Pacotão de segurança: identidade, criptografia e certificação digital

Pacotão de segurança: identidade, criptografia e certificação digital

Coluna responde dúvidas sobre o 'cadeado' de segurança.

Área de comentários está aberta para perguntas.

A coluna da segunda-feira passada levantou o assunto da certificação digital e leitores deixaram questões sobre o assunto. O pacotão de hoje esclarece a relação entre a criptografia e a verificação de identidade no mundo virtual, e as diferenças entre assinatura digital, certificação digital e token. Confira!

Identidade e criptografia Será que o articulista que se esqueceu de explicar também sobre o processo de criptografia de informações que são trafegadas entre o browser do cliente e o servidor do site acessado, dando maior segurança no caso de roubo destas informações? O certificado é muito mais do que uma simples identidade. Frederico Cabral

O leitor deixou essa pergunta na coluna sobre o funcionamento dos cadeados exibidos nos navegadores web em páginas ditas seguras. Na coluna, é explicado que o cadeado serve como uma identificação do site como um RG do banco, por exemplo. É um atestado de que aquele site (endereço) realmente pertence à instituição acessada e não foi desviado por algum criminoso ou erro de configuração na rede.

A coluna realmente não comentou questão da criptografia, ou seja, que a conexão, além de autenticada com a instituição, também está segura contra interceptação de informações porque teve seu conteúdo embaralhado. Mas há motivos para isso, Frederico.

Em primeiro lugar, não é difícil obter criptografia de dados na rede. Essa criptografia pode ser realizada por outros protocolos de segurança e mesmo certificados digitais inválidos são suficientes para proporcionar criptografia. A criptografia, por si só, não é uma tecnologia complexa ou que necessita de fornecedores é só um conjunto de fórmulas matemáticas.

Por outro lado, a criptografia, nesse contexto, é completamente inútil sem a autenticação das pontas da conexão (banco e cliente). Ou seja, o cliente precisa saber que está no banco e o banco precisa saber que está conversando com o mesmo cliente.

O banco compartilha com o cliente as informações necessárias para iniciar a comunicação segura. No entanto, se o banco não for quem ele diz ser, a comunicação segura (no sentido de codificada por criptografia) ainda será iniciada, porém com a instituição falsa.

Ou seja, a identidade na internet não é algo simples ou dispensável. Sem a identidade, não há utilidade para a criptografia, porque a criptografia, neste sentido, depende do fato de você estar conversando com a organização certa. A criptografia, por sua vez, exerce uma função garantidora: toda a comunicação criptografada passou pelos mesmos computadores, garantindo a integridade do que foi comunicado.

No fim das contas a criptografia é um meio, uma tecnologia necessária à identidade e ao sigilo. Uma tecnologia digital de codificação que não leva esse princípio em conta será eventualmente quebrada porque depende de um segredo que pode ser descoberto.

Certificado digital e assinatura digital Qual seria a diferença entre certificado digital e assinatura digital? E o que é o token e para que ele serve? ML Lima

A certificação digital é exatamente o que o nome sugere: um arquivo de computador (digital) que certifica que você é você. Ele faz isso normalmente por meio de uma sistema conhecido como sistema de chaves públicas e privadas.

A coluna já descreveu com detalhes como funciona esse sistema. Em poucas palavras, seu certificado digital é composto de dois arquivos: a chave pública e a chave privada.

A chave privada é secreta e jamais deve ser compartilhada. Se acontecer de ela vazar, precisará ser trocada. A chave pública você dará a outras pessoas.

A assinatura digital é sua marca feita em um documento, por exemplo, que você marcar como lido, como sendo seu ou que de outra forma esteja relacionado a você exatamente como uma assinatura em papel. Mas, ao invés de caneta, essa marca é feita com sua chave privada (que outras pessoas não têm e, portanto, não podem imitar). Mas detalhe: ela é feita de tal forma que sua chave pública (que qualquer pessoa pode obter) é capaz de autenticar essa assinatura, ou seja, garantir que ela é sua mesmo.

Se a chave privada não for comprometida, esse sistema garante que somente você pode assinar documentos, mas qualquer pessoa pode verificar essa assinatura. É mais rápido do que o sistema em papel, em que a verificação adequada de uma assinatura depende de um cartório ou de algum tipo de registro prévio e conferência manual. Qualquer computador pode verificar sua assinatura digital instantaneamente, desde que possa obter sua chave pública, mesmo que ele jamais tenha visto algo antes assinado por você.

Note que, além da assinatura, o certificado digital permite a criptografia, ou seja, permite que você codifique uma informação para que somente pessoas pré-determinadas possam ler seu conteúdo. Para colocar essas pessoas como destinatárias da informação, você precisa da chave pública delas. A partir disso, o código gerado só poderá ser decifrado pela chave privada do destinatário, que só ele possui.

Token é uma palavra que tem alguns significados diferentes para a segurança. Significa algo único. Por exemplo, um token de autenticação usado por alguns bancos no Brasil é um dispositivo que gera senhas únicas para serem usadas no internet banking.

No contexto de certificação digital, um token é um dispositivo que armazena sua chave privada com o objetivo de mantê-la secreta e realizar os cálculos de assinatura diretamente nesse token, sem que o arquivo do certificado precise ser copiado para o PC.

E a coluna Segurança Digital vai ficando por aqui, mas toda quarta-feira tem o pacotão, então não se esqueça de deixar sua dúvida na área de comentários. Até a próxima!

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna Segurança digital, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página https://twitter.com/g1seguranca.


 

Fonte: G1
Publicado em 08/06/2011

Extraído de Recivil

 

Notícias

Requisito da publicidade pode ser flexibilizado em caso de união homoafetiva

COM MENOS RIGOR Requisito da publicidade pode ser flexibilizado em caso de união homoafetiva 17 de setembro de 2021, 7h37 Por Tábata Viapiana Entre os indícios da união estável entre o pai da autora e o réu, segundo o relator, está o fato de terem morado juntos por mais de 20 anos em três endereços...

É admissível penhora de bem de família do fiador de contrato de locação

LOCATÁRIA INADIMPLENTE É admissível penhora de bem de família do fiador de contrato de locação 14 de setembro de 2021, 7h48 Por Tábata Viapiana Ao TJ-SP, os fiadores disseram que são idosos e que o imóvel se trata de bem de família, ou seja, impenhorável. Prossiga em Consultor Jurídico  

Cobrança de aluguel de imóvel ocupado por ex-cônjuge requer prévia notificação

Cobrança de aluguel de imóvel ocupado por ex-cônjuge requer prévia notificação por BEA — publicado 4 dias atrás A 8ª Turma Cível do Tribunal de Justiça do Distrito Federal e dos Territórios - TJDFT, por unanimidade, negou recurso da autora e manteve sentença da juíza da 9ª Vara Cível de Brasília,...

ITCMD não pode ser cobrado sobre heranças e doações no exterior, conclui STF

ITCMD não pode ser cobrado sobre heranças e doações no exterior, conclui STF FLÁVIA MAIA BRASÍLIA 06/09/2021 14:42 Os ministros definiram, ainda, que ficam excluídas as ações judiciais nas quais se discuta a qual estado o contribuinte deve efetuar o pagamento do ITCMD sobre heranças, considerando a...

Juiz aplica Lei Maria da Penha a caso de homem agredido por vizinhos

Juiz aplica Lei Maria da Penha a caso de homem agredido por vizinhos Publicado por DR. ADEvogadohá 12 minutos Nada impede que o magistrado amplie o alcance da Lei Maria da Penha, não para aplicá-la na integralidade, mas apenas a parte que determina que se evitem novos ilícitos ou potenciais...