É uma ótima introdução no assunto!
Porque eu fiz isso? Para mostrar para mim mesmo que valeu de alguma coisa fazer uma disciplina sobre criptografia no semestre passado, para trazer algo diferente pro blog e principalmente porque eu tinha acabado de escrever um texto sobre isso para entregar numa disciplina eletiva que estou fazendo agora.
Espero que aproveitem, deixem comentário, divulguem... sei lá... apenas espero que gostem e me deixem saber disso! ;)
Segurança
Segundo o Certified Information Systems Security Professional (CISSP), órgão que certifica profissionais de segurança da informação em todo o mundo, quando pensamos em segurança, dois pilares importantes são hackers e vulnerabilidades do sistema. Ou seja, é necessário pensar no perfil de pessoa que tentará quebrar sua segurança e em quais características dele facilitarão a vida desse invasor.Para garantir a segurança do acesso e das informações são necessários 4 passos:
• Identificação
Nesse passo aplica-se o método para descobrir quem está tentado estabelecer conexão, podendo ser feita através de um login e senha.
• Autenticação
Nesse passo é pedido ao cliente uma nova credencial, visando garantir que a pessoa que informou aquele login e senha é realmente quem diz ser. Para isso podemos utilizar uma nova senha, uma palavra chave, uma chave criptográfica, um PIN, um token, ou até mesmo uma validação biométrica.
• Autorização
O sistema passa agora a verificar uma matriz de controle de acesso e analisa as permissões do usuário em questão. Sempre que o usuário efetua uma requisição, o sistema verifica suas permissões e então libera ou bloqueia a ação.
• Irrefutabilidade
Para garantir a irrefutabilidade do cliente o sistema deve ser identificar de maneira única cada usuário e gravar todas suas ações. Para que esse não possa negar suas ações.
Os dois primeiros passos agem na confirmação de identidade durante o processo de conexão e, os dois últimos passos são realizados enquanto o cliente estiver conectado, visando garantir a segurança das informações trocadas e das ações realizadas.
Criptografia
O CISSP define criptografia como, um ramo da matemática que estuda princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, tornando-a conhecida apenas pelas partes autorizadas. Transformar esse texto ilegível na sua apresentação original, consiste no ato de decriptar.Como esses são termos inexistentes no dicionário brasileiro (neologismos derivados do inglês), iremos então aderir às nomenclaturas definidas pelo conselho de segurança da informação. Nessa definição de termos, chama-se de cifração o processo de criptografar um texto e, chama-se de decifração o processo que reverte a cifração. Dessa forma, são alterados todos os termos derivados desses.
Os processos de criptografia são melhor apresentados imagem a seguir. Nesta imagem podemos ver que para transformar uma informação “aberta” (texto claro) em uma informação cifrada é necessário uma transformação utilizando a chave 1. Para obtermos novamente a informação “aberta” (texto claro) precisamos desfazer a cifração utilizando a transformação 2 com a chave 2.
Para cifrar mensagens existem dois tipos de algoritmos criptográficos, os algoritmos simétricos e os algoritmos assimétricos. Basicamente, o que diferencia as duas maneiras é a quantidade de chaves criptográficas utilizada.
Utilizando o exemplo da figura acima, podemos dizer que na criptografia simétrica as chaves 1 e 2 são a mesma chave. Na criptografia assimétrica as chave 1 e 2 são diferentes.
Criptografia Simétrica
Na criptografia simétrica, temos a utilização de uma única chave criptográfica, que irá participar da cifração e decifração da mensagem. Conforme podemos observar na imagem abaixo, o algoritmo de decifração é apenas uma função inversa do algoritmo de cifração. Também notamos que a chave simétrica é conhecida como chave privada, pois ela é de domínio somente das pessoas autorizadas a saber o que há na mensagem enviada.Exemplos de algoritmos simétricos são: Data Encryption Standard (DES), Triple-DES(3DES), Blowfish, IDEA, RC4, RC5, RC6 e, Advanced Encryption Standard (AES).
Criptografia Assimétrica
No sistema de criptografia assimétrica, o que temos é a presença de um par de chaves criptográficas, cada uma com sua função. Uma das chaves é a chave publica, ou seja, de conhecimento publico, a outra é a chave privada, que somente o detentor daquele par de chaves conhece.Para compreender o conceito de chaves publica e privada devemos observar a figura 4.
Nesse caso, é utilizada a chave pública no algoritmo de cifração, e a chave privada é utilizada para decifrar. Isso permite que qualquer pessoa envie mensagens criptografadas para o proprietário desse par de chaves, pois essa é uma chave de conhecimento público, e também garante que somente o proprietário dessas chaves irá decifrar essa mensagem, já que a chave para decifrar é conhecida somente por ele.
Porém, o que pode ser feito também, em alguns casos é a troca de função das chaves. O detentor do par de chaves pode cifrar mensagens com sua chave privada, que será facilmente decifrada utilizando sua chave pública. Isso normalmente acontece no inicio de uma PKI (infra-estrutura de distribuição de chaves).
Dentre os algoritmos assimétricos, podemos citar como os mais conhecidos: RSA, Elliptic curve cryptosystem (ECC), Diffie-Hellman, ElGamal e Digital Signature Algorithm (DSA).
Referencias
Introdução a criptografia e seu uso no PHP.Protegendo seus segredos
HARRIS, S. CISSP Exame Guide. Edição 4. 2008.
Nenhum comentário:
Postar um comentário