Pacotão de segurança: identidade, criptografia e certificação digital

Pacotão de segurança: identidade, criptografia e certificação digital

Coluna responde dúvidas sobre o 'cadeado' de segurança.

Área de comentários está aberta para perguntas.

A coluna da segunda-feira passada levantou o assunto da certificação digital e leitores deixaram questões sobre o assunto. O pacotão de hoje esclarece a relação entre a criptografia e a verificação de identidade no mundo virtual, e as diferenças entre assinatura digital, certificação digital e token. Confira!

Identidade e criptografia Será que o articulista que se esqueceu de explicar também sobre o processo de criptografia de informações que são trafegadas entre o browser do cliente e o servidor do site acessado, dando maior segurança no caso de roubo destas informações? O certificado é muito mais do que uma simples identidade. Frederico Cabral

O leitor deixou essa pergunta na coluna sobre o funcionamento dos cadeados exibidos nos navegadores web em páginas ditas seguras. Na coluna, é explicado que o cadeado serve como uma identificação do site como um RG do banco, por exemplo. É um atestado de que aquele site (endereço) realmente pertence à instituição acessada e não foi desviado por algum criminoso ou erro de configuração na rede.

A coluna realmente não comentou questão da criptografia, ou seja, que a conexão, além de autenticada com a instituição, também está segura contra interceptação de informações porque teve seu conteúdo embaralhado. Mas há motivos para isso, Frederico.

Em primeiro lugar, não é difícil obter criptografia de dados na rede. Essa criptografia pode ser realizada por outros protocolos de segurança e mesmo certificados digitais inválidos são suficientes para proporcionar criptografia. A criptografia, por si só, não é uma tecnologia complexa ou que necessita de fornecedores é só um conjunto de fórmulas matemáticas.

Por outro lado, a criptografia, nesse contexto, é completamente inútil sem a autenticação das pontas da conexão (banco e cliente). Ou seja, o cliente precisa saber que está no banco e o banco precisa saber que está conversando com o mesmo cliente.

O banco compartilha com o cliente as informações necessárias para iniciar a comunicação segura. No entanto, se o banco não for quem ele diz ser, a comunicação segura (no sentido de codificada por criptografia) ainda será iniciada, porém com a instituição falsa.

Ou seja, a identidade na internet não é algo simples ou dispensável. Sem a identidade, não há utilidade para a criptografia, porque a criptografia, neste sentido, depende do fato de você estar conversando com a organização certa. A criptografia, por sua vez, exerce uma função garantidora: toda a comunicação criptografada passou pelos mesmos computadores, garantindo a integridade do que foi comunicado.

No fim das contas a criptografia é um meio, uma tecnologia necessária à identidade e ao sigilo. Uma tecnologia digital de codificação que não leva esse princípio em conta será eventualmente quebrada porque depende de um segredo que pode ser descoberto.

Certificado digital e assinatura digital Qual seria a diferença entre certificado digital e assinatura digital? E o que é o token e para que ele serve? ML Lima

A certificação digital é exatamente o que o nome sugere: um arquivo de computador (digital) que certifica que você é você. Ele faz isso normalmente por meio de uma sistema conhecido como sistema de chaves públicas e privadas.

A coluna já descreveu com detalhes como funciona esse sistema. Em poucas palavras, seu certificado digital é composto de dois arquivos: a chave pública e a chave privada.

A chave privada é secreta e jamais deve ser compartilhada. Se acontecer de ela vazar, precisará ser trocada. A chave pública você dará a outras pessoas.

A assinatura digital é sua marca feita em um documento, por exemplo, que você marcar como lido, como sendo seu ou que de outra forma esteja relacionado a você exatamente como uma assinatura em papel. Mas, ao invés de caneta, essa marca é feita com sua chave privada (que outras pessoas não têm e, portanto, não podem imitar). Mas detalhe: ela é feita de tal forma que sua chave pública (que qualquer pessoa pode obter) é capaz de autenticar essa assinatura, ou seja, garantir que ela é sua mesmo.

Se a chave privada não for comprometida, esse sistema garante que somente você pode assinar documentos, mas qualquer pessoa pode verificar essa assinatura. É mais rápido do que o sistema em papel, em que a verificação adequada de uma assinatura depende de um cartório ou de algum tipo de registro prévio e conferência manual. Qualquer computador pode verificar sua assinatura digital instantaneamente, desde que possa obter sua chave pública, mesmo que ele jamais tenha visto algo antes assinado por você.

Note que, além da assinatura, o certificado digital permite a criptografia, ou seja, permite que você codifique uma informação para que somente pessoas pré-determinadas possam ler seu conteúdo. Para colocar essas pessoas como destinatárias da informação, você precisa da chave pública delas. A partir disso, o código gerado só poderá ser decifrado pela chave privada do destinatário, que só ele possui.

Token é uma palavra que tem alguns significados diferentes para a segurança. Significa algo único. Por exemplo, um token de autenticação usado por alguns bancos no Brasil é um dispositivo que gera senhas únicas para serem usadas no internet banking.

No contexto de certificação digital, um token é um dispositivo que armazena sua chave privada com o objetivo de mantê-la secreta e realizar os cálculos de assinatura diretamente nesse token, sem que o arquivo do certificado precise ser copiado para o PC.

E a coluna Segurança Digital vai ficando por aqui, mas toda quarta-feira tem o pacotão, então não se esqueça de deixar sua dúvida na área de comentários. Até a próxima!

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna Segurança digital, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página https://twitter.com/g1seguranca.


 

Fonte: G1
Publicado em 08/06/2011

Extraído de Recivil

 

Notícias

Uso de criptomoedas não significa lavagem de dinheiro

Uso de criptomoedas não significa lavagem de dinheiro 13 de fevereiro de 2019, 15h46 Por Rhasmye El Rafih Não obstante, as moedas virtuais são sofisticadas tecnologias desenvolvidas para favorecer transações financeiras descentralizadas e céleres, sem a necessidade de intermediação por banco ou...
Leia mais

Herdeiro condenado pela Justiça perde o direito à herança? - Exame

Herdeiro condenado pela Justiça perde o direito à herança? - Exame Publicado em: 14/02/2019 Um herdeiro que está preso, condenado pela Justiça, perde seus direitos? Veja a resposta no vídeo de finanças pessoais, com o advogado Samir Choaib, especialista em direito sucessório.   Assista o...
Leia mais

Para a maioria dos magistrados, STF deve se submeter a uma corregedoria

CONTROLE E FISCALIZAÇÃO Para a maioria dos magistrados, STF deve se submeter a uma corregedoria 13 de fevereiro de 2019, 10h25 Por Fernanda Valente Os dados mostram que 95,9% dos juízes ativos de primeira instância são a favor da submissão a uma corregedoria. Confira a pesquisa em Consultor...
Leia mais

A uniformização da jurisprudência e a segurança jurídica

REFLEXÕES TRABALHISTAS A uniformização da jurisprudência e a segurança jurídica 8 de fevereiro de 2019, 8h00 Por Pedro Paulo Teixeira Manus A função institucional do Poder Judiciário é dizer o direito, proporcionando a segurança jurídica aos jurisdicionados. Prossiga em Consultor Jurídico
Leia mais

Telemedicina: CFM abre prazo de 60 dias para contribuições

Telemedicina: CFM abre prazo de 60 dias para contribuições Publicado em 07/02/2019 - 10:49 Por Paula Laboissière - Repórter da Agência Brasil  Brasília O Conselho Federal de Medicina (CFM) abriu prazo de 60 dias para receber contribuições relativas à Resolução nº 2.227/2018, que atualiza...
Leia mais

Plural TJMG - Direito à morte digna

Plural TJMG - Direito à morte digna Publicado em: 07/02/2019 Nos processos de doenças terminais, o que fazer até o dia de morrer? Qual é a diferença entre distanásia e cuidados paliativos? No Brasil, são proibidas as práticas da eutanásia e do suicídio assistido. Mas as pessoas podem se recusar a...
Leia mais

Câmara vai analisar criação de usinas eólicas e solares no mar

05/02/2019 - 17h21 Câmara vai analisar criação de usinas eólicas e solares no mar O Projeto de Lei 11247/18, do Senado, autoriza a implantação de usinas no mar para a geração de energia elétrica a partir de fontes eólica e solar. As plataformas poderão ser instaladas no mar territorial...
Leia mais

APELAÇÃO CÍVEL - EMBARGOS DE TERCEIRO - FILHOS - LEGITIMIDADE ATIVA - SUBSCRIÇÃO DE IMÓVEL SEM A ANUÊNCIA DO CÔNJUGE E DOS DEMAIS PROPRIETÁRIOS - NULIDADE...

Publicado em: 05/02/2019 APELAÇÃO CÍVEL - EMBARGOS DE TERCEIRO - FILHOS - LEGITIMIDADE ATIVA - SUBSCRIÇÃO DE IMÓVEL SEM A ANUÊNCIA DO CÔNJUGE E DOS DEMAIS PROPRIETÁRIOS - NULIDADE - DISTINÇÃO ENTRE SUBSCRIÇÃO E INTEGRALIZAÇÃO - AÇÃO DE RESPONSABILIDADE DOS SÓCIOS DE EMPRESA LIMITADA - PROTEÇÃO...
Leia mais
Dúvidas, consulte as fontes indicadas. Todos os direitos reservados