Prévia do material em texto
InformátIca 1 INFORMÁTICA RANIELISON PASSOS InformátIca 2 SEGURANÇA DA INFORMAÇÃO �������������������������������������������������������������������������� 4 1.1 PRINCÍPIOS BÁSICOS ................................................................................................................................ 4 1.1.1 Princípio da Disponibilidade .......................................................................................................5 1.1.2 Princípio da Integridade .............................................................................................................5 1.1.3 Confiabilidade ............................................................................................................................. 6 1.1.4 Conformidade ............................................................................................................................. 6 1.2 Princípio da Confidencialidade ................................................................................................................ 6 1.2.1 Princípio da Autenticidade .........................................................................................................7 1.2.2 Não-Repúdio ...............................................................................................................................7 2� CRIPTOGRAFIAS ���������������������������������������������������������������������������������������������8 2.1 Criptografia de Chave Simétrica ..............................................................................................................8 2.2 Criptografia de Chave Assimétrica ..........................................................................................................9 3� CERTIFICAÇÃO DIGITAL �������������������������������������������������������������������������������� 10 3.1 CERTIFICADO DIGITAL ............................................................................................................................. 10 3.1.1 Autoridade Certificadora Raiz - ACR ....................................................................................... 11 3.1.2 Autoridade de Registro - AR................................................................................................... 12 3.2 CERTIFICADO AUTO ASSINADO ............................................................................................................ 12 3.2.1 Certificado EV ............................................................................................................................ 12 4� ASSINATURA DIGITAL ���������������������������������������������������������������������������������� 12 4.1 ASSINATURA DIGITALIZADA .................................................................................................................. 13 4.2 ASSINATURA CEGA ................................................................................................................................. 13 4.3 TABELA DE COMPARAÇÃO .................................................................................................................... 13 5� BACKUP E RESTAURAÇÃO ���������������������������������������������������������������������������� 14 5.1 TIPOS DE MÍDIA PARA BACKUP ............................................................................................................. 14 5.1.1 CD, DVD e BluRay ...................................................................................................................... 15 5.1.2 PEN DRIVE e SD CARD (Cartões de Memória) ..................................................................... 15 5.1.3 FITA MAGNÉTICA ...................................................................................................................... 15 5.1.4 NUVEM ........................................................................................................................................ 15 5.2 TIPOS DE BACKUP .................................................................................................................................... 15 5.2.1 ATRIBUTO DE MARCAÇÃO ...................................................................................................... 15 5.2.2 COMPLETO/NORMAL/REFERENCIAL/TOTAL ..................................................................... 15 5.3 BACKUP E RESTAURAÇÃO ..................................................................................................................... 16 5.4 TIPOS DE BACKUP ................................................................................................................................... 16 5.5 ATRIBUTO DE MARCAÇÃO ..................................................................................................................... 17 5.6 INCREMENTAL .......................................................................................................................................... 17 5.7 DIFERENCIAL ............................................................................................................................................. 18 5.8 DIFERENCIAL X INCREMENTAL ............................................................................................................ 20 5.9 BACKUP DIÁRIO ...................................................................................................................................... 20 5.10 BACKUP DE CÓPIA ................................................................................................................................ 20 InformátIca 3 5.11 BACKUP ONLINE ..................................................................................................................................... 20 5.12 BACKUP OFFLINE .................................................................................................................................... 21 5.13 RESTAURAÇÃO DE ARQUIVOS............................................................................................................. 21 6� PRÁTICAS DE SEGURANÇA ���������������������������������������������������������������������������23 6.1 PORT SCANNER .........................................................................................................................................23 6.2 HONEYPOT ................................................................................................................................................23 6.3 ANTIPHISHING ..........................................................................................................................................23 6.4 ANTISPAM .................................................................................................................................................23 6.5 BOAS PRÁTICAS .......................................................................................................................................23 6.5.1 POLÍTICA DE MESA LIMPA ......................................................................................................23 6.5.2 POLÍTICA DE TELA LIMPA .......................................................................................................23 6.5.3 SEGURANÇA COM AÇÕES PESSOAIS ...................................................................................23 6.6 FIREWALL ..................................................................................................................................................23 6.6.1 TIPOS DE FIREWALL ............................................................................................................... 24 6.7 ANTIMALWARES ..................................................................................................................................... 25 6.7.1 ANTIVÍRUS ................................................................................................................................ 25 4 INFORMÁTICA SEGURANÇA DA INFORMAÇÃO Segurança da informação é o termo utilizado na informá- tica para descrevertécnicas, regras e princípios para se proteger a informação. Mas, o conceito de Segurança da Informação não está restrito apenas as informações contidas em um computa- dor como, por exemplo, fotos, vídeos, músicas, arquivos, sistema operacional. Esse conceito se aplica a todos os aspectos de pro- teção de informação ou dados, ou seja, o tópico de Segurança da Informação apresenta elementos para a proteção e a segurança das informações interna ou informações externas a um sistema de computador, que podem comprometer o uso do computador ou a segurança da máquina e seus arquivos. Segurança da Informação não é apenas antivírus e senha, como muitos pensam, erroneamente. Esse tópico da Informática envolve muitos outros elementos de segurança para que uma in- formação se torne segura, computacionalmente falando. Elemen- tos de criptografia, senhas, certificação digital, antivírus, firewall, backup, são grandes exemplos de técnicas utilizadas para a prote- ção da informação interna de um computador e para assegurar a informação externa, que possa comprometer a segurança interna do computador, temos boas práticas de utilização de sistema, a política de mesa limpa e a política de tela limpa, que são, basica- mente, métodos de segurança para que o usuário do computador não exponha de forma clara as informações internas do compu- tador, como, por exemplo, prender uma nota adesiva na tela do computador com o login e senha de um serviço restrito. Existem princípios básicos a serem seguidos durante o clico de existência de uma informação, desde a sua criação, passando pelo processo de uso, até a eliminação desse documento. E para isso fora criada uma norma internacional de controle para prover orientação e apoio para as melhores práticas da segurança da informação. Pois, sem essa norma internacional seria quase que impossível as pessoas de todo mundo se comunicaram com segu- rança na informação, pois, por exemplo, os brasileiros estabele- ceriam normas de segurança para criptografar dados que seriam diferentes das estabelecidas pelos americanos, causando assim, divergência no método de criptografar e descriptografar as men- sagens e consequentemente um problema na comunicação. É para isso que fora criada a norma internacional ABNT NBR ISO/IEC 27000 de 2005, regulamenta em território nacional pela ABNT, Agência Brasileira de Normas Técnicas, juntamente com a NBR, Normas Brasileiras. Essa norma fora criada pela ISO/IEC, que é sigla para o termo em International Organization of Standardiza- tion (ISO), que traduzindo para o Português significa Organização Internacional de Padronização (ISO), em conjunto com a Interna- tional Electrotechnical Commission (IEC), que traduzindo para o Português significa Comissão Eletrotécnica Internacional (IEC). A norma da família ISO/IEC 27000, antiga norma ISO/IEC 17799, pode aparecer como norma 27001, 27002, 27003, ou seja, a família ISO/IEC 27000. Vejamos a classificação dada pela norma ABNT NBR ISO/IEC 27000 de 2005, sobre o termo Segurança da Informação (SI): “Significa proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio da organização”. Vejamos agora, uma das técnicas de segurança da informa- ção, utilizada internacionalmente para a proteção dos dados. 1.1 PRINCÍPIOS BÁSICOS Para que possamos compreender as técnicas utilizadas para assegurar uma informação, senhas, criptográficas, por exemplo, pre- cisamos antes estudar os princípios básicos de segurança, que podem aparecer como PBSI, Princípios Básicos da Segurança da Informação. Os princípios da segurança são basicamente atributos, pro- priedades básicas, como também são relacionados, para o esta- belecimento da segurança da informação. Por exemplo, se você usuário quer enviar uma mensagem para alguém e precisa que essa informação seja transmitida de forma inteiramente confiden- cial, estabelecimento de sigilo, podemos dizer então que, nesse caso, você precisa garantir o princípio, atributo, propriedade, da Confidencialidade da informação. A partir daí precisamos analisar quais as ferramentas Informáticas existentes, os meios de segu- rança, que dispõe desse princípio para a comunicação, sendo que nesse exemplo poderias usar criptografia simétrica, como vere- mos em outra oportunidade. Abaixo, uma relação com os principais atributos, proprieda- des, princípios da segurança da informação, que pode ser decorado pelo mnemônico “DICA”. Mas lembrando ao aluno que esses princí- pios não são os únicos existentes na segurança da informação e sim o que são mais relacionados em provas de concurso público. ˃ Princípio da Disponibilidade ˃ Princípio da Integridade ˃ Princípio da Confidencialidade ˃ Princípio da Autenticidade Dentro desses princípios básicos podemos encontrar alguns outros que são derivados do princípio maior, como, por exemplo, no Princípio da Integridade, que encontramos as propriedades de Confiabilidade e também da Conformidade, que são derivadas de uma informação integra, ou seja, pelo fato do princípio da Integri- dade existir podemos também estabelecer confiabilidade ou con- formidade na segurança da informação. Como supracitado, os princípios básicos, que geralmente são apresentados pela banca, são os da Disponibilidade, Integri- dade, Confidencialidade e Integridade, geralmente deixando de lado os Princípios derivados. Então, quando a banca apresentar na questão somente esses 4 atributos relacionados como essen- ciais para a segurança da informação, devemos tomar o item como correto, embora sabemos que existem outros princípios existente. Mas se a banca restringir a informação, como por exemplo, afir- mando que são os únicos existentes devemos tomar o item como incorreto, pois sabemos que existem outros atributos da seguran- ça da informação que não precisamos conhecer, nesse momento. Obs. 01: se você já está se dedicando nos estudos a um al- gum tempo, provavelmente já ouviu falar que na Informática não podemos garantir a segurança da informação, ou seja, garantimos nada na Informática. Cuidado! Pois a regra é que não existe 100% de segurança em ambientes computacionais, então, neste caso, não podemos garantir com total exatidão a Segurança dos dados e da informação computacional, mas quando estamos falando sobre os princípios da segurança devemos aceitar como exceção 5 INFORMÁTICA dessa regra. Pois geralmente os princípios são relacionados com a garantia de alguma coisa, como, por exemplo, Autenticidade é a garantia da fonte enunciada, Integridade é a garantia da estrutura original, como veremos a seguir. Abaixo, um exemplo simples em questão de concurso sobre essa exceção na garantia da informação através de princípios. 01� (CESPE 2011) Acerca de segurança da informação, julgue os itens que se seguem. A conformidade pode levar à garantia de atendimento aos re- quisitos de segurança da informação. RESPOSTA: CERTO. Vejamos agora as principais características desses prin- cípios relacionados e também as diferenciações entre eles que a banca pode cobrar em questões de concurso, bem como as pro- priedades derivadas de cada um desses princípios. 1.1.1 Princípio da Disponibilidade Disponibilidade, em termos técnicos, é o princípio respon- sável por garantir que a informação gerada esteja disponível para os envolvidos no processo de comunicação fazerem uso das infor- mações ao tempo que for necessário. Os envolvidos nesse proces- so de comunicação podem ser tanto o próprio criador da informa- ção quanto os destinatários da informação, que foram autorizados pelo criador em algum momento. Em termos mais simples podemos dizer que a propriedade da Disponibilidade é aplicada em uma informação para garantir que essa estará disponível aos envolvidos, criador da informação e os autorizados pelo criador. A Disponibilidade permite que a in- formação seja acessada pelo autorizados quando for necessário e quantas vezes eles quiserem. Para tornar mais fácil o entendi- mento,pense que, por exemplo, em uma troca de email você quer enviar uma mensagem para 10 amigos. Após digitar a mensagem e endereçar seus 10 amigos você também adiciona um recurso de segurança que garante Disponibilidade de informação, mas não precisamos saber quais são esses recursos neste momento. Ao cli- car em enviar, todos os destinatários e você criador terão acesso a essa informação, sem que sejam privados de acessá-la. Mas, Cuidado! Pois o princípio da Disponibilidade não ga- rante que todas as pessoas do mundo deverão ter acesso a uma informação criada, garante que as pessoas envolvidas, os autori- zados, terão acesso as informações criadas. 1.1.2 Princípio da Integridade Integridade, em termos técnicos, é o princípio responsável por garantir que a informação recebida esteja com a mesma for- ma da informação criada, ou seja, esse princípio da segurança da informação garante que a informação original não será modifica, alterada, durante o processo de envio e comunicação. Em termos mais simples podemos dizer que a propriedade da Integridade é aplicada em uma informação para garantir que essa não será manipulada por pessoas não autorizadas, como, por exemplo, um terceiro não autorizando quando interceptar uma mensagem durante o processo de comunicação. Para tornar mais fácil o entendimento, pense que, por exemplo, em uma troca de email você quer enviar uma mensagem de agradecimento para o Evandro Guedes. Então, após digitar a mensagem e endereçá- -la você também adiciona um recurso de segurança que garante a Integridade da informação na comunicação, mas não precisa- mos saber quais são esses recursos neste momento. Ao finalizar a mensagem o recurso de segurança utilizado para estabelecer In- tegridade vai garantir que o destinatário, Evandro Guedes, receba exatamente aquilo que você enviou, sem qualquer tipo de altera- ção na informação original. A banca pode afirmar corretamente que para manter todas as características originais da informação estabelecida pelo pro- prietário, podemos utilizar o código Hash. Que é uma das princi- pais ferramentas utilizadas na garantia da Integridade da comuni- cação. Vejamos agora as principais características do código Hash. 1.1.2.1 HASH A tradução do termo Hash, em Inglês, para o Português é Resumo ou Picar. A função Hash ou Código Hash é uma ferramenta não física, ou seja, virtual, utilizada para estabelecimento de Inte- gridade em um processo de comunicação. Seu funcionamento é muito simples, pois essa ferramen- ta irá gerar um pequeno resumo da informação original, códigos da informação original, e enviará esse resumo juntamente com o conteúdo original, a informação. Após o destinatário receber essas informações, o Hash e a informação original, automaticamente o sistema utilizado pelo destinatário irá comparar o resumo recebi- do com o resumo gerado pelo criador da informação e constatan- do a integridade nesse resumo, no código, a informação original será aberta sem problemas, pois fora estabelecida Integridade na comunicação. Caso o resumo enviado não coincida com aquele criado, a informação será reenviada para que em outro momento seja estabelecida a Integridade na comunicação. Em termos mais simples, podemos dizer que a função Hash é utilizada para gerar um pequeno código da mensagem original que será enviada ao receptor. Após a informação original ser en- viada para o destinatário esse código Hash gerado também será enviado e antes do destino abrir a mensagem original recebida o código Hash enviado para ele irá fazer uma comparação com o código criado pelo emissor. Se os códigos forem igual então a in- formação poderá ser aberta corretamente, caso contrário a infor- mação será reenviada para o destinatário até que os códigos Hash sejam idênticos para garantia de Integridade. Observe a imagem abaixo que ilustra, basicamente, um processo de comunicação com a utilização da função Hash. Comunicação com utilização de função Hash 6 INFORMÁTICA Na imagem anterior podemos observar que “A” está en- viando um email para “B” e esse email contém a utilização da fun- ção HASH. Foi gerado um código HASH da mensagem original e tudo foi enviado para “B”, que após receber o email comparou o Hash recebido com o Hash enviado, para poder abrir a mensagem original. Nesse exemplo, caso um terceiro mal-intencionado inter- cepte a mensagem para alterar seu conteúdo, o Hash será automa- ticamente modificado no meio do caminho e o Hash recebido será diferente do Hash original, que não contribui para a constatação da Integridade na comunicação. Com o princípio da Integridade podemos assegurar basica- mente outras duas propriedades da Segurança da Informação, a Confiabilidade e a Conformidade, ou seja, pelo fato da Integridade existir podemos dizer que ela gera dois atributos derivados. Geral- mente a banca tenta confundir o candidato em questões trocando os princípios da Confiabilidade e Conformidade com o princípio da Confidencialidade, que veremos a seguir, e, como visto anterior- mente, Confiabilidade e Conformidade são princípios derivados da Integridade, já a Confidencialidade é um a outra propriedade totalmente diferente na segurança da informação. Se uma ferra- menta da segurança da informação garante Integridade na comu- nicação podemos dizer que ela também garante Confiabilidade e Conformidade, pois são atributos pertencentes a Integridade. 1.1.3 Confiabilidade Como o próprio nome descreve sua característica, o atribu- to, propriedade, princípio, da Confiabilidade garante que a infor- mação é confiável para ser enviada, recebida, utilizada. Cuidado, confiabilidade não é princípio da Veracidade, informação verda- deira, pois uma informação confiável nem sempre está relaciona- da com a necessidade de que a informação precisa ser verdadeira. Por exemplo, uma música que está sendo enviada por email com uso da função Hash e que após ser recebida verifica-se que é a mesma coisa enviada e não que a música é verdadeira. Identificamos esse atributo da Segurança da Informação geralmente na Certificação Digital, quando, por exemplo, quere- mos assegurar a Confiabilidade da informação de um site que usa a Certificação de Segurança. 1.1.4 Conformidade O nome também já é autoexplicativo. Conformidade signifi- ca que a informação de uma das partes dos interessados está com a mesma forma da original. Basicamente igual ao princípio da Con- fiabilidade da informação. Obs. 02: devemos ter um cuidado em relação ao princípio da Integridade, pois se a banca falar que a Integridade garante que uma informação assim registrada nunca poderá ser alterada o item estará errado. Pois existem momentos em que a informação pode ser alterada sem problema, como, por exemplo, logo após a criação da mensagem e antes do envio a informação precisa ser alterada por uma pessoa confiável e autorizada ou também após o recebimento e constatação da integridade o receptor, pessoa au- torizada, poderá alterar a informação sem problemas, sem ferir o princípio da Integridade da informação. 1.2 Princípio da Confidencialidade Confidencialidade, em termos técnicos, é o princípio res- ponsável por garantir sigilo na informação entre os envolvidos no processo de comunicação. Os envolvidos nesse processo de comunicação é o próprio criador da informação e um ou mais des- tinatários da informação, que foram autorizados pelo criador em algum momento. Em termos mais simples, podemos dizer que esse atributo da segurança da informação visa limitar o acesso a uma infor- mação, apenas entre o proprietário da informação, o criador da mensagem, e os envolvidos autorizados por ele, que pode ser um ou mais destinatário. Caso um terceiro mal-intencionado, uma pessoa que não está autorizada a receber a informação, capture a mensagem no meio do processo de comunicação, esse terceiro não será capaz de extrair algum conteúdo inteligível da mensagem original, devido aos procedimentos de segurança que são manti- dos no princípio da Confidencialidade.Ou seja, se a informação for interceptada por alguém não autorizado, o terceiro não autorizado não consegue compreender a mensagem, pois ela foi, basicamen- te, “travestida” em códigos ou para uma linguagem que se tornou incompreensível por ele. Nesse momento do material não é preciso conhecermos quais são as ferramentas existente que são utilizadas para garantia da Confidencialidade na comunicação, sendo que essa informação veremos em outra oportunidade, para não confundir o aluno. Observe a imagem abaixo que representa, basicamente, um processo de comunicação com adoção do princípio da Confiden- cialidade. Comunicação com utilização do princípio da Confidencialidade. Na imagem anterior podemos observar que “A” está en- viando um email para “B” e esse email contém o princípio da Confidencialidade e fora gerado um processo de mascaramento da informação original que pode ser compreendida apenas por “A” e “B”, nesse exemplo. O terceiro mal-intencionado que inter- ceptou a informação não foi capaz de compreender a mensagem mascarada, por isso, fora estabelecido a confidencialidade na comunicação. Um cuidado que devemos tomar é que o princípio da Confidencialidade não impede que uma informação seja inter- ceptada, mas impede que ela seja compreendida por alguém não autorizado que interceptou essa informação. Por fim, reforço apenas que devemos ter cuidado ao resol- ver questões, pois a banca geralmente troca o termo Confiden- cialidade por Confiabilidade ou Conformidade, sendo esses dois últimos atributos derivado da Integridade. Os 3 princípios são propriedades que garantem a Segurança da Informação, mas com características diferentes. 7 INFORMÁTICA 1.2.1 Princípio da Autenticidade Autenticidade, em termos técnicos, é o princípio responsável por garantir que a informação é proveniente da fonte ou das fontes enunciadas. Isso quer dizer que esse princípio garante que as infor- mações recebidas são realmente do proprietário informado na in- formação e que também essa mensagem, por exemplo, não sofreu alterações durante a sua transmissão. Esse é um dos princípios que a banca mais gosta de apresentar os sinônimos da palavra, como, por exemplo, Fidelidade, Efetividade e Genuinidade. Em termos mais simples, podemos dizer que esse atributo da segurança da informação visa garantir o real criador da infor- mação, ou seja, comprovar a identidade de uma pessoa que envia uma mensagem, sendo que ele não poderá se passar por uma ou- tra pessoa ou por outra empresa durante esse processo. Pois os mecanismos da segurança da informação utilizados para garantia da Autenticidade exigem a identificação real e precisa do criador da mensagem, como, por exemplo, assinar digitalmente um docu- mento, onde somente uma pessoa no mundo é portadora de uma exclusiva chave de assinatura, sendo impossível se passar por ou- tra pessoa ou empresa. Analise a imagem abaixo que ilustra, de forma simples, um processo de comunicação onde é exigido a Autenticidade da in- formação. Comunicação com utilização do princípio da Autenticidade. Na imagem acima podemos observar o exemplo em que “A” criou uma mensagem, assinou o documento com suas cifras exclu- sivas e enviou para B, garantindo assim a autenticidade na comuni- cação. Observe ainda que no meio do processo de envio um terceiro mal-intencionado interceptou a informação para alterá-la, com a in- tenção de que a informação recebida por “B” fosse diferente da en- viada por “A”, ou seja mensagem alterada no meio do caminho. Mas para que o terceiro interceptador realiza as alterações ele precisa se identificar no final da alteração, pois nas informações, mensagens, que são atribuídas Autenticidade são exigidas identificação na alte- ração da informação original. Se o terceiro mal-intencionado fizer a sua identificação na alteração, então o “B” após receber a mensa- gem saberá que a informação não é autentica de “A”, pois veio assi- nada pelo terceiro e não por “A”. Devemos ter cuidado na interpretação da questão, pois a Autenticidade não impede que uma informação enviada seja interceptada, mas impede que ela seja reescrita ou alterada por alguém não autorizado sem a devida identificação da pessoa que a alterou ou sem qualquer forma de reconhecimento sobre essa alteração na informação original. Com o princípio da Autenticidade podemos assegurar ba- sicamente outra propriedade da Segurança da Informação, o Não-Repúdio, ou seja, pelo fato da Autenticidade existir podemos dizer que ela gera outro atributo derivado. Se uma ferramenta da segurança da informação garante Autenticidade de comunicação podemos dizer que ela também garante o não repudio, pois esse é um atributo pertencente a Autenticidade. 1.2.2 Não-Repúdio O Não-Repúdio também pode aparecer pelos sinônimos de Irretratabilidade ou Irrefutabilidade, principalmente em questões da banca examinadora CESPE/UNB. A palavra repúdio significa rejeitar ou repelir alguma coisa ou alguma informação, já o Não- -Repúdio significa a não possibilidade de rejeitar ou repelir algu- ma coisa ou alguma informação. Para melhor compreendermos o Não-Repúdio imagine que, por exemplo, após você assinar um documento com a sua assinatura digital, que é única e exclusiva, alguém tenha lhe processado judicialmente por danos morais de- vido a afirmações falsas que você incluiu nessa mensagem. Você não poderá negar a autoria do documento e da assinatura, pois você seria a única pessoa no mundo que tem a posse dessa assi- natura digital. Nesse exemplo, você se torna totalmente responsá- vel por atos cometidos e que foram assinados por sua assinatura, mesmo que não tenha sido você, não será possível negar a autoria e o uso da assinatura, pois o não-repudio garante, na Segurança da Informação, a impossibilidade de negar a autoria ou de negar a manipulação da informação. No exemplo anterior você até poderá utilizar de outros meios legais para provar que não foi você verdadeiro criador da mensagem, mas ainda assim não será possível negar o uso da sua assinatura naquele documento. 8 INFORMÁTICA 1. CRIPTOGRAFIAS O termo criptografia é utilizado para descrever, basicamen- te, uma técnica de embaralhamento das informações originais, sendo que a criptografia pode ser utilizada através de várias téc- nicas, desde uma alteração pequenas as informações de um texto, até mesmo reescrevê-lo completamente utilizando meio de crip- tografia. Observe a imagem abaixo que representa basicamente a técnica de criptográfica. Palavra ALFACON criptografada. Na imagem anterior podemos observar que na parte su- perior temos uma palavra criptografada e logo a baixo a palavra original. Nesse tipo de criptografia simples, as letras do alfabeto que são vogais são substituídas pela letra K com um traço em ci- ma da letra para identifica-la como letra A (um traço), letra E (dois traços), letra I (três traços), e assim sucessivamente. Já as letras do alfabeto que são consoantes, B, C, D, F, G, são invertidas hori- zontalmente. Logicamente que a imagem anterior apresenta uma técnica simples de criptografia, diferentemente das técnicas em- pregadas pelos computadores atuais, mas a imagem serve ape- nas como meio de compreensão do que venha a ser a técnica de criptografia. A criptografia não é uma técnica exclusiva da Informática, como muitas vezes são apontadas pelas bancas. Pois bem antes da criação dos computadores já existiam técnicas para cifragem e decifragem de informações secretas, para que outras pessoas não autorizadas na informação não compreendessem o conteúdo da mensagem. Por exemplo, na primeira guerra mundial, os países aliados se comunicavam através de mensagens escritas em docu- mentos físicos, pois não existiam computadores hábeis para isso na época. Esses documentos físicos eram repletos de táticas de guerra e não poderiam ser compreendidos pelos inimigos, caso fossem capturados ou interceptados. Por isso essas informações de guerra eram escritas em códigos secretos, para queos inimigos não compreendessem as informações quando interceptadas e so- mente o criador da informação e o destinatário seriam capazes de compreender o conteúdo da informação. A técnica de Criptografia também pode ser chamada de ci- fração, encriptação, codificação, criptação, entre outros termos, e na Informática é considerada uma técnica utilizada para transfor- mar uma mensagem original em códigos secretos a partir de uma chave criptográfica, que são basicamente códigos criptográficos que funcionam iguais a regra original de criptografia. Essa técnica auxilia na segurança da informação contra o ataque a informações por terceiros não autorizados, pois seria muito difícil descobrir o conteúdo da informação sem possuir um meio de descriptografar a mensagem. Na informática, existem ferramentas, programas, que criptografam uma informação quando solicitada pelo usuário, não necessariamente o próprio criador da mensagem, mas como também alguém interessado em oferecer um grau de sigilo nessa informação. Essas ferramentas que são utilizadas para criptogra- far utilizam, basicamente, dois tipos de criptografia, a criptografia de chave simétrica e a criptografia de chave assimétrica. Vejamos agora, separadamente, o conceito e as regras de funcionamento sobre cada um desses tipos de criptografia, a criptografia simétri- ca e a criptografia assimétrica, respectivamente. 1.1 Criptografia de Chave Simétrica Criptografia de chave simétrica também pode ser relacio- nada em questões de prova pelos termos Criptografia de Chave Única ou Criptografia De Chave Restrita (privada), principalmente em relação a banca organizadora CESPE/UNB. Esses sinônimos da criptografia de chave simétrica são basicamente características desse tipo de criptográfica, como veremos a seguir. A principal característica sobre simetria de chave é que essa técnica utiliza uma única chave para criar uma informação crip- tografada e para abrir a informação que fora criptografada, por isso o sinónimo Criptografia de Chave Única. Em outras palavras, podemos dizer que simetria de chave utiliza a mesma chave tanto para cifrar quanto para decifrar um documento. Analisando o conceito simétrico de criptografia, sobre a se- gurança, se você usuário possui uma chave criptográfica que pode abrir todas as mensagens que você cifrou simetricamente, não é uma boa política de segurança você disponibilizar essa chave pu- blicamente, pois não seria estabelecido Confidencialidade, segre- do, nessa comunicação, que é uma das principais características da técnica de criptografia. Por isso podemos dizer que a simetria de chaves utiliza uma chave restrita, chave privada ou chave parti- cular, e não chave pública como muitas vezes é apresentado, erro- neamente, em questões de prova. Abaixo, uma imagem simples que representa um processo de comunicação com a utilização da técnica de criptografia simé- trica. Representação da utilização de criptografia simétrica, chave única. Na imagem anterior podemos observar um processo de comunicação entre “A” e “B” utilizando o conceito de simetria de chaves, chave única. “A” é o responsável por criar a mensagem, cifrar e enviar para “B”, utilizando sua chave restrita, ou seja, a cha- ve particular e “A”. Já o destinatário, “B”, para conseguir abrir a informação enviada por “A” deverá possuir a mesma chave parti- cular de “A”, mas que não pode ser disponibilizada publicamente. Então, para que “B” consiga abrir a informação “A” deverá ir até 9 INFORMÁTICA “B” para abrir a mensagem ou “A” deverá confiar cegamente em “B”, emprestando a ele sua chave particular, sendo essa técnica desaconselhada na segurança da informação. Se um terceiro, não autorizado, interceptar a informação ele será incapaz de verificar o conteúdo da informação, pois desconhece a criptografia utilizada e também não possui a chave necessária para que possa ser aber- ta essa informação. O exemplo anterior se torna basicamente inviável com o uso de técnica simétrica de chave, mas nem por isso podemos dizer que essa técnica não é boa o suficiente ou que ela é pior que a crip- tografia de chave assimétrica. Uma situação onde a criptografia de chave simétrica seria muito boa é, por exemplo, em uma em- presa onde um dos sócios proprietário responsável pelo setor do financeiro criptografa as informações da empresa simetricamente, chave única, e enviar para o outro sócio proprietário, onde tanto um quanto outro são pessoas confiáveis suficiente para usar essa chave criptográfica na empresa e abrir a informação. Nesse caso também não podemos afirmar que simetria de chave seria melhor que a criptografia de chave assimétrica. Uma informação mais aprofundada no conteúdo sobre si- metria de chave é em relação aos métodos de encriptação de men- sagens, onde podemos citar o uso de algoritmos, que são, basica- mente, as técnicas, regras, de criação dos códigos criptográficos. Simetricamente falando, são utilizados algoritmos mais simples, como, por exemplo, AES, RC, DES, CAST, Blowfish, Twofish. Não precisamos entender a forma de aplicação dos algoritmos ou os meios de operação, apenas saber quais são os tipos de algoritmos utilizados em criptografia simétrica. Como já visto anteriormente, não podemos afirmar qual é o melhor procedimento criptográfico a ser adotado, se é a cripto- grafia de chave simétrica ou a criptografia de chave assimétrica. O que podemos afirmar é que os processos de encriptação e decrip- tação da simetria de chave são mais rápido do que a Criptografia Assimétrica, lembrando que desempenho não é necessariamente qualidade e sim velocidade. Na criptografia de chave simétrica podemos dizer que uma das únicas garantias de princípio que temos é a do princípio da Con- fidencialidade, pois a informação estará visível apenas ao detentor da chave e as pessoas por ele autorizadas, que é chave única. 1.2 Criptografia de Chave Assimétrica Criptografia de chave assimétrica também pode ser rela- cionada em questões de prova pelo termo Criptografia de Chave pública, principalmente em relação a banca organizadora CESPE/ UNB. Esse sinônimo criptografia de chave pública é basicamente uma das características do tipo de criptográfico assimétrico. A principal característica sobre assimetria de chaves é que essa técnica utiliza um par de chaves criptográficas, duas chaves distintas, sendo que uma dela é utilizada para criar uma informa- ção criptografada e a outra chave, correspondente ao par, é uti- lizada para abrir a informação que fora criptografada. Em outras palavras, podemos dizer que assimetria de chave utiliza chaves distintas para cifrar e decifrar um documento. Diferentemente de criptografia simétrica, onde uma única chave é suficiente para rea- lização dos dois processos. Quando um usuário ou empresa adquire um par te chaves criptográficas, será entregue uma chave Pública e outra Chave pri- vada, ou seja, um par de chaves. Analisando o conceito assimétrico de criptografia, sobre a segurança, se você usuário possui um par de chave criptográficas é aconselhado que você distribua a cha- ve pública para todos os seus contatos e a privada seja mantida em segredo, pois a chave privada é intransferível. Cada chave terá uma função específica e individual, isso quer dizer que uma chave não poderá ser utilizada para realizar a função da outra. Abaixo, uma imagem simples que representa um processo de comunicação com a utilização da técnica de criptografia assi- métrica. Representação da utilização de criptografia assimétrica, par de chaves. Na imagem anterior podemos observar um processo de comunicação entre “A” e “B” utilizando o conceito de assimetria de chaves, par de chaves. “A” é o responsável por criar a mensa- gem, cifrar e enviar para “B”, utilizando a chave pública de “B”, ou seja, chave pública do destinatário. Já o destinatário, “B”, pa- ra conseguir abrir a informação enviada por “A” deverá utilizar o par de chaves correspondente, que seria chave privada de “B”,ou seja, sua chave privada. Se um terceiro elemento interceptar a in- formação ele será incapaz de verificar o conteúdo da informação ou resolver a criptografia se não tiver a chave privada de “B”, pois mesmo que ele tenha a chave pública de “B” será impossível abrir a informação criptografada, pois uma mensagem criptografada com chave pública só será aberta com chave privada e vice-versa. O exemplo anterior se torna bastante viável com o uso de técnica assimétrica de chaves, mas nem por isso podemos dizer que essa técnica é a melhor que existe ou que ela é melhor que a criptografia de chave simétrica. Uma informação mais aprofundada no conteúdo sobre as- simetria de chaves é em relação aos métodos de encriptação de mensagens, onde podemos citar o uso de algoritmos, que são, ba- sicamente, as técnicas, regras, de criação dos códigos criptográ- ficos. Assimetricamente falando, são utilizados algoritmos mais robustos, em comparação com a simetria de chaves, como, por exemplo, RSA, ElGamal, Curvas Elípticas, DSA, SSH (protocolo). Não precisamos entender a forma de aplicação dos algoritmos ou os meios de operação, apenas saber quais são os tipos de algorit- mos utilizados em criptografia assimétrica. Como já visto anteriormente, não podemos afirmar qual é o melhor procedimento criptográfico a ser adotado, se é a criptografia de chave simétrica ou a criptografia de chave assimétrica. O que po- demos afirmar é que os processos de encriptação e decriptação da assimetria de chaves são mais lentos do que a Criptografia Simétrica, 10 INFORMÁTICA lembrando que desempenho não é necessariamente qualidade e sim velocidade. Esse pior desempenho da criptografia assimétrica está relacionado a utilização do par de chaves e aos algoritmos, visto que criptografia assimétrica utiliza cifras maiores que a criptografia simétrica pois os algoritmos são mais robustos, como visto anterior- mente. Em ouras palavras, podemos dizer que as senhas utilizadas na criptografia assimétrica são maiores que na simétrica, por isso que o processo de codificação e descodificação de uma mensagem são mais demorados, porque além de termos as cifras maiores te- mos duas chaves distintas para o procedimento. Na criptografia de chave assimétrica podemos dizer que os princípios atribuídos a essa técnica são o Confidencialidade, Integridade da informação, inclusos as propriedades de Confia- bilidade e Conformidade e a Autenticidade, também incluindo a propriedade do Não-Repúdio. 2. CERTIFICAÇÃO DIGITAL A técnica de certificação digital pode ser utilizada por pes- soas físicas e por pessoas jurídicas para atestar a autenticidade em uma comunicação, além de oferecer outros princípios de seguran- ça com o uso dessa técnica. A certificação digital é utilizada, por exemplo, na comunica- ção de uma empresa com os seus fornecedores; pelos advogados para acessar sistemas judiciais particulares e restritos; e também em sítios web quando uma empresa ou organização deseja atestar o conteúdo da página apresentado, por exemplo. Para que essa técnica se torne segura é utilizado um certificado digital que ofere- ce vários mecanismos de segurança, conforme veremos a seguir. 2.1 CERTIFICADO DIGITAL Certificado Digital é considerado uma das ferramentas exis- tentes que pode ser utilizada para assegurar a identificação ele- trônica, tanto de um usuário comum ou também de uma empresa, depende de quem utiliza o certificado. As questões também po- dem relacionar os certificados digitais como uma técnica utilizada por usuários para estabelecer segurança sobre os dados e infor- mações que trafegam pela Rede. Os certificados digitais utilizam o mesmo funcionamento de assimetria de chaves, ou seja, após adquirir um certificado digital o usuário comum ou empresa estará recebendo um par de chaves criptográficas, uma chave pública e uma chave privada. Sendo que cada chave é responsável por realizar uma ação em específico, co- mo no mesmo conceito de assimetria de chaves. Podemos considerar que o certificado digital é um arquivo de computador, ou seja, ele existe, não fisicamente, mas interna- mente no computador. É como se fosse uma música, um vídeo, uma imagem, e muitas vezes esse arquivo é armazenado dentro de um pen drive ou dentro de um smart card, por exemplo, para ser utilizada durante os procedimentos de certificação digital, mas cuidado, pois também podemos ter certificados digitais em um si- tio web. Abaixo, segue uma imagem que exibe essas informações já apresentadas sobre um arquivo de certificado digital dentro de smart card, pen drive e um arquivo de certificado digital. Smart card com certificado interno, pen drive com certificado interno e um arquivo de certificado digital, respectivamente. (Fonte: https://arquivei.com.br/central/ver/ certificado-digital) Um arquivo de certificado digital possui várias informações internas que identificam seu proprietário e a empresa emissora, que são utilizadas para verificar a veracidade e a confiabilidade de certificado digital. As informações presentes internamente a um arquivo de certificado digital são, basicamente: a chave pública do proprietário do certificado, sendo que a privada permanece com o proprietário do certificado digital; a assinatura digital da autori- dade certificadora que emitiu o certificado, que serve como forma de autenticar que o certificado digital é confiável para ser aceito; as informações particulares do proprietário do certificado, como nome, RG, razão social, CNPJ, endereço; a data de validade de uso desse certificado digital; além de outas informações que não pre- cisamos saber nesse momento. Abaixo, segue uma imagem do certificado digital do Alfa- Con que podemos encontrar no site oficial, contendo algumas des- sas informações mencionadas anteriormente. 11 INFORMÁTICA Certificado digital do AlfaCon. (Fonte: https://alfaconcursos.com.br/) A técnica de usar um Certificação Digital é utilizada para comprovar a identidade de uma pessoa, empresa ou sites, ga- rantindo assim o princípio da Autenticidade, consequentemente o Não-Repúdio, e evitam que as informações atestadas por esse certificado sofram mudanças durante as transações eletrônicas, garantindo assim a Integridade da informação, consequentemen- te os princípios da Confiabilidade e Conformidade. Para melhor compreendermos o funcionamento de um certificado, imagine que, por exemplo, ao acessar o site https:// alfaconcursos.com.br, você não tem a certeza de que o site é realmente confiável, site original do AlfaCon, ou se as infor- mações apresentadas no site são verdadeiramente as mes- mas informações que o administrado da página do AlfaCon postou nos servidores do site. Para atestar a autenticidade do site e a integridade das informações e dos dados apresen- tados no site podemos usar o certificado digital do AlfaCon que está disponível no site. Para isso basta clica sobre a opção , que está presente no campo da URL do site e clicar em validar certificado. Após isso será apresentado o certificado do site do Al- faCon, como na imagem “Certificado digital do AlfaCon. (Fonte: https://alfaconcursos.com.br)”. A imagem abaixo apresenta, ba- sicamente, um processo de validade de um certificado digital em um site. Método de verificação de um certificado digital de um site. Após o usuário clicar na opção de validação de um certifi- cado, como visto no parágrafo anterior, o usuário utilizará a chave pública do proprietário do certificado, que no caso do exemplo da imagem é a chave pública AlfaCon, para averiguar se as infor- mações apresentadas são realmente do AlfaCon e se não foram modificadas por algum malfeitor da Informática. A única chave no mundo que poderá receber essa requisição de verificação de chave pública é o par correspondente, a chave privada do AlfaCon, que está no servidor do site, ou seja, na empresa AlfaCon e não com possíveis Crackers ou Hackers. Após isso será validado o cer- tificado e então estabelecido que a informaçãoé realmente do Al- faCon, ou seja, garantia dos princípios da Autenticidade do criador da informação e da Integridade dos dados disponibilizados. Realmente podemos confiar em informações atestadas por um certificado digital, pois para validar as informações do certifi- cado uma autoridade certificado é necessária, uma empresa séria e bem vista pela população em solo nacional, como veremos a seguir. 2.1.1 Autoridade Certificadora Raiz - ACR A única Autoridade Certificadora Raiz existente é, necessa- riamente, o ITI-Brasil, sigla utilizada para descrever o Instituto de Tecnologia da Informação do Brasil, que é uma instituição nacio- nal que controla todos os recursos sobre os certificados digitais no Brasil e também garante a legalidade de todas as outras Autorida- des Certificadoras existentes. O ITI-Brasil ora pode ser apresentado pelo nome ICP-Brasil, que é a sigla utilizada para descrever o Instituto de Chaves Públi- cas do Brasil, já que um certificado digital utiliza o conceito de crip- tográfica de chave pública, ou seja, assimétrica de chaves. Cuidado, existe apenas uma ACR no Brasil, pois a escala de relação é considerada em desmembramento de raiz única e não em raízes múltiplas, como muitas vezes é apresentado pelas ban- cas em provas de concurso. Escala de hierarquia em relação as autoridades envolvidas na técnica de certifica- ção digital. (Fonte: https://cartilha.cert.br/criptografia) 12 INFORMÁTICA 2.1.1.1 Autoridade Certificadora - AC O certificado digital pode ser emitido tanto para pessoas físicas, cidadão comum, quanto para pessoas jurídicas, empresas, órgãos, e sua emissão é feita por uma Autoridade Certificadora, representado pela sigla AC. A Autoridade Certificadora é con- siderada uma entidade confiável no pais, como, por exemplo, o SERPRO, SERASA, CORREIOS, CAIXA, ou seja, são empresas au- torizadas pela Autoridade Certificadora Raiz para operarem como emissoras e controladoras de certificados digitais em território na- cional, já que a única Autoridade Certificado Raiz não pode emitir os certificados no pais. Quando um Certificado Digital é emitido o usuário receberá um par de chaves criptográficas, uma chave pública e outra pri- vada, mas a chave que permanece visível no certificado é a cha- ve pública do usuário que adquiriu o certificado. Cabe também à Autoridade Certificadora, além de gerar os certificados digitais, assiná-los frente aos órgãos controladores, entregá-los aos soli- citantes, as Autoridades de Registro como veremos a seguir, reco- nhecê-los como verdadeiros quando solicitado e também manter as informações presentes no certificado atualizadas durante seu período de validade e operação. Quando um certificado está sendo utilizado para outro pro- pósito além do que fora solicitado para a emissão ou está sendo utilizado para cometer atos ilícitos na rede de computadores, en- tão a autoridade certificadora que emitiu o certificado poderá in- cluir esse certificado na lista de certificados revogados - LCR, antes mesmo da validade do certificado expirar. 2.1.2 Autoridade de Registro - AR A Autoridade de Registro, representado pela sigla AR, ou Autoridade Registradora, é considerada uma entidade interme- diária entre o usuário e a Autoridade Certificadora (AC), durante a aquisição de um Certificado Digital. Funciona basicamente em uma relação de hierarquia, pois quando o usuário final deseja adquirir um certificado, ele irá pe- dir emissão desse certificado para uma Autoridade Registradora (AR), que fará a solicitação de emissão do certificado para a Au- toridade Certificadora (AC). Logicamente que essa é a regra de funcionamento básico e isso devemos seguir para respondermos as questões de provas. Mas, hoje em dia algumas Autoridades Cer- tificadoras, AC, também atuam como Autoridades Registradoras, AR, ao mesmo tempo, evitando perca de tempo e processos de- morados na emissão de um certificado digital. Cabe as Autoridades de Registro além de solicitar a emissão do certificado, receber o certificado quando estiver pronto, vali- dá-lo, entregar o certificado para o usuário que pediu a emissão e também à revogação dos certificados digitais quando necessário ou solicitado pelo usuário, o proprietário do certificado digital. 2.2 CERTIFICADO AUTO ASSINADO Um certificado auto assinado, basicamente, não contém a Assinatura Digital de uma Autoridade Certificadora confiável, como, por exemplo, CORREIOS, CAIXA ECONÔMICA FEDERAL, SERASA. O certificado auto assinado ainda assim possui a cha- ve pública do proprietário do certificado, as suas informações particulares de identificação do proprietário, data de validade do certificado digital e também uma a assinatura digital, mas não da Autoridade Certificadora e sim do próprio proprietário do certifi- cado, como mencionado anteriormente. Os certificados auto assinados também possuem uma cha- ve privada associada a chave pública que está dentro do certifi- cado, no entanto, ao pedir a autenticidade do certificado ele não verifica a origem e a legalidade do certificado por meio de uma Autoridade Certificadora confiável, pois não existe uma autorida- de certificadora atestando essas informações. Quando solicitado a um site, por exemplo, para fazer a verificação de autenticidade de um certificado auto assinado ele faz a verificação de legalidade com o próprio criador do certificado, ou seja, o dono do certificado e não por uma autoridade certificadora, não podendo estabelecer princípios de segurança em certificados auto assinados. 2.2.1 Certificado EV O Certificado EV pode ser considerado um dos certificados mais seguros na cadeia de certificados digitais, pois oferece o má- ximo de segurança possível para a sua utilização. Isso acontece por conta da criptografia utilizada na verificação dos mecanismos de segurança e do processo de validação Extended Validation – EV, que é a validação estendida de informações mais seguras até a da- ta da emissão desse material. Para representar esse nível de segurança, o Certificado EV ativam a cor verde e também com um desenho de um cadeado nos navegadores mais recentes, transmitindo mais confiança e tran- quilidade para quem navega em sítios da Internet. Por exemplo, ao acessar o site www.alfaconcurso.com.br podemos observar no canto esquerda da URL do endereço do site a autenticação de um certificado EV, como segue o exemplo na imagem abaixo, retirada do site do AlfaCon. Certificado do AlfaCon com registro EV. 3. ASSINATURA DIGITAL A assinatura digital é umas das técnicas da segurança da in- formação utilizadas quando um usuário simples ou empresa pre- cisa enviar uma informação de forma segura, mas não necessa- riamente sigilosa entre as partes, garantindo valor jurídico nessa transação eletrônica e também garantindo que ele é o responsável pela informação enviada, ou seja, precisa garantir a autenticidade da criação e emissão da informação. Para que aconteça o processo de Assinatura Digital o cria- dor da mensagem, que deseja assinar digitalmente um documen- to, deverá possuir um par de chaves criptográficas, ou seja, deverá possui uma assimetria de chaves, que são duas chaves criptográfi- cas, uma chave pública e outra chave privada. Comparando a assinatura digital com a assinatura física, rubrica, cada pessoa possui uma assinatura única e diferente de todas as outras, para identificar o assinante da mensagem, pois quando for necessária uma análise na assinatura do documen- to isso poderá comprovar a autenticidade da informação. O que 13 INFORMÁTICA acontece também na assinatura digital, pois será utilizada uma chave única de identificação do usuário, chave privada, para assi- nar digitalmente um documento, por exemplo, e quando necessá- rio será comprovada a autenticidade do assinante da mensagem. Observe a imagem abaixo que representa um esquema bá- sico de comunicação com assinatura digital de um documento. Esquema de comunicação com utilização da técnica de assinatura digital. Para assinardigitalmente um documento é necessário que o criador da informação utilize uma das chaves para isso, mas a chave que ele deve utilizar deverá ser a chave que o identifique co- mo único e que diferencie o assinante de todos os outros usuários de computadores. Em outras palavras, o usuário que deseja assi- nar digitalmente uma mensagem deverá usar a sua chave privada, a chave restrita que somente el e tem acesso, para adicionar a sua assinatura no documento e consequentemente diferenciá-lo de todos os outros usuários de computares. Se o usuário utilizar sua chave privada para assinar um documento, somente as pessoas que tiverem a chave, que é o par correspondente da chave privada, poderão abrir a mensagem, ou seja, aquelas pessoas que tiverem a chave pública do assinante da informação. Nessa técnica de segurança da informação não é possível garantir a Confidencialidade na comunicação, pois qualquer pes- soa que possuir a chave pública correspondente ao par da chave privada do assinante da mensagem poderá acessar essa informa- ção. Mas em contrapartida podemos garantir Autenticidade na comunicação, pois somente uma pessoa pode usar sua chave pri- vada para assinar uma mensagem, gerando consequentemente o Não-Repúdio. E também é possível garantir a Integridade, pois a informação só poderá ser alterada por quem tiver a chave privada, ou seja, o próprio assinante da mensagem. Outro ponto muito importante é que não será possível al- terar livremente uma mensagem que foi assinada digitalmente, como mencionado anteriormente, pois somente o criador da men- sagem, quem a assinou com a chave privada, é quem poderá rea- lizar as ações de alterações. Visto que, após um documento ser as- sinado digitalmente, as alterações feitas naquele documento irão solicitar uma nova assinatura digital, e se um terceiro, mal-inten- cionado, realizar alterações na mensagem para prejudicar quem primeiro assinou o documento, não terá êxito em suas ações, pois o documento irá solicitar uma nova assinatura de reconhecimento, para garantir a autenticidade. 3.1 ASSINATURA DIGITALIZADA Um cuidado que devemos tomar são em possível compa- rações que a banca poderá fazer entre Assinatura Digital e Assi- natura Digitalizada. Assinatura digitalizada é, basicamente, uma assinatura física, rubrica, que fora escaneada para o computador e que posteriormente poderá ser utilizada em documentos, etc. Isso não quer dizer que Assinatura Digitalizada é uma Assinatu- ra Digital, pois Assinatura Digital são códigos, senhas, utilizados no computador de forma não física, ou seja, são controles lógicos para autenticação de uma informação e não uma rubrica que fora transferida para o computador. Um grande exemplo de assinatura digitalizada é a rubrica do professor Evandro Guedes que acompanha imagens com suas fra- ses motivacionais, as quais podemos encontrar espalhadas pela In- ternet. Segue abaixo uma imagem que exemplifica a assinatura di- gitalizada do Evandro Guedes em uma de suas frases motivacionais. Frase motivacional de Evandro Guedes representando uma assinatura digitalizada. 3.2 ASSINATURA CEGA Assinatura cega é quando uma pessoa ou empresa, porta- dora de um par de chaves, assina digitalmente uma informação ou documento sem o criador conhecer propriamente o conteúdo da- quela mensagem, mas isso não o isentará das responsabilidades atribuídas daquela assinatura que fora empregada no documento, tanto assinatura digital quanto assinatura digitalizada. Para melhor compreendermos essas informações imagine que, por exemplo, um delegado de Polícia Federal, que está lotado em São Paulo, precisa enviar um documento para o Distrito Fede- ral sobre uma missão realizada. Para isso, irá assinar o documento digitalmente, mas quem formulou o documento foi o escrivão de polícia e o delegado, cegamente confiando no escrivão, assina o documento com sua chave privada sem conhecer o conteúdo da mensagem criada. As responsabilidades atribuídas sobre aquele documento serão do Delegado, que é proprietário da chave de as- sinatura e não do escrivão. 3.3 TABELA DE COMPARAÇÃO Abaixo, uma tabela simples que diferencia quais são os princípios garantido pelos mecanismos de segurança, criptogra- fia simétrica de chaves, criptografia assimétrica de chaves, certi- ficação digital e assinatura digital, respectivamente. A Letra “C” é utilizada para representar a Confidencialidade, a letra “I” para representar a Integridade e a letra “A” utilizada para representar a Autenticidade. MECANISMO PRINCÍPIO Simetria C Assimetria C I A Certifica I A Assinatura I A 14 INFORMÁTICA → “BIZU”: ˃ Simetria, com um “S”, é utilizado apenas uma chave criptográfica ˃ ASSimetria, com dois “S”, são utilizadas duas chaves criptográficas. ˃ Se um mecanismo de segurança garante a Integridade garante a Confiabilidade e a Conformidade. ˃ Se um mecanismo garante a Autenticidade garante o Não-Repúdio. 4. BACKUP E RESTAURAÇÃO O termo em Inglês Backup é traduzido para o Português como “Cópia de Segurança”, sendo que a banca também pode apresentar essa técnica de segurança pelo termo “BECAPE”, que é a transcrição da palavra Backup para o Português. Esse procedi- mento de segurança é realizado para que os dados, arquivos e/ou informações do usuário sejam armazenados em segurança para caso de perda ou desastres que possam acontecer com os arqui- vos originais. Em termos técnicos, podemos caracterizar Backup, Cópia de Segurança, como uma técnica de segurança onde o usuário realiza uma CÓPIA dos dados, arquivos e/ou informações de um local de armazenamento original para outra mídia de armazena- mento diferente da unidade original. Em outras palavras podemos dizer que fazer Backup é quando, por exemplo, o usuário realiza uma cópia de segurança dos seus arquivos pessoais do HD de seu computador para um Pen drive ou para um HD externo, onde a mídia utilizada para o procedimento de cópia é diferente da mídia original dos arquivos. Nesse ponto do material devemos ter muito cuidado sobre essas informações iniciais, pois Backup é necessariamente fazer uma CÓPIA dos arquivos originais e não recortar, mover, movi- mentar, realocar, ou qualquer outro termo que a banca utilize para descrever a técnica de backup que não seja criar uma cópia. Outra observação muito importante é que não precisa ser necessaria- mente apenas uma cópia, já que esse procedimento pode ser feito com duas ou mais cópias, mas é necessário ter os arquivos pelo menos em dois locais distintos, no local original e no mínimo uma cópia em outro local. Como já fora mencionado nos tópicos anteriores desse material, backup é uma cópia de segurança em locais de arma- zenamento distintos, sendo essa afirmação uma regra para o procedimento de Backup. Mas, é aconselhando armazenar esses equipamentos de armazenamento em locais distintos, como, por exemplo, fazer o Backup de um notebook em um pen drive e guar- dar o pen drive em outro local totalmente diferente de onde o no- tebook é guardado. Essa técnica é aconselhada pelo fato de que se acontecer um desastre com o local de armazenamento do no- tebook, como, por exemplo, pegar fogo ou por furto dos equipa- mentos do local, o pen drive que armazena o backup estará segu- ro, sem oferecer risco para os dados becapiados. Mas cuidado, pois esse procedimento de guardar os dispositivos em locais diferen- tes é um aconselhamento e esse termo desse ver expressamente apresentado pela banca em questões, pois isso não é uma regra. Munidos desses conceitos iniciais, não podemos afirmar que toda cópia de dados feita pelo usuário é considerada um backup, como, por exemplo, copiar fotos que estão na pasta “Meus Docu- mentos” para a “Área de Trabalho”, onde é utilizado o mesmo HD para esse procedimento, ou copiar arquivos que estão no Disco Local C: para o Disco Local D: em um HD particionado, um HD divi- dido em duas partes. Abaixo, uma imagem ilustrando, basicamen- te, a situação onde o usuáriorealiza uma cópia simples de dados da partição C: para a partição D: de um único HD, não sendo essa cópia considerada um procedimento de Backup. Copiando arquivos do disco local C: para o disco local D: de um mesmo HD. Podemos considerar vários dispositivos físico como unida- des possíveis para ser feito um procedimento de Backup. Vemos agora quais são os tipos de mídis de backup mais utilizados. 4.1 TIPOS DE MÍDIA PARA BACKUP Não existe teoricamente uma mídia de armazenamento que seja sempre a opção mais indicada para se realizar um procedi- mento de Backup, em todas as situações possíveis. Por isso não é correto classificar uma mídia como melhor do que outras sem observar atentamente a situação em que a banca apresenta essa informação. Basicamente, existem características que podem tornar uma mídia mais indicada para um procedimento de backup do que outras, mas tudo dependerá, basicamente, de uma situação que envolve vários fatores, como a quantidade de dados que serão guardados, “becapiados”, o tamanho dos arquivos, a regularidade do processo, o nível de confiabilidade das mídias e quanto inves- tir nesse procedimento de segurança. Com isso, a banca poderá montar uma situação hipotética para indicar se uma mídia se torna mais vantajosa que outra, como, por exemplo, armazenar 24GB de arquivos do usuário em um pen drive de 32 GB, que seria, nesse caso, mais vantajoso do que armazenar o Backup em uma mídia de CD-ROM simples. Todas as principais mídias que são utilizadas para servirem de armazenamento de Backup possuem características positivas e negativas. Abaixo, estão listadas as principais características des- sas mídias. 15 INFORMÁTICA 4.1.1 CD, DVD e BluRay → Caraterísticas positivas ˃ Consideradas mídias de armazenamento baratas, com baixo custo de aquisição; ˃ Tecnicamente confiáveis para guarda de informações. → Características negativas ˃ Possuem baixa capacidade de armazenamento de dados em dispositivo único. Exceto a mídia BluRay, onde é possível gravar até 50BG de dados, o que é con- siderado um local com capacidade de armazenamento significativamente elevado; ˃ São mídias frágeis para manipulação constante. 4.1.2 PEN DRIVE e SD CARD (Cartões de Memória) → Caraterísticas positivas ˃ Tecnicamente confiáveis para guarda de informações; ˃ Capacidade de armazenamento relativamente alta. → Características negativas ˃ Considerada uma unidade de armazenamento conside- ravelmente cara. 4.1.3 FITA MAGNÉTICA Mídia de armazenamento que utiliza a técnica de funcio- namento em Acesso Sequencial, tanto para a gravação de dado quanto para a leitura dos dados armazenados. Isso quer dizer que a informação é armazenada sequencialmente, um dado após o ou- tro, e a leitura também é feita da mesma forma, devendo o usuário voltar toda a fita até o ponto inicial do armazenamento para a lei- tura dos dados. Para ficar mais fácil compreendermos o método de fun- cionamento da fita magnética, vamos compará-la com o funciona- mento das Fitas de Áudio Antigas, onde as músicas eram gravadas sequencialmente no dispositivo e que para voltar até a primeira música era necessário rebobinar todo o dispositivo até o ponto pretendido. Isso pode interferir significativamente no processo de restauração dos dados becapiados, já que o disposto deverá ser todo rebobinado para leitura dos arquivos armazenados. → Caraterísticas positivas ˃ Consideravelmente uma mídia de armazenamento baratas; ˃ Capacidade de armazenamento relativamente alta; ˃ Tecnicamente confiável para guarda de informações. → Características negativas ˃ - Drive, equipamento, de leitura e gravação do backup é relativamente caro. 4.1.4 NUVEM → Caraterísticas positivas ˃ Considerada com baixo custo de implementação; ˃ Local confiável para guarda de informações. → Características negativas ˃ Necessária conexão com a Internet para realizar o pro- cedimento backup e a restauração. Obs. 01: uma observação muito importante é que devemos ter cuidado com a escolha do tipo de mídia, pois uma mídia poderá interferir diretamente no desempeno, velocidade, da gravação do backup, na leitura dos dados, como também no procedimento de recuperação dos dados becapiados. 4.2 TIPOS DE BACKUP Assim como nas mídias de armazenamento não podemos definir qual é a melhor, sem que seja analisada um conjunto de si- tuação, nos tipos de Backup também não podemos afirmar que um é sempre melhor do que o outro, sem que seja imposta uma situação para análise. Para podermos definir qual o melhor tipo de backup deve- mos analisar, basicamente, a periodicidade, rotina, de um Backup, isso quer dizer que devemos analisar os períodos que serão reali- zadas as cópias, como, por exemplo, backup diário, semanal, men- sal, bimestral, além de outras características que também deverão ser analisadas. Antes de avançarmos no conteúdo e analisarmos sobre os tipos específicos de backup, é extremamente importante saber- mos sobre o Atributo de Marcação de um arquivo, que também pode ser apresentado em questões pelos termos Flag Archive, Bandeira de Marcação, ou qualquer outra variação com um desses termos. 4.2.1 ATRIBUTO DE MARCAÇÃO O Flag é basicamente uma marcação indicativa que um ar- quivo recebe do Sistema Operacional todas as vezes que criarmos um arquivo novo no computador ou também quando alterarmos um arquivo já existente. Essa marcação é mais utilizada por pro- gramas específicos que fazem os Backups do que propriamente pelo usuário, pois o arquivo marcado com essa bandeira informa os programas gerenciadores de backup que o arquivo marcado está pronto para ser arquivado e disponível para passar por uma rotina de Backup. Após esse arquivo passar por uma rotina de backup, ou se- ja, ser becapiado pelo programa, o atributo de marcação pode ou não ser apagado, indicando que o arquivo já foi copiado e não será recopiado futuramente em outros backups. Mas cuidado, pois não são todos os tipos de backups que apagam essa marcação do ar- quivo após ele ser copiado em uma rotina de backup. A seguir, enquanto for relacionado os tipos de backup, ve- remos qual deles que apagam as marcações do arquivo e os que não apagam o Flag do arquivo após as cópias de segurança serem concluídas. 4.2.2 COMPLETO/NORMAL/ REFERENCIAL/TOTAL O backup do tipo Completo, também relacionado em ques- tões de provas pelos sinônimos apresentados no título desse tipo de backup, é um tipo especifico de backup que realiza a cópia de todos os arquivos do usuário presentes no computador, ou seja, o backup do tipo completo copia todos os arquivos que estão na má- quina do usuário em uma única cópia de segurança ou um único arquivo de backup. 16 INFORMÁTICA A cópia do tipo total não analisa os arquivos que contém apenas bandeira de marcação para serem copiados, pois serão be- capiados todos os arquivos do usuário, independentemente se o arquivo contém ou não o atributo de marcação. Em regra, esse tipo de Backup é indicado para ser feito com menor frequência no sistema, pois se o usuário não altera fre- quentemente seus dados, isso significa que eles serão duplicados a cada novo Backup completo realizado, o que seria totalmente desnecessário. Então, como já percebemos, esse tipo de Backup é indicado com maior frequência apenas quando houver alterações frequentes nos dados do usuário, sendo essa a exceção da regra. E quando a banca vier cobrando essa exceção ela utilizará exata- mente a expressão “alteração frequente nos dados”, tornando as- sim o item correto para ser assinalado pelo candidato. Esse tipo de Backup será feito sempre em primeiro plano em uma periodicidade de cópia de segurança, independentemente do tipo de Backup selecionado na rotina pelo usuário. Por exemplo, você usuário selecionou em seu programa Gerenciador de Backup uma rotina diária de Backup do tipo Incremental, que veremos em outra oportunidade, indicando que será feito backup Incremental todos os dias. Então, a primeira vez queo programa ativar essa rotina de cópia de segurança será feito um Backup completo dos seus dados e posteriormente será seguida a rotina Incremental de cópia de segurança. Esse tipo específico de procedimento de cópia torna mais fácil do usuário localizar um arquivo becapiado, caso seja neces- sário à recuperação dos dados, pois não terão vários arquivos de backups diferentes espalhados pelos dispositivos de armazena- mento, para se procurar o arquivo becapiado desejado. Por fim, e não menos importante, após os arquivos se- rem copiados pelo tipo de backup Total, os arquivos que tiverem o atributo de Flag perderão essa marcação indicativo, ou seja, após copiar os arquivos que possuem bandeira de marcação, o backup do tipo Completo apaga o Flag dos arquivos, indicando que aquele documento já passou por um procedimento de backup. Mas cui- dado com as possíveis “pegadinhas” de questões de prova, pois se for realizado outro procedimento de cópia do tipo de completa, tanto os arquivos que contém a bandeira de marcação quanto os que não contém a marcação serão copiados nesse novo procedi- mento de Backup do tipo total. Obs. 02: como mencionado anteriormente, o backup do tipo completo copia todos os arquivos do usuário. Mas, algumas bancas adotam a regra de que são copiados apenas os arquivos pessoais do usuário, ou seja, arquivos do sistema operacional não serão inclusos nessa cópia de segurança. 4.3 BACKUP E RESTAURAÇÃO O termo em Inglês Backup é traduzido para o Português como “Cópia de Segurança”, sendo que a banca também pode apresentar essa técnica de segurança pelo termo “BECAPE”, que é a transcrição da palavra Backup para o Português. Esse procedi- mento de segurança é realizado para que os dados, arquivos e/ou informações do usuário sejam armazenados em segurança para caso de perda ou desastres que possam acontecer com os arqui- vos originais. Em termos técnicos, podemos caracterizar Backup, Cópia de Segurança, como uma técnica de segurança onde o usuário realiza uma CÓPIA dos dados, arquivos e/ou informações de um local de armazenamento original para outra mídia de armazena- mento diferente da unidade original. Em outras palavras podemos dizer que fazer Backup é quando, por exemplo, o usuário realiza uma cópia de segurança dos seus arquivos pessoais do HD de seu computador para um Pen drive ou para um HD externo, onde a mídia utilizada para o procedimento de cópia é diferente da mídia original dos arquivos. Nesse ponto do material devemos ter muito cuidado sobre essas informações iniciais, pois Backup é necessariamente fazer uma CÓPIA dos arquivos originais e não recortar, mover, movi- mentar, realocar, ou qualquer outro termo que a banca utilize para descrever a técnica de backup que não seja criar uma cópia. Outra observação muito importante é que não precisa ser necessaria- mente apenas uma cópia, já que esse procedimento pode ser feito com duas ou mais cópias, mas é necessário ter os arquivos pelo menos em dois locais distintos, no local original e no mínimo uma cópia em outro local. Como já fora mencionado nos tópicos anteriores desse material, backup é uma cópia de segurança em locais de arma- zenamento distintos, sendo essa afirmação uma regra para o procedimento de Backup. Mas, é aconselhando armazenar esses equipamentos de armazenamento em locais distintos, como, por exemplo, fazer o Backup de um notebook em um pen drive e guar- dar o pen drive em outro local totalmente diferente de onde o no- tebook é guardado. Essa técnica é aconselhada pelo fato de que se acontecer um desastre com o local de armazenamento do no- tebook, como, por exemplo, pegar fogo ou por furto dos equipa- mentos do local, o pen drive que armazena o backup estará segu- ro, sem oferecer risco para os dados becapiados. Mas cuidado, pois esse procedimento de guardar os dispositivos em locais diferen- tes é um aconselhamento e esse termo desse ver expressamente apresentado pela banca em questões, pois isso não é uma regra. Munidos desses conceitos iniciais, não podemos afirmar que toda cópia de dados feita pelo usuário é considerada um backup, como, por exemplo, copiar fotos que estão na pasta “Meus Docu- mentos” para a “Área de Trabalho”, onde é utilizado o mesmo HD para esse procedimento, ou copiar arquivos que estão no Disco Local C: para o Disco Local D: em um HD particionado, um HD divi- dido em duas partes. Vejamos agora alguns dos principais tipos de backups que são cobrados em provas de concurso público. 4.4 TIPOS DE BACKUP Não podemos afirmar que um tipo especifico de backup é sempre melhor do que o outro sem que seja imposta na questão uma situação hipotética para análise, pois a depender de situações cópias de segurança podem ser variáveis de acordo com os cenários. Para podermos definir qual o melhor tipo de backup para a situação em apreço devemos analisar, basicamente, a periodici- dade, rotina, de um Backup, isso quer dizer que devemos analisar os períodos que serão realizadas as cópias, como, por exemplo, 17 INFORMÁTICA backup diário, semanal, mensal, bimestral, além de outras carac- terísticas que também deverão ser analisadas. Antes de avançarmos no conteúdo e analisarmos sobre os tipos específicos de backup, é extremamente importante saber- mos sobre o Atributo de Marcação de um arquivo, que também pode ser apresentado em questões pelos termos Flag Archive, Bandeira de Marcação, ou qualquer outra variação com um desses termos. 4.5 ATRIBUTO DE MARCAÇÃO O Flag é basicamente uma marcação indicativa que um ar- quivo recebe do Sistema Operacional todas as vezes que criarmos um arquivo novo no computador ou também quando alterarmos um arquivo já existente. Essa marcação é mais utilizada por pro- gramas específicos que fazem os Backups do que propriamente pelo usuário, pois o arquivo marcado com essa bandeira informa os programas gerenciadores de backup que o arquivo marcado está pronto para ser arquivado e disponível para passar por uma rotina de Backup. Após esse arquivo passar por uma rotina de backup, ou se- ja, ser becapiado pelo programa, o atributo de marcação pode ou não ser apagado, indicando que o arquivo já foi copiado e não será recopiado futuramente em outros backups. Mas cuidado, pois não são todos os tipos de backups que apagam essa marcação do ar- quivo após ele ser copiado em uma rotina de backup. A seguir, enquanto for relacionado os tipos de backup, ve- remos qual deles que apagam as marcações do arquivo e os que não apagam o Flag do arquivo após as cópias de segurança serem concluídas. 4.6 INCREMENTAL A cópia de segurança do tipo Incremental possui a principal característica de criar o arquivo de Backup sempre comparando com a última cópia de segurança realizada anteriormente, neces- sariamente, não importando se essa última cópia é do tipo total, incremental ou diferencial, por exemplo. Nessa situação o Backup do tipo Incremental irá observar todos os novos arquivos que foram criados e alterados pelo usuário desde o último backup já realizado, ou seja, serão analisados os arquivos que possuem uma bandeira de marcação indicativa de backup, e serão copiados es- ses arquivos para um backup do tipo Incremental. Observe as ima- gens abaixo que representam alguns processos em sequência de backups de arquivos do tipo Incremental, realizados durante 5 dias seguidos, nesse exemplo. No primeiro dia de uma cópia de segurança do tipo Incre- mental serão analisados todos os arquivos do usuário que serão becapiados e então será feita uma cópia do tipo completa, para que sirva como referência de backup para as cópias posteriores. Na imagem acima, em exemplo, podemos observar que no com- putador do usuário existem os arquivos representados pelas letras “A”, “B” e “C”, e que serão becapiados para uma cópia de seguran- ça do tipo completa, que serve para marcar o início de uma rotina de backup. Como primeira ação, o programa copiou todos os arquivos do computador do usuário para um arquivo de