A arte de proteger segredos

O que é criptografia?

A criptografia é o modo de armazenar e transmitir dados, de modo que somente o destinatário

pretendido possa ler ou processá-los. A criptografia moderna usa algoritmos seguros em relação à
computação para nos certificar de que criminosos virtuais não possam comprometer facilmente as
informações protegidas.

Criação de texto codificado

Um código é uma série de etapas bem definidas usadas para criptografar e descriptografar as
mensagens. Há vários métodos de criar um texto codificado:
 Transposição – as letras são reorganizadas;
 Substituição – as letras são substituídas;
 Cifra de uso único – o texto claro, combinado com uma chave secreta, cria um novo caractere
que é combinado com o texto claro para gerar o texto codificado.

Dois tipos de criptografia

Algoritmos simétricos - Esses algoritmos usam a mesma chave pré-compartilhada, às vezes

chamada de par de chaves secretas, para criptografar e descriptografar dados. O remetente e o
destinatário conhecem a chave pré-compartilhada, antes de qualquer comunicação criptografada
começar. 
Algoritmos assimétricos - A criptografia assimétrica usa uma chave para criptografar os dados e
uma chave diferente para descriptografá-los. Uma chave é pública e outra é privada. Em um
sistema de criptografia de chave pública, qualquer pessoa pode codificar uma mensagem
utilizando a chave pública do destinatário e o destinatário é o único que pode decifrá-la usando sua
chave privada.
Tipo de criptografia
As cifras de blocos transformam um bloco de tamanho fixo de texto claro em um bloco comum de
texto codificado de 64 ou 128 bits. O tamanho do bloco é a quantidade de dados criptografados a
qualquer momento. Para descriptografar o texto codificado, aplique a transformação inversa para o
bloco de texto codificado, usando a mesma chave secreta.
Ao contrário das cifras de blocos, as cifras de fluxo criptografam um byte de texto claro ou um bit
de cada vez, como mostrado na figura 2. Imagine as cifras de fluxo como uma cifra de blocos de
um bit. Com uma cifra de fluxo, a transformação dessas unidades de texto claro menores varia,
dependendo de quando são encontrados durante o processo de criptografia.
Algoritmos de criptografia assimétrica

RSA (Rivest-Shamir-Adleman) - Usa o produto de dois números primos muito grandes, com um
tamanho igual de 100 a 200 dígitos. Os navegadores usam RSA para estabelecer uma conexão
segura.
Diffie-Hellman - Fornece um método de troca eletrônica para compartilhar a chave secreta. Os
protocolos seguros, como Secure Sockets Layer (SSL), Transport Layer Security (TLS), Secure
Shell (SSH) e Internet Protocol Security (IPsec) usam Diffie-Hellman.
ElGamal - Usa o padrão do governo dos E.U.A. para assinaturas digitais. Esse algoritmo é
gratuito porque ninguém detém a patente.
Criptografia de curva elíptica (ECC) - Usa curvas elípticas como parte do algoritmo. Nos
Estados Unidos, a Agência Nacional de Segurança usa ECC para geração de assinatura digital e
troca de chave.

Controles de acesso físico

 Os guardas monitoram as instalações

 As cercas protegem o perímetro
 Os detectores de movimento identificam objetos que se movem
 Os bloqueios de notebook protegem os equipamentos portáteis
 As portas fechadas impedem o acesso não autorizado
 Os cartões de acesso permitem a entrada nas áreas restritas
 Os cães de guarda protegem as instalações
 As câmeras de vídeo monitoram as instalações, coletando e gravando imagens
 As entradas de pessoal autorizado permitem o acesso à área protegida depois que a porta 1 é
fechada
 Os alarmes detectam as invasões

Controles de acesso lógicos

 A criptografia é o processo de pegar o texto claro e criar o texto codificado

 Os cartões inteligentes possuem um microchip integrado
 As senhas são strings de caracteres protegidos
 A biometria se refere às características físicas dos usuários
 As listas de controle de acesso (ACLs) definem o tipo de tráfego permitido em uma rede
 Os protocolos são conjuntos de regras que regem a troca de dados entre os dispositivos
 Os firewalls impedem o tráfego de rede indesejado
 Os roteadores conectam pelo menos duas redes
 Os sistemas de detecção de invasão monitoram as atividades suspeitas de uma rede
 Os níveis de sobrecarga são determinados limites de erros permitidos antes de acionar um sinal
de alerta

Controles de acesso administrativos

 As políticas são declarações de intenções

 Os procedimentos são os passos detalhados necessários para realizar uma atividade
 As práticas de contratação envolvem as etapas seguidas por uma empresa para encontrar
funcionários qualificados
 As verificações de antecedentes se referem a uma triagem admissional que inclui as
informações de verificação de histórico profissional, histórico de crédito e antecedentes criminais
 A classificação de dados categoriza os dados com base na confidencialidade
 O treinamento em segurança ensina os funcionários sobre as políticas de segurança de uma
empresa
 As análises críticas avaliam o desempenho de trabalho do funcionário

O controle de acesso obrigatório (MAC) restringe as ações que um indivíduo pode executar em
um objeto. Um indivíduo pode ser um usuário ou um processo. Um objeto pode ser um arquivo,
uma porta ou um dispositivo de entrada/saída. Uma regra de autorização reforça se um indivíduo
pode ou não acessar o objeto.
As organizações usam MAC onde existem diferentes níveis de classificações de segurança. Cada
objeto tem um rótulo e cada indivíduo tem uma autorização. Um sistema MAC restringe um
indivíduo com base na classificação de segurança do objeto e na etiqueta anexada ao usuário.
O controle de acesso por função (RBAC) varia de acordo com a função do indivíduo. Funções são
funções de trabalho em uma empresa. Funções específicas necessitam de permissões para realizar
determinadas operações. Os usuários obtêm permissões pelas funções.
O controle de acesso por função usa as listas de controle de acesso (ACLs) para ajudar a
determinar se o acesso deve ser concedido. Uma série de regras está contida na ACL, conforme
mostrado na figura. A determinação de acesso concedido ou não depende dessas regras. Um
exemplo de tal regra é declarar que nenhum funcionário pode ter acesso a folha de pagamentos
após o horário comercial ou nos fins de semana.
Um identificador único assegura a devida associação entre as atividades permitidas e os
indivíduos. Um nome de usuário é o método mais comum usado para identificar um usuário. Um
nome de usuário pode ser uma combinação alfanumérica, um número de identificação pessoal
(PIN), um cartão inteligente ou a biometria, como uma impressão digital, escaneamento da retina
ou reconhecimento de voz.
As políticas de segurança cibernética determinam quais controles de identificação devem ser
usados. A confidencialidade das informações e os sistemas de informações determinam o nível de
exigência dos controles. O aumento nas violações de dados forçou muitas empresas a reforçar os
controles de identificação. Por exemplo, o setor de cartões de crédito nos Estados Unidos exige
que todos os fornecedores migrem para sistemas de identificação de cartão inteligente.
Senhas, frases secretas ou PINs são exemplos de informações que somente o usuário sabe. As
senhas são o método mais popular usado para autenticação. Os termos frase secretas, código de
acesso, chave de acesso ou PIN são chamados genericamente de senha. Uma senha é uma string
de caracteres protegidos usada para comprovar a identidade de um usuário. 
Cartões inteligentes e chaves de segurança fob são exemplos de algo que os usuários podem
carregar consigo. Segurança por Cartão Inteligente e Segurança por Chave Fob
Uma característica física única, como a impressão digital, retina ou voz, que identifica um usuário
específico, é denominada biometria.

Características fisiológicas – Incluem impressões digitais, DNA, rosto, mãos, retina ou ouvido
 Características comportamentais - Incluem os padrões de comportamento, como gestos, voz,
ritmo de digitação ou o modo de andar de um usuário
A autorização controla o que um usuário pode e não pode fazer na rede após a autenticação com
sucesso. Após comprovar a identidade do usuário, o sistema verifica os recursos da rede que o
usuário pode acessar e o que o usuário pode fazer com os recursos. 
Existem várias técnicas de mascaramento de dados que podem assegurar que os dados
permaneçam significativos:
 A substituição troca os dados por valores que parecem autênticos para tornar os registros de
dados anônimos.
 O embaralhamento origina um conjunto de substituição da mesma coluna de dados que um
usuário deseja mascarar. Esta técnica funciona bem para informações financeiras em um banco de
dados de teste, por exemplo.
 A anulação aplica um valor nulo a um campo específico, que impede totalmente a visibilidade
dos dados.
A estenografia esconde dados em outro arquivo, como um gráfico, áudio ou outro arquivo de
texto. A vantagem da estenografia em relação à criptografia é que a mensagem secreta não atrai
atenção especial. Ao visualizar o arquivo de forma eletrônica ou impressa, ninguém saberá que
uma imagem, na realidade, contém uma mensagem secreta.
Existem vários componentes envolvidos na ocultação de dados. Primeiro, existem os dados
integrados que compõem a mensagem secreta. O texto de capa (ou imagem de capa ou áudio de
capa) oculta os dados integrados, produzindo o estego-texto (ou estego-imagem ou estego-áudio).
Uma estego-chave (stego-key) controla o processo de ocultação.