<!--Can't find substitution for tag [pageNameblog.]--> - Legado_Digital

Blogroll

Total de visualizações

Blogger Circular

inscreva - se em nosso canal do youtube

sábado, 13 de junho de 2015

1° Parte - Conceitos De Segurança

Cartilha de Seguranc¸ a para Internet 
Parte I: Conceitos de Segurança.
Obs: Esta parte da Cartilha apresenta conceitos de seguranc¸a de computadores, onde são abordados temas relacionados ˜ as senhas, engenharia ` social, malware, vulnerabilidade, ataques de negac¸ao de servic¸o, crip- ˜ tografia e certificados digitais. Os conceitos aqui apresentados são im- ˜ portantes para o entendimento de partes subsequentes desta Cartilha.

Sumario ´ 1 Seguranc¸a de Computadores 3 1.1 Por que devo me preocupar com a seguranc¸a do meu computador? . . . . . . . . . . 3 1.2 Por que alguem iria querer invadir meu computador? ´ . . . . . . . . . . . . . . . . . 3 2 Senhas 4 2.1 O que nao se deve usar na elaborac¸ ˜ ao de uma senha? ˜ . . . . . . . . . . . . . . . . . 4 2.2 O que e uma boa senha? ´ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.3 Como elaborar uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.4 Quantas senhas diferentes devo usar? . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.5 Com que frequ¨encia devo mudar minhas senhas? ˆ . . . . . . . . . . . . . . . . . . . 6 2.6 Quais os cuidados especiais que devo ter com as senhas? . . . . . . . . . . . . . . . 6 2.7 Que cuidados devo ter com o usuario e senha de ´ Administrador (ou root) em um computador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 3 Cookies 7 4 Engenharia Social 7 4.1 Que exemplos podem ser citados sobre este metodo de ataque? ´ . . . . . . . . . . . . 8 5 Vulnerabilidade 8 6 Codigos Maliciosos ( ´ Malware) 9 7 Negac¸ao de Servic¸o ( ˜ Denial of Service) 9 7.1 O que e DDoS? ´ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invasao? ˜ . 10 8 Criptografia 10 8.1 O que e criptografia de chave ´ unica? ´ . . . . . . . . . . . . . . . . . . . . . . . . . . 10 8.2 O que e criptografia de chaves p ´ ublica e privada? ´ . . . . . . . . . . . . . . . . . . . 11 8.3 O que e assinatura digital? ´ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 8.4 Que exemplos podem ser citados sobre o uso de criptografia de chave unica e de ´ chaves publica e privada? ´ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 8.5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . . . . . . . . . . . . . 12 9 Certificado Digital 13 9.1 O que e Autoridade Certificadora (AC)? ´ . . . . . . . . . . . . . . . . . . . . . . . . 13 9.2 Que exemplos podem ser citados sobre o uso de certificados? . . . . . . . . . . . . . 13 Como Obter este Documento 14 Nota de Copyright e Distribuic¸ao˜ 14 Agradecimentos 14

1 Seguranc¸a de Computadores Um computador (ou sistema computacional) e dito seguro se este atende a tr ´ es requisitos b ˆ asicos ´ relacionados aos recursos que o compoem: confidencialidade, integridade e disponibilidade. ˜ A confidencialidade diz que a informac¸ao s ˜ o est ´ a dispon ´ ´ıvel para aqueles devidamente autorizados; a integridade diz que a informac¸ao n ˜ ao˜ e destru ´ ´ıda ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os servic¸os/recursos do sistema estao dispon ˜ ´ıveis sempre que forem necessarios. ´ Alguns exemplos de violac¸oes a cada um desses requisitos s ˜ ao: ˜ Confidencialidade: alguem obt ´ em acesso n ´ ao autorizado ao seu computador e l ˜ e todas as informa- ˆ c¸oes contidas na sua declarac¸ ˜ ao de Imposto de Renda; ˜ Integridade: alguem obt ´ em acesso n ´ ao autorizado ao seu computador e altera informac¸ ˜ oes da sua ˜ declarac¸ao de Imposto de Renda, momentos antes de voc ˜ e envi ˆ a-la ´ a Receita Federal; ` Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negac¸ao˜ de servic¸o e por este motivo voce fica impossibilitado de enviar sua declarac¸ ˆ ao de Imposto de ˜ Renda a Receita Federal. ` 
1.1 Por que devo me preocupar com a seguranc¸a do meu computador? Computadores domesticos s ´ ao utilizados para realizar in ˜ umeras tarefas, tais como: transac¸ ´ oes fi- ˜ nanceiras, sejam elas bancarias ou mesmo compra de produtos e servic¸os; comunicac¸ ´ ao, por exemplo, ˜ atraves de ´ e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. E importante que voc ´ e se preocupe com a seguranc¸a de seu computador, pois voc ˆ e, provavelmente, ˆ nao gostaria que: ˜ 
• suas senhas e numeros de cart ´ oes de cr ˜ edito fossem furtados e utilizados por terceiros; ´ 
• sua conta de acesso a Internet fosse utilizada por alguem n ´ ao autorizado; ˜ 
• seus dados pessoais, ou ate mesmo comerciais, fossem alterados, destru ´ ´ıdos ou visualizados por terceiros; 
• seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc. 
1.2 Por que alguem iria querer invadir meu computador? ´ A resposta para esta pergunta nao˜ e simples. Os motivos pelos quais algu ´ em tentaria invadir seu ´ computador sao in ˜ umeros. Alguns destes motivos podem ser: ´ 
• utilizar seu computador em alguma atividade il´ıcita, para esconder a real identidade e localizac¸ao do invasor;
• utilizar seu computador para lanc¸ar ataques contra outros computadores; 
• utilizar seu disco r´ıgido como repositorio de dados; ´ 
• destruir informac¸oes (vandalismo); ˜ 
• disseminar mensagens alarmantes e falsas; 
• ler e enviar e-mails em seu nome; 
• propagar v´ırus de computador; • furtar numeros de cart ´ oes de cr ˜ edito e senhas banc ´ arias; ´ 
• furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por voce;ˆ 
• furtar dados do seu computador, como por exemplo, informac¸oes do seu Imposto de Renda.

2 Senhas Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar o usuario, ou seja, ´ e utilizada no processo de verificac¸ ´ ao da identidade do usu ˜ ario, assegurando que ´ este e realmente quem diz ser. ´ Se uma outra pessoa tem acesso a sua senha, ela podera utiliz ´ a-la para se passar por voc ´ e na ˆ Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha sao: ˜ 
• ler e enviar e-mails em seu nome; 
• obter informac¸oes sens ˜ ´ıveis dos dados armazenados em seu computador, tais como numeros de ´ cartoes de cr ˜ edito; ´ 
• esconder sua real identidade e entao desferir ataques contra computadores de terceiros. ˜ Portanto, a senha merece considerac¸ao especial, afinal ela ˜ e de sua inteira responsabilidade. ´ 
2.1 O que nao se deve usar na elaborac¸ ˜ ao de uma senha? ˜ Nomes, sobrenomes, numeros de documentos, placas de carros, n ´ umeros de telefones e datas ´ 1 deverao estar ˜ fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa mal intencionada, possivelmente, utilizaria este tipo de informac¸ao para tentar se autenticar como ˜ voce.ˆ Existem varias regras de criac¸ ´ ao de senhas, sendo que uma regra muito importante ˜ e´ jamais utilizar palavras que fac¸am parte de dicionarios. Existem ´ softwares que tentam descobrir senhas combinando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicionarios) ´ e listas de nomes (nomes proprios, m ´ usicas, filmes, etc.). ´ 1Qualquer data que possa estar relacionada com voce, como por exemplo a data de seu anivers ˆ ario ou de familiares.
2.2 O que e uma boa senha? ´ Uma boa senha deve ter pelo menos oito caracteres2 (letras, numeros e s ´ ´ımbolos), deve ser simples de digitar e, o mais importante, deve ser facil de lembrar. ´ Normalmente os sistemas diferenciam letras maiusculas das min ´ usculas, o que j ´ a ajuda na com- ´ posic¸ao da senha. Por exemplo, “ ˜ pAraleLepiPedo” e “paRalElePipEdo” sao senhas diferentes. ˜ Entretanto, sao senhas f ˜ aceis de descobrir utilizando ´ softwares para quebra de senhas, pois nao pos- ˜ suem numeros e s ´ ´ımbolos, alem de conter muitas repetic¸ ´ oes de letras. ˜ 
2.3 Como elaborar uma boa senha? Quanto mais “bagunc¸ada” for a senha melhor, pois mais dif´ıcil sera descobr ´ ´ı-la. Assim, tente misturar letras maiusculas, min ´ usculas, n ´ umeros e sinais de pontuac¸ ´ ao. Uma regra realmente pr ˜ atica ´ e que gera boas senhas dif´ıceis de serem descobertas e utilizar uma frase qualquer e pegar a primeira, ´ segunda ou a ultima letra de cada palavra. ´ Por exemplo, usando a frase “batatinha quando nasce se esparrama pelo chao” podemos gerar ˜ a senha “!BqnsepC” (o sinal de exclamac¸ao foi colocado no in ˜ ´ıcio para acrescentar um s´ımbolo a` senha). Senhas geradas desta maneira sao f ˜ aceis de lembrar e s ´ ao normalmente dif ˜ ´ıceis de serem descobertas. Mas lembre-se: a senha “!BqnsepC” deixou de ser uma boa senha, pois faz parte desta Cartilha. Vale ressaltar que se voce tiver dificuldades para memorizar uma senha forte, ˆ e prefer ´ ´ıvel anota-la ´ e guarda-la em local seguro, do que optar pelo uso de senhas fracas. ´ 
2.4 Quantas senhas diferentes devo usar? Procure identificar o numero de locais onde voc ´ e necessita utilizar uma senha. Este n ˆ umero ´ deve ser equivalente a quantidade de senhas distintas a serem mantidas por voce. Utilizar senhas ˆ diferentes, uma para cada local, e extremamente importante, pois pode atenuar os preju ´ ´ızos causados, caso alguem descubra uma de suas senhas. ´ Para ressaltar a importancia do uso de senhas diferentes, imagine que voc ˆ eˆ e respons ´ avel por ´ realizar movimentac¸oes financeiras em um conjunto de contas banc ˜ arias e todas estas contas possuem ´ a mesma senha. Entao, procure responder as seguintes perguntas: ˜ 
• Quais seriam as consequ¨encias se algu ˆ em descobrisse esta senha? ´ 
• E se fossem usadas senhas diferentes para cada conta, caso alguem descobrisse uma das senhas, ´ um poss´ıvel preju´ızo teria a mesma proporc¸ao? ˜ 2Existem servic¸os que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais dif´ıcil sera descobr ı-la, portanto procure utilizar a senha de maior tamanho poss´ıvel.
2.5 Com que frequ¨ encia devo mudar minhas senhas? 
ˆ Voce deve trocar suas senhas regularmente, procurando evitar per ˆ ´ıodos muito longos. Uma sugestao˜ e que voc ´ e realize tais trocas a cada dois ou tr ˆ es meses. ˆ Procure identificar se os servic¸os que voce utiliza e que necessitam de senha, quer seja o acesso ˆ ao seu provedor, e-mail, conta bancaria, ou outro, disponibilizam funcionalidades para alterar senhas ´ e use regularmente tais funcionalidades. Caso voce n ˆ ao possa escolher sua senha na hora em que contratar o servic¸o, procure troc ˜ a-la com ´ a maior urgencia poss ˆ ´ıvel. Procure utilizar servic¸os em que voce possa escolher a sua senha. ˆ Lembre-se que trocas regulares sao muito importantes para assegurar a confidencialidade de suas ˜ senhas. 
2.6 Quais os cuidados especiais que devo ter com as senhas? De nada adianta elaborar uma senha bastante segura e dif´ıcil de ser descoberta, se ao usar a senha alguem puder v ´ e-la. Existem v ˆ arias maneiras de algu ´ em poder descobrir a sua senha. Dentre elas, ´ alguem poderia: ´ • observar o processo de digitac¸ao da sua senha; ˜ • utilizar algum metodo de persuas ´ ao, para tentar convenc ˜ e-lo a entregar sua senha (vide se- ˆ c¸ao˜ 4.1); • capturar sua senha enquanto ela trafega pela rede. Em relac¸ao a este ˜ ultimo caso, existem t ´ ecnicas que permitem observar dados, ´ a medida que estes ` trafegam entre redes. E poss ´ ´ıvel que alguem extraia informac¸ ´ oes sens ˜ ´ıveis desses dados, como por exemplo senhas, caso nao estejam criptografados (vide sec¸ ˜ ao˜ 8). Portanto, alguns dos principais cuidados que voce deve ter com suas senhas s ˆ ao: ˜ 
• certifique-se de nao estar sendo observado ao digitar a sua senha; ˜ • nao fornec¸a sua senha para qualquer pessoa, em hip ˜ otese alguma; ´ 
• nao utilize computadores de terceiros (por exemplo, em ˜ LAN houses, cybercafes, stands de eventos, etc) em operac¸oes que necessitem utilizar suas senhas; ˜ 
• certifique-se que seu provedor disponibiliza servic¸os criptografados, principalmente para aqueles que envolvam o fornecimento de uma senha. 
2.7 Que cuidados devo ter com o usuario e senha de ´ Administrator (ou root) em um computador? O usuario ´ Administrator (ou root) e de extrema import ´ ancia, pois det ˆ em todos os privil ´ egios em ´ um computador. Ele deve ser usado em situac¸oes onde um usu ˜ ario normal n ´ ao tenha privil ˜ egios para realizar uma operac¸ao, como por exemplo, em determinadas tarefas administrativas, de manutenc¸ ˜ ao˜ ou na instalac¸ao e configurac¸ ˜ ao de determinados tipos de ˜ software. Sabe-se que, por uma questao de comodidade e principalmente no ambiente dom ˜ estico, muitas ´ pessoas utilizam o usuario ´ Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele e usado para se conectar ´ a Internet, navegar utilizando o ` browser, ler e-mails, redigir documentos, etc. Este e um procedimento que deve ser ´ sempre evitado, pois voce, como usu ˆ ario ´ Administrator (ou root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacional ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente um software malicioso que, como usuario ´ Administrator (ou root), teria todos os privilegios que ne- ´ cessitasse, podendo fazer qualquer coisa. Portanto, alguns dos principais cuidados que voce deve ter s ˆ ao: ˜ 
• elaborar uma boa senha para o usuario ´ Administrator (ou root), como discutido na sec¸ao˜ 2.3, e seguir os procedimentos descritos na sec¸ao˜ 2.6; 
• utilizar o usuario ´ Administrator (ou root) somente quando for estritamente necessario; ´
 • criar tantos usuarios com privil ´ egios normais, quantas forem as pessoas que utilizam seu com- ´ putador, para substituir assim o usuario ´ Administrator (ou root) em tarefas rotineiras, como leitura de e-mails, navegac¸ao na Internet, produc¸ ˜ ao de documentos, etc.
3 Cookies Cookies sao pequenas informac¸ ˜ oes que os ˜ sites visitados por voce podem armazenar em seu ˆ browser. Estes sao utilizados pelos ˜ sites de diversas formas, tais como: 
• guardar a sua identificac¸ao e senha quando voc ˜ e vai de uma p ˆ agina para outra; ´ 
• manter listas de compras ou listas de produtos preferidos em sites de comercio eletr ´ onico; ˆ 
• personalizar sites pessoais ou de not´ıcias, quando voce escolhe o que quer que seja mostrado ˆ nas paginas; ´ 
• manter a lista das paginas vistas em um ´ site, para estat´ıstica ou para retirar as paginas que voc ´ eˆ nao tem interesse dos ˜ links. A parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumas sugestoes para que se tenha maior controle sobre eles.
4 Engenharia Social O termo e utilizado para descrever um metodo de ataque, onde algu ´ em faz uso da persuas ´ ao, ˜ muitas vezes abusando da ingenuidade ou confianc¸a do usuario, para obter informac¸ ´ oes que podem ˜ ser utilizadas para ter acesso nao autorizado a computadores ou informações.
4.1 Que exemplos podem ser citados sobre este metodo de ataque? ´ Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O ultimo exemplo apresenta um ataque realizado por telefone. ´ 
Exemplo 1: voce recebe uma mensagem ˆ e-mail, onde o remetente e o gerente ou algu ´ em em nome ´ do departamento de suporte do seu banco. Na mensagem ele diz que o servic¸o de Internet Banking esta apresentando algum problema e que tal problema pode ser corrigido se voc ´ e executar ˆ o aplicativo que esta anexado ´ a mensagem. A execuc¸ ` ao deste aplicativo apresenta uma tela ˜ analoga ´ aquela que voc ` e utiliza para ter acesso a conta banc ˆ aria, aguardando que voc ´ e digite ˆ sua senha. Na verdade, este aplicativo esta preparado para furtar sua senha de acesso a conta ´ bancaria e envi ´ a-la para o atacante. ´ 
Exemplo 2: voce recebe uma mensagem de ˆ e-mail, dizendo que seu computador esta infectado por ´ um v´ırus. A mensagem sugere que voce instale uma ferramenta dispon ˆ ´ıvel em um site da Internet, para eliminar o v´ırus de seu computador. A real func¸ao desta ferramenta n ˜ ao˜ e eliminar ´ um v´ırus, mas sim permitir que alguem tenha acesso ao seu computador e a todos os dados nele ´ armazenados. 
Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte tecnico do seu provedor. ´ Nesta ligac¸ao ele diz que sua conex ˜ ao com a Internet est ˜ a apresentando algum problema e, ´ entao, pede sua senha para corrig ˜ ´ı-lo. Caso voce entregue sua senha, este suposto t ˆ ecnico ´ podera realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a ´ Internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques t´ıpicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usuario a realizar alguma tarefa e o ´ sucesso do ataque depende unica e ´ exclusivamente da decisao˜ do usuario em fornecer informac¸ ´ oes sens ˜ ´ıveis ou executar programas. A parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque. 
5 Vulnerabilidade Vulnerabilidade.
e definida como uma falha no projeto, implementac¸ ´ ao ou configurac¸ ˜ ao de um ˜ software ou sistema operacional que, quando explorada por um atacante, resulta na violac¸ao da seguranc¸a ˜ de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua explorac¸ao remota, ou seja, atrav ˜ es da rede. Portanto, um ´ atacante conectado a Internet, ao explorar tal vulnerabilidade, pode obter acesso n ` ao autorizado ao ˜ computador vulneravel. ´ A parte II: Riscos Envolvidos no Uso da Internet e Metodos de Prevenc¸ ´ ao˜ apresenta algumas formas de identificac¸ao de vulnerabilidades, bem como maneiras de prevenção e correção.
6 Codigos Maliciosos.
 ( ´ Malware) Codigo malicioso ou ´ Malware (Malicious Software) e um termo gen ´ erico que abrange todos os ´ tipos de programa especificamente desenvolvidos para executar ac¸oes maliciosas em um computador. ˜ Na literatura de seguranc¸a o termo malware tambem´ e conhecido por “ ´ software malicioso”. Alguns exemplos de malware sao: ˜ 
• v´ırus; 
• worms e bots; 
• backdoors; 
• cavalos de troia; ´ 
• keyloggers e outros programas spyware; 
• rootkits. A parte VIII: Codigos Maliciosos ( ´ Malware) apresenta descric¸oes detalhadas e formas de identi- ˜ ficac¸ao e prevenc¸ ˜ ao para os diversos tipos de c ˜ odigo malicioso.
7 Negac¸ao de Servic¸o ( ˜ Denial of Service) Nos ataques de negac¸ao de servic¸o (DoS – ˜ Denial of Service) o atacante utiliza um computador para tirar de operac¸ao um servic¸o ou computador conectado ˜ a Internet. ` Exemplos deste tipo de ataque sao: ˜ 
• gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usuario n ´ ao consiga utiliz ˜ a-lo; ´ 
• gerar um grande trafego de dados para uma rede, ocupando toda a banda dispon ´ ´ıvel, de modo que qualquer computador desta rede fique indispon´ıvel; 
• tirar servic¸os importantes de um provedor do ar, impossibilitando o acesso dos usuarios a suas ´ caixas de correio no servidor de e-mail ou ao servidor Web.
7.1 O que e DDoS? ´ DDoS (Distributed Denial of Service) constitui um ataque de negac¸ao de servic¸o distribu ˜ ´ıdo, ou seja, um conjunto de computadores e utilizado para tirar de operac¸ ´ ao um ou mais servic¸os ou ˜ computadores conectados a Internet. ` Normalmente estes ataques procuram ocupar toda a banda dispon´ıvel para o acesso a um computador ou rede, causando grande lentidao ou at ˜ e mesmo indisponibilizando qualquer comunicac¸ ´ ao˜ com este computador ou rede.
7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invasao? ˜ Nao. O objetivo de tais ataques ˜ e indisponibilizar o uso de um ou mais computadores, e n ´ ao˜ invad´ı-los. E importante notar que, principalmente em casos de DDoS, computadores comprometidos ´ podem ser utilizados para desferir os ataques de negac¸ao de servic¸o. ˜ Um exemplo deste tipo de ataque ocorreu no in´ıcio de 2000, onde computadores de varias partes ´ do mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de comercio ´ eletronico. Estas empresas n ˆ ao tiveram seus computadores comprometidos, mas sim ficaram impos- ˜ sibilitadas de vender seus produtos durante um longo per´ıodo. 
8 Criptografia Criptografia 
e a ciência e arte de escrever mensagens em forma cifrada ou em c ˆ odigo. ´ E parte de ´ um campo de estudos que trata das comunicac¸oes secretas, usadas, dentre outras finalidades, para: ˜ • autenticar a identidade de usuarios; ´ • autenticar e proteger o sigilo de comunicac¸oes pessoais e de transac¸ ˜ oes comerciais e banc ˜ arias; ´ • proteger a integridade de transferencias eletr ˆ onicas de fundos. ˆ Uma mensagem codificada por um metodo de criptografia deve ser ´ privada, ou seja, somente aquele que enviou e aquele que recebeu devem ter acesso ao conteudo da mensagem. Al ´ em disso, ´ uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o remetente e mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter ´ sido modificada. Os metodos de criptografia atuais s ´ ao seguros e eficientes e baseiam-se no uso de uma ou mais ˜ chaves. A chave e uma seq ´ u¨encia de caracteres, que pode conter letras, d ˆ ´ıgitos e s´ımbolos (como uma senha), e que e convertida em um n ´ umero, utilizado pelos m ´ etodos de criptografia para codificar ´ e decodificar mensagens. Atualmente, os metodos criptogr ´ aficos podem ser subdivididos em duas grandes categorias, de ´ acordo com o tipo de chave utilizada: a criptografia de chave unica (vide sec¸ ´ ao˜ 8.1) e a criptografia de chave publica e privada (vide sec¸ ´ ao˜ 8.2). 
8.1 O que e criptografia de chave ´ unica? ´
A criptografia de chave unica utiliza a mesma chave tanto para codificar quanto para decodificar ´
mensagens. Apesar deste metodo ser bastante eficiente em relac¸ ´ ao ao tempo de processamento, ou ˜
seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a necessidade
de utilizac¸ao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou ˜
entidades que desejem trocar informac¸oes criptografadas. ˜
Exemplos de utilizac¸ao deste m ˜ etodo de criptografia e sugest ´ oes para o tamanho m ˜ ´ınimo da chave
unica podem ser vistos nas sec¸ ´ oes ˜ 8.4 e 8.5, respectivamente.
Cartilha de Seguranc¸a para Internet –  c 2005 CERT.br 10/14
8.2 O que e criptografia de chaves p ´ ublica e privada? ´
A criptografia de chaves publica e privada utiliza duas chaves distintas, uma para codificar e ´
outra para decodificar mensagens. Neste metodo cada pessoa ou entidade mant ´ em duas chaves: uma ´
publica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo ´
seu dono. As mensagens codificadas com a chave publica s ´ o podem ser decodificadas com a chave ´
privada correspondente.
Seja o exemplo, onde Jose e Maria querem se comunicar de maneira sigilosa. Ent ´ ao, eles ter ˜ ao˜
que realizar os seguintes procedimentos:
1. Jose codifica uma mensagem utilizando a chave p ´ ublica de Maria, que est ´ a dispon ´ ´ıvel para o
uso de qualquer pessoa;
2. Depois de criptografada, Jose envia a mensagem para Maria, atrav ´ es da Internet; ´
3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que e apenas de seu ´
conhecimento;
4. Se Maria quiser responder a mensagem, devera realizar o mesmo procedimento, mas utilizando ´
a chave publica de Jos ´ e.´
Apesar deste metodo ter o desempenho bem inferior em relac¸ ´ ao ao tempo de processamento, ˜
quando comparado ao metodo de criptografia de chave ´ unica (sec¸ ´ ao˜ 8.1), apresenta como principal
vantagem a livre distribuic¸ao de chaves p ˜ ublicas, n ´ ao necessitando de um meio seguro para que chaves ˜
sejam combinadas antecipadamente. Alem disso, pode ser utilizado na gerac¸ ´ ao de assinaturas digitais, ˜
como mostra a sec¸ao˜ 8.3.
Exemplos de utilizac¸ao deste m ˜ etodo de criptografia e sugest ´ oes para o tamanho m ˜ ´ınimo das
chaves publica e privada podem ser vistos nas sec¸ ´ oes ˜ 8.4 e 8.5, respectivamente.
8.3 O que e assinatura digital? ´
A assinatura digital consiste na criac¸ao de um c ˜ odigo, atrav ´ es da utilizac¸ ´ ao de uma chave privada, ˜
de modo que a pessoa ou entidade que receber uma mensagem contendo este codigo possa verificar ´
se o remetente e mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. ´
Desta forma, e utilizado o m ´ etodo de criptografia de chaves p ´ ublica e privada, mas em um processo ´
inverso ao apresentado no exemplo da sec¸ao˜ 8.2.
Se Jose quiser enviar uma mensagem assinada para Maria, ele codificar ´ a a mensagem com sua ´
chave privada. Neste processo sera gerada uma assinatura digital, que ser ´ a adicionada ´ a mensagem `
enviada para Maria. Ao receber a mensagem, Maria utilizara a chave p ´ ublica de Jos ´ e para decodificar ´
a mensagem. Neste processo sera gerada uma segunda assinatura digital, que ser ´ a comparada ´ a pri- `
meira. Se as assinaturas forem identicas, Maria ter ˆ a certeza que o remetente da mensagem foi o Jos ´ e´
e que a mensagem nao foi modificada. ˜
E importante ressaltar que a seguranc¸a do m ´ etodo baseia-se no fato de que a chave privada ´ e co- ´
nhecida apenas pelo seu dono. Tambem´ e importante ressaltar que o fato de assinar uma mensagem ´
Cartilha de Seguranc¸a para Internet –
c 2005 CERT.br 11/14Parte I: Conceitos de Seguranc¸a
nao significa gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos ˜ e quisesse assinar a men- ´
sagem e ter certeza de que apenas Maria teria acesso a seu conteudo, seria preciso codific ´ a-la com a ´
chave publica de Maria, depois de assin ´ a-la. ´
8.4 Que exemplos podem ser citados sobre o uso de criptografia de chave unica ´
e de chaves publica e privada? ´
Exemplos que combinam a utilizac¸ao dos m ˜ etodos de criptografia de chave ´ unica e de chaves ´
publica e privada s ´ ao as conex ˜ oes seguras, estabelecidas entre o ˜ browser de um usuario e um ´ site, em
transac¸oes comerciais ou banc ˜ arias via ´ Web.
Estas conexoes seguras via ˜ Web utilizam o metodo de criptografia de chave ´ unica, implementado ´
pelo protocolo SSL (Secure Socket Layer). O browser do usuario precisa informar ao ´ site qual sera a ´
chave unica utilizada na conex ´ ao segura, antes de iniciar a transmiss ˜ ao de dados sigilosos. ˜
Para isto, o browser obtem a chave p ´ ublica do certificado ´
3 da instituic¸ao que mant ˜ em o ´ site.
Entao, ele utiliza esta chave p ˜ ublica para codificar e enviar uma mensagem para o ´ site, contendo a
chave unica a ser utilizada na conex ´ ao segura. O ˜ site utiliza sua chave privada para decodificar a
mensagem e identificar a chave unica que ser ´ a utilizada. ´
A partir deste ponto, o browser do usuario e o ´ site podem transmitir informac¸oes, de forma si- ˜
gilosa e segura, atraves da utilizac¸ ´ ao do m ˜ etodo de criptografia de chave ´ unica. A chave ´ unica pode ´
ser trocada em intervalos de tempo determinados, atraves da repetic¸ ´ ao dos procedimentos descritos ˜
anteriormente, aumentando assim o n´ıvel de seguranc¸a de todo o processo.
8.5 Que tamanho de chave deve ser utilizado?
Os metodos de criptografia atualmente utilizados, e que apresentam bons n ´ ´ıveis de seguranc¸a, sao˜
publicamente conhecidos e sao seguros pela robustez de seus algoritmos e pelo tamanho das chaves ˜
que utilizam.
Para que um atacante descubra uma chave ele precisa utilizar algum metodo de forc¸a bruta, ou ´
seja, testar combinac¸oes de chaves at ˜ e que a correta seja descoberta. Portanto, quanto maior for ´
a chave, maior sera o n ´ umero de combinac¸ ´ oes a testar, inviabilizando assim a descoberta de uma ˜
chave em tempo habil. Al ´ em disso, chaves podem ser trocadas regularmente, tornando os m ´ etodos de ´
criptografia ainda mais seguros.
Atualmente, para se obter um bom n´ıvel de seguranc¸a na utilizac¸ao do m ˜ etodo de criptografia de ´
chave unica, ´ e aconselh ´ avel utilizar chaves de no m ´ ´ınimo 128 bits. E para o metodo de criptografia ´
de chaves publica e privada ´ e aconselh ´ avel utilizar chaves de 2048 bits, sendo o m ´ ´ınimo aceitavel ´
de 1024 bits. Dependendo dos fins para os quais os metodos criptogr ´ aficos ser ´ ao utilizados, deve-se ˜
considerar a utilizac¸ao de chaves maiores: 256 ou 512 bits para chave ˜ unica e 4096 ou 8192 bits para ´
chaves publica e privada. ´
3Certificados sao discutidos na sec¸ ˜ ao˜ 9 e na parte IV: Fraudes na Internet.
Cartilha de Seguranc¸a para Internet –
c 2005 CERT.br 12/14Parte I: Conceitos de Seguranc¸a
9 Certificado Digital
O certificado digital e um arquivo eletr ´ onico que cont ˆ em dados de uma pessoa ou instituic¸ ´ ao, ˜
utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou
em outra m´ıdia, como um token ou smart card.
Exemplos semelhantes a um certificado digital sao o CNPJ, RG, CPF e carteira de habilitac¸ ˜ ao˜
de uma pessoa. Cada um deles contem um conjunto de informac¸ ´ oes que identificam a instituic¸ ˜ ao ou ˜
pessoa e a autoridade (para estes exemplos, org ´ aos p ˜ ublicos) que garante sua validade. ´
Algumas das principais informac¸oes encontradas em um certificado digital s ˜ ao: ˜
• dados que identificam o dono (nome, numero de identificac¸ ´ ao, estado, etc); ˜
• nome da Autoridade Certificadora (AC) que emitiu o certificado (vide sec¸ao˜ 9.1);
• o numero de s ´ erie e o per ´ ´ıodo de validade do certificado;
• a assinatura digital da AC.
O objetivo da assinatura digital no certificado e indicar que uma outra entidade (a Autoridade ´
Certificadora) garante a veracidade das informac¸oes nele contidas. ˜
9.1 O que e Autoridade Certificadora (AC)? ´
Autoridade Certificadora (AC) e a entidade respons ´ avel por emitir certificados digitais. Estes ´
certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador,
departamento de uma instituic¸ao, instituic¸ ˜ ao, etc. ˜
Os certificados digitais possuem uma forma de assinatura eletronica da AC que o emitiu. Grac¸as ˆ
a sua idoneidade, a AC ` e normalmente reconhecida por todos como confi ´ avel, fazendo o papel de ´
“Cartorio Eletr ´ onico”. ˆ
9.2 Que exemplos podem ser citados sobre o uso de certificados?
Alguns exemplos t´ıpicos do uso de certificados digitais sao: ˜
• quando voce acessa um ˆ site com conexao segura, como por exemplo o acesso a sua conta ˜
bancaria pela Internet (vide parte ´ IV: Fraudes na Internet), e poss ´ ´ıvel checar se o site apresentado
e realmente da instituic¸ ´ ao que diz ser, atrav ˜ es da verificac¸ ´ ao de seu certificado digital; ˜
• quando voce consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes ˆ
de fornecer informac¸oes sobre a conta; ˜
• quando voce envia um ˆ e-mail importante, seu aplicativo de e-mail pode utilizar seu certificado
para assinar “digitalmente” a mensagem, de modo a assegurar ao destinatario que o ´ e-mail e´
seu e que nao foi adulterado entre o envio e o recebimento. ˜
A parte IV: Fraudes na Internet apresenta algumas medidas de seguranc¸a relacionadas ao uso de
certificados digitais.
Cartilha de Seguranc¸a para Internet –
c 2005 CERT.br 13/14Parte I: Conceitos de Seguranc¸a
Como Obter este Documento
Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamente ´
atualizado, certifique-se de ter sempre a versao mais recente. ˜
Caso voce tenha alguma sugest ˆ ao para este documento ou encontre algum erro, entre em contato ˜
atraves do enderec¸o ´ doc@cert.br.
Nota de Copyright e Distribuic¸ao˜
Este documento e Copyright ´
c 2000–2005 CERT.br. Ele pode ser livremente copiado desde que
sejam respeitadas as seguintes condic¸oes: ˜
1. E permitido fazer e distribuir c ´ opias inalteradas deste documento, completo ou em partes, ´
contanto que esta nota de copyright e distribuic¸ao seja mantida em todas as c ˜ opias, e que a ´
distribuic¸ao n ˜ ao tenha fins comerciais. ˜
2. Se este documento for distribu´ıdo apenas em partes, instruc¸oes de como obt ˜ e-lo por completo ˆ
devem ser inclu´ıdas.
3. E vedada a distribuic¸ ´ ao de vers ˜ oes modificadas deste documento, bem como a comercializac¸ ˜ ao˜
de copias, sem a permiss ´ ao expressa do CERT.br. ˜
Embora todos os cuidados tenham sido tomados na preparac¸ao deste documento, o CERT.br n ˜ ao˜
garante a correc¸ao absoluta das informac¸ ˜ oes nele contidas, nem se responsabiliza por eventuais con- ˜
sequ¨encias que possam advir do seu uso. ˆ
Agradecimentos
O CERT.br agradece a todos que contribu´ıram para a elaborac¸ao deste documento, enviando co- ˜
mentarios, cr ´ ´ıticas, sugestoes ou revis ˜ oes.
Compartilhar no WhatsApp Postado por às

Nenhum comentário:

Postar um comentário

Deixe Aqui : Sua Dúvida, Sugestão, Elogios ou Crítica.

Assinar: Postar comentários (Atom)