Pacotão de segurança: identidade, criptografia e certificação digital

Pacotão de segurança: identidade, criptografia e certificação digital

Coluna responde dúvidas sobre o 'cadeado' de segurança.

Área de comentários está aberta para perguntas.

A coluna da segunda-feira passada levantou o assunto da certificação digital e leitores deixaram questões sobre o assunto. O pacotão de hoje esclarece a relação entre a criptografia e a verificação de identidade no mundo virtual, e as diferenças entre assinatura digital, certificação digital e token. Confira!

Identidade e criptografia Será que o articulista que se esqueceu de explicar também sobre o processo de criptografia de informações que são trafegadas entre o browser do cliente e o servidor do site acessado, dando maior segurança no caso de roubo destas informações? O certificado é muito mais do que uma simples identidade. Frederico Cabral

O leitor deixou essa pergunta na coluna sobre o funcionamento dos cadeados exibidos nos navegadores web em páginas ditas seguras. Na coluna, é explicado que o cadeado serve como uma identificação do site como um RG do banco, por exemplo. É um atestado de que aquele site (endereço) realmente pertence à instituição acessada e não foi desviado por algum criminoso ou erro de configuração na rede.

A coluna realmente não comentou questão da criptografia, ou seja, que a conexão, além de autenticada com a instituição, também está segura contra interceptação de informações porque teve seu conteúdo embaralhado. Mas há motivos para isso, Frederico.

Em primeiro lugar, não é difícil obter criptografia de dados na rede. Essa criptografia pode ser realizada por outros protocolos de segurança e mesmo certificados digitais inválidos são suficientes para proporcionar criptografia. A criptografia, por si só, não é uma tecnologia complexa ou que necessita de fornecedores é só um conjunto de fórmulas matemáticas.

Por outro lado, a criptografia, nesse contexto, é completamente inútil sem a autenticação das pontas da conexão (banco e cliente). Ou seja, o cliente precisa saber que está no banco e o banco precisa saber que está conversando com o mesmo cliente.

O banco compartilha com o cliente as informações necessárias para iniciar a comunicação segura. No entanto, se o banco não for quem ele diz ser, a comunicação segura (no sentido de codificada por criptografia) ainda será iniciada, porém com a instituição falsa.

Ou seja, a identidade na internet não é algo simples ou dispensável. Sem a identidade, não há utilidade para a criptografia, porque a criptografia, neste sentido, depende do fato de você estar conversando com a organização certa. A criptografia, por sua vez, exerce uma função garantidora: toda a comunicação criptografada passou pelos mesmos computadores, garantindo a integridade do que foi comunicado.

No fim das contas a criptografia é um meio, uma tecnologia necessária à identidade e ao sigilo. Uma tecnologia digital de codificação que não leva esse princípio em conta será eventualmente quebrada porque depende de um segredo que pode ser descoberto.

Certificado digital e assinatura digital Qual seria a diferença entre certificado digital e assinatura digital? E o que é o token e para que ele serve? ML Lima

A certificação digital é exatamente o que o nome sugere: um arquivo de computador (digital) que certifica que você é você. Ele faz isso normalmente por meio de uma sistema conhecido como sistema de chaves públicas e privadas.

A coluna já descreveu com detalhes como funciona esse sistema. Em poucas palavras, seu certificado digital é composto de dois arquivos: a chave pública e a chave privada.

A chave privada é secreta e jamais deve ser compartilhada. Se acontecer de ela vazar, precisará ser trocada. A chave pública você dará a outras pessoas.

A assinatura digital é sua marca feita em um documento, por exemplo, que você marcar como lido, como sendo seu ou que de outra forma esteja relacionado a você exatamente como uma assinatura em papel. Mas, ao invés de caneta, essa marca é feita com sua chave privada (que outras pessoas não têm e, portanto, não podem imitar). Mas detalhe: ela é feita de tal forma que sua chave pública (que qualquer pessoa pode obter) é capaz de autenticar essa assinatura, ou seja, garantir que ela é sua mesmo.

Se a chave privada não for comprometida, esse sistema garante que somente você pode assinar documentos, mas qualquer pessoa pode verificar essa assinatura. É mais rápido do que o sistema em papel, em que a verificação adequada de uma assinatura depende de um cartório ou de algum tipo de registro prévio e conferência manual. Qualquer computador pode verificar sua assinatura digital instantaneamente, desde que possa obter sua chave pública, mesmo que ele jamais tenha visto algo antes assinado por você.

Note que, além da assinatura, o certificado digital permite a criptografia, ou seja, permite que você codifique uma informação para que somente pessoas pré-determinadas possam ler seu conteúdo. Para colocar essas pessoas como destinatárias da informação, você precisa da chave pública delas. A partir disso, o código gerado só poderá ser decifrado pela chave privada do destinatário, que só ele possui.

Token é uma palavra que tem alguns significados diferentes para a segurança. Significa algo único. Por exemplo, um token de autenticação usado por alguns bancos no Brasil é um dispositivo que gera senhas únicas para serem usadas no internet banking.

No contexto de certificação digital, um token é um dispositivo que armazena sua chave privada com o objetivo de mantê-la secreta e realizar os cálculos de assinatura diretamente nesse token, sem que o arquivo do certificado precise ser copiado para o PC.

E a coluna Segurança Digital vai ficando por aqui, mas toda quarta-feira tem o pacotão, então não se esqueça de deixar sua dúvida na área de comentários. Até a próxima!

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna Segurança digital, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página https://twitter.com/g1seguranca.

Fonte: G1
Publicado em 08/06/2011

Extraído de Recivil