinicialização de Mídias Bloqueadas pelo Cliente ................................................................................... 283 8.6 Instruções de Análise Prévia de Documentos para Validação PJ ................................................................ 286 8.7 Termo de Entrega de Mídia ....................................................................................................................... 286 8.8 Por Que Não Entregar o Certificado A Terceiros ....................................................................................... 288 8.9 Assistente de Instalação (AIC) .................................................................................................................. 289 9. Invista em Segurança .................................................................................................................................. 290 1.2 Análise de riscos............................................................................................................................... 290 1.3 Identificação de tipos de Cartórios em operação no Brasil ............................................................ 291 1.4 Controle de fraudes ......................................................................................................................... 292 9.3.1 Consulta obrigatória para os seguintes documentos .................................................................. 292 9.3.2 Procedimentos para coleta de fotografia do solicitante ............................................................. 29310. Glossário ............................................................................................................................................... 297 Documento de uso exclusivo em cursos da Rede ICP-Brasil 7 LISTA DE SIGLAS E ACRÔNIMOS Sigla Significado ABNT Associação Brasileira de Normas Técnicas AC Autoridade Certificadora AC-BR Autoridade Certificadora Brasileira de Registros AC-Notarial Autoridade Certificadora Notarial AC-Sincor Autoridade Certificadora Sincor AC-Raiz Autoridade Certificadora Raiz ACT Autoridade de Carimbo do Tempo AGR Agente de Registro AR Autoridade de Registro BIPM Bureau International des Poids et Mesures CEI Cadastro Específico do INSS CG Comitê Gestor CN Common Name CNE Carteira Nacional de Estrangeiro CNPJ Cadastro Nacional de Pessoas Jurídicas CPF Cadastro de Pessoa Física COTEC Comitê Técnico CRL Certificate Revocation List DN Distinguished Name DPCT Declaração das Práticas de Carimbo de Tempo DPC Declaração de Praticas de Certificação EEPROM Electrically Erasable Programmable Read-Only Memory FIPS Federal Information Processing Standards GAR Gestão de Autoridade de Registro HSM Hardware Secure Module HTTP Hypertext Transfer Protocol ICP Infraestrutura de Chaves Públicas Documento de uso exclusivo em cursos da Rede ICP-Brasil 8 ICP-Brasil Infraestrutura de Chaves Públicas Brasileira IDS Intrusion Detection System ISO International Standards Organization IT Instalação Técnica ITI Instituto Nacional de Tecnologia da Informação ITU International Telecommunication Union LabSEC Laboratório de Segurança em Computação LCR Lista de Certificados Revogados LEA Laboratório de Ensaio e Auditoria LSA Lei das Sociedades por Ações MP Medida Provisória MSC Módulo de Segurança Criptográfica NBR Norma Brasileira NIST National Institute of Standards and Technology OCSP Online Certificate Status Protocol OID Object Identifier ON Observatório Nacional PC Política de Certificação PCT Política de Carimbo de Tempo PCN Plano de Continuidade de Negócios PDF Portable Document Format PIN Personal Identification Number PKCS Public Key Cryptographic Standard PKI Public Key Infrastructure PS Política de Segurança PSS Prestador de Serviços de Suporte PUK Personal Identification Number Unblocking Key RFC Request For Comments SCT Servidor de Carimbo de Tempo SMPT Simple Mail Transfer Protocol RFB Secretaria da Receita Federal SSL Secure Socket Layer Documento de uso exclusivo em cursos da Rede ICP-Brasil 9 TCP Transmission Control Protocol UFSC Universidade Federal de Santa Catarina URL Uniform Resource Locator UTC Universal Time, Coordinated VPN Virtual Private Networks Documento de uso exclusivo em cursos da Rede ICP-Brasil 10 Apresentação O material apresentado nesta Apostila foi organizado pela equipe do Laboratório de Segurança em Computação (LabSEC), da Universidade Federal de Santa Catarina - UFSC; com a colaboração da Autoridade Certificadora Brasileira de Registros (AC BR) e Autoridade Certificadora Notarial (AC Notarial). A principal finalidade desta Apostila é servir de material de apoio na formação e nas atividades de rotina do Agente de Registro. Não se pretende, naturalmente, apresentar todos os conceitos relacionados com a segurança da informação, mas sim aqueles necessários nas atividades profissionais do Agente de Registro, incluindo o conhecimento de uso do certificado digital. Não se trata de uma Apostila para ser lida da primeira à última página, mas sim para servir como referência quando alguma dúvida acontecer. Ao primeiro problema identificado, deve-se percorrer o sumário e encontrar o capítulo ou seção que trata do assunto para identificar os procedimentos necessários na resolução do problema. Além disso, ao longo da apostila são apresentadas referências externas (links, documentos, legislação etc.) para maiores informações. Sempre que necessário, os referidos materiais devem ser acessados. Esta apostila está organizada em sete capítulos. O curso online está organizado no mesmo número de Módulos. Cada módulo contém atividades e resumos referentes aos capítulos. Dependendo do conhecimento do futuro Agente de Registro, os assuntos deverão ser estudados com maior ou menor profundidade. Salientamos que o material “base” desta apostila foi fornecido ao LabSEC pelo Instituto Nacional de Tecnologia da Informação (ITI), o qual foi por nós revisado e amplamente modificado. Porém, não há indicação de autoria de alguns textos apresentados em alguns capítulos, por exemplo: Análise de contratos societários e Grafoscopia. Por fim, deixamos claro que a nossa intenção com a elaboração deste material e curso online é difundir a utilização da Certificação Digital no Brasil. Este material estará em permanente atualização. Sugestões são bem-vindas. Esperamos que aproveitem ao máximo as informações e os conhecimentos adquiridos através desta Apostila/Curso. Documento de uso exclusivo em cursos da Rede ICP-Brasil 11 1. SEGURANÇA DA INFORMAÇÃO: CONCEITOS BÁSICOS Uma maneira simples de entender o conceito de segurança no mundo digital é através da comparação com os níveis de segurança em atividades comuns. Por exemplo, quando compramos um automóvel, a principal segurança está relacionada com a chave que permite abrir a porta e ligá-lo. Para maior proteção contra os invasores que quebram os vidros, uma prática comum é a instalação de alarmes. Pode-se ainda ter o cuidado de sempre estacionar o automóvel em estacionamentos com vigilantes, além de outros cuidados adicionais. No mundo digital, a segurança funciona de maneira semelhante. Os dados pessoais armazenados em arquivos digitais estão protegidos de acordo com os níveis de segurança utilizados pelos usuários. As violações de segurança identificadas na literatura correspondem à revelação não autorizada, modificação e produção não autorizada da informação, além da negação de serviço. Evitar estas violações em sistemas complexos é sempre uma tarefa árdua. A segurança está fundamentada sobre cinco propriedades que devem ser mantidas: privacidade, integridade, disponibilidade, autenticidade e não repúdio. Privacidade consiste em ninguém poder acessar seus arquivos e ler dados sigilosos (como prontuários médicos) ou roubar seu dinheiro (usando seu cartão de crédito ou informações online sobre sua conta no banco), e para isso são utilizados controles computacionais que propiciam a privacidade, de maneira semelhante àquela realizada pela fechadura de uma porta quando impede o acesso não autorizado ao seu interior. Integridade refere-se ao mecanismo que informa quando algo foi alterado. Pode-se verificar a integridade de um documento em papel, analisando-o sob o ponto de vista da existência de rasuras. Disponibilidade consiste em garantir que usuários legítimos não terão o acesso indevidamente negado a informações e recursos. Autenticidade é a propriedade que deve garantir que o acesso ao sistema só pode ser realizado por usuários autênticos. Pode-se verificar a identidade de uma pessoa solicitando sua carteira de identidade e comparando a foto com a pessoa. E por fim, o não repúdio, também chamado de irretratabilidade, que deve prevenir que entidades realizem atos e, posteriormente os neguem. Documento de uso exclusivo em cursos da Rede ICP-Brasil 12 A preocupação com a segurança de sistemascomputacionais é algo que vem crescendo muito nos últimos anos. A grande disseminação de sistemas de informação via Internet é uma das causas da demanda por sistemas seguros. A noção de sistemas seguros é motivo de controvérsias. Garantir a segurança de um sistema é algo impossível de ser sustentado em bases quantitativas. A complexidade cada vez maior dos sistemas atuais e a competitividade do mercado sempre estão definindo novas direções, determinantes, para essas dificuldades (TANENBAUM, 1997). Neste capítulo são descritos os conceitos básicos relacionados com a segurança digital. Na primeira parte serão definidos os principais componentes de uma rede de computadores. Em seguida serão demonstrados os principais ataques que ocorrem em uma rede e, por fim, descrevem-se as principais técnicas utilizadas para prover segurança, com maior ênfase nos mecanismos de Criptografia. 1.1 COMPONENTES DE UMA REDE DE COMPUTADORES A grande maioria dos sistemas computacionais atuais é baseada em um modelo chamado Cliente/ Servidor, o qual é composto por diferentes recursos computacionais, incluindo computadores, servidores e uma estrutura de redes (LANs: Local Area Networks e WANs: Wide Area Network). As diversas aplicações (softwares ou programas) implementadas com base nesse paradigma computacional compartilham os seus recursos. A Figura 1.1 ilustra um sistema Cliente/Servidor genérico. Documento de uso exclusivo em cursos da Rede ICP-Brasil 13 Figura 1.1: Sistema Cliente/Servidor Genérico. Os principais componentes de um sistema Cliente/Servidor que podem ser observados na Figura são: • estações de trabalho; • servidores; • firewall; • roteadores; • switch; • proxy. Estação de trabalho é o computador numa rede que geralmente é considerado como cliente, ou seja, não oferece nenhum serviço dentro da rede, apenas usufrui da interconexão entre outras estações ou servidores. É geralmente o componente de rede onde operam os usuários ou funcionários de uma empresa, por exemplo. Sua Documento de uso exclusivo em cursos da Rede ICP-Brasil 14 configuração, potência e velocidade variam bastante, de acordo com a implementação dos componentes da rede ou política de padronização. Servidor é todo e qualquer computador em uma rede que oferece algum serviço, ou seja, que execute operações que ofereçam recursos de proteção, interconexão, operabilidade ou facilidade a outros computadores ou componentes. São justamente os computadores suscetíveis a invasões ou ataques de crackers, pois os serviços oferecidos são feitos por portas de comunicação, onde podem ocorrer acessos não autorizados. Eles são o foco total da implementação de segurança. A configuração dos servidores varia de acordo com o serviço oferecido. Os serviços mais comuns oferecidos pelos servidores em uma rede interna e na Internet, são: • DNS (Domain Name System): o DNS é o serviço de resolução de nomes, ou seja, em um servidor com uma tabela DNS de nomes associa-se um nome de uma máquina na rede com o seu respectivo IP (Internet Protocol). Uma máquina com um IP 216.239.51.99 passa a se chamar www.google.com. Este serviço é utilizado por uma questão de conveniência e praticidade, é muito mais fácil memorizar nomes do que números; • HTTP (Hypertext Transfer Protocol): é o serviço mais conhecido da Internet. É com este serviço que são disponibilizadas as páginas na Internet para visualização. Um exemplo de um serviço de HTTP é o programa Apache; • SMTP (Simple Mail Transfer Protocol): protocolo utilizado no envio de mensagens de e- mail. Este serviço permite que uma mensagem de e-mail seja enviada para o servidor, para depois ser retransmitida para o seu destinatário; • Firewall: é uma máquina ou software em uma rede de computadores destinada a filtrar portas de comunicação e entrada e saída de pacotes de informação, de forma a impedir conexões indesejadas tanto de dentro da rede como para dentro da rede. Geralmente disposto físico ou logicamente entre os outros componentes de rede e a Internet; • Proxy: é o serviço oferecido por uma máquina em uma rede com várias funções, as mais comuns são de servidor de arquivos temporários e filtro de conteúdo. Um proxy configurado como filtro impede o usuário interno da rede de acessar determinados sites com conteúdo impróprio ou não condizente com o local de onde se acessa. • Switch: dispositivo com a função de interconectar elementos de rede, e até redes diferentes. Documento de uso exclusivo em cursos da Rede ICP-Brasil 15 • Routers ou Roteadores: são dispositivos de rede ou computadores destinados a interligar duas redes diferentes e dar aos pacotes que transitam por ele uma rota, daí seu nome. Os roteadores podem ser dinâmicos ou estáticos, sendo que os primeiros ainda fazem uma avaliação de qual rota de dados é menos congestionada e traçam aquele caminho como preferencial. De nada adianta a implementação de inúmeras soluções de segurança em uma rede de informação, sem que haja uma organização e planejamento cuidadoso e boa interação com a segurança física. Muitas vezes uma boa escolha em soluções, organização, planejamentos de política de segurança em meia dúzia de dispositivos e serviços numa rede, tem maior efetividade do que o dobro deles dispostos aleatoriamente. Podemos citar agora alguns dispositivos e aplicativos voltados a auxiliar o monitoramento e a segurança das redes de computadores. Muitos desses aplicativos rodam em servidores dedicados, ou compartilham a mesma máquina com outros serviços, muitas vezes também trabalhando em conjunto com eles: • Firewall: como já citado anteriormente, o firewall é uma máquina ou software responsável pelo filtro de pacotes de informação. Com o firewall é possível bloquear, monitorar ou abrir portas de comunicação, serviços, conexões e pacotes de protocolos indesejados. Dependendo do software, tem-se mais ou menos maleabilidade para configurar o firewall. Alguns restringem até mesmo a detecção para saber se um computador está online; • IDS (Intrusion Detection System): os IDS são programas que detectam tentativas de conexões anormais ou não autorizadas em um determinado servidor, ou mesmo operações maliciosas que acabam por enviar pacotes de dados para este servidor, como o uso de um scanner de rede buscando vulnerabilidades em redes. Um IDS fica constantemente monitorando o tráfego de dados na rede, analisando pacotes maliciosos que não podem ser captados por um firewall convencional. Ao detectar qualquer operação anormal na rede, o IDS dispara um alerta por e-mail, sinal sonoro ou outros para alertar o administrador deste evento; • Analisadores de Vulnerabilidades: os analisadores de vulnerabilidades são aplicativos voltados à avaliação e busca de redes disponíveis para conexão, ou situação de uma determinada rede, verificando quais portas estão disponíveis para conexão e seus estados, analisadores de pacotes, verificadores de conteúdo e outros. Também chamados de Documento de uso exclusivo em cursos da Rede ICP-Brasil 16 scanners de rede, estes aplicativos são utilizados tanto por administradores de rede, para verificarem eles mesmos vulnerabilidades em suas redes, protocolos e pacotes, como por usuários mal intencionados verificando fragilidades em sistemas de segurança. Alguns aplicativos também são voltados para a busca de redes sem fio, conhecidos por wireless scanners. 1.2 EXEMPLOS DE ATAQUE EM UMA REDE Boa parte dos ataques em uma rede são feitos por meio de códigos maliciosos, chamados malware, do inglês Malicious Software. Esses programas exploramas vulnerabilidades dos sistemas computacionais com o intuito de prejudicar o usuário do computador-alvo, seja com pretensões financeiras ou meramente destrutivas. Algumas técnicas de ataque a computadores por códigos maliciosos são: trapdoor ou backdoor, cavalo de tróia, vírus e worms. 1.2.1 TRAPDOOR OU BACKDOOR São pontos de entrada secretos, inseridos nas aplicações, os quais permitem o acesso ao sistema sem ter que passar por procedimentos usuais. Muitas vezes estes backdoors permitem abrir uma porta de comunicação externa com algum computador ou sistema, visando o roubo ou destruição de informações ou invasão propriamente dita da máquina. 1.2.2 TROJAN OU CAVALO DE TRÓIA Cavalos de Tróia são programas que executam operações maliciosas sem o conhecimento do usuário. Eles não possuem o poder de propagação dos vírus. A única maneira que um cavalo de Tróia tem para se propagar é quando um usuário faz uma cópia dele para outro local. Seu potencial de danos, todavia, é muito grande, porque costumam ser utilizados como forma de estabelecer um “posto avançado” num sistema para futuros ataques. Alguns cavalos de Tróia conseguem alterar programas legítimos ou mesmo forjar situações. Um cavalo de Tróia pode, por exemplo, no momento em que um usuário realiza sua assinatura digital em um e-mail, fazer com que o usuário assine uma coisa diferente, talvez uma transferência bancária. 1.2.3 VÍRUS Um vírus de computador é um aplicativo que consegue “infectar” outros programa e arquivos, modificando-os. Muitas vezes esse programa ou aplicativo executa determinadas instruções de Documento de uso exclusivo em cursos da Rede ICP-Brasil 17 forma a destruir ou roubar dados ou executar qualquer tarefa que seja alheia ao bom funcionamento do computador. O programa é executado independentemente da vontade do usuário do computador. A cada dia que passa os vírus têm sido aprimorados, praticamente crescendo paralelo com a evolução da tecnologia dos sistemas de segurança e sistemas operacionais. As intenções com os vírus variam de apenas prejudicar deliberadamente um usuário de computador a roubar dados, dinheiro, espionagem e outros. 1.2.4 WORMS OU VERMES O worm é um programa que faz cópia dele mesmo e espalha as cópias por meio de uma rede de computadores, explorando vulnerabilidades existentes ou falhas na configuração dos softwares instalados. Diferentemente dos vírus, não é preciso nenhuma ação dos usuários para que os worms se espalhem. Eles também não precisam de um programa hospedeiro para se propagar, bem como não precisam infectar arquivos legítimos do sistema. Eles instalam um sistema completo para o seu funcionamento. 1.2.5 ATAQUES VIRTUAIS Os ataques virtuais são qualquer tipo de ataque a um equipamento de rede, componente ou dispositivo que não seja realizado por acesso físico do atacante. Basicamente, existem três componentes que podem ser atacados neste caso: • estação de trabalho; • servidor; • rede. Ataques a Estações de Trabalho Os ataques às estações de trabalho são geralmente feitos por meio de malwares, exatamente por não possuírem muitos serviços disponíveis, portanto, bem menos portas de comunicação estão abertas e passíveis de serem utilizadas para uma invasão. Também os malwares são utilizados frequentemente em ataques às estações por serem utilizados por usuários comuns, pessoas geralmente sem conhecimento sobre segurança da informação. Usuários costumam clicar em qualquer botão “Continuar” que veem, por irresponsabilidade ou imprudência, ignorando na maioria das vezes as mensagens de aviso. Outra prática comum é o recebimento de mensagens de e-mail com links para servidores ou anexos contendo malware e os executando ou mesmo Documento de uso exclusivo em cursos da Rede ICP-Brasil 18 recebendo mensagens de programas tipo “mensageiro instantâneo” contendo links para servidores de códigos maliciosos. Esta técnica é conhecida como phishing, uma alusão ao termo fishing em inglês, que significa literalmente, "pescar". Ao clicar no link malicioso ou executar o anexo de mensagem de e-mail maliciosa, o usuário é “fisgado”. É importante frisar que as estações de trabalho também são alvos constantes de ataques físicos, levando em conta que são componentes da rede que estão desprotegidos, ou seja, não estão cercados de cuidados. Uma estação de trabalho sem qualquer método de segurança, como proteção de tela com senha, é bastante convidativa para um indivíduo de más intenções. Em posse do controle de uma estação de trabalho, um indivíduo pode não apenas tomar conta desta, como a partir daí iniciar um ataque ao resto da rede. Abaixo segue dois exemplos de softwares que realizam ataques a estações de trabalho. • Key Loggers: um malware instalado em uma máquina, que realiza gravações (logging) das ações do usuário no teclado durante uma sessão na Internet e envia esses logs a servidores onde os atacantes possam acessá-los. Este tipo de programa é utilizado para roubar senhas de usuários ao acessarem suas contas de banco pela Internet. Uma solução para isso tem sido os teclados virtuais, simulações de um teclado comum, porém o usuário utiliza o mouse para clicar nas teclas e preencher as lacunas de contas e senhas. Porém, esta não é uma solução definitiva, como podemos ver a seguir; • Mouse Loggers: são os malwares que captam os movimentos do mouse dos usuários, salvam em logs e enviam estes a servidores remotos dos atacantes, com o objetivo de contornar a proteção oferecida pelos teclados virtuais. Alguns mouse loggers mais avançados chegam a perceber em qual área da tela foi realizado um determinado clique. Ataques a Servidores De longe, são os componentes de rede mais atacados. São vítimas de ataques diretos, malware, ataques físicos e vários outros. Em caso de ataques por malware, geralmente esses programas são um tanto quanto diferentes, dependendo do objetivo. Quando o servidor é alvo de roubo de informações, os malwares são programados de forma a facilitar um ataque direto, derrubando a conexão de um determinado servidor ou componente para permitir o acesso a outro, ou também desabilitando serviços que dificultem o acesso ao objetivo. Veremos a seguir os tipos mais conhecidos de ataques a redes e servidores: Documento de uso exclusivo em cursos da Rede ICP-Brasil 19 • Denial of Service (DoS): consiste em um ataque que desabilita parcial ou totalmente a máquina-alvo ou algum serviço nela disponível. Esse ataque pode ser realizado por várias formas, como bombardeio de pacotes de dados, congestionamento do meio e travamento de máquinas. Este tipo de ataque também pode ser encarado como um ataque a redes, pois em um bombardeio desenfreado de informações em um meio causa um grande congestionamento de pacotes de dados, levando a rede em questão ao colapso e prejudicando praticamente todos os dispositivos interconectados. • Mail Bomb: uma espécie de negação de serviço. Um determinado script faz com que sejam enviadas mensagens de e-mail em massa para um determinado servidor, abarrotando a fila de mensagens (spool), ou preenchendo o espaço em disco vazio, causando uma negação de serviço e possível travamento ou inoperação da máquina (server crash). Esta prática não deve ser confundida com a propaganda em massa por e- mail, o conhecido SPAM; • IP Spoofing: é uma técnica de ataque bastante utilizada, que consiste em um computador “fingir” fazer parte de outra rede, alterando o cabeçalho de seus pacotes de dados. É no cabeçalho de um pacote TCP/IP que constam as informações de origem e destino de um pacote, com base nos endereços IP das máquinas. Umatacante envia pacotes de dados com um IP da rede-alvo constando no cabeçalho e então, teoricamente, ele começa a fazer parte dessa rede. • DNS Poisoning: ou envenenamento de DNS. O ataque de DNS poisoning consiste em comprometer um servidor de DNS que ofereça serviço a vitima, invadindo-o ou alterando-o de alguma maneira, de forma a delegar outro endereço de IP a um determinado nome de domínio. Por exemplo, um cliente do Banco do Brasil irá acessar o endereço http://www.bb.com.br, no entanto será redirecionado a um IP de outro servidor, de posse do atacante. É um tipo de ataque bastante comum utilizado para roubar informações bancárias. • Brute Force: também conhecida como força bruta ou adivinhação de senha (password guessing). Uma determinada senha em um servidor é testada por adivinhação até o acerto. É uma técnica que leva algum tempo, portanto, ao tentar isso o atacante tem geralmente a certeza de que não será descoberto pelo menos por algum período. • Network Scanning: varredura ou “escaneamento” de redes. Na verdade, esta não é necessariamente uma técnica de ataque e sim um pressuposto de que pode haver uma Documento de uso exclusivo em cursos da Rede ICP-Brasil 20 tentativa de ataque. Um indivíduo pode varrer um determinado IP, uma faixa de IP ou uma rede inteira com um aplicativo próprio para isso, em busca de portas abertas. Ao aperceber de alguma porta ou rede vulnerável, tenta investir nessa vulnerabilidade até obter sucesso ou alguma informação que lhe seja interessante. • Man in the Middle: este tipo de ataque ocorre quando existe uma comunicação entre duas máquinas em uma rede e uma terceira parte é capaz de interceptar esta comunicação, podendo capturar, alterar ou inserir pacotes de dados, sem que ambas as partes sequer percebam que o link de comunicação foi comprometido. Existem várias técnicas para este tipo de ataque, até mesmo entre os links de comunicação criptografados, muito embora sejam raríssimos e quando acontecem nem sempre são bem sucedidos. Figura 1.2: Man in the Middle Attack 1.3 COMO PROVER SEGURANÇA Prover segurança em redes de computadores não é uma tarefa fácil. Para se proteger dos possíveis ataques, algumas medidas devem ser adotadas: • Instalar e manter atualizado um bom antivírus; • Desabilitar a auto-execução em programas de e-mail; • Não executar ou abrir arquivos recebidos por e-mail, sem antes verificá-lo com o antivírus; • Não abrir ou executar arquivos de procedência duvidosa (disponíveis para downloads); • Procurar usar arquivos menos suscetíveis a modificações (PS, PDF); • Não usar, no caso de arquivos compactados, o formato executável. Documento de uso exclusivo em cursos da Rede ICP-Brasil 21 Além disso, as empresas devem adotar um esquema de políticas de segurança, utilizando adequadamente firewall, proxy e ferramentas para a detecção de intrusão na rede. Porém, é necessário saber que ao utilizar um computador conectado em uma rede, sempre estaremos sujeitos à interceptação dos dados transmitidos. Então, temos que utilizar mecanismos de segurança adicionais para garantir que, mesmo que os dados possam ser capturados, o invasor não consiga transformá-los em informação. Neste caso, a principal técnica utilizada é a Criptografia, a qual é descrita em detalhes nos próximos tópicos. 1.4 CRIPTOGRAFIA Criptografia (do grego kryptós, “escondido” e gráphein, “escrever”) é geralmente entendido como sendo o estudo dos princípios e das técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, tornando-a difícil de ser lida por alguém não autorizado. Para poder ler a mensagem cifrada é necessário aplicar um algoritmo de decifragem usando uma senha secreta conhecida como “chave de decifragem”. Criptografia é muito mais do que um processo matemático muito complicado para tornar um texto incompreensível, e outro ainda mais complicado para decifrá-lo. Ela é o coração da Internet como ferramenta de negócios. Sem ela, a Grande Rede é apenas um canal de mídia, incapaz de ser usado para comércio ou transações financeiras. A criptografia nasceu da necessidade de manter a privacidade de informações. Desde a Antiguidade já se tinha conhecimento da criptografia, quando utilizada a substituição ou troca de símbolos com o objetivo de confundir um possível interceptador das mensagens. Para a computação esse princípio é mantido, porém a escrita é substituída pelo processamento digital das informações e com a capacidade de processamento de dados desta tecnologia, a criptografia tomou corpo e desenvolveu-se. 1.4.1 HISTÓRIA DA CRIPTOGRAFIA A criptografia é tão antiga quanto à própria escrita, já estava presente no sistema de escrita hieroglífica dos egípcios. Os romanos utilizavam códigos secretos para comunicar planos de batalha, na expansão de seu Império na Idade Antiga. É bastante interessante observar que a tecnologia da criptografia não mudou muito até meados do século passado. Depois da Segunda Guerra Mundial, com a invenção do computador, a área realmente floresceu incorporando complexos algoritmos matemáticos. Durante a guerra, os ingleses ficaram conhecidos por seus esforços para decifração de códigos. Na verdade, esse trabalho criptográfico formou a base para Documento de uso exclusivo em cursos da Rede ICP-Brasil 22 a ciência da computação moderna. Pode-se dizer que se não fossem as Guerras e a necessidade de se criptografar mensagens, não haveria tanto empenho no desenvolvimento de computadores de grande porte e poder de cálculo, e não teríamos a evolução computacional que temos atualmente. 1.4.2 EVENTOS HISTÓRICOS DA CRIPTOGRAFIA Idade Antiga A história acontece numa vila egípcia perto do rio Nilo chamada Menet Khufu. Khnumhotep II era um arquiteto do faraó Amenemhet II. Ele construiu alguns monumentos para o faraó, os quais precisavam ser documentados. Nem é preciso dizer que essas informações, escritas em Tabletes de argila, não eram para cair no domínio público. O escriba de Khnumhotep II teve a ideia de substituir algumas palavras ou trechos de texto desses Tabletes. Caso o documento fosse roubado, o ladrão não encontraria o caminho que o levaria ao tesouro; portanto, morreria de fome e sede, perdido nas catacumbas da pirâmide. Considera-se isto como o primeiro exemplo documentado da escrita cifrada. Tucídides, antigo historiador grego, narrador da Guerra do Peloponeso, conta sobre ordens entregues ao príncipe e general espartano Pasanius, em 475 a.C. por meio do que poderia ser o sistema de criptografia militar mais antigo, o scytale ou bastão de Licurgo. Como um dispositivo para esconder mensagens, o scytale consiste num bastão de madeira ao redor do qual se enrola firmemente uma tira de couro ou pergaminho, longa e estreita. Escreve-se a mensagem no sentido do comprimento do bastão, a tira é desenrolada e contém a mensagem cifrada. Figura 1.3: Idade Antiga Júlio César usou sua famosa cifra de substituição para cifrar mensagens governamentais. Para compor seu texto cifrado, César alterou letras desviando-as em três posições: A se tornava D, B se tornava E, etc. Às vezes, César reforçava sua cifragem substituindo letras latinas por gregas. Documento de uso exclusivo em cursos da Rede ICP-Brasil 23 Idade Média Al-Kindi, cujo nome completo era Abu Yusuf Yaqub ibn Is-haq ibn as Sabbah ibn ’omran ibn Ismail Al-Kindi, escreveu Risalah fi Istikhraj al Mu’amma (Escritos sobre a decifração de mensagens criptográficas). Este livro está conservado, sendo o mais antigo sobre criptografia. Nele o autor faz análises de frequência,portanto, pode-se considerar Al-Kindi como o bisavô da Matemática Estatística. Figura 1.4: Idade Média Geoffrey Chaucer, considerado o melhor poeta inglês antes de Shakespeare, no seu The Equatorie of the Planetis, um suplemento do seu Treatise on the Astrolabe, incluiu seis passagens escritas em cifras. O sistema de cifras utilizado consiste num alfabeto de símbolos de substituição. A solução do criptograma mostrado na figura 1.4 é: "This table servith for to entre in to the table of equation of the mone on either side." Idade Moderna Johannes von Heydenberg aus Trittenheim/Mosel, ou Johannes Trithemius, escreveu o primeiro livro impresso de criptografia (Trithemius:1606). Ele inventou uma cifra esteganográfica na qual cada letra era representada como uma palavra obtida de uma sucessão de colunas. A série de palavras resultantes seria uma oração legítima. Também descreveu cifras polialfabéticas na forma de tabelas de substituição retangulares que na época já se tinham tornado padrão. Introduziu a noção da troca de alfabetos a cada letra. Idade Contemporânea Thomas Jefferson, possivelmente com a ajuda do Dr. Robert Patterson, um matemático da Universidade da Pensilvânia, inventa um cilindro cifrante (ou cifra de roda). Apesar da engenhosidade, esse dispositivo, composto por 26 discos, nunca chegou a ser utilizado. O cilindro de Jefferson é um dispositivo que permite realizar com rapidez e segurança uma substituição polialfabética. Documento de uso exclusivo em cursos da Rede ICP-Brasil 24 Figura 1.5: Idade Contemporânea Descobre-se a Pedra da Roseta, com a qual foi possível decifrar os hieróglifos egípcios: uma história de criptoanálise num texto claro. As mensagens da Pedra, que pode ser considerada um "dicionário" em três línguas, foram decifradas somente em 1822 por Champollion, após uma tentativa frustrada feita por Thomas Young em 1814. 1.4.3 APLICAÇÕES ATUAIS DA CRIPTOGRAFIA Atualmente, a criptografia é quase que exclusivamente utilizada para cifrar dados virtuais, com o intuito de aumentar sua segurança durante o tráfego nas redes de informação, e quase que totalmente baseada em algoritmos matemáticos, os quais foram propostos durante as Grandes Guerras. Aplicativos que dispõem da utilização de algoritmos criptográficos são os certificados e assinaturas digitais, resumos criptográficos como o hash, e protocolos, como o SSL (Secure Socket Layer). De modo algum a criptografia é a única ferramenta necessária para assegurar a segurança de dados, nem resolverá todos os problemas de segurança. É um instrumento entre vários outros. Além disso, a criptografia não é à prova de falhas. Toda criptografia pode ser quebrada, sobretudo, se for implementada incorretamente. 1.4.4 MODELOS DE CRIPTOGRAFIA Os tipos de criptografia com base em algoritmos são basicamente divididos em dois: Criptografia de chaves simétricas, e Criptografia de chaves assimétricas. Antes de qualquer coisa, vamos ao conceito de chaves criptográficas: 1.4.5 CHAVES CRIPTOGRÁFICAS Chaves são valores que contêm informações a serem utilizadas nos algoritmos criptográficos para produzir o texto criptografado. Documento de uso exclusivo em cursos da Rede ICP-Brasil 25 As chaves criptográficas funcionam exatamente como suas equivalentes na porta de casa. Quem tem a chave, entra e sai com toda a facilidade, porque possui um componente secreto. É a combinação de pinos dentro da fechadura que torna a sua chave de casa única e poderosa. A quem não possui a chave correta, só resta apelar para o arrombamento. O tamanho das chaves, em geral, reflete o poder criptográfico do algoritmo. Conforme mencionado anteriormente, um dos primeiros algoritmos para cifrar dados foi o Cifrador de César, o qual utilizava uma técnica de substituição das letras do alfabeto. No cifrador de César, cada letra do alfabeto da mensagem original era substituída por outra letra que se encontrava um número de posições (chave) à frente da letra original. Por exemplo, ao utilizar uma chave = 3, observa-se abaixo as alterações entre o texto original e o texto cifrado. Texto original: a cesar o que e de cesar Texto cifrado: d fhvdu r txh h gh fhvdu Figura 1.6: Cifrador de César. No caso deste algoritmo, conhecendo o texto cifrado, o algoritmo e o tamanho da chave, que pode variar de 1 até 25, pode-se descobrir qual é a mensagem em no máximo 25 tentativas. Com 25 possibilidades de chaves, o algoritmo de César acaba sendo inseguro, porém, naquela época não se conhecia nenhuma técnica de criptografia, sendo quase impossível para alguém descobrir o que aquelas letras sem significado representavam. Atualmente, as técnicas de criptografia são muito mais seguras que a apresentada no exemplo acima. Uma característica muito interessante, e que garante a segurança da criptografia moderna, é que os algoritmos criptográficos são baseados em chaves criptográficas muito Documento de uso exclusivo em cursos da Rede ICP-Brasil 26 grandes, o que garante ser impossível de se obter a chave computacionalmente por tentativas e erros de todas as possibilidades existentes. A técnica de testar todas as possibilidades de chaves é conhecida como força bruta. Em outras palavras, significa dizer que utilizando a técnica da força bruta demoraria muitos anos para conseguir quebrar uma chave. 1.4.6 CRIPTOGRAFIA SIMÉTRICA Na década de 1970, o padrão na criptografia era a criptografia simétrica. Esse tipo de criptografia é a mais simples e é também conhecida como algoritmo de chave secreta. É o algoritmo de criptografia que utiliza somente uma chave, tanto para cifrar como para decifrar os dados. O grande problema desse método era como transmitir com segurança esta chave, para garantir a confidencialidade da mensagem. Figura 1.7: Criptografia de Chaves Existe hoje um grande conjunto de algoritmos de chaves simétricas disponíveis, variando em força (resistência à quebra), modelos de licenciamento (gratuitos e patenteados), etc. Entre os mais conhecidos estão o DES (e sua variação 3DES - 3 vezes o algoritmo DES), IDEA, Blowfish, RC4, RC5 e RC6. Assim, se Alice deseja enviar uma mensagem com privacidade para Beto, ambos devem definir uma chave e um algoritmo de cifragem. Alice cifra a mensagem com a chave escolhida e envia a Beto. Este recebe a mensagem cifrada e a decifra utilizando a mesma chave e algoritmo de Alice. Algoritmos de criptografia simétrica são de uso simples por parte dos usuários e, em sua maioria, apresentam alto desempenho computacional, sendo recomendados para cifrar grandes quantidades de dados. No entanto, o gerenciamento das chaves compartilhadas é um ponto crítico dessa abordagem. Por exemplo, se Alice deseja enviar mensagens sigilosas a seus amigos, ela deverá definir uma chave diferente para ser utilizada com cada um deles. Outro fator que merece atenção é o compartilhamento de uma chave entre duas entidades. Por exemplo, Alice define uma chave e a manda por e-mail para Beto para que ambos possam Documento de uso exclusivo em cursos da Rede ICP-Brasil 27 trocar mensagens com privacidade. Se nesse momento um terceiro indivíduo interceptar o e- mail de Alice, ele poderá decifrar todas as mensagens trocadas entre Alice e Beto. 1.4.7 CRIPTOGRAFIA ASSIMÉTRICA A criptografia de chave pública ou criptografia assimétrica é um método que utiliza um par de chaves: uma chave pública e uma chave privada. A chave pública pode ser distribuída livremente, enquanto a chave privada deve ser de conhecimento apenas de seu dono. Em um dos algoritmos de criptografia assimétrica, uma mensagemcifrada com a chave pública pode somente ser decifrada pela sua chave privada correspondente. Do mesmo modo, uma mensagem cifrada com a chave privada pode somente ser decifrada pela sua chave pública correspondente. Os algoritmos de chave pública podem ser utilizados para autenticidade, confidencialidade e não repúdio. Para a confidencialidade, a chave pública é usada para cifrar mensagens que apenas o dono da chave privada pode decifrar. Para a autenticidade, a chave privada é usada para cifrar mensagens ou mensagens resumos, com isso, garante-se que apenas o dono da chave privada poderia ter cifrado a mensagem que pode ser decifrada pela chave pública. O não repúdio é garantido por uma assinatura realizada por meio da chave privada, que tem sinergia com a chave pública contida em um certificado digital. Figura 1.8: Criptografia Assimétrica 1.4.8 RESUMO CRIPTOGRÁFICO OU HASH Em criptografia, função resumo é uma sequência de bits de tamanho fixo que representa um resumo de uma mensagem. A função resumo é usada para construir uma pequena impressão digital de algum dado; se o dado for alterado, então a impressão digital não será mais válida. O Documento de uso exclusivo em cursos da Rede ICP-Brasil 28 conceito teórico diz que "função resumo é a transformação de uma grande quantidade de informações em uma pequena quantidade de informações". Uma função resumo (h) é um algoritmo que mapeia uma sequência de bits (x) de tamanho arbitrário, para uma sequência de bits de tamanho fixo menor, chamada resumo (h(x)). Como resultado, é possível garantir a integridade do documento, pois o resumo da mensagem enviada deve ser o mesmo da mensagem recebida. Segundo Stallings (2003) a função resumo deve possuir as seguintes propriedades: • h deve poder ser aplicado sobre uma sequência de bits de qualquer tamanho; • h deve produzir um resultado de tamanho fixo; • h(x) deve ser relativamente fácil de computar, a partir de x; • dado um h(x), deve ser impraticável encontrar um x; • deve ser impraticável encontrar um x’, dado que h(x’)=h(x). As principais aplicações das funções de hash são: • Representar um arquivo para assinatura digital; • Armazenar senhas; • Verificação de alterações (intencionais ou não) A função resumo também pode ser chamada por: Message Digest, One-Way Hash Function, Função de Condensação, Função de Espalhamento Unidirecional ou Função Hashing. Os algoritmos comumente utilizados são: MD5 e SHA1. 1.4.9 ASSINATURA DIGITAL É comum achar que a assinatura digital consiste na digitalização (através de um aparelho de leitura ótica, como scanner por exemplo) da assinatura de próprio punho para inseri-la ao final de um documento digital. Embora possa parecer bonito, nada poderia ser mais inútil para comprovar a autoria de um documento, pois é muito simples copiar ou forjar a assinatura digitalizada. A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma operação matemática que utiliza algoritmos de criptografia assimétrica e permite aferir, com segurança, a origem e a integridade do documento assinado. O fundamento da assinatura digital está baseado no par de chaves (pública e privada). Dessa forma, deve existir uma chave privada que somente a entidade que assinou conhece e uma Documento de uso exclusivo em cursos da Rede ICP-Brasil 29 pública que irá servir de base para a verificação dessa assinatura. A chave pública deve ser conhecida por todas as entidades que vierem a receber a assinatura para uma futura validação. A assinatura digital pode ser comparada com uma assinatura manuscrita, porque somente uma entidade pode assinar uma informação e qualquer entidade pode ler essa assinatura e verificar se ela é verdadeira. A grande vantagem da assinatura digital é que ela é virtualmente impossível de ser forjada, em virtude das técnicas de criptografia assimétrica empregadas. As assinaturas digitais também permitem a verificação da integridade do conteúdo que foi assinado, porque a assinatura digital é uma função da chave do usuário sobre o texto a ser assinado. Dessa maneira, podemos ter certeza que a assinatura foi gerada pelo detentor da chave criptográfica e aplicada àquele documento. Qualquer tentativa de verificação que viole tais condições deixará claro, no momento da verificação da assinatura, que esta não é legítima. Portanto, a assinatura digital provê autenticação e não repúdio. Ao assinar, o assinante atesta o conhecimento do conteúdo da mensagem, bem como concorda com ele. 1.4.10 CERTIFICADOS DIGITAIS O certificado digital tem como objetivo principal, informar qual indivíduo detém a chave privada correspondente a uma pública. Por esse motivo, também se denomina certificado de chave pública. Incluem-se ainda no certificado digital, informações como endereços de contato do detentor da chave privada, datas de validade do certificado, entre outras. Buscando aferir veracidade a tais informações, uma terceira parte, denominada de Autoridade Certificadora (AC), atribui seus dados e um serial ao certificado e, por fim, assina-o. Dos padrões de certificados de chave pública disponíveis hoje, tem-se, por exemplo, o X.509v3, que é largamente difundido. Além das informações comuns a todo certificado digital, as quais serão descritas no capítulo subsequente, certificados nesse padrão ainda apresentam outros dados, como extensões, que os tornam mais flexíveis a aplicações. Conforme visto até agora, a criptografia de chave pública não oferece apenas um mecanismo poderoso para cifrar mensagens, mas também uma maneira de identificar e de autenticar pessoas e até dispositivos. Entretanto, antes de poder utilizar essa tecnologia eficazmente, temos que lidar com uma desvantagem, ou seja, o gerenciamento e distribuição da chave pública. Esta chave deve ser compartilhada para que os usuários finais e as partes verificadoras (aquelas que verificam a autenticidade do certificado de um usuário final) utilizem essa tecnologia. O problema é que, como qualquer outro dado, uma chave pública é suscetível de manipulação durante o trânsito. Se uma terceira parte desconhecida puder substituir uma chave Documento de uso exclusivo em cursos da Rede ICP-Brasil 30 qualquer por uma chave pública válida, neste caso o invasor poderia forjar as assinaturas digitais e permitir que as mensagens cifradas fossem expostas a partes mal-intencionadas. Esta é a razão pela qual é crucial garantir aos usuários que a chave seja autêntica e que tenha vindo da parte intencionada. Em uma pequena população de usuários confiáveis, essa tarefa não é muito difícil. Um usuário poderia distribuir sua chave pública pessoalmente entregando-a em um CD a um destinatário. Mas, em grupos maiores de pessoas, essa tarefa é muito mais difícil, especialmente quando uma população estiver geograficamente dispersa. A distribuição manual torna-se complicada e permite brechas na segurança. Por esta razão, uma solução mais apropriada foi desenvolvida, a qual é conhecida como Public Key Infrastructure (PKI) ou Infraestrutura de Chaves Públicas (ICP) - discutida em detalhes no próximo capítulo. Documento de uso exclusivo em cursos da Rede ICP-Brasil 31 2. INFRAESTRUTURA DE CHAVES PÚBLICAS (ICP) Infraestrutura de Chaves Públicas é uma série de padrões, procedimentos e órgãos de iniciativa pública ou privada, que tem como objetivo manter uma estrutura de emissão e publicação de chaves públicas, baseando-se no princípio da terceira parte confiável. A principal função de uma ICP é definir um conjunto de técnicas, práticas e procedimentos à serem adotados pelas entidades
Compartilhar