Informática. Segurança da Informação

Transcrição

1 Informática Segurança da Informação

2 2

3 3

4 INTRODUÇÃO A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou qualquer outra ameaça que possa prejudicar os sistemas de informação ou equipamentos de um indivíduo ou organização. 4

5 Princípios Básicos D isponibilidade I ntegridade C onfidencialidade A utenticidade 5

6 Princípios Básicos DISPONIBILIDADE consiste na proteção dos serviços prestados pelo sistema de forma que eles não sejam degradados ou se tornem indisponíveis sem autorização, assegurando ao usuário o acesso aos dados sempre que deles precisar. Pode ser chamado também de continuidade dos serviços. (Chave Pública) 6

7 Princípios Básicos INTEGRIDADE consiste em proteger a informação contra modificação sem a permissão explícita do proprietário daquela informação. A modificação inclui ações como escrita, alteração de conteúdo, alteração de status, remoção e criação de informações. (código Hash 20 caracteres Resumo da mensagem) 7

8 Princípios Básicos CONFIDENCIALIDADE significa proteger informações contra sua revelação para alguém não autorizado - interna ou externamente. Consiste em proteger a informação contra leitura e/ou cópia por alguém que não tenha sido explicitamente autorizado pelo proprietário daquela informação. A informação deve ser protegida qualquer que seja a mídia que a contenha, como por exemplo, mídia impressa ou mídia digital. (Criptografia) 8

9 Princípios Básicos AUTENTICIDADE está associado com identificação correta de um usuário ou computador. O serviço de autenticação em um sistema deve assegurar ao receptor que a mensagem é realmente procedente da origem informada em seu conteúdo. (Assinatura Digital Chave Privada) 9

10 Princípios Básicos NÃO-REPÚDIO é a garantia de que um agente não consiga negar um ato ou documento de sua autoria. Essa garantia é condição necessária para a validade jurídica de documentos e transações digitais. Só se pode garantir o não-repúdio quando houver AUTENTICIDADE e INTEGRIDADE. 10

11 DISPONIBILIDADE INTEGRIDADE CONFIDENCIALIDADE AUTENTICIDADE NÃO REPÚDIO SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO 11

12 CRIPTOGRAFIA Chaves Simétricas Chaves Assimétricas Certificado Digital Autoridade de Registro (AR) Autoridade Certificadora (AC) Assinatura Digital Resumo Hash 12

13 CRIPTOGRAFIA Criptografia é arte ou ciência de escrever em cifra ou em códigos. É então um conjunto de técnicas que tornam uma mensagem incompreensível permitindo apenas que o destinatário que conheça a chave de encriptação possa decriptar e ler a mensagem com clareza 13

14 Algoritmos Criptográficos São funções matemáticas usadas para codificar os dados, garantindo segredo e autenticação. Os algoritmos devem ser conhecidos e testados, a segurança deve basear-se totalmente na chave secreta, sendo que essa chave deve ter um tamanho suficiente para evitar sua descoberta por força-bruta. 14

15 Exemplo de Criptografia 15

16 Criptografia de chave simétrica Também chamada de criptografia de chave secreta ou única, utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo usada principalmente para garantir a confidencialidade dos dados. Casos nos quais a informação é codificada e decodificada por uma mesma pessoa não há necessidade de compartilhamento da chave secreta. Entretanto, quando estas operações envolvem pessoas ou equipamentos diferentes, é necessário que a chave secreta seja previamente combinada por meio de um canal de comunicação seguro (para não comprometer a confidencialidade da chave). Exemplos de métodos criptográficos que usam chave simétrica são: AES, Blowfish, RC4, 3DES e IDEA. 16

17 CRIPTOGRAFIA DE CHAVE SIMÉTRICA 17

18 Criptografia de chave simétrica Uma única chave para cifrar e decifrar A chave tem que ser compartilhada entre os usuários Processos simples de criptografia e decriptografia, ideal para grandes quantidades de dados. É mais suscetível a quebras de chave 18

19 Criptografia de chaves assimétricas Também conhecida como criptografia de chave pública, utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono. Quando uma informação é codificada com uma das chaves, somente a outra chave do par pode decodifica-la. 19

20 Criptografia de chaves assimétricas Qual chave usar para codificar depende da proteção que se deseja, se confidencialidade ou autenticação, integridade e não-repúdio. A chave privada pode ser armazenada de diferentes maneiras, como um arquivo no computador, um smartcard ou um token. Exemplos de métodos criptográficos que usam chaves assimétricas são: RSA, DSA, ECC e Diffie- Hellman. 20

21 CRIPTOGRAFIA DE CHAVES ASSIMÉTRICAS 21

22 CRIPTOGRAFIA DE CHAVES ASSIMÉTRICAS Seja o exemplo, onde José e Maria querem se comunicar de maneira sigilosa. Então, eles terão que realizar os seguintes procedimentos: 1. José codifica uma mensagem utilizando a chave pública de Maria, que está disponível para o uso de qualquer pessoa; 2. Depois de criptografada, José envia a mensagem para Maria, através da Internet; 3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que é apenas de seu conhecimento; 4. Se Maria quiser responder a mensagem, deverá realizar o mesmo procedimento, mas utilizando a chave pública de José. 22

23 Criptografia de chaves assimétricas Usa chaves diferentes para cifrar e decifrar A chave para criptografar é compartilhada (pública), mas a chave de decriptografar é mantida em segredo (privada). Os processos são mais lentos,viável apenas em pequenas quantidades de dados. É praticamente impossível quebrar as chaves. 23

24 CERTIFICADO DIGITAL Associa a identidade de um titular a um par de chaves eletrônicas (uma pública e outra privada) que, usadas em conjunto, fornecem a comprovação da identidade. É uma versão eletrônica (digital) de algo parecido a uma Cédula de Identidade - serve como prova de identidade, reconhecida diante de qualquer situação onde seja necessária a comprovação de identidade. 24

25 CERTIFICADO DIGITAL O Certificado de Identidade Digital é emitido e assinado por uma Autoridade Certificadora Digital (Certificate Authority). Para tanto, esta autoridade usa as mais avançadas técnicas de criptografia disponíveis e de padrões internacionais (norma ISO X.509 para Certificados Digitais), para a emissão e chancela digital dos Certificados de Identidade Digital. 25

26 CERTIFICADO DIGITAL O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mídia, como um token ou smart card. Exemplos semelhantes a um certificado digital são o CNPJ, RG, CPF e carteira de habilitação de uma pessoa. Cada um deles contém um conjunto de informações que identificam a instituição ou pessoa e a autoridade (para estes exemplos, órgãos públicos) que garante sua validade. 26

27 CERTIFICADO DIGITAL Algumas das principais informações encontradas em um certificado digital são: dados que identificam o dono (nome, número de identificação, estado, etc); nome da Autoridade Certificadora (AC) que emitiu o certificado; o número de série e o período de validade do certificado; a assinatura digital da AC. O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora) garante a veracidade das informações nele contidas. 27

28 CERTIFICADO DIGITAL Existem diversos protocolos que usam os certificados digitais para comunicações seguras na Internet: Secure Socket Layer ou SSL Secured Multipurpose Mail Extensions - S/MIME Form Signing Authenticode / Objectsigning 28

29 CERTIFICADO DIGITAL O SSL é talvez a mais difundida aplicação para os certificados digitais e é usado em praticamente todos os sites que fazem comércio eletrônico na rede. O SSL teve uma primeira fase de adoção onde apenas os servidores estavam identificados com certificados digitais, e assim tínhamos garantido, além da identidade do servidor, o sigilo na sessão. Entretanto, apenas com a chegada dos certificados para os browsers é que pudemos contar também com a identificação dos usuários. 29

30 CERTIFICADO DIGITAL 30

31 AUTORIDADE CERTIFICADORA (AC) Autoridade Certificadora (AC) é a entidade responsável por emitir certificados digitais. Estes certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituição, instituição, etc. Os certificados digitais possuem uma forma de assinatura eletrônica da AC que o emitiu. Graças à sua idoneidade, a AC é normalmente reconhecida por todos como confiável, fazendo o papel de Cartório Eletrônico. 31

32 AUTORIDADE DE REGISTRO (AR) São entidades operacionalmente vinculadas às Autoridades Certificadoras (Acs). São responsáveis pela identificação e pelo cadastramento de usuários na presença dos agentes registradores, pelo encaminhamento das solicitações de certificados digitais às Acs e pela manutenção dos registros de suas operações. 32

33 ASSINATURA DIGITAL A assinatura digital consiste na criação de um código, através da utilização de uma chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. Desta forma, é utilizado o método de criptografia de chaves pública e privada. 33

34 ASSINATURA DIGITAL A assinatura digital busca resolver dois problemas não garantidos apenas com uso da criptografia para codificar as informações: AUTENTICIDADE INTEGRIDADE Autenticidade porque, com a assinatura digital, garante que quem enviou a mensagem é quem diz ser. E Integridade, porque também garante que quem enviou mandou exatamente aquela mensagem. 34

35 ASSINATURA DIGITAL A assinatura digital se baseia em criptografia assimétrica. A diferença entre a assinatura digital e a criptografia assimétrica é a forma como as chaves são usadas. Na assinatura digital, o remetente usará a chave privada para assinar a mensagem. Por outro lado, o destinatário usará a chave pública do remetente para confirmar que ela foi enviada por aquela pessoa. Garantiremos, assim, que o remetente não vá dizer: Ei, não fui eu que mandei essa mensagem!. 35

36 Função de resumo (Hash) Uma função de resumo é um método criptográfico que, quando aplicado sobre uma informação, independente do tamanho que ela tenha, gera um resultado único de tamanho fixo, chamado hash 1. 36

37 Função de resumo (Hash) Hash é um método matemático que garante a integridade dos dados durante uma transferência qualquer. Quando o é enviado, é calculado o hash (através de um programa) e enviado junto com a mensagem. Quando a mensagem chega ao destinatário, ele calcula o hash e compara com o hash enviado pelo remetente. Se os resultados forem iguais, garante-se a integridade dos dados enviados. 37

38 Função de resumo (Hash) Você pode utilizar hash para: - Verificar a integridade de um arquivo armazenado em seu computador ou em seus backups; - Verificar a integridade de um arquivo obtido da Internet (alguns sites, além do arquivo em si, também disponibilizam o hash correspondente, para que você possa verificar se o arquivo foi corretamente transmitido e gravado); - Gerar assinaturas. Para verificar a integridade de um arquivo, por exemplo, você pode calcular o hash dele e, quando julgar necessário, gerar novamente este valor. Se os dois hashes forem iguais então você pode concluir que o arquivo não foi alterado. Caso contrário, este pode ser um forte indício de que o arquivo esteja corrompido ou que foi modificado. Exemplos de métodos de hash são: SHA- 256 e MD5. 38

39 39

40 Informática Segurança da Informação