QAR livro agente registro

•

ESTÁCIO

Danilo Sousa

16/03/2019

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Atividade Certificadora

109 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

Curso de Qualificação de
Agentes de Registro ICP-Brasil
(Ensino a Distância - EAD)

Documento de uso exclusivo em cursos da Rede ICP-Brasil
2

Documento de uso exclusivo em cursos da Rede ICP-Brasil
3
Sumário

Lista de Siglas e Acrônimos .................................................................................................................................. 7
Apresentação ........................................................................................................................................................10
1. Segurança da Informação: Conceitos Básicos................................................................................................11
1.1 Componentes de Uma Rede de Computadores ............................................................................................12
1.2 Exemplos de Ataque em Uma Rede ............................................................................................................16
1.2.1 Trapdoor ou Backdoor .........................................................................................................................16
1.2.2 Trojan ou Cavalo de Tróia ....................................................................................................................16
1.2.3 Vírus ....................................................................................................................................................16
1.2.4 Worms ou Vermes ...............................................................................................................................17
1.2.5 Ataques Virtuais...................................................................................................................................17
1.3 Como prover Segurança ..............................................................................................................................20
1.4 Criptografia ................................................................................................................................................21
1.4.1 História da Criptografia ........................................................................................................................21
1.4.2 Eventos Históricos da Criptografia .......................................................................................................22
1.4.3 Aplicações Atuais da Criptografia ........................................................................................................24
1.4.4 Modelos de Criptografia .......................................................................................................................24
1.4.5 Chaves Criptográficas ..........................................................................................................................24
1.4.6 Criptografia Simétrica ..........................................................................................................................26
1.4.7 Criptografia Assimétrica ......................................................................................................................27
1.4.8 Resumo Criptográfico ou Hash.............................................................................................................27
1.4.9 Assinatura Digital ................................................................................................................................28
1.4.10 Certificados Digitais ...........................................................................................................................29
2. Infraestrutura de Chaves Públicas (ICP) ........................................................................................................31
2.1 Componentes de uma ICP ...........................................................................................................................31
2.1.1 Autoridade Certificadora (AC) .............................................................................................................32
2.1.2 Autoridade de Registro (AR) ................................................................................................................33
2.1.3 Usuários ...............................................................................................................................................33
2.1.4 Uso das Chaves em uma ICP ................................................................................................................34
2.2 Outras Informações sobre Certificados Digitais ...........................................................................................35
2.2.1 Hierarquias de Certificado ....................................................................................................................37
2.2.2 Processo de verificação da cadeia de confiança ....................................................................................38
2.2.3 Revogação de Certificados Digitais ......................................................................................................38
2.2.4 Política de Certificação Digital (PC).....................................................................................................40
2.2.5 Declaração de Práticas de Certificação (DPC) ......................................................................................40
2.3 Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)............................................................................40
2.3.1 Medida Provisória 2200-2 ....................................................................................................................41
2.3.2 Legitimidade dos documentos digitais ..................................................................................................41
2.3.3 Regulamentação ICP-Brasil .................................................................................................................44
2.3.4 Regulamentação da ICP-Brasil aplicável ..............................................................................................46
2.4 Modelo da ICP-Brasil .................................................................................................................................46
2.4.1 O Comitê Gestor ..................................................................................................................................47
2.4.2 Instituto Nacional de Tecnologia da Informação ...................................................................................48
2.4.3 Prestadores de Serviço de Suporte ........................................................................................................48
2.4.4 Laboratório de Ensaios e Auditoria ......................................................................................................49
2.4.5 Titulares de Certificados ......................................................................................................................50
2.4.6 Estrutura ..............................................................................................................................................50
2.5 Tipos de Certificados Digitais na ICP-Brasil ...............................................................................................52
2.6 Procedimentos da ICP-Brasil ......................................................................................................................55
2.6.1 Auditoria ..............................................................................................................................................55
2.6.2 Auditorias Independentes e/ou Internas ................................................................................................56
2.6.3 Fiscalizações ........................................................................................................................................572.7 Política de Segurança ..................................................................................................................................57
2.7.1 Política de Segurança na ICP Brasil .....................................................................................................58
2.7.2 Análise e Gerenciamento de Risco .......................................................................................................59
2.7.3 Análise e Gerenciamento de Riscos da AC ...........................................................................................62
2.7.4 Análise e Gerenciamento de Riscos da AR ...........................................................................................62
2.7.5 Tipos de Ameaças ................................................................................................................................63

Documento de uso exclusivo em cursos da Rede ICP-Brasil
4
2.7.6 Segurança de Pessoal ...........................................................................................................................64
2.7.7 Documentação fornecida ......................................................................................................................66
2.7.8 Dicas para lidar com informações privilegiadas ....................................................................................67
3. Preparativos para a Utilização de Certificados Digitais .................................................................................68
3.1 Dispositivos Criptográficos .........................................................................................................................68
3.1.1 PIN/PUK..............................................................................................................................................69
3.1.2 Smart card ............................................................................................................................................70
3.1.3 Token Criptográfico .............................................................................................................................80
3.1.4 Módulo de Segurança Criptográfica (MSC) ..........................................................................................88
3.2 Gerenciador Criptográfico...........................................................................................................................89
3.2.1 SafeSign Standard ................................................................................................................................90
3.3 Ciclo de vida do Certificado ........................................................................................................................99
3.3.1 Renovar um Certificado ..................................................................................................................... 100
3.3.2 Revogar um Certificado ..................................................................................................................... 100
3.4 Repositórios de Certificados ..................................................................................................................... 101
3.4.1 Cadeia de Certificação ....................................................................................................................... 101
3.4.2 No Internet Explorer .......................................................................................................................... 101
3.4.3 No Mozilla Firefox ............................................................................................................................. 108
3.5 Exportação e Importação de Certificados Digitais ..................................................................................... 110
3.5.1 Exportar Certificados ......................................................................................................................... 111
3.5.2 Importar Certificados ......................................................................................................................... 117
4. Como Utilizar Certificados Digitais ............................................................................................................ 123
4.1 Assinatura de Documentos Eletrônicos ..................................................................................................... 123
4.1.1 Assinar um Documento PDF .............................................................................................................. 123
4.1.2 Assinar um Documento do Word ....................................................................................................... 143
4.1.3 Assinar um E-mail ............................................................................................................................. 148
4.1.4 Assinador Digital Registral de Documentos Eletrônicos ..................................................................... 151
4.1.5 Bry Signer .......................................................................................................................................... 157
4.2 Outras Aplicações ..................................................................................................................................... 158
4.2.1 Aplicações ......................................................................................................................................... 160
5. Rotina Operacional dos Agentes de Registro ............................................................................................... 166
5.1 Postura e Ética do Agente de Registro ....................................................................................................... 166
5.1.1 Ética ................................................................................................................................................... 167
5.1.2 Postura ............................................................................................................................................... 168
5.2 Procedimentos de Segurança para o Agente de Registro ............................................................................ 168
5.2.1 Senhas ................................................................................................................................................ 169
5.2.2 O que não se deve usar na elaboração de uma senha? ......................................................................... 169
5.2.3 O que é uma boa senha? ..................................................................................................................... 170
5.2.4 Cuidados especiais que devo ter com as senhas .................................................................................. 170
5.2.5 Contas de Login ................................................................................................................................. 171
5.2.6 E-mails............................................................................................................................................... 171
5.2.7 Descarte ............................................................................................................................................. 171
5.2.8 Sanções para ações não autorizadas .................................................................................................... 171
5.3 Plano de Continuidade de Negócios (PCN) ............................................................................................... 171
5.4 Agente de Registro.................................................................................................................................... 173
5.4.1 Processo de Emissão de Certificado Digital ........................................................................................173
5.4.2 Organização para Validação Presencial .............................................................................................. 175
5.4.3 Validação Externa .............................................................................................................................. 176
5.4.4 Os 10 mandamentos da validação correta ........................................................................................... 181
5.4.5 Processo de Venda de Certificado Digital ........................................................................................... 182
5.5 Identificação do Solicitante ....................................................................................................................... 183
5.5.1 Documentos para Identificação de Pessoa Física ................................................................................ 183
5.5.2 Documentos para Identificação de Pessoa Jurídica ............................................................................. 184
5.5.3 Documentos para identificação de Equipamentos ou Aplicação. ......................................................... 185
5.5.4 Cédulas de Identidade ........................................................................................................................ 186
5.5.5 Comprovante de Residência ............................................................................................................... 197
5.5.6 O Título de Eleitor ............................................................................................................................. 197
5.5.7 O PIS/PASEP ..................................................................................................................................... 197
5.6 Termo de Titularidade/Responsabilidade .................................................................................................. 198

Documento de uso exclusivo em cursos da Rede ICP-Brasil
5
5.6.1 Termo de Titularidade de Pessoa Física .............................................................................................. 198
5.6.2 Termo de Titularidade e Responsabilidade de Pessoa Jurídica ............................................................ 198
5.6.3 Regras para Verificação das Assinaturas ............................................................................................ 199
5.6.4 Organização do Dossiê ....................................................................................................................... 199
5.6.5 Obrigações do Titular do Certificado .................................................................................................. 200
5.7 Estrutura de Atendimento e Suporte .......................................................................................................... 201
5.8 Renovação do Certificado Digital ............................................................................................................. 201
5.9 Revogação do Certificado Digital ............................................................................................................. 202
5.9.1 Quem pode solicitar a Revogação de certificado ................................................................................. 203
5.9.2 Processo de Revogação de certificado ................................................................................................ 203
5.10 Sistema de Gestão de Autoridades de Registro - GAR ............................................................................. 204
5.10.1 Acesso Inicial ................................................................................................................................... 204
5.10.2 Validação no Sistema GAR .............................................................................................................. 206
5.10.3 Verificação no Sistema GAR ............................................................................................................ 213
5.10.4 Emissão no Sistema GAR................................................................................................................. 216
5.10.5 Rejeição no Sistema GAR ................................................................................................................ 219
5.10.6 Revogação no Sistema GAR ............................................................................................................ 219
5.10.7 Certificados Emitidos/Revogados ..................................................................................................... 222
5.10.8 Cadastros Excluídos ......................................................................................................................... 222
5.10.9 Trilha Auditoria ............................................................................................................................... 222
6. Análise de Contratos Societários ................................................................................................................. 225
6.1 Pessoa Física ............................................................................................................................................. 225
6.2 Pessoa Jurídica .......................................................................................................................................... 226
6.2.1 CNPJ.................................................................................................................................................. 226
6.2.2 Nascimento da Pessoa Jurídica ........................................................................................................... 226
6.3 Pessoa Jurídica de Direito Público ............................................................................................................ 226
6.3.1 Das Autarquias ................................................................................................................................... 227
6.4 Pessoa Jurídica de Direito Privado ............................................................................................................ 228
6.5 Das Entidades Paraestatais ........................................................................................................................ 231
6.5.1 Administração das entidades paraestatais ........................................................................................... 231
6.6 Da Empresa em Liquidação ...................................................................................................................... 231
6.6.1 Administração da empresa em liquidação ........................................................................................... 232
6.7 Do Empresário Individual ......................................................................................................................... 232
6.8 Gêneros e Sociedades ............................................................................................................................... 234
6.8.1 Dos Gêneros de Sociedades ................................................................................................................ 234
6.8.2 Da Sociedade Empresária ................................................................................................................... 234
6.8.3 Sociedade Simples ............................................................................................................................. 235
6.9 Dos Tipos de Sociedades .......................................................................................................................... 236
6.9.1 Sociedade em Comandita Simples (C/S)............................................................................................. 236
6.9.2 Sociedade em Comandita por Ações (C/A) .........................................................................................236
6.9.3 Sociedade em Conta Participação (C/P) .............................................................................................. 236
6.9.4 Das Sociedades Limitadas (Ltda.) ...................................................................................................... 237
6.9.5 Sociedade Anônima (S.A.) ................................................................................................................. 238
6.9.6 Da Sociedade Simples Pura ................................................................................................................ 240
6.10 Contrato Social e Estatuto ....................................................................................................................... 241
6.10.1 Requisitos de Validade (Genéricos e Específicos) ............................................................................ 242
6.10.2 Das Cláusulas Essenciais .................................................................................................................. 243
6.11 Da Análise dos Contratos/Estatutos ......................................................................................................... 244
7. Grafoscopia ................................................................................................................................................ 245
7.1 Conceito de Grafoscopia ........................................................................................................................... 245
7.2 Conceito de Escrita ................................................................................................................................... 246
7.2.1 Características da escrita .................................................................................................................... 246
7.3 Ciclo da Escrita ......................................................................................................................................... 246
7.3.1 Grafismo Primário.............................................................................................................................. 247
7.3.2 Grafismo Secundário .......................................................................................................................... 248
7.3.3 Grafismo Terciário ............................................................................................................................. 248
7.4 Princípios e Leis Fundamentais da Escrita ................................................................................................. 249
7.4.1 Princípios Fundamentais .................................................................................................................... 249
7.4.2 Leis da Escrita .................................................................................................................................... 250

Documento de uso exclusivo em cursos da Rede ICP-Brasil
6
7.5 Elementos Técnicos da Escrita .................................................................................................................. 252
7.5.1 Dinâmica............................................................................................................................................ 253
7.5.2 Trajetória ........................................................................................................................................... 254
7.6 Elementos Dinâmicos da Escrita ............................................................................................................... 258
7.7 Elementos Estáticos da Escrita .................................................................................................................. 258
7.8 Diferença entre Gênese e Forma Gráfica ................................................................................................... 259
7.9 Tipos de Escrita ........................................................................................................................................ 259
7.9.1 Assinatura e Rubrica .......................................................................................................................... 260
7.9.2 Maneirismos gráficos ......................................................................................................................... 260
7.9.3 Causas Modificadoras da Escrita ........................................................................................................ 261
7.10 A fraude documental ............................................................................................................................... 263
7.10.1 Tipos de falsários ............................................................................................................................. 264
7.10.2 As falsificações ................................................................................................................................ 264
7.10.3 Autenticidades.................................................................................................................................. 267
7.11 A Autoria Gráfica e os Processos preferidos pelos Falsários .................................................................... 269
7.12 Algumas Dicas ........................................................................................................................................ 270
8. Prática do Agente de Registro ..................................................................................................................... 271
8.1 Procedimentos de Segurança Durante a Validação Presencial ................................................................... 271
8.2 Cuidados Necessários Para Validações Presenciais ................................................................................... 272
8.3 Conhecendo as Mídias .............................................................................................................................. 274
8.4 Inicialização de Mídia ............................................................................................................................... 275
8.4.1 Inicialização do token Aladdin ........................................................................................................... 280
8.5 Reinicialização de Mídias Bloqueadas pelo Cliente ................................................................................... 283
8.6 Instruções de Análise Prévia de Documentos para Validação PJ ................................................................ 286
8.7 Termo de Entrega de Mídia ....................................................................................................................... 286
8.8 Por Que Não Entregar o Certificado A Terceiros ....................................................................................... 288
8.9 Assistente de Instalação (AIC) .................................................................................................................. 289
9. Invista em Segurança .................................................................................................................................. 290
1.2 Análise de riscos............................................................................................................................... 290
1.3 Identificação de tipos de Cartórios em operação no Brasil ............................................................ 291
1.4 Controle de fraudes ......................................................................................................................... 292
9.3.1 Consulta obrigatória para os seguintes documentos .................................................................. 292
9.3.2 Procedimentos para coleta de fotografia do solicitante ............................................................. 29310. Glossário ............................................................................................................................................... 297

Documento de uso exclusivo em cursos da Rede ICP-Brasil
7

LISTA DE SIGLAS E ACRÔNIMOS

Sigla Significado
ABNT Associação Brasileira de Normas Técnicas
AC Autoridade Certificadora
AC-BR Autoridade Certificadora Brasileira de Registros
AC-Notarial Autoridade Certificadora Notarial
AC-Sincor Autoridade Certificadora Sincor
AC-Raiz Autoridade Certificadora Raiz
ACT Autoridade de Carimbo do Tempo
AGR Agente de Registro
AR Autoridade de Registro
BIPM Bureau International des Poids et Mesures
CEI Cadastro Específico do INSS
CG Comitê Gestor
CN Common Name
CNE Carteira Nacional de Estrangeiro
CNPJ Cadastro Nacional de Pessoas Jurídicas
CPF Cadastro de Pessoa Física
COTEC Comitê Técnico
CRL Certificate Revocation List
DN Distinguished Name
DPCT Declaração das Práticas de Carimbo de Tempo
DPC Declaração de Praticas de Certificação
EEPROM Electrically Erasable Programmable Read-Only Memory
FIPS Federal Information Processing Standards
GAR Gestão de Autoridade de Registro
HSM Hardware Secure Module
HTTP Hypertext Transfer Protocol
ICP Infraestrutura de Chaves Públicas

Documento de uso exclusivo em cursos da Rede ICP-Brasil
8
ICP-Brasil Infraestrutura de Chaves Públicas Brasileira
IDS Intrusion Detection System
ISO International Standards Organization
IT Instalação Técnica
ITI Instituto Nacional de Tecnologia da Informação
ITU International Telecommunication Union
LabSEC Laboratório de Segurança em Computação
LCR Lista de Certificados Revogados
LEA Laboratório de Ensaio e Auditoria
LSA Lei das Sociedades por Ações
MP Medida Provisória
MSC Módulo de Segurança Criptográfica
NBR Norma Brasileira
NIST National Institute of Standards and Technology
OCSP Online Certificate Status Protocol
OID Object Identifier
ON Observatório Nacional
PC Política de Certificação
PCT Política de Carimbo de Tempo
PCN Plano de Continuidade de Negócios
PDF Portable Document Format
PIN Personal Identification Number
PKCS Public Key Cryptographic Standard
PKI Public Key Infrastructure
PS Política de Segurança
PSS Prestador de Serviços de Suporte
PUK Personal Identification Number Unblocking Key
RFC Request For Comments
SCT Servidor de Carimbo de Tempo
SMPT Simple Mail Transfer Protocol
RFB Secretaria da Receita Federal
SSL Secure Socket Layer

Documento de uso exclusivo em cursos da Rede ICP-Brasil
9
TCP Transmission Control Protocol
UFSC Universidade Federal de Santa Catarina
URL Uniform Resource Locator
UTC Universal Time, Coordinated
VPN Virtual Private Networks

Documento de uso exclusivo em cursos da Rede ICP-Brasil
10
Apresentação
O material apresentado nesta Apostila foi organizado pela equipe do Laboratório de Segurança
em Computação (LabSEC), da Universidade Federal de Santa Catarina - UFSC; com a
colaboração da Autoridade Certificadora Brasileira de Registros (AC BR) e Autoridade
Certificadora Notarial (AC Notarial).
A principal finalidade desta Apostila é servir de material de apoio na formação e nas atividades
de rotina do Agente de Registro. Não se pretende, naturalmente, apresentar todos os conceitos
relacionados com a segurança da informação, mas sim aqueles necessários nas atividades
profissionais do Agente de Registro, incluindo o conhecimento de uso do certificado digital.
Não se trata de uma Apostila para ser lida da primeira à última página, mas sim para servir
como referência quando alguma dúvida acontecer. Ao primeiro problema identificado, deve-se
percorrer o sumário e encontrar o capítulo ou seção que trata do assunto para identificar os
procedimentos necessários na resolução do problema. Além disso, ao longo da apostila são
apresentadas referências externas (links, documentos, legislação etc.) para maiores
informações. Sempre que necessário, os referidos materiais devem ser acessados.
Esta apostila está organizada em sete capítulos. O curso online está organizado no mesmo
número de Módulos. Cada módulo contém atividades e resumos referentes aos capítulos.
Dependendo do conhecimento do futuro Agente de Registro, os assuntos deverão ser estudados
com maior ou menor profundidade.
Salientamos que o material “base” desta apostila foi fornecido ao LabSEC pelo Instituto
Nacional de Tecnologia da Informação (ITI), o qual foi por nós revisado e amplamente
modificado. Porém, não há indicação de autoria de alguns textos apresentados em alguns
capítulos, por exemplo: Análise de contratos societários e Grafoscopia. Por fim, deixamos claro
que a nossa intenção com a elaboração deste material e curso online é difundir a utilização da
Certificação Digital no Brasil. Este material estará em permanente atualização. Sugestões são
bem-vindas.
Esperamos que aproveitem ao máximo as informações e os conhecimentos adquiridos através
desta Apostila/Curso.

Documento de uso exclusivo em cursos da Rede ICP-Brasil
11
1. SEGURANÇA DA INFORMAÇÃO: CONCEITOS BÁSICOS

Uma maneira simples de entender o conceito de segurança no mundo digital é através da
comparação com os níveis de segurança em atividades comuns. Por exemplo, quando
compramos um automóvel, a principal segurança está relacionada com a chave que permite
abrir a porta e ligá-lo. Para maior proteção contra os invasores que quebram os vidros, uma
prática comum é a instalação de alarmes. Pode-se ainda ter o cuidado de sempre estacionar o
automóvel em estacionamentos com vigilantes, além de outros cuidados adicionais. No mundo
digital, a segurança funciona de maneira semelhante. Os dados pessoais armazenados em
arquivos digitais estão protegidos de acordo com os níveis de segurança utilizados pelos
usuários.
As violações de segurança identificadas na literatura correspondem à revelação não autorizada,
modificação e produção não autorizada da informação, além da negação de serviço. Evitar estas
violações em sistemas complexos é sempre uma tarefa árdua. A segurança está fundamentada
sobre cinco propriedades que devem ser mantidas: privacidade, integridade, disponibilidade,
autenticidade e não repúdio.
Privacidade consiste em ninguém poder acessar seus arquivos e ler dados sigilosos (como
prontuários médicos) ou roubar seu dinheiro (usando seu cartão de crédito ou informações
online sobre sua conta no banco), e para isso são utilizados controles computacionais que
propiciam a privacidade, de maneira semelhante àquela realizada pela fechadura de uma porta
quando impede o acesso não autorizado ao seu interior.
Integridade refere-se ao mecanismo que informa quando algo foi alterado. Pode-se verificar a
integridade de um documento em papel, analisando-o sob o ponto de vista da existência de
rasuras.
Disponibilidade consiste em garantir que usuários legítimos não terão o acesso indevidamente
negado a informações e recursos.
Autenticidade é a propriedade que deve garantir que o acesso ao sistema só pode ser realizado
por usuários autênticos. Pode-se verificar a identidade de uma pessoa solicitando sua carteira de
identidade e comparando a foto com a pessoa.
E por fim, o não repúdio, também chamado de irretratabilidade, que deve prevenir que
entidades realizem atos e, posteriormente os neguem.

Documento de uso exclusivo em cursos da Rede ICP-Brasil
12
A preocupação com a segurança de sistemascomputacionais é algo que vem crescendo muito
nos últimos anos. A grande disseminação de sistemas de informação via Internet é uma das
causas da demanda por sistemas seguros. A noção de sistemas seguros é motivo de
controvérsias. Garantir a segurança de um sistema é algo impossível de ser sustentado em bases
quantitativas. A complexidade cada vez maior dos sistemas atuais e a competitividade do
mercado sempre estão definindo novas direções, determinantes, para essas dificuldades
(TANENBAUM, 1997).
Neste capítulo são descritos os conceitos básicos relacionados com a segurança digital. Na
primeira parte serão definidos os principais componentes de uma rede de computadores. Em
seguida serão demonstrados os principais ataques que ocorrem em uma rede e, por fim,
descrevem-se as principais técnicas utilizadas para prover segurança, com maior ênfase nos
mecanismos de Criptografia.
1.1 COMPONENTES DE UMA REDE DE COMPUTADORES

A grande maioria dos sistemas computacionais atuais é baseada em um modelo chamado
Cliente/ Servidor, o qual é composto por diferentes recursos computacionais, incluindo
computadores, servidores e uma estrutura de redes (LANs: Local Area Networks e WANs:
Wide Area Network). As diversas aplicações (softwares ou programas) implementadas com
base nesse paradigma computacional compartilham os seus recursos. A Figura 1.1 ilustra um
sistema Cliente/Servidor genérico.

Documento de uso exclusivo em cursos da Rede ICP-Brasil
13

Figura 1.1: Sistema Cliente/Servidor Genérico.
Os principais componentes de um sistema Cliente/Servidor que podem ser observados na
Figura são:
• estações de trabalho;
• servidores;
• firewall;
• roteadores;
• switch;
• proxy.
Estação de trabalho é o computador numa rede que geralmente é considerado como
cliente, ou seja, não oferece nenhum serviço dentro da rede, apenas usufrui da
interconexão entre outras estações ou servidores. É geralmente o componente de rede
onde operam os usuários ou funcionários de uma empresa, por exemplo. Sua

Documento de uso exclusivo em cursos da Rede ICP-Brasil
14
configuração, potência e velocidade variam bastante, de acordo com a implementação
dos componentes da rede ou política de padronização.
Servidor é todo e qualquer computador em uma rede que oferece algum serviço, ou seja,
que execute operações que ofereçam recursos de proteção, interconexão, operabilidade
ou facilidade a outros computadores ou componentes. São justamente os computadores
suscetíveis a invasões ou ataques de crackers, pois os serviços oferecidos são feitos por
portas de comunicação, onde podem ocorrer acessos não autorizados. Eles são o foco
total da implementação de segurança. A configuração dos servidores varia de acordo com
o serviço oferecido.
Os serviços mais comuns oferecidos pelos servidores em uma rede interna e na Internet, são:
• DNS (Domain Name System): o DNS é o serviço de resolução de nomes, ou seja, em um
servidor com uma tabela DNS de nomes associa-se um nome de uma máquina na rede
com o seu respectivo IP (Internet Protocol). Uma máquina com um IP 216.239.51.99
passa a se chamar www.google.com. Este serviço é utilizado por uma questão de
conveniência e praticidade, é muito mais fácil memorizar nomes do que números;
• HTTP (Hypertext Transfer Protocol): é o serviço mais conhecido da Internet. É com este
serviço que são disponibilizadas as páginas na Internet para visualização. Um exemplo de
um serviço de HTTP é o programa Apache;
• SMTP (Simple Mail Transfer Protocol): protocolo utilizado no envio de mensagens de e-
mail. Este serviço permite que uma mensagem de e-mail seja enviada para o servidor,
para depois ser retransmitida para o seu destinatário;
• Firewall: é uma máquina ou software em uma rede de computadores destinada a filtrar
portas de comunicação e entrada e saída de pacotes de informação, de forma a impedir
conexões indesejadas tanto de dentro da rede como para dentro da rede. Geralmente
disposto físico ou logicamente entre os outros componentes de rede e a Internet;
• Proxy: é o serviço oferecido por uma máquina em uma rede com várias funções, as mais
comuns são de servidor de arquivos temporários e filtro de conteúdo. Um proxy
configurado como filtro impede o usuário interno da rede de acessar determinados sites
com conteúdo impróprio ou não condizente com o local de onde se acessa.
• Switch: dispositivo com a função de interconectar elementos de rede, e até redes
diferentes.

Documento de uso exclusivo em cursos da Rede ICP-Brasil
15
• Routers ou Roteadores: são dispositivos de rede ou computadores destinados a interligar
duas redes diferentes e dar aos pacotes que transitam por ele uma rota, daí seu nome. Os
roteadores podem ser dinâmicos ou estáticos, sendo que os primeiros ainda fazem uma
avaliação de qual rota de dados é menos congestionada e traçam aquele caminho como
preferencial.
De nada adianta a implementação de inúmeras soluções de segurança em uma rede de
informação, sem que haja uma organização e planejamento cuidadoso e boa interação com a
segurança física. Muitas vezes uma boa escolha em soluções, organização, planejamentos de
política de segurança em meia dúzia de dispositivos e serviços numa rede, tem maior
efetividade do que o dobro deles dispostos aleatoriamente.
Podemos citar agora alguns dispositivos e aplicativos voltados a auxiliar o monitoramento e a
segurança das redes de computadores. Muitos desses aplicativos rodam em servidores
dedicados, ou compartilham a mesma máquina com outros serviços, muitas vezes também
trabalhando em conjunto com eles:
• Firewall: como já citado anteriormente, o firewall é uma máquina ou software
responsável pelo filtro de pacotes de informação. Com o firewall é possível bloquear,
monitorar ou abrir portas de comunicação, serviços, conexões e pacotes de protocolos
indesejados. Dependendo do software, tem-se mais ou menos maleabilidade para
configurar o firewall. Alguns restringem até mesmo a detecção para saber se um
computador está online;
• IDS (Intrusion Detection System): os IDS são programas que detectam tentativas de
conexões anormais ou não autorizadas em um determinado servidor, ou mesmo
operações maliciosas que acabam por enviar pacotes de dados para este servidor, como o
uso de um scanner de rede buscando vulnerabilidades em redes. Um IDS fica
constantemente monitorando o tráfego de dados na rede, analisando pacotes maliciosos
que não podem ser captados por um firewall convencional. Ao detectar qualquer
operação anormal na rede, o IDS dispara um alerta por e-mail, sinal sonoro ou outros
para alertar o administrador deste evento;
• Analisadores de Vulnerabilidades: os analisadores de vulnerabilidades são aplicativos
voltados à avaliação e busca de redes disponíveis para conexão, ou situação de uma
determinada rede, verificando quais portas estão disponíveis para conexão e seus estados,
analisadores de pacotes, verificadores de conteúdo e outros. Também chamados de

Documento de uso exclusivo em cursos da Rede ICP-Brasil
16
scanners de rede, estes aplicativos são utilizados tanto por administradores de rede, para
verificarem eles mesmos vulnerabilidades em suas redes, protocolos e pacotes, como por
usuários mal intencionados verificando fragilidades em sistemas de segurança. Alguns
aplicativos também são voltados para a busca de redes sem fio, conhecidos por wireless
scanners.
1.2 EXEMPLOS DE ATAQUE EM UMA REDE
Boa parte dos ataques em uma rede são feitos por meio de códigos maliciosos, chamados
malware, do inglês Malicious Software. Esses programas exploramas vulnerabilidades dos
sistemas computacionais com o intuito de prejudicar o usuário do computador-alvo, seja com
pretensões financeiras ou meramente destrutivas. Algumas técnicas de ataque a computadores
por códigos maliciosos são: trapdoor ou backdoor, cavalo de tróia, vírus e worms.
1.2.1 TRAPDOOR OU BACKDOOR

São pontos de entrada secretos, inseridos nas aplicações, os quais permitem o acesso ao sistema
sem ter que passar por procedimentos usuais. Muitas vezes estes backdoors permitem abrir uma
porta de comunicação externa com algum computador ou sistema, visando o roubo ou
destruição de informações ou invasão propriamente dita da máquina.
1.2.2 TROJAN OU CAVALO DE TRÓIA
Cavalos de Tróia são programas que executam operações maliciosas sem o conhecimento do
usuário. Eles não possuem o poder de propagação dos vírus. A única maneira que um cavalo de
Tróia tem para se propagar é quando um usuário faz uma cópia dele para outro local. Seu
potencial de danos, todavia, é muito grande, porque costumam ser utilizados como forma de
estabelecer um “posto avançado” num sistema para futuros ataques. Alguns cavalos de Tróia
conseguem alterar programas legítimos ou mesmo forjar situações. Um cavalo de Tróia pode,
por exemplo, no momento em que um usuário realiza sua assinatura digital em um e-mail, fazer
com que o usuário assine uma coisa diferente, talvez uma transferência bancária.
1.2.3 VÍRUS
Um vírus de computador é um aplicativo que consegue “infectar” outros programa e arquivos,
modificando-os. Muitas vezes esse programa ou aplicativo executa determinadas instruções de

Documento de uso exclusivo em cursos da Rede ICP-Brasil
17
forma a destruir ou roubar dados ou executar qualquer tarefa que seja alheia ao bom
funcionamento do computador. O programa é executado independentemente da vontade do
usuário do computador.
A cada dia que passa os vírus têm sido aprimorados, praticamente crescendo paralelo com a
evolução da tecnologia dos sistemas de segurança e sistemas operacionais. As intenções com os
vírus variam de apenas prejudicar deliberadamente um usuário de computador a roubar dados,
dinheiro, espionagem e outros.
1.2.4 WORMS OU VERMES
O worm é um programa que faz cópia dele mesmo e espalha as cópias por meio de uma rede de
computadores, explorando vulnerabilidades existentes ou falhas na configuração dos softwares
instalados. Diferentemente dos vírus, não é preciso nenhuma ação dos usuários para que os
worms se espalhem. Eles também não precisam de um programa hospedeiro para se propagar,
bem como não precisam infectar arquivos legítimos do sistema. Eles instalam um sistema
completo para o seu funcionamento.
1.2.5 ATAQUES VIRTUAIS
Os ataques virtuais são qualquer tipo de ataque a um equipamento de rede, componente ou
dispositivo que não seja realizado por acesso físico do atacante. Basicamente, existem três
componentes que podem ser atacados neste caso:
• estação de trabalho;
• servidor;
• rede.
Ataques a Estações de Trabalho
Os ataques às estações de trabalho são geralmente feitos por meio de malwares, exatamente por
não possuírem muitos serviços disponíveis, portanto, bem menos portas de comunicação estão
abertas e passíveis de serem utilizadas para uma invasão. Também os malwares são utilizados
frequentemente em ataques às estações por serem utilizados por usuários comuns, pessoas
geralmente sem conhecimento sobre segurança da informação. Usuários costumam clicar em
qualquer botão “Continuar” que veem, por irresponsabilidade ou imprudência, ignorando na
maioria das vezes as mensagens de aviso. Outra prática comum é o recebimento de mensagens
de e-mail com links para servidores ou anexos contendo malware e os executando ou mesmo

Documento de uso exclusivo em cursos da Rede ICP-Brasil
18
recebendo mensagens de programas tipo “mensageiro instantâneo” contendo links para
servidores de códigos maliciosos. Esta técnica é conhecida como phishing, uma alusão ao
termo fishing em inglês, que significa literalmente, "pescar". Ao clicar no link malicioso ou
executar o anexo de mensagem de e-mail maliciosa, o usuário é “fisgado”.
É importante frisar que as estações de trabalho também são alvos constantes de ataques físicos,
levando em conta que são componentes da rede que estão desprotegidos, ou seja, não estão
cercados de cuidados. Uma estação de trabalho sem qualquer método de segurança, como
proteção de tela com senha, é bastante convidativa para um indivíduo de más intenções. Em
posse do controle de uma estação de trabalho, um indivíduo pode não apenas tomar conta desta,
como a partir daí iniciar um ataque ao resto da rede.
Abaixo segue dois exemplos de softwares que realizam ataques a estações de trabalho.
• Key Loggers: um malware instalado em uma máquina, que realiza gravações (logging)
das ações do usuário no teclado durante uma sessão na Internet e envia esses logs a
servidores onde os atacantes possam acessá-los. Este tipo de programa é utilizado para
roubar senhas de usuários ao acessarem suas contas de banco pela Internet. Uma solução
para isso tem sido os teclados virtuais, simulações de um teclado comum, porém o
usuário utiliza o mouse para clicar nas teclas e preencher as lacunas de contas e senhas.
Porém, esta não é uma solução definitiva, como podemos ver a seguir;
• Mouse Loggers: são os malwares que captam os movimentos do mouse dos usuários,
salvam em logs e enviam estes a servidores remotos dos atacantes, com o objetivo de
contornar a proteção oferecida pelos teclados virtuais. Alguns mouse loggers mais
avançados chegam a perceber em qual área da tela foi realizado um determinado clique.
Ataques a Servidores
De longe, são os componentes de rede mais atacados. São vítimas de ataques diretos, malware,
ataques físicos e vários outros.
Em caso de ataques por malware, geralmente esses programas são um tanto quanto diferentes,
dependendo do objetivo. Quando o servidor é alvo de roubo de informações, os malwares são
programados de forma a facilitar um ataque direto, derrubando a conexão de um determinado
servidor ou componente para permitir o acesso a outro, ou também desabilitando serviços que
dificultem o acesso ao objetivo.
Veremos a seguir os tipos mais conhecidos de ataques a redes e servidores:

Documento de uso exclusivo em cursos da Rede ICP-Brasil
19
• Denial of Service (DoS): consiste em um ataque que desabilita parcial ou totalmente a
máquina-alvo ou algum serviço nela disponível. Esse ataque pode ser realizado por várias
formas, como bombardeio de pacotes de dados, congestionamento do meio e travamento
de máquinas. Este tipo de ataque também pode ser encarado como um ataque a redes,
pois em um bombardeio desenfreado de informações em um meio causa um grande
congestionamento de pacotes de dados, levando a rede em questão ao colapso e
prejudicando praticamente todos os dispositivos interconectados.
• Mail Bomb: uma espécie de negação de serviço. Um determinado script faz com que
sejam enviadas mensagens de e-mail em massa para um determinado servidor,
abarrotando a fila de mensagens (spool), ou preenchendo o espaço em disco vazio,
causando uma negação de serviço e possível travamento ou inoperação da máquina
(server crash). Esta prática não deve ser confundida com a propaganda em massa por e-
mail, o conhecido SPAM;
• IP Spoofing: é uma técnica de ataque bastante utilizada, que consiste em um computador
“fingir” fazer parte de outra rede, alterando o cabeçalho de seus pacotes de dados. É no
cabeçalho de um pacote TCP/IP que constam as informações de origem e destino de um
pacote, com base nos endereços IP das máquinas. Umatacante envia pacotes de dados
com um IP da rede-alvo constando no cabeçalho e então, teoricamente, ele começa a
fazer parte dessa rede.
• DNS Poisoning: ou envenenamento de DNS. O ataque de DNS poisoning consiste em
comprometer um servidor de DNS que ofereça serviço a vitima, invadindo-o ou
alterando-o de alguma maneira, de forma a delegar outro endereço de IP a um
determinado nome de domínio. Por exemplo, um cliente do Banco do Brasil irá acessar o
endereço http://www.bb.com.br, no entanto será redirecionado a um IP de outro servidor,
de posse do atacante. É um tipo de ataque bastante comum utilizado para roubar
informações bancárias.
• Brute Force: também conhecida como força bruta ou adivinhação de senha (password
guessing). Uma determinada senha em um servidor é testada por adivinhação até o
acerto. É uma técnica que leva algum tempo, portanto, ao tentar isso o atacante tem
geralmente a certeza de que não será descoberto pelo menos por algum período.
• Network Scanning: varredura ou “escaneamento” de redes. Na verdade, esta não é
necessariamente uma técnica de ataque e sim um pressuposto de que pode haver uma

Documento de uso exclusivo em cursos da Rede ICP-Brasil
20
tentativa de ataque. Um indivíduo pode varrer um determinado IP, uma faixa de IP ou
uma rede inteira com um aplicativo próprio para isso, em busca de portas abertas. Ao
aperceber de alguma porta ou rede vulnerável, tenta investir nessa vulnerabilidade até
obter sucesso ou alguma informação que lhe seja interessante.
• Man in the Middle: este tipo de ataque ocorre quando existe uma comunicação entre
duas máquinas em uma rede e uma terceira parte é capaz de interceptar esta
comunicação, podendo capturar, alterar ou inserir pacotes de dados, sem que ambas as
partes sequer percebam que o link de comunicação foi comprometido. Existem várias
técnicas para este tipo de ataque, até mesmo entre os links de comunicação
criptografados, muito embora sejam raríssimos e quando acontecem nem sempre são bem
sucedidos.

Figura 1.2: Man in the Middle Attack
1.3 COMO PROVER SEGURANÇA
Prover segurança em redes de computadores não é uma tarefa fácil. Para se proteger dos
possíveis ataques, algumas medidas devem ser adotadas:
• Instalar e manter atualizado um bom antivírus;
• Desabilitar a auto-execução em programas de e-mail;
• Não executar ou abrir arquivos recebidos por e-mail, sem antes verificá-lo com o
antivírus;
• Não abrir ou executar arquivos de procedência duvidosa (disponíveis para downloads);
• Procurar usar arquivos menos suscetíveis a modificações (PS, PDF);
• Não usar, no caso de arquivos compactados, o formato executável.

Documento de uso exclusivo em cursos da Rede ICP-Brasil
21
Além disso, as empresas devem adotar um esquema de políticas de segurança, utilizando
adequadamente firewall, proxy e ferramentas para a detecção de intrusão na rede.
Porém, é necessário saber que ao utilizar um computador conectado em uma rede, sempre
estaremos sujeitos à interceptação dos dados transmitidos. Então, temos que utilizar
mecanismos de segurança adicionais para garantir que, mesmo que os dados possam ser
capturados, o invasor não consiga transformá-los em informação. Neste caso, a principal
técnica utilizada é a Criptografia, a qual é descrita em detalhes nos próximos tópicos.
1.4 CRIPTOGRAFIA
Criptografia (do grego kryptós, “escondido” e gráphein, “escrever”) é geralmente entendido
como sendo o estudo dos princípios e das técnicas pelas quais a informação pode ser
transformada da sua forma original para outra ilegível, tornando-a difícil de ser lida por alguém
não autorizado. Para poder ler a mensagem cifrada é necessário aplicar um algoritmo de
decifragem usando uma senha secreta conhecida como “chave de decifragem”. Criptografia é
muito mais do que um processo matemático muito complicado para tornar um texto
incompreensível, e outro ainda mais complicado para decifrá-lo. Ela é o coração da Internet
como ferramenta de negócios. Sem ela, a Grande Rede é apenas um canal de mídia, incapaz de
ser usado para comércio ou transações financeiras.
A criptografia nasceu da necessidade de manter a privacidade de informações. Desde a
Antiguidade já se tinha conhecimento da criptografia, quando utilizada a substituição ou troca
de símbolos com o objetivo de confundir um possível interceptador das mensagens. Para a
computação esse princípio é mantido, porém a escrita é substituída pelo processamento digital
das informações e com a capacidade de processamento de dados desta tecnologia, a criptografia
tomou corpo e desenvolveu-se.
1.4.1 HISTÓRIA DA CRIPTOGRAFIA
A criptografia é tão antiga quanto à própria escrita, já estava presente no sistema de escrita
hieroglífica dos egípcios. Os romanos utilizavam códigos secretos para comunicar planos de
batalha, na expansão de seu Império na Idade Antiga. É bastante interessante observar que a
tecnologia da criptografia não mudou muito até meados do século passado. Depois da Segunda
Guerra Mundial, com a invenção do computador, a área realmente floresceu incorporando
complexos algoritmos matemáticos. Durante a guerra, os ingleses ficaram conhecidos por seus
esforços para decifração de códigos. Na verdade, esse trabalho criptográfico formou a base para

Documento de uso exclusivo em cursos da Rede ICP-Brasil
22
a ciência da computação moderna. Pode-se dizer que se não fossem as Guerras e a necessidade
de se criptografar mensagens, não haveria tanto empenho no desenvolvimento de computadores
de grande porte e poder de cálculo, e não teríamos a evolução computacional que temos
atualmente.
1.4.2 EVENTOS HISTÓRICOS DA CRIPTOGRAFIA
Idade Antiga
A história acontece numa vila egípcia perto do rio Nilo chamada Menet Khufu. Khnumhotep II
era um arquiteto do faraó Amenemhet II. Ele construiu alguns monumentos para o faraó, os
quais precisavam ser documentados. Nem é preciso dizer que essas informações, escritas em
Tabletes de argila, não eram para cair no domínio público. O escriba de Khnumhotep II teve a
ideia de substituir algumas palavras ou trechos de texto desses Tabletes. Caso o documento
fosse roubado, o ladrão não encontraria o caminho que o levaria ao tesouro; portanto, morreria
de fome e sede, perdido nas catacumbas da pirâmide. Considera-se isto como o primeiro
exemplo documentado da escrita cifrada.
Tucídides, antigo historiador grego, narrador da Guerra do Peloponeso, conta sobre ordens
entregues ao príncipe e general espartano Pasanius, em 475 a.C. por meio do que poderia ser o
sistema de criptografia militar mais antigo, o scytale ou bastão de Licurgo. Como um
dispositivo para esconder mensagens, o scytale consiste num bastão de madeira ao redor do
qual se enrola firmemente uma tira de couro ou pergaminho, longa e estreita. Escreve-se a
mensagem no sentido do comprimento do bastão, a tira é desenrolada e contém a mensagem
cifrada.

Figura 1.3: Idade Antiga
Júlio César usou sua famosa cifra de substituição para cifrar mensagens governamentais. Para
compor seu texto cifrado, César alterou letras desviando-as em três posições: A se tornava D, B
se tornava E, etc. Às vezes, César reforçava sua cifragem substituindo letras latinas por gregas.

Documento de uso exclusivo em cursos da Rede ICP-Brasil
23
Idade Média
Al-Kindi, cujo nome completo era Abu Yusuf Yaqub ibn Is-haq ibn as Sabbah ibn ’omran ibn
Ismail Al-Kindi, escreveu Risalah fi Istikhraj al Mu’amma (Escritos sobre a decifração de
mensagens criptográficas). Este livro está conservado, sendo o mais antigo sobre criptografia.
Nele o autor faz análises de frequência,portanto, pode-se considerar Al-Kindi como o bisavô
da Matemática Estatística.

Figura 1.4: Idade Média
Geoffrey Chaucer, considerado o melhor poeta inglês antes de Shakespeare, no seu The
Equatorie of the Planetis, um suplemento do seu Treatise on the Astrolabe, incluiu seis
passagens escritas em cifras. O sistema de cifras utilizado consiste num alfabeto de símbolos de
substituição. A solução do criptograma mostrado na figura 1.4 é: "This table servith for to entre
in to the table of equation of the mone on either side."
Idade Moderna
Johannes von Heydenberg aus Trittenheim/Mosel, ou Johannes Trithemius, escreveu o primeiro
livro impresso de criptografia (Trithemius:1606). Ele inventou uma cifra esteganográfica na
qual cada letra era representada como uma palavra obtida de uma sucessão de colunas. A série
de palavras resultantes seria uma oração legítima. Também descreveu cifras polialfabéticas na
forma de tabelas de substituição retangulares que na época já se tinham tornado padrão.
Introduziu a noção da troca de alfabetos a cada letra.
Idade Contemporânea
Thomas Jefferson, possivelmente com a ajuda do Dr. Robert Patterson, um matemático da
Universidade da Pensilvânia, inventa um cilindro cifrante (ou cifra de roda). Apesar da
engenhosidade, esse dispositivo, composto por 26 discos, nunca chegou a ser utilizado. O
cilindro de Jefferson é um dispositivo que permite realizar com rapidez e segurança uma
substituição polialfabética.

Documento de uso exclusivo em cursos da Rede ICP-Brasil
24

Figura 1.5: Idade Contemporânea
Descobre-se a Pedra da Roseta, com a qual foi possível decifrar os hieróglifos egípcios: uma
história de criptoanálise num texto claro. As mensagens da Pedra, que pode ser considerada um
"dicionário" em três línguas, foram decifradas somente em 1822 por Champollion, após uma
tentativa frustrada feita por Thomas Young em 1814.
1.4.3 APLICAÇÕES ATUAIS DA CRIPTOGRAFIA
Atualmente, a criptografia é quase que exclusivamente utilizada para cifrar dados virtuais, com
o intuito de aumentar sua segurança durante o tráfego nas redes de informação, e quase que
totalmente baseada em algoritmos matemáticos, os quais foram propostos durante as Grandes
Guerras. Aplicativos que dispõem da utilização de algoritmos criptográficos são os certificados
e assinaturas digitais, resumos criptográficos como o hash, e protocolos, como o SSL (Secure
Socket Layer).
De modo algum a criptografia é a única ferramenta necessária para assegurar a segurança de
dados, nem resolverá todos os problemas de segurança. É um instrumento entre vários outros.
Além disso, a criptografia não é à prova de falhas. Toda criptografia pode ser quebrada,
sobretudo, se for implementada incorretamente.
1.4.4 MODELOS DE CRIPTOGRAFIA
Os tipos de criptografia com base em algoritmos são basicamente divididos em dois:
Criptografia de chaves simétricas, e Criptografia de chaves assimétricas.
Antes de qualquer coisa, vamos ao conceito de chaves criptográficas:
1.4.5 CHAVES CRIPTOGRÁFICAS
Chaves são valores que contêm informações a serem utilizadas nos algoritmos criptográficos
para produzir o texto criptografado.

Documento de uso exclusivo em cursos da Rede ICP-Brasil
25
As chaves criptográficas funcionam exatamente como suas equivalentes na porta de casa.
Quem tem a chave, entra e sai com toda a facilidade, porque possui um componente secreto. É
a combinação de pinos dentro da fechadura que torna a sua chave de casa única e poderosa.
A quem não possui a chave correta, só resta apelar para o arrombamento.
O tamanho das chaves, em geral, reflete o poder criptográfico do algoritmo.
Conforme mencionado anteriormente, um dos primeiros algoritmos para cifrar dados foi o
Cifrador de César, o qual utilizava uma técnica de substituição das letras do alfabeto.
No cifrador de César, cada letra do alfabeto da mensagem original era substituída por outra
letra que se encontrava um número de posições (chave) à frente da letra original.
Por exemplo, ao utilizar uma chave = 3, observa-se abaixo as alterações entre o texto original e
o texto cifrado.
Texto original: a cesar o que e de cesar
Texto cifrado: d fhvdu r txh h gh fhvdu

Figura 1.6: Cifrador de César.
No caso deste algoritmo, conhecendo o texto cifrado, o algoritmo e o tamanho da chave, que
pode variar de 1 até 25, pode-se descobrir qual é a mensagem em no máximo 25 tentativas.
Com 25 possibilidades de chaves, o algoritmo de César acaba sendo inseguro, porém, naquela
época não se conhecia nenhuma técnica de criptografia, sendo quase impossível para alguém
descobrir o que aquelas letras sem significado representavam.
Atualmente, as técnicas de criptografia são muito mais seguras que a apresentada no exemplo
acima. Uma característica muito interessante, e que garante a segurança da criptografia
moderna, é que os algoritmos criptográficos são baseados em chaves criptográficas muito

Documento de uso exclusivo em cursos da Rede ICP-Brasil
26
grandes, o que garante ser impossível de se obter a chave computacionalmente por tentativas e
erros de todas as possibilidades existentes. A técnica de testar todas as possibilidades de chaves
é conhecida como força bruta. Em outras palavras, significa dizer que utilizando a técnica da
força bruta demoraria muitos anos para conseguir quebrar uma chave.
1.4.6 CRIPTOGRAFIA SIMÉTRICA
Na década de 1970, o padrão na criptografia era a criptografia simétrica. Esse tipo de
criptografia é a mais simples e é também conhecida como algoritmo de chave secreta. É o
algoritmo de criptografia que utiliza somente uma chave, tanto para cifrar como para decifrar os
dados. O grande problema desse método era como transmitir com segurança esta chave, para
garantir a confidencialidade da mensagem.

Figura 1.7: Criptografia de Chaves
Existe hoje um grande conjunto de algoritmos de chaves simétricas disponíveis, variando em
força (resistência à quebra), modelos de licenciamento (gratuitos e patenteados), etc. Entre os
mais conhecidos estão o DES (e sua variação 3DES - 3 vezes o algoritmo DES), IDEA,
Blowfish, RC4, RC5 e RC6.
Assim, se Alice deseja enviar uma mensagem com privacidade para Beto, ambos devem definir
uma chave e um algoritmo de cifragem. Alice cifra a mensagem com a chave escolhida e envia
a Beto. Este recebe a mensagem cifrada e a decifra utilizando a mesma chave e algoritmo de
Alice.
Algoritmos de criptografia simétrica são de uso simples por parte dos usuários e, em sua
maioria, apresentam alto desempenho computacional, sendo recomendados para cifrar grandes
quantidades de dados. No entanto, o gerenciamento das chaves compartilhadas é um ponto
crítico dessa abordagem. Por exemplo, se Alice deseja enviar mensagens sigilosas a seus
amigos, ela deverá definir uma chave diferente para ser utilizada com cada um deles. Outro
fator que merece atenção é o compartilhamento de uma chave entre duas entidades. Por
exemplo, Alice define uma chave e a manda por e-mail para Beto para que ambos possam

Documento de uso exclusivo em cursos da Rede ICP-Brasil
27
trocar mensagens com privacidade. Se nesse momento um terceiro indivíduo interceptar o e-
mail de Alice, ele poderá decifrar todas as mensagens trocadas entre Alice e Beto.
1.4.7 CRIPTOGRAFIA ASSIMÉTRICA
A criptografia de chave pública ou criptografia assimétrica é um método que utiliza um par de
chaves: uma chave pública e uma chave privada. A chave pública pode ser distribuída
livremente, enquanto a chave privada deve ser de conhecimento apenas de seu dono. Em um
dos algoritmos de criptografia assimétrica, uma mensagemcifrada com a chave pública pode
somente ser decifrada pela sua chave privada correspondente. Do mesmo modo, uma
mensagem cifrada com a chave privada pode somente ser decifrada pela sua chave pública
correspondente.
Os algoritmos de chave pública podem ser utilizados para autenticidade, confidencialidade e
não repúdio. Para a confidencialidade, a chave pública é usada para cifrar mensagens que
apenas o dono da chave privada pode decifrar. Para a autenticidade, a chave privada é usada
para cifrar mensagens ou mensagens resumos, com isso, garante-se que apenas o dono da chave
privada poderia ter cifrado a mensagem que pode ser decifrada pela chave pública. O não
repúdio é garantido por uma assinatura realizada por meio da chave privada, que tem sinergia
com a chave pública contida em um certificado digital.

Figura 1.8: Criptografia Assimétrica
1.4.8 RESUMO CRIPTOGRÁFICO OU HASH
Em criptografia, função resumo é uma sequência de bits de tamanho fixo que representa um
resumo de uma mensagem. A função resumo é usada para construir uma pequena impressão
digital de algum dado; se o dado for alterado, então a impressão digital não será mais válida. O

Documento de uso exclusivo em cursos da Rede ICP-Brasil
28
conceito teórico diz que "função resumo é a transformação de uma grande quantidade de
informações em uma pequena quantidade de informações".
Uma função resumo (h) é um algoritmo que mapeia uma sequência de bits (x) de tamanho
arbitrário, para uma sequência de bits de tamanho fixo menor, chamada resumo (h(x)). Como
resultado, é possível garantir a integridade do documento, pois o resumo da mensagem enviada
deve ser o mesmo da mensagem recebida.
Segundo Stallings (2003) a função resumo deve possuir as seguintes propriedades:
• h deve poder ser aplicado sobre uma sequência de bits de qualquer tamanho;
• h deve produzir um resultado de tamanho fixo;
• h(x) deve ser relativamente fácil de computar, a partir de x;
• dado um h(x), deve ser impraticável encontrar um x;
• deve ser impraticável encontrar um x’, dado que h(x’)=h(x).
As principais aplicações das funções de hash são:
• Representar um arquivo para assinatura digital;
• Armazenar senhas;
• Verificação de alterações (intencionais ou não)
A função resumo também pode ser chamada por: Message Digest, One-Way Hash Function,
Função de Condensação, Função de Espalhamento Unidirecional ou Função Hashing. Os
algoritmos comumente utilizados são: MD5 e SHA1.
1.4.9 ASSINATURA DIGITAL
É comum achar que a assinatura digital consiste na digitalização (através de um aparelho de
leitura ótica, como scanner por exemplo) da assinatura de próprio punho para inseri-la ao final
de um documento digital. Embora possa parecer bonito, nada poderia ser mais inútil para
comprovar a autoria de um documento, pois é muito simples copiar ou forjar a assinatura
digitalizada. A assinatura digital é uma modalidade de assinatura eletrônica, resultado de uma
operação matemática que utiliza algoritmos de criptografia assimétrica e permite aferir, com
segurança, a origem e a integridade do documento assinado.
O fundamento da assinatura digital está baseado no par de chaves (pública e privada). Dessa
forma, deve existir uma chave privada que somente a entidade que assinou conhece e uma

Documento de uso exclusivo em cursos da Rede ICP-Brasil
29
pública que irá servir de base para a verificação dessa assinatura. A chave pública deve ser
conhecida por todas as entidades que vierem a receber a assinatura para uma futura validação.
A assinatura digital pode ser comparada com uma assinatura manuscrita, porque somente uma
entidade pode assinar uma informação e qualquer entidade pode ler essa assinatura e verificar
se ela é verdadeira. A grande vantagem da assinatura digital é que ela é virtualmente impossível
de ser forjada, em virtude das técnicas de criptografia assimétrica empregadas.
As assinaturas digitais também permitem a verificação da integridade do conteúdo que foi
assinado, porque a assinatura digital é uma função da chave do usuário sobre o texto a ser
assinado. Dessa maneira, podemos ter certeza que a assinatura foi gerada pelo detentor da
chave criptográfica e aplicada àquele documento. Qualquer tentativa de verificação que viole
tais condições deixará claro, no momento da verificação da assinatura, que esta não é legítima.
Portanto, a assinatura digital provê autenticação e não repúdio. Ao assinar, o assinante atesta o
conhecimento do conteúdo da mensagem, bem como concorda com ele.
1.4.10 CERTIFICADOS DIGITAIS
O certificado digital tem como objetivo principal, informar qual indivíduo detém a chave
privada correspondente a uma pública. Por esse motivo, também se denomina certificado de
chave pública. Incluem-se ainda no certificado digital, informações como endereços de contato
do detentor da chave privada, datas de validade do certificado, entre outras. Buscando aferir
veracidade a tais informações, uma terceira parte, denominada de Autoridade Certificadora
(AC), atribui seus dados e um serial ao certificado e, por fim, assina-o. Dos padrões de
certificados de chave pública disponíveis hoje, tem-se, por exemplo, o X.509v3, que é
largamente difundido. Além das informações comuns a todo certificado digital, as quais serão
descritas no capítulo subsequente, certificados nesse padrão ainda apresentam outros dados,
como extensões, que os tornam mais flexíveis a aplicações.
Conforme visto até agora, a criptografia de chave pública não oferece apenas um mecanismo
poderoso para cifrar mensagens, mas também uma maneira de identificar e de autenticar
pessoas e até dispositivos. Entretanto, antes de poder utilizar essa tecnologia eficazmente,
temos que lidar com uma desvantagem, ou seja, o gerenciamento e distribuição da chave
pública. Esta chave deve ser compartilhada para que os usuários finais e as partes verificadoras
(aquelas que verificam a autenticidade do certificado de um usuário final) utilizem essa
tecnologia. O problema é que, como qualquer outro dado, uma chave pública é suscetível de
manipulação durante o trânsito. Se uma terceira parte desconhecida puder substituir uma chave

Documento de uso exclusivo em cursos da Rede ICP-Brasil
30
qualquer por uma chave pública válida, neste caso o invasor poderia forjar as assinaturas
digitais e permitir que as mensagens cifradas fossem expostas a partes mal-intencionadas. Esta
é a razão pela qual é crucial garantir aos usuários que a chave seja autêntica e que tenha vindo
da parte intencionada.
Em uma pequena população de usuários confiáveis, essa tarefa não é muito difícil. Um usuário
poderia distribuir sua chave pública pessoalmente entregando-a em um CD a um destinatário.
Mas, em grupos maiores de pessoas, essa tarefa é muito mais difícil, especialmente quando uma
população estiver geograficamente dispersa. A distribuição manual torna-se complicada e
permite brechas na segurança. Por esta razão, uma solução mais apropriada foi desenvolvida, a
qual é conhecida como Public Key Infrastructure (PKI) ou Infraestrutura de Chaves Públicas
(ICP) - discutida em detalhes no próximo capítulo.

Documento de uso exclusivo em cursos da Rede ICP-Brasil
31
2. INFRAESTRUTURA DE CHAVES PÚBLICAS (ICP)

Infraestrutura de Chaves Públicas é uma série de padrões, procedimentos e órgãos de iniciativa
pública ou privada, que tem como objetivo manter uma estrutura de emissão e publicação de
chaves públicas, baseando-se no princípio da terceira parte confiável. A principal função de
uma ICP é definir um conjunto de técnicas, práticas e procedimentos à serem adotados pelas
entidades