Pacotão de segurança: identidade, criptografia e certificação digital

Pacotão de segurança: identidade, criptografia e certificação digital

Coluna responde dúvidas sobre o 'cadeado' de segurança.

Área de comentários está aberta para perguntas.

A coluna da segunda-feira passada levantou o assunto da certificação digital e leitores deixaram questões sobre o assunto. O pacotão de hoje esclarece a relação entre a criptografia e a verificação de identidade no mundo virtual, e as diferenças entre assinatura digital, certificação digital e token. Confira!

Identidade e criptografia Será que o articulista que se esqueceu de explicar também sobre o processo de criptografia de informações que são trafegadas entre o browser do cliente e o servidor do site acessado, dando maior segurança no caso de roubo destas informações? O certificado é muito mais do que uma simples identidade. Frederico Cabral

O leitor deixou essa pergunta na coluna sobre o funcionamento dos cadeados exibidos nos navegadores web em páginas ditas seguras. Na coluna, é explicado que o cadeado serve como uma identificação do site como um RG do banco, por exemplo. É um atestado de que aquele site (endereço) realmente pertence à instituição acessada e não foi desviado por algum criminoso ou erro de configuração na rede.

A coluna realmente não comentou questão da criptografia, ou seja, que a conexão, além de autenticada com a instituição, também está segura contra interceptação de informações porque teve seu conteúdo embaralhado. Mas há motivos para isso, Frederico.

Em primeiro lugar, não é difícil obter criptografia de dados na rede. Essa criptografia pode ser realizada por outros protocolos de segurança e mesmo certificados digitais inválidos são suficientes para proporcionar criptografia. A criptografia, por si só, não é uma tecnologia complexa ou que necessita de fornecedores é só um conjunto de fórmulas matemáticas.

Por outro lado, a criptografia, nesse contexto, é completamente inútil sem a autenticação das pontas da conexão (banco e cliente). Ou seja, o cliente precisa saber que está no banco e o banco precisa saber que está conversando com o mesmo cliente.

O banco compartilha com o cliente as informações necessárias para iniciar a comunicação segura. No entanto, se o banco não for quem ele diz ser, a comunicação segura (no sentido de codificada por criptografia) ainda será iniciada, porém com a instituição falsa.

Ou seja, a identidade na internet não é algo simples ou dispensável. Sem a identidade, não há utilidade para a criptografia, porque a criptografia, neste sentido, depende do fato de você estar conversando com a organização certa. A criptografia, por sua vez, exerce uma função garantidora: toda a comunicação criptografada passou pelos mesmos computadores, garantindo a integridade do que foi comunicado.

No fim das contas a criptografia é um meio, uma tecnologia necessária à identidade e ao sigilo. Uma tecnologia digital de codificação que não leva esse princípio em conta será eventualmente quebrada porque depende de um segredo que pode ser descoberto.

Certificado digital e assinatura digital Qual seria a diferença entre certificado digital e assinatura digital? E o que é o token e para que ele serve? ML Lima

A certificação digital é exatamente o que o nome sugere: um arquivo de computador (digital) que certifica que você é você. Ele faz isso normalmente por meio de uma sistema conhecido como sistema de chaves públicas e privadas.

A coluna já descreveu com detalhes como funciona esse sistema. Em poucas palavras, seu certificado digital é composto de dois arquivos: a chave pública e a chave privada.

A chave privada é secreta e jamais deve ser compartilhada. Se acontecer de ela vazar, precisará ser trocada. A chave pública você dará a outras pessoas.

A assinatura digital é sua marca feita em um documento, por exemplo, que você marcar como lido, como sendo seu ou que de outra forma esteja relacionado a você exatamente como uma assinatura em papel. Mas, ao invés de caneta, essa marca é feita com sua chave privada (que outras pessoas não têm e, portanto, não podem imitar). Mas detalhe: ela é feita de tal forma que sua chave pública (que qualquer pessoa pode obter) é capaz de autenticar essa assinatura, ou seja, garantir que ela é sua mesmo.

Se a chave privada não for comprometida, esse sistema garante que somente você pode assinar documentos, mas qualquer pessoa pode verificar essa assinatura. É mais rápido do que o sistema em papel, em que a verificação adequada de uma assinatura depende de um cartório ou de algum tipo de registro prévio e conferência manual. Qualquer computador pode verificar sua assinatura digital instantaneamente, desde que possa obter sua chave pública, mesmo que ele jamais tenha visto algo antes assinado por você.

Note que, além da assinatura, o certificado digital permite a criptografia, ou seja, permite que você codifique uma informação para que somente pessoas pré-determinadas possam ler seu conteúdo. Para colocar essas pessoas como destinatárias da informação, você precisa da chave pública delas. A partir disso, o código gerado só poderá ser decifrado pela chave privada do destinatário, que só ele possui.

Token é uma palavra que tem alguns significados diferentes para a segurança. Significa algo único. Por exemplo, um token de autenticação usado por alguns bancos no Brasil é um dispositivo que gera senhas únicas para serem usadas no internet banking.

No contexto de certificação digital, um token é um dispositivo que armazena sua chave privada com o objetivo de mantê-la secreta e realizar os cálculos de assinatura diretamente nesse token, sem que o arquivo do certificado precise ser copiado para o PC.

E a coluna Segurança Digital vai ficando por aqui, mas toda quarta-feira tem o pacotão, então não se esqueça de deixar sua dúvida na área de comentários. Até a próxima!

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna Segurança digital, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página https://twitter.com/g1seguranca.


 

Fonte: G1
Publicado em 08/06/2011

Extraído de Recivil

 

Notícias

Plano de previdência privada é impenhorável, decide TRT-2

CARÁTER DE SUBSISTÊNCIA Plano de previdência privada é impenhorável, decide TRT-2 18 de abril de 2019, 10h11 No processo, a autora pediu que fossem penhorados os planos de previdência dos sócios da devedora, já que não foram encontrados bens em nome da empresa para quitar a dívida...
Leia mais

IBDFAM: É POSSÍVEL RENUNCIAR À HERANÇA EM PACTO ANTENUPCIAL?

IBDFAM: É POSSÍVEL RENUNCIAR À HERANÇA EM PACTO ANTENUPCIAL? Publicado em: 11/04/2019 De autoria de Mário Luiz Delgado, diretor nacional do Instituto Brasileiro de Direito de Família – Ibdfam, e Jânio Urbano Marinho Júnior, defensor público federal, o artigo “Posso renunciar à herança em pacto...
Leia mais

Sou menor, posso me casar?

Sou menor, posso me casar? Publicado em 10/04/2019  Portal Veneza Foi sancionada no último dia 13 de março, pelo presidente da República, a lei que proíbe o casamento de menores de 16 anos. O projeto de lei que passou pela câmara e pelo senado era de autoria da ex-deputada federal Laura...
Leia mais

Agente responsável por multa de trânsito não será mais identificado

Agente responsável por multa de trânsito não será mais identificado Determinação foi publicada no DOU e tem como intuito proteger os fiscais, que podem sofrer retaliações por terem registrado uma infração Por AutoPapo02/04/19 às 21h04 Em outubro de 2017 o AutoPapo noticiou que a Resolução nº 709 do...
Leia mais

Vetada dispensa de reavaliação de aposentado portador de HIV

10/04/2019 - 14h31 Vetada dispensa de reavaliação de aposentado portador de HIV O presidente da República, Jair Bolsonaro, vetou integralmente o projeto que dispensava de reavaliação pericial a pessoa com HIV/aids aposentada por invalidez (PL 10159/18). O texto havia...
Leia mais

Validade da carteira de motorista pode passar para 10 anos

Validade da carteira de motorista pode passar para 10 anos Projeto do governo também prevê aumento da pontuação de multas Publicado em 09/04/2019 - 20:31 Por Pedro Rafael Vilela - Repórter da Agência Brasil  Brasília O governo federal vai apresentar um projeto de lei para ampliar a validade da...
Leia mais

União estável: início e fim

União estável: início e fim Os parceiros que decidem viver em união estável podem determinar como irão proceder com os seus bens - os que já possuem e os que vão adquirir no futuro. Por Luciana Gouvêa* Publicado às 09h00 de 07/04/2019 Rio - Os casais estão preferindo se juntar a se casar, segundo...
Leia mais

Mais uma armadilha do novo CPC: o início do prazo de contestação

PARADOXO DA CORTE Mais uma armadilha do novo CPC: o início do prazo de contestação 22 de agosto de 2017, 8h00 Por José Rogério Cruz e Tucci É, de fato, interessante observar, depois de anos e anos de exercício profissional, o hábito que temos de raciocinar como se nada tivesse sido alterado, mesmo...
Leia mais

Idoso de 99 anos pede o divórcio após descobrir traição em 1940

Idoso de 99 anos pede o divórcio após descobrir traição em 1940 Ele estava vasculhando uma velha cômoda quando fez uma descoberta surpreendente 04/04/2019 09:27 Um caso inusitado aconteceu com um casal italiano. O marido, de 99 anos de idade, pediu o divórcio após descobrir que sua esposa havia o...
Leia mais
Dúvidas, consulte as fontes indicadas. Todos os direitos reservados