Comit Gestor da Internet no Brasil

Cartilha de Segurana para Internet

Parte I: Conceitos de Segurana

Verso 3.1 2006

CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil

Cartilha de Seguranca para Internet Parte I: Conceitos de Seguranca

Esta parte da Cartilha apresenta conceitos de seguranca de computa ` dores, onde s o abordados temas relacionados as senhas, engenharia a social, malware, vulnerabilidade, ataques de negacao de servico, crip tograa e certicados digitais. Os conceitos aqui apresentados s o ima portantes para o entendimento de partes subseq entes desta Cartilha. u

Versao 3.1 Outubro de 2006

http://cartilha.cert.br/

Parte I: Conceitos de Seguranca

Sum rio a
1 Seguranca de Computadores 1.1 Por que devo me preocupar com a seguranca do meu computador? . . . . . . . . . . 1.2 Por que algu m iria querer invadir meu computador? . . . . . . . . . . . . . . . . . e Senhas 2.1 O que n o se deve usar na elaboracao de uma senha? . . . . . . . . . a 2.2 O que e uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Como elaborar uma boa senha? . . . . . . . . . . . . . . . . . . . . . 2.4 Quantas senhas diferentes devo usar? . . . . . . . . . . . . . . . . . . 2.5 Com que freq encia devo mudar minhas senhas? . . . . . . . . . . . u 2.6 Quais os cuidados especiais que devo ter com as senhas? . . . . . . . 2.7 Que cuidados devo ter com o usu rio e senha de Administrator (ou a computador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cookies Engenharia Social 4.1 Que exemplos podem ser citados sobre este m todo de ataque? . . . . . . . . . . . . e Vulnerabilidade C digos Maliciosos (Malware) o Negacao de Servico (Denial of Service) 7.1 O que e DDoS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Se uma rede ou computador sofrer um DoS, isto signica que houve uma invas o? . a Criptograa 8.1 O que e criptograa de chave unica? . . . . . . . . . . . . . . 8.2 O que e criptograa de chaves p blica e privada? . . . . . . . u 8.3 O que e assinatura digital? . . . . . . . . . . . . . . . . . . . 8.4 Que exemplos podem ser citados sobre o uso de criptograa chaves p blica e privada? . . . . . . . . . . . . . . . . . . . . u 8.5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . 3 3 3 4 4 5 5 5 6 6 6 7 7 8 8 9 9 9 10 10 10 11 11 12 12 13 13 13 14 14 14

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . root) em um . . . . . . . .

3 4

5 6 7

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . de chave unica e . . . . . . . . . . . . . . . . . . . .

. . . . . . de . . . .

Certicado Digital 9.1 O que e Autoridade Certicadora (AC)? . . . . . . . . . . . . . . . . . . . . . . . . 9.2 Que exemplos podem ser citados sobre o uso de certicados? . . . . . . . . . . . . .

Como Obter este Documento Licenca de Uso da Cartilha Agradecimentos

Cartilha de Seguranca para Internet c 2006 CERT.br

2/14

Parte I: Conceitos de Seguranca

Seguranca de Computadores

Um computador (ou sistema computacional) e dito seguro se este atende a tr s requisitos b sicos e a relacionados aos recursos que o comp em: condencialidade, integridade e disponibilidade. o A condencialidade diz que a informacao s est disponvel para aqueles devidamente autoriza o a dos; a integridade diz que a informacao n o e destruda ou corrompida e o sistema tem um desempe a nho correto, e a disponibilidade diz que os servicos/recursos do sistema est o disponveis sempre que a forem necess rios. a Alguns exemplos de violacoes a cada um desses requisitos s o: a Condencialidade: algu m obt m acesso n o autorizado ao seu computador e l todas as informae e a e coes contidas na sua declaracao de Imposto de Renda; Integridade: algu m obt m acesso n o autorizado ao seu computador e altera informacoes da sua e e a declaracao de Imposto de Renda, momentos antes de voc envi -la a Receita Federal; e a ` Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negacao de servico e por este motivo voc ca impossibilitado de enviar sua declaracao de Imposto de e ` Renda a Receita Federal.

1.1

Por que devo me preocupar com a seguranca do meu computador?

Computadores dom sticos s o utilizados para realizar in meras tarefas, tais como: transacoes e a u nanceiras, sejam elas banc rias ou mesmo compra de produtos e servicos; comunicacao, por exemplo, a atrav s de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. e E importante que voc se preocupe com a seguranca de seu computador, pois voc , provavelmente, e e n o gostaria que: a suas senhas e n meros de cart es de cr dito fossem furtados e utilizados por terceiros; u o e sua conta de acesso a Internet fosse utilizada por algu m n o autorizado; e a seus dados pessoais, ou at mesmo comerciais, fossem alterados, destrudos ou visualizados e por terceiros; seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc.

1.2

Por que algu m iria querer invadir meu computador? e

A resposta para esta pergunta n o e simples. Os motivos pelos quais algu m tentaria invadir seu a e computador s o in meros. Alguns destes motivos podem ser: a u utilizar seu computador em alguma atividade ilcita, para esconder a real identidade e localiza cao do invasor;
Cartilha de Seguranca para Internet c 2006 CERT.br 3/14

Parte I: Conceitos de Seguranca

utilizar seu computador para lancar ataques contra outros computadores; utilizar seu disco rgido como reposit rio de dados; o destruir informacoes (vandalismo); disseminar mensagens alarmantes e falsas; ler e enviar e-mails em seu nome; propagar vrus de computador; furtar n meros de cart es de cr dito e senhas banc rias; u o e a furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por voc ; e furtar dados do seu computador, como por exemplo, informacoes do seu Imposto de Renda.

Senhas

Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar o usu rio, ou seja, e utilizada no processo de vericacao da identidade do usu rio, assegurando que a a este e realmente quem diz ser. Se uma outra pessoa tem acesso a sua senha, ela poder utiliz -la para se passar por voc na a a e Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha s o: a ler e enviar e-mails em seu nome; obter informacoes sensveis dos dados armazenados em seu computador, tais como n meros de u cart es de cr dito; o e esconder sua real identidade e ent o desferir ataques contra computadores de terceiros. a Portanto, a senha merece consideracao especial, anal ela e de sua inteira responsabilidade.

2.1

O que n o se deve usar na elaboracao de uma senha? a

Nomes, sobrenomes, n meros de documentos, placas de carros, n meros de telefones e datas1 u u dever o estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa a mal intencionada, possivelmente, utilizaria este tipo de informacao para tentar se autenticar como voc . e Existem v rias regras de criacao de senhas, sendo que uma regra muito importante e jamais utilia zar palavras que facam parte de dicion rios. Existem softwares que tentam descobrir senhas combi a nando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicion rios) a e listas de nomes (nomes pr prios, m sicas, lmes, etc.). o u
1 Qualquer

data que possa estar relacionada com voc , como por exemplo a data de seu anivers rio ou de familiares. e a

Cartilha de Seguranca para Internet c 2006 CERT.br

4/14

Parte I: Conceitos de Seguranca

2.2

O que e uma boa senha?

Uma boa senha deve ter pelo menos oito caracteres2 (letras, n meros e smbolos), deve ser simples u de digitar e, o mais importante, deve ser f cil de lembrar. a Normalmente os sistemas diferenciam letras mai sculas das min sculas, o que j ajuda na comu u a posicao da senha. Por exemplo, pAraleLepiPedo e paRalElePipEdo s o senhas diferentes. a Entretanto, s o senhas f ceis de descobrir utilizando softwares para quebra de senhas, pois n o posa a a suem n meros e smbolos, al m de conter muitas repeticoes de letras. u e

2.3

Como elaborar uma boa senha?

Quanto mais baguncada for a senha melhor, pois mais difcil ser descobr-la3 . Assim, tente a misturar letras mai sculas, min sculas, n meros e sinais de pontuacao. Uma regra realmente pr tica u u u a e que gera boas senhas difceis de serem descobertas e utilizar uma frase qualquer e pegar a primeira, segunda ou a ultima letra de cada palavra. Por exemplo, usando a frase batatinha quando nasce se esparrama pelo ch o podemos gerar a ` a senha !BqnsepC (o sinal de exclamacao foi colocado no incio para acrescentar um smbolo a senha). Senhas geradas desta maneira s o f ceis de lembrar e s o normalmente difceis de serem a a a descobertas. Mas lembre-se: a senha !BqnsepC deixou de ser uma boa senha, pois faz parte desta Cartilha. Vale ressaltar que se voc tiver diculdades para memorizar uma senha forte, e prefervel anot -la e a e guard -la em local seguro, do que optar pelo uso de senhas fracas. a

2.4

Quantas senhas diferentes devo usar?

Procure identicar o n mero de locais onde voc necessita utilizar uma senha. Este n mero u e u deve ser equivalente a quantidade de senhas distintas a serem mantidas por voc . Utilizar senhas e diferentes, uma para cada local, e extremamente importante, pois pode atenuar os prejuzos causados, caso algu m descubra uma de suas senhas. e Para ressaltar a import ncia do uso de senhas diferentes, imagine que voc e respons vel por a e a realizar movimentacoes nanceiras em um conjunto de contas banc rias e todas estas contas possuem a a mesma senha. Ent o, procure responder as seguintes perguntas: a Quais seriam as conseq encias se algu m descobrisse esta senha? u e E se fossem usadas senhas diferentes para cada conta, caso algu m descobrisse uma das senhas, e um possvel prejuzo teria a mesma proporcao?
servicos que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais difcil a ser descobr-la, portanto procure utilizar a senha de maior tamanho possvel. 3 Observe que a senha 1qaz2wsx parece ser sucientemente baguncada, mas n o e considerada uma boa senha, a ` pois est associada a proximidade entre esses caracteres no teclado. a
2 Existem

Cartilha de Seguranca para Internet c 2006 CERT.br

5/14

Parte I: Conceitos de Seguranca

2.5

e Com que frequ ncia devo mudar minhas senhas?

Voc deve trocar suas senhas regularmente, procurando evitar perodos muito longos. Uma sue gest o e que voc realize tais trocas a cada dois ou tr s meses. a e e Procure identicar se os servicos que voc utiliza e que necessitam de senha, quer seja o acesso e ao seu provedor, e-mail, conta banc ria, ou outro, disponibilizam funcionalidades para alterar senhas a e use regularmente tais funcionalidades. Caso voc n o possa escolher sua senha na hora em que contratar o servico, procure troc -la com e a a a maior urg ncia possvel. Procure utilizar servicos em que voc possa escolher a sua senha. e e Lembre-se que trocas regulares s o muito importantes para assegurar a condencialidade de suas a senhas.

2.6

Quais os cuidados especiais que devo ter com as senhas?

De nada adianta elaborar uma senha bastante segura e difcil de ser descoberta, se ao usar a senha algu m puder v -la. Existem v rias maneiras de algu m poder descobrir a sua senha. Dentre elas, e e a e algu m poderia: e observar o processo de digitacao da sua senha; utilizar algum m todo de persuas o, para tentar convenc -lo a entregar sua senha (vide see a e cao 4.1); capturar sua senha enquanto ela trafega pela rede. ` Em relacao a este ultimo caso, existem t cnicas que permitem observar dados, a medida que estes e trafegam entre redes. E possvel que algu m extraia informacoes sensveis desses dados, como por e exemplo senhas, caso n o estejam criptografados (vide secao 8). a Portanto, alguns dos principais cuidados que voc deve ter com suas senhas s o: e a certique-se de n o estar sendo observado ao digitar a sua senha; a n o forneca sua senha para qualquer pessoa, em hip tese alguma; a o n o utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de a eventos, etc) em operacoes que necessitem utilizar suas senhas; certique-se que seu provedor disponibiliza servicos criptografados, principalmente para aque les que envolvam o fornecimento de uma senha.

2.7

Que cuidados devo ter com o usu rio e senha de Administrator (ou root) a em um computador?

O usu rio Administrator (ou root) e de extrema import ncia, pois det m todos os privil gios em a a e e um computador. Ele deve ser usado em situacoes onde um usu rio normal n o tenha privil gios para a a e
Cartilha de Seguranca para Internet c 2006 CERT.br 6/14

Parte I: Conceitos de Seguranca

realizar uma operacao, como por exemplo, em determinadas tarefas administrativas, de manutencao ou na instalacao e conguracao de determinados tipos de software. Sabe-se que, por uma quest o de comodidade e principalmente no ambiente dom stico, muitas a e pessoas utilizam o usu rio Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele a ` e usado para se conectar a Internet, navegar utilizando o browser, ler e-mails, redigir documentos, etc. Este e um procedimento que deve ser sempre evitado, pois voc , como usu rio Administrator (ou e a root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacional ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente um software malicioso que, como usu rio Administrator (ou root), teria todos os privil gios que nea e cessitasse, podendo fazer qualquer coisa. Portanto, alguns dos principais cuidados que voc deve ter s o: e a elaborar uma boa senha para o usu rio Administrator (ou root), como discutido na secao 2.3, e a seguir os procedimentos descritos na secao 2.6; utilizar o usu rio Administrator (ou root) somente quando for estritamente necess rio; a a criar tantos usu rios com privil gios normais, quantas forem as pessoas que utilizam seu coma e putador, para substituir assim o usu rio Administrator (ou root) em tarefas rotineiras, como a leitura de e-mails, navegacao na Internet, producao de documentos, etc.

Cookies

Cookies s o pequenas informacoes que os sites visitados por voc podem armazenar em seu a e browser. Estes s o utilizados pelos sites de diversas formas, tais como: a guardar a sua identicacao e senha quando voc vai de uma p gina para outra; e a manter listas de compras ou listas de produtos preferidos em sites de com rcio eletr nico; e o personalizar sites pessoais ou de notcias, quando voc escolhe o que quer que seja mostrado e nas p ginas; a manter a lista das p ginas vistas em um site, para estatstica ou para retirar as p ginas que voc a a e n o tem interesse dos links. a A Parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumas sugest es para que se tenha maior controle sobre eles. o

Engenharia Social

O termo e utilizado para descrever um m todo de ataque, onde algu m faz uso da persuas o, e e a muitas vezes abusando da ingenuidade ou conanca do usu rio, para obter informacoes que podem a ser utilizadas para ter acesso n o autorizado a computadores ou informacoes. a
Cartilha de Seguranca para Internet c 2006 CERT.br 7/14

Parte I: Conceitos de Seguranca

4.1

Que exemplos podem ser citados sobre este m todo de ataque? e

Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O ultimo exemplo apresenta um ataque realizado por telefone. Exemplo 1: voc recebe uma mensagem e-mail, onde o remetente e o gerente ou algu m em nome e e do departamento de suporte do seu banco. Na mensagem ele diz que o servico de Internet Bank ing est apresentando algum problema e que tal problema pode ser corrigido se voc executar a e ` o aplicativo que est anexado a mensagem. A execucao deste aplicativo apresenta uma tela a ` an loga aquela que voc utiliza para ter acesso a conta banc ria, aguardando que voc digite a e a e sua senha. Na verdade, este aplicativo est preparado para furtar sua senha de acesso a conta a banc ria e envi -la para o atacante. a a Exemplo 2: voc recebe uma mensagem de e-mail, dizendo que seu computador est infectado por e a um vrus. A mensagem sugere que voc instale uma ferramenta disponvel em um site da e Internet, para eliminar o vrus de seu computador. A real funcao desta ferramenta n o e eliminar a um vrus, mas sim permitir que algu m tenha acesso ao seu computador e a todos os dados nele e armazenados. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte t cnico do seu provedor. e Nesta ligacao ele diz que sua conex o com a Internet est apresentando algum problema e, a a ent o, pede sua senha para corrig-lo. Caso voc entregue sua senha, este suposto t cnico a e e poder realizar uma innidade de atividades maliciosas, utilizando a sua conta de acesso a a Internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques tpicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usu rio a realizar alguma tarefa e o sucesso do ataque depende unica e a exclusivamente da decis o do usu rio em fornecer informacoes sensveis ou executar programas. a a A Parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque.

Vulnerabilidade

Vulnerabilidade e denida como uma falha no projeto, implementacao ou conguracao de um soft ware ou sistema operacional que, quando explorada por um atacante, resulta na violacao da seguranca de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploracao remota, ou seja, atrav s da rede. Portanto, um e ` atacante conectado a Internet, ao explorar tal vulnerabilidade, pode obter acesso n o autorizado ao a computador vulner vel. a A Parte II: Riscos Envolvidos no Uso da Internet e M todos de Prevencao apresenta algumas e formas de identicacao de vulnerabilidades, bem como maneiras de prevencao e correcao.

Cartilha de Seguranca para Internet c 2006 CERT.br

8/14

Parte I: Conceitos de Seguranca

C digos Maliciosos (Malware) o

C digo malicioso ou Malware (Malicious Software) e um termo gen rico que abrange todos os o e tipos de programa especicamente desenvolvidos para executar acoes maliciosas em um computador. Na literatura de seguranca o termo malware tamb m e conhecido por software malicioso. e Alguns exemplos de malware s o: a vrus; worms e bots; backdoors; cavalos de tr ia; o keyloggers e outros programas spyware; rootkits. A Parte VIII: C digos Maliciosos (Malware) apresenta descricoes detalhadas e formas de identio cacao e prevencao para os diversos tipos de c digo malicioso. o

Negacao de Servico (Denial of Service)

Nos ataques de negacao de servico (DoS Denial of Service) o atacante utiliza um computador ` para tirar de operacao um servico ou computador conectado a Internet. Exemplos deste tipo de ataque s o: a gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usu rio n o consiga utiliz -lo; a a a gerar um grande tr fego de dados para uma rede, ocupando toda a banda disponvel, de modo a que qualquer computador desta rede que indisponvel; tirar servicos importantes de um provedor do ar, impossibilitando o acesso dos usu rios a suas a caixas de correio no servidor de e-mail ou ao servidor Web.

7.1

O que e DDoS?

DDoS (Distributed Denial of Service) constitui um ataque de negacao de servico distribudo, ou seja, um conjunto de computadores e utilizado para tirar de operacao um ou mais servicos ou ` computadores conectados a Internet. Normalmente estes ataques procuram ocupar toda a banda disponvel para o acesso a um com putador ou rede, causando grande lentid o ou at mesmo indisponibilizando qualquer comunicacao a e com este computador ou rede.
Cartilha de Seguranca para Internet c 2006 CERT.br 9/14

Parte I: Conceitos de Seguranca

7.2

Se uma rede ou computador sofrer um DoS, isto signica que houve uma a invas o?

N o. O objetivo de tais ataques e indisponibilizar o uso de um ou mais computadores, e n o a a importante notar que, principalmente em casos de DDoS, computadores comprometidos invad-los. E podem ser utilizados para desferir os ataques de negacao de servico. Um exemplo deste tipo de ataque ocorreu no incio de 2000, onde computadores de v rias partes a do mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de com rcio e eletr nico. Estas empresas n o tiveram seus computadores comprometidos, mas sim caram imposo a sibilitadas de vender seus produtos durante um longo perodo.

Criptograa

Criptograa e a ci ncia e arte de escrever mensagens em forma cifrada ou em c digo. E parte de e o um campo de estudos que trata das comunicacoes secretas, usadas, dentre outras nalidades, para: autenticar a identidade de usu rios; a autenticar e proteger o sigilo de comunicacoes pessoais e de transacoes comerciais e banc rias; a proteger a integridade de transfer ncias eletr nicas de fundos. e o Uma mensagem codicada por um m todo de criptograa deve ser privada, ou seja, somente e aquele que enviou e aquele que recebeu devem ter acesso ao conte do da mensagem. Al m disso, u e uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder vericar se o remetente e mesmo a pessoa que diz ser e ter a capacidade de identicar se uma mensagem pode ter sido modicada. Os m todos de criptograa atuais s o seguros e ecientes e baseiam-se no uso de uma ou mais e a chaves. A chave e uma seq encia de caracteres, que pode conter letras, dgitos e smbolos (como u uma senha), e que e convertida em um n mero, utilizado pelos m todos de criptograa para codicar u e e decodicar mensagens. Atualmente, os m todos criptogr cos podem ser subdivididos em duas grandes categorias, de e a acordo com o tipo de chave utilizada: a criptograa de chave unica (vide secao 8.1) e a criptograa de chave p blica e privada (vide secao 8.2). u

8.1

O que e criptograa de chave unica?

A criptograa de chave unica utiliza a mesma chave tanto para codicar quanto para decodicar mensagens. Apesar deste m todo ser bastante eciente em relacao ao tempo de processamento, ou e seja, o tempo gasto para codicar e decodicar mensagens, tem como principal desvantagem a necessidade de utilizacao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades que desejem trocar informacoes criptografadas. Exemplos de utilizacao deste m todo de criptograa e sugest es para o tamanho mnimo da chave e o unica podem ser vistos nas secoes 8.4 e 8.5, respectivamente.
Cartilha de Seguranca para Internet c 2006 CERT.br 10/14

Parte I: Conceitos de Seguranca

8.2

O que e criptograa de chaves publica e privada?

A criptograa de chaves p blica e privada utiliza duas chaves distintas, uma para codicar e u outra para decodicar mensagens. Neste m todo cada pessoa ou entidade mant m duas chaves: uma e e p blica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo u seu dono. As mensagens codicadas com a chave p blica s podem ser decodicadas com a chave u o privada correspondente. Seja o exemplo, onde Jos e Maria querem se comunicar de maneira sigilosa. Ent o, eles ter o e a a que realizar os seguintes procedimentos: 1. Jos codica uma mensagem utilizando a chave p blica de Maria, que est disponvel para o e u a uso de qualquer pessoa; 2. Depois de criptografada, Jos envia a mensagem para Maria, atrav s da Internet; e e 3. Maria recebe e decodica a mensagem, utilizando sua chave privada, que e apenas de seu conhecimento; 4. Se Maria quiser responder a mensagem, dever realizar o mesmo procedimento, mas utilizando a a chave p blica de Jos . u e Apesar deste m todo ter o desempenho bem inferior em relacao ao tempo de processamento, e quando comparado ao m todo de criptograa de chave unica (secao 8.1), apresenta como principal e vantagem a livre distribuicao de chaves p blicas, n o necessitando de um meio seguro para que chaves u a sejam combinadas antecipadamente. Al m disso, pode ser utilizado na geracao de assinaturas digitais, e como mostra a secao 8.3. Exemplos de utilizacao deste m todo de criptograa e sugest es para o tamanho mnimo das e o chaves p blica e privada podem ser vistos nas secoes 8.4 e 8.5, respectivamente. u

8.3

O que e assinatura digital?

A assinatura digital consiste na criacao de um c digo, atrav s da utilizacao de uma chave privada, o e de modo que a pessoa ou entidade que receber uma mensagem contendo este c digo possa vericar o se o remetente e mesmo quem diz ser e identicar qualquer mensagem que possa ter sido modicada. Desta forma, e utilizado o m todo de criptograa de chaves p blica e privada, mas em um processo e u inverso ao apresentado no exemplo da secao 8.2. Se Jos quiser enviar uma mensagem assinada para Maria, ele codicar a mensagem com sua e a ` chave privada. Neste processo ser gerada uma assinatura digital, que ser adicionada a mensagem a a enviada para Maria. Ao receber a mensagem, Maria utilizar a chave p blica de Jos para decodicar a u e ` a mensagem. Neste processo ser gerada uma segunda assinatura digital, que ser comparada a pria a meira. Se as assinaturas forem id nticas, Maria ter certeza que o remetente da mensagem foi o Jos e a e e que a mensagem n o foi modicada. a E importante ressaltar que a seguranca do m todo baseia-se no fato de que a chave privada e co e nhecida apenas pelo seu dono. Tamb m e importante ressaltar que o fato de assinar uma mensagem e

Cartilha de Seguranca para Internet c 2006 CERT.br

11/14

Parte I: Conceitos de Seguranca

n o signica gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a mena e sagem e ter certeza de que apenas Maria teria acesso a seu conte do, seria preciso codic -la com a u a chave p blica de Maria, depois de assin -la. u a

8.4

Que exemplos podem ser citados sobre o uso de criptograa de chave unica e de chaves publica e privada?

Exemplos que combinam a utilizacao dos m todos de criptograa de chave unica e de chaves e p blica e privada s o as conex es seguras, estabelecidas entre o browser de um usu rio e um site, em u a o a transacoes comerciais ou banc rias via Web. a Estas conex es seguras via Web utilizam o m todo de criptograa de chave unica, implementado o e pelo protocolo SSL (Secure Socket Layer). O browser do usu rio precisa informar ao site qual ser a a a chave unica utilizada na conex o segura, antes de iniciar a transmiss o de dados sigilosos. a a Para isto, o browser obt m a chave p blica do certicado4 da instituicao que mant m o site. e u e Ent o, ele utiliza esta chave p blica para codicar e enviar uma mensagem para o site, contendo a a u chave unica a ser utilizada na conex o segura. O site utiliza sua chave privada para decodicar a a mensagem e identicar a chave unica que ser utilizada. a A partir deste ponto, o browser do usu rio e o site podem transmitir informacoes, de forma sia gilosa e segura, atrav s da utilizacao do m todo de criptograa de chave unica. A chave unica pode e e ser trocada em intervalos de tempo determinados, atrav s da repeticao dos procedimentos descritos e anteriormente, aumentando assim o nvel de seguranca de todo o processo.

8.5

Que tamanho de chave deve ser utilizado?

Os m todos de criptograa atualmente utilizados, e que apresentam bons nveis de seguranca, s o e a publicamente conhecidos e s o seguros pela robustez de seus algoritmos e pelo tamanho das chaves a que utilizam. Para que um atacante descubra uma chave ele precisa utilizar algum m todo de forca bruta, ou e seja, testar combinacoes de chaves at que a correta seja descoberta. Portanto, quanto maior for e a chave, maior ser o n mero de combinacoes a testar, inviabilizando assim a descoberta de uma a u chave em tempo h bil. Al m disso, chaves podem ser trocadas regularmente, tornando os m todos de a e e criptograa ainda mais seguros. Atualmente, para se obter um bom nvel de seguranca na utilizacao do m todo de criptograa de e chave unica, e aconselh vel utilizar chaves de no mnimo 128 bits. E para o m todo de criptograa a e de chaves p blica e privada e aconselh vel utilizar chaves de 2048 bits, sendo o mnimo aceit vel u a a de 1024 bits. Dependendo dos ns para os quais os m todos criptogr cos ser o utilizados, deve-se e a a considerar a utilizacao de chaves maiores: 256 ou 512 bits para chave unica e 4096 ou 8192 bits para chaves p blica e privada. u
4 Certicados

s o discutidos na secao 9 e na Parte IV: Fraudes na Internet. a

Cartilha de Seguranca para Internet c 2006 CERT.br

12/14

Parte I: Conceitos de Seguranca

Certicado Digital

O certicado digital e um arquivo eletr nico que cont m dados de uma pessoa ou instituicao, o e utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mdia, como um token ou smart card. Exemplos semelhantes a um certicado digital s o o CNPJ, RG, CPF e carteira de habilitacao a de uma pessoa. Cada um deles cont m um conjunto de informacoes que identicam a instituicao ou e a pessoa e a autoridade (para estes exemplos, org os p blicos) que garante sua validade. u Algumas das principais informacoes encontradas em um certicado digital s o: a dados que identicam o dono (nome, n mero de identicacao, estado, etc); u nome da Autoridade Certicadora (AC) que emitiu o certicado (vide secao 9.1); o n mero de s rie e o perodo de validade do certicado; u e a assinatura digital da AC. O objetivo da assinatura digital no certicado e indicar que uma outra entidade (a Autoridade Certicadora) garante a veracidade das informacoes nele contidas.

9.1

O que e Autoridade Certicadora (AC)?

Autoridade Certicadora (AC) e a entidade respons vel por emitir certicados digitais. Estes a certicados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituicao, instituicao, etc. Os certicados digitais possuem uma forma de assinatura eletr nica da AC que o emitiu. Gracas o ` a sua idoneidade, a AC e normalmente reconhecida por todos como con vel, fazendo o papel de a Cart rio Eletr nico. o o

9.2

Que exemplos podem ser citados sobre o uso de certicados?

Alguns exemplos tpicos do uso de certicados digitais s o: a quando voc acessa um site com conex o segura, como por exemplo o acesso a sua conta e a banc ria pela Internet (vide Parte IV: Fraudes na Internet), e possvel checar se o site apresena tado e realmente da instituicao que diz ser, atrav s da vericacao de seu certicado digital; e quando voc consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes e de fornecer informacoes sobre a conta; quando voc envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu certicado e para assinar digitalmente a mensagem, de modo a assegurar ao destinat rio que o e-mail e a seu e que n o foi adulterado entre o envio e o recebimento. a A Parte IV: Fraudes na Internet apresenta algumas medidas de seguranca relacionadas ao uso de certicados digitais.
Cartilha de Seguranca para Internet c 2006 CERT.br 13/14

Parte I: Conceitos de Seguranca

Como Obter este Documento

Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamente atualizado, certique-se de ter sempre a vers o mais recente. a Caso voc tenha alguma sugest o para este documento ou encontre algum erro, entre em contato e a atrav s do endereco doc@cert.br. e

Licenca de Uso da Cartilha

Este documento e Copyright c 20002006 CERT.br. Ele pode ser livremente distribudo desde que sejam respeitadas as seguintes condicoes: o 1. E permitido fazer e distribuir gratuitamente c pias impressas inalteradas deste documento, acompanhado desta Licenca de Uso e de instrucoes de como obt -lo atrav s da Internet. e e a 2. E permitido fazer links para a p gina http://cartilha.cert.br/, ou para p ginas dentro a deste site que contenham partes especcas da Cartilha. 3. Para reproducao do documento, completo ou em partes, como parte de site ou de outro tipo de material, deve ser assinado um Termo de Licenca de Uso, e a autoria deve ser citada da seguinte forma: Texto extrado da Cartilha de Seguranca para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/. 4. E vedada a exibicao ou a distribuicao total ou parcial de vers es modicadas deste docu o mento, a producao de material derivado sem expressa autorizacao do CERT.br, bem como a comercializacao no todo ou em parte de c pias do referido documento. o Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert.br. Embora todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n o garante a a correcao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais conseq encias u que possam advir do seu uso.

Agradecimentos
O CERT.br agradece a todos que contriburam para a elaboracao deste documento, enviando co ment rios, crticas, sugest es ou revis es. a o o

Cartilha de Seguranca para Internet c 2006 CERT.br

14/14