Professional Documents
Culture Documents
Criptografia
Conceitos
O que veremos:
Criptografia
◦ Conceito de criptografia
◦ História da criptografia
CHAVES
Hierarquias
Certificados Digitais
◦ Tipos de certificados
Como identificar se um site é seguro
Escrita Cifrada
A escrita cifrada é uma "mania" muito
antiga. Foi só o homem inventar o alfabeto
e começar a escrever que logo surgiu a
vontade de escrever textos secretos. Os
métodos ou códigos utilizados para criar
uma mensagem cifrada evoluíram
lentamente. No início, havia poucas
pessoas que sabiam escrever e pouca
necessidade de esconder o conteúdo de
qualquer mensagem.
Criptografia – conceitos:
"Cripto" vem do grego kryptós e significa oculto, envolto, escondido. Também do grego,
graphos significa escrever, logos significa estudo, ciência e analysis significa
decomposição. Daí, CRIPTOLOGIA é o estudo da escrita cifrada e se ocupa com a
CRIPTOGRAFIA, a escrita secreta, e a CRIPTOANÁLISE, a quebra do segredo.
Carta
Sou Carlos Drummond de Andrade.
Enigmática
São 3 os tipos de
criptografia:
São 3 os tipos de
criptografia:
Criptografia clássica
Criptografia moderna
Criptografia quântica
Não se engane!
Criptologia é ("o estudo dos segredos")
É importante frisar a diferença entre a esteganografia e a criptografia. Enquanto a primeira oculta a existência
da mensagem, a segunda oculta o significado da mensagem. Muitas vezes, as duas são utilizadas em
conjunto.
Organograma
simplificado da Criptologia
A criptografia busca
os seguintes objetivos:
Confidencialidade: só o destinatário autorizado será capaz de
extrair o conteúdo da mensagem da sua forma cifrada. Além
disso, a obtenção de informação sobre o conteúdo da
mensagem (como uma distribuição estatística de certos
caracteres) não pode acontecer, uma vez que, se ocorrer, torna
fácil a análise da mensagem criptográfica por terceiros.
± 1500 a.C.
A criptografia da Mesopotâmia ultrapassou a egípcia, chegando a
um nível mais avançado. O primeiro registro do uso da
criptografia nesta região está numa fórmula para fazer esmaltes
para cerâmica. O tablete de argila que contém a fórmula tem
apenas cerca de 8 cm x 5 cm e foi achado às margens do rio
Tigre. Usava símbolos especiais que podem ter vários
significados diferentes. (Kahn)
Nesta época, mercadores assírios usavam "intaglios", que são
peças planas de pedra com inscrições de símbolos que os
identificavam. O moderno comércio com assinaturas digitais
estava inventado!
Esta também foi a época em que culturas como a do Egito, China, Índia e da
Mesopotâmia desenvolveram a esteganografia:
± 300 a.C.
Artha-sastra, um livro atribuído a Kautilya, foi escrito na Índia. Cita diversas cifras criptográficas e
recomenda uma variedade de métodos de criptoanálise (o processo de quebrar códigos) para obter
relatórios de espionagem. Os processos são recomendados para diplomatas.
Euclides de Alexandria, matemático grego que viveu aproximadamente de 330 a.C. a 270 a.C.,
compilou e sistematizou o que havia na época sobre geometria e teoria dos números. É o famoso
texto "Elementos", o livro mais publicado na história da humanidade (não é a Bíblia, como se costuma
dizer). Euclides nem de longe poderia imaginar a tremenda influência que sua obra teria nos dias da
moderna criptologia feita por computador.
Erastótenes de Cirene, filósofo e geômetra grego, viveu de 276 a.C. a 194 a.C. Conhecido como
criador de um método para identificar números primos, chamado de crivo de Erastótenes, e por ter
calculado o diâmetro da Terra com surpreendente precisão.
± 200 a.C.
Políbio, um historiador grego nascido em Megalópolis e que viveu de 204 a.C. a 122 a.C., escreveu
vários livros sobre o Império Romano. Descreveu também uma cifra de substituição que converte os
caracteres da mensagem clara em cifras que, apesar de não ser da sua autoria, ficou conhecida como
Código de Políbio.
± 130 a.C.
Em Uruk, na região do atual Iraque, era comum os escribas transformarem seus nomes em números
dentro do emblema que identificava seus trabalhos. A prática, provavelmente, era apenas para
divertir os leitores e não estava relacionada à segurança.
50 a.C.
O imperador romano Júlio César usou uma cifra de substituição para aumentar a
segurança de mensagens governamentais. César alterou as letras desviando-as em três
posições - A se tornava D, B se tornava E, etc. Às vezes, César reforçava sua cifragem
substituindo letras latinas por letras gregas.
O Código de César é o único da Antiguidade que continua sendo usado até hoje.
Atualmente denomina-se qualquer cifra baseada na substituição cíclica do alfabeto de
Código de César.
79 d.C.
A fórmula Sator ou quadrado latino é encontrado em escavações feitas em Pompéia, inscrito numa
coluna. Ocorre também num amuleto de bronze, originário da Ásia Menor, datado do século V. As
Criptografia Clássica
A criptografia pré-computacional era formada
por um conjunto de métodos de
substituição e transposição de caracteres
de uma mensagem que pudessem ser
executados manualmente (ou até mesmo
mentalmente) pelo emissor e pelo destinatário
da mensagem.
Transposição
O bastão espartano cedeu o lugar à
“Se ele tinha qualquer coisa confidencial a dizer, escrevia cifrado, isto é, mudando a
ordem das letras do alfabeto, e nenhuma palavra poderia ser compreendida. Se
alguém quisesse decifrar a mensagem e entender seu significado, deveria substituir
a quarta letra do alfabeto, a saber 'D', por 'A', e assim por diante com as outras.[1]
Embora César tenha sido o primeiro a ser lembrado por usar este esquema, outras
cifras de substituição já eram conhecidas e usadas anteriormente. O sobrinho de Júlio
César, Augusto também usou a cifra, mas com troca de uma posição:
“Sempre que escrevia cifrado, escrevia B para A, C para B, e o resto das letras com o
mesmo princípio, usando AA para X.[2]
Existem evidências de que Júlio César usava sistemas mais complicados também, e
um escritor, Aulus Gellius, refere-se a um tratado cifrado, entretanto perdido:
“Existe até mesmo um tratado engenhosamente escrito pelo gramático Probus sobre
o significado secreto das letras na composição das epístolas de César.[3] “
As máquinas
Enigma é o nome por que é conhecida
uma máquina electro-mecânica de
criptografia com rotores, utilizada
tanto para a criptografar como para a
descriptografar mensagens secretas,
usada em várias formas na Europa a
partir dos anos 1920. A sua fama vem
de ter sido adaptada pela maior parte
das forças militares alemãs a partir de
cerca de 1930. A facilidade de uso e a
suposta indecifrabilidade do código
foram as principais razões para a sua
popularidade. O código foi, no
entanto, decifrado, e a informação
contida nas mensagens que ele não
protegeu é geralmente tida como
responsável pelo fim da Segunda
Guerra Mundial pelo menos um ano
antes do que seria de prever.
Criptografia Moderna & Quântica
A era da criptografia moderna começa realmente O desenvolvimento da técnica reunindo o conceito
com Claude Shannon, possivelmente o pai da de criptografia e a teoria quântica é mais antigo do
criptografia matemática. Em 1949 ele publicou um que se imagina, sendo anterior à descoberta da
artigo Communication Theory of Secrecy Systems criptografia de Chave Pública. Stephen Wiesner
com Warren Weaver. Este artigo, junto com outros escreveu um artigo por volta de 1970 com o título:
de seus trabalhos que criaram a área de "Conjugate Coding" que permaneceu sem ser
Teoria da Informação estabeleceu uma base teórica publicado até o ano de 1983. Em seu artigo,
sólida para a criptografia e para a criptoanálise. Wiesner explicava como a teoria quântica poderia
Depois disso, quase todo o trabalho realizado em ser usada para unir duas mensagens em uma única
criptografia se tornou secreto, realizado em transmissão quântica na qual o receptor poderia
organizações governamentais especializadas (como decodificar cada uma das mensagens porém nunca
o NSA nos Estados Unidos). Apenas em meados de as duas simultaneamente devido à impossibilidade
1970 as coisas começaram a mudar. de violar uma lei da natureza (o Princípio de
Em 1976 aconteceram dois grandes marcos da Incerteza de Heisenberg).
criptografia para o público. O primeiro foi a Utilizando-se fótons, a Criptografia Quântica
publicação, pelo governo americano, do DES (Data permite que duas pessoas escolham uma chave
Encryption Standard), um algoritmo aberto de secreta que não pode ser quebrada por qualquer
criptografia simétrica, selecionado pela NIST em algoritmo, em virtude de não ser gerada
um concurso onde foi escolhido uma variante do matematicamente, mesmo se utilizando um canal
algoritmo Lucifer, proposto pela IBM. O DES foi o público e inseguro. É interessante notar a mudança
primeiro algoritmo de criptografia disponibilizado que se processará nos métodos criptográficos que,
abertamente ao mercado. atualmente, estão amparados na Matemática mas,
com a introdução desse conceito de mensagens
criptografadas por chaves quânticas passam a ter
na Física sua referência.
Criptografia Simétrica Criptografia Assimétrica
A criptografia de chave pública ou criptografia Os algoritmos de chave-simétrica (também
assimétrica é um método de criptografia que chamados de Sistemas de Chaves Simétricas,
utiliza um par de chaves: uma chave pública e criptografia de chave única, ou criptografia de
uma chave privada. A chave pública é chave secreta) são uma classe de algoritmos
distribuída livremente para todos os para a criptografia, que usam chaves
correspondentes via e-mail ou outras formas, criptográficas relacionadas para a decifragem e
enquanto a chave privada deve ser conhecida a cifragem. A chave de criptografia é
apenas pelo seu dono. relacionada insignificativamente à chave de
decifração, que pode ser idêntica ou ter uma
simples transformação entre as duas chaves.
As chaves, na prática, representam um
Num algoritmo de criptografia assimétrica, uma segredo, compartilhado entre duas ou mais
mensagem cifrada (encriptada é um termo partes, que podem ser usadas para manter um
incorrecto) com a chave pública pode somente canal confidencial de informação. Usa-se uma
ser decifrada pela sua chave privada única chave, compartilhada por ambos os
correspondente. interlocutores, na premissa de que esta é
conhecida apenas por eles.
A utilização da assinatura digital providencia a prova inegável de que uma mensagem veio
do emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes
propriedades:
* autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo emissor;
* integridade - qualquer alteração da mensagem faz com que a assinatura não
corresponda mais ao documento;
* não repúdio ou irretratabilidade - o emissor não pode negar a autenticidade da
mensagem.
Para que possa ser aceito e utilizado por pessoas, empresas e governos, os certificados digitais precisam ser emitidos
por entidades apropriadas. Sendo assim, o primeiro passo é procurar uma Autoridade Certificadora (AC) ou uma
Autoridade de Registro (AR) para obter um certificado digital. Uma AC tem a função de associar uma identidade a uma
chave e "inserir" esses dados em um certificado digital. Para tanto, o solicitante deve fornecer documentos que
comprovem sua identificação. Já uma AR tem uma função intermediária, já ela pode solicitar certificados digitais a uma
AC, mas não pode emitir esse documento diretamente.
É conveniente que cada nação conte com uma Infra-estrutura de Chaves Públicas (ICP) ou, em inglês, Public Key
Infrastructure (PKI), isto é, um conjunto de políticas, técnicas e procedimentos para que a certificação digital tenha
amparo legal e forneça benefícios reais à sua população. O Brasil conta com a ICP-Brasil para essa finalidade.
A ICP-Brasil trabalha com uma hierarquia onde a AC-Raiz, isto é, a instituição que gera as chaves das ACs e que
regulamenta as atividades de cada uma, é o Instituto Nacional de Tecnologia da Informação (ITI).
Tipos de Certificados
A ICP-Brasil oferece duas categorias de certificados digitais: A e S, sendo que cada uma se divide em quatro tipos: A1, A2,
A3 e A4; S1, S2, S3 e S4. A categoria A é direcionada para fins de identificação e autenticação, enquanto que o tipo S é
direcionado a atividades sigilosas.
A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo
de armazenamento (como um HD); validade máxima de um ano;
A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão
inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade máxima de dois anos;
A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão
inteligente ou token; validade máxima de três anos;
A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão
inteligente ou token; validade máxima de três anos.
Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado no computador do
solicitante, enquanto que o segundo é guardado em cartões inteligentes (smartcards) ou tokens protegidos por senha.
e-CPF e e-CNPJ
Falar de certificação digital no Brasil frequentemente remete a duas importantes iniciativas: o e-CPF e o e-CNPJ. O primeiro
é, essencialmente, um certificado digital direcionado a pessoas físicas, sendo uma espécie de extensão do CPF (Cadastro
de Pessoa Física), enquanto que o segundo é um certificado digital que se destina a empresas ou entidades, de igual
forma, sendo um tipo de extensão do CNPJ (Cadastro Nacional da Pessoa Jurídica).
Ao adquirir um e-CPF, uma pessoa tem acesso pela internet a diversos serviços da Receita Federal, muitos dos quais até
então disponíveis apenas em postos de atendimento da instituição. É possível, por exemplo, transmitir declarações de
imposto de renda de maneira mais segura, consultar detalhes das declarações, pesquisar situação fiscal, corrigir erros de
pagamentos, entre outros. No caso do e-CNPJ, os benefícios são semelhantes.
Como identificadar
se um site é seguro
A utilização do Certificado Digital
para servidor web em conjunto com a
tecnologia SSL (Secure Socket Layer),
também conhecida como TLS
(Transport Layer Security), possibilita
criptografar e proteger as
informações transmitidas pela
Internet, garantindo uma conexão
segura entre o navegador do usuário
e o servidor web.
Criptografia & ITI (ICP Brasil)
Obrigad
o!
Marcos Raul de Oliveira é formado em administração em marketing e
atua na PICTI com soluções de integração entre a comunicação da
tecnologia e do marketing. Nas horas vagas mantém alguns blogs, colabora
com publicações de informática e tenta simplificar o uso da tecnologia
através de informação e desmistificação. Autor de três livros na área de
informática e administração, colocou seu primeiro site no ar no século
passado, em 1997 e desde então mantém uma participação ativa no
mundo virtual-real.
Sobre a PICTI: