Criptografia e Segurança

Criptografia e
Segurança
Prof. Gustavo Garcia de Amo
Prof. Roni Francisco Pichetti
Indaial – 2021
1a Edição
Copyright © UNIASSELVI 2021
Elaboração:
Revisão, Diagramação e Produção:

Centro Universitário Leonardo da Vinci – UNIASSELVI
Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri

UNIASSELVI – Indaial.
A523c
Amo, Gustavo Garcia de
Criptografia e segurança. / Gustavo Garcia de Amo; Roni Francisco

Pichetti. – Indaial: UNIASSELVI, 2021.
185 p.; il.
ISBN 978-65-5663-366-4
ISBN Digital 978-65-5663-367-1
1. Proteção de dados. - Brasil. I. Pichetti, Roni Francisco. II. Centro

Universitário Leonardo da Vinci.
CDD 004
Impresso por:
Apresentação
Caro acadêmico, estamos iniciando o estudo da disciplina de
Segurança e Criptografia, em que vamos conhecer os conceitos que servem
de base para essa área de estudo. Veremos que a segurança é responsável
pela proteção de dados e da comunicação, e que a criptografia, por ser uma
ferramenta da segurança, é responsável por restringir o acesso somente a
pessoas autorizadas.
A segurança na área de tecnologia é imprescindível, já que as formas

de acesso à informação são realizadas de diversas maneiras, seja ela por um
computador ou por um celular. Dito isso, a autenticação na criptografia é
extremamente relevante nesse processo. Para auxiliar nessa tarefa de manter
os dados seguros, temos diversas técnicas de proteção, políticas de segurança
e normas técnicas que dão suporte a essa atividade.
Nosso livro está dividido em 3 unidades, sendo a primeira unidade

responsável por introduzir e conceituar os temas que vão dar suporte aos
nossos estudos. Já na segunda unidade, vamos apresentar ferramentas
utilizadas na segurança da informação e criptografia, e veremos como essas
ferramentas são utilizadas. A terceira e última unidade é responsável por
aprofundar os conhecimentos adquiridos na criptografia, vamos conhecer o
que são os scripts e estudar na prática os métodos de criptografia.
Vamos lá! Aproveito o ensejo para desejar-lhe sucesso em sua jornada

acadêmica e profissional!
Boa leitura e bons estudos!

NOTA
Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para
você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há
novidades em nosso material.
Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é

o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um
formato mais prático, que cabe na bolsa e facilita a leitura.
O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova
diagramação no texto, aproveitando ao máximo o espaço da página, o que também
contribui para diminuir a extração de árvores para produção de folhas de papel, por exemplo.
Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente,

apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilidade
de estudá-lo com versatilidade nas telas do celular, tablet ou computador.

Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para
apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assunto
em questão.
Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas
institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa
continuar seus estudos com um material de qualidade.
Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de

Desempenho de Estudantes – ENADE.

Bons estudos!
LEMBRETE
Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela

um novo conhecimento.
Com o objetivo de enriquecer seu conhecimento, construímos, além do livro

que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você terá
contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complementares,
entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento.
Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo.
Conte conosco, estaremos juntos nesta caminhada!

Sumário
UNIDADE 1 — PREPARAÇÃO DE DADOS..................................................................................... 1
TÓPICO 1 — APRESENTAÇÃO........................................................................................................... 3
1 INTRODUÇÃO..................................................................................................................................... 3
2 CONCEITOS.......................................................................................................................................... 5
2.1 INFORMAÇÃO E CRIPTOGRAFIA............................................................................................. 5
2.2 REDES DE COMPUTADORES...................................................................................................... 7
2.2.1 Origem das redes de computadores .................................................................................. 8
2.2.2 Protocolo TCP/IP.................................................................................................................. 10
2.2.3 Firewall................................................................................................................................... 14
2.2.4 Proxy . .................................................................................................................................... 17
2.2.5 Antivírus................................................................................................................................ 19
2.2.6 Backup e Disaster Recovery................................................................................................ 20
2.2.7 Controle de Acesso............................................................................................................... 22
2.3 RISCOS E AMEAÇAS .................................................................................................................. 23
2.4 CRIPTOLOGIA.............................................................................................................................. 26
2.4.1 Criptografia........................................................................................................................... 28
RESUMO DO TÓPICO 1..................................................................................................................... 30
AUTOATIVIDADE............................................................................................................................... 32
TÓPICO 2 — FUNDAMENTOS DE REDE, SEGURANÇA E CRIPTOGRAFIA..................... 33

1 INTRODUÇÃO................................................................................................................................... 33
2 FUNDAMENTOS............................................................................................................................... 33
2.1 SEGURANÇA . .............................................................................................................................. 34
2.1.1 Certificado digital................................................................................................................. 34
2.2 CRIPTOGRAFIA............................................................................................................................ 35
2.2.1 Princípios da criptografia.................................................................................................... 36
2.2.2 Cifras....................................................................................................................................... 37
2.2.3 Chaves Privadas.................................................................................................................... 39
2.2.4 Assinatura digital ................................................................................................................ 39
2.2.5 Certificado Digital................................................................................................................ 40
2.2.6 Chaves Públicas.................................................................................................................... 43
2.2.7 Protocolos de autenticação.................................................................................................. 44
2.3 SEGURANÇA DA INFORMAÇÃO . ......................................................................................... 46
RESUMO DO TÓPICO 2..................................................................................................................... 48
AUTOATIVIDADE............................................................................................................................... 49
TÓPICO 3 — ALGORITMOS E CRIPTOGRAFIA......................................................................... 51

1 INTRODUÇÃO................................................................................................................................... 51
2 CONCEITOS........................................................................................................................................ 51
2.1 ALGORITMOS............................................................................................................................... 52
2.1.1 Data Encryption Standard (DES)........................................................................................ 53
2.1.2 Advanced Encryption Standard (AES).............................................................................. 56
LEITURA COMPLEMENTAR............................................................................................................. 59
RESUMO DO TÓPICO 3..................................................................................................................... 64
AUTOATIVIDADE............................................................................................................................... 65
REFERÊNCIAS....................................................................................................................................... 67
UNIDADE 2 — FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA.........71
TÓPICO 1 — FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO

DE ALGORITMOS....................................................................................................... 73
1 INTRODUÇÃO................................................................................................................................... 73
2 CONCEITOS........................................................................................................................................ 73
2.1 TIPOS DE ALGORITMOS UTILIZADOS NA CRIPTOGRAFIA............................................ 78
RESUMO DO TÓPICO 1..................................................................................................................... 83
AUTOATIVIDADE............................................................................................................................... 84
TÓPICO 2 — CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA.................................................... 87

1 INTRODUÇÃO................................................................................................................................... 87
2 CONCEITOS........................................................................................................................................ 91
2.1 TIPOS DE CERTIFICADOS DIGITAIS....................................................................................... 97
RESUMO DO TÓPICO 2................................................................................................................... 104
AUTOATIVIDADE............................................................................................................................. 105
TÓPICO 3 — EXEMPLOS DE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL.................... 107

1 INTRODUÇÃO................................................................................................................................. 107
2 CRIPTOGRAFIA E CERTIFICAÇÃO EM DIFERENTES FRENTES DE SEGURANÇA......... 109
3 TÉCNICAS DE REFORÇO CRIPTOGRÁFICO......................................................................... 110
LEITURA COMPLEMENTAR........................................................................................................... 112
RESUMO DO TÓPICO 3................................................................................................................... 117
AUTOATIVIDADE............................................................................................................................. 118
REFERÊNCIAS..................................................................................................................................... 121
UNIDADE 3 — CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES........... 125
TÓPICO 1 — CRIPTOGRAFIA MÚLTIPLA.................................................................................. 127

1 INTRODUÇÃO................................................................................................................................. 127
2 CONCEITOS...................................................................................................................................... 128
2.1 CRIPTOGRAFIA HOMOMÓRFICA E CRIPTOGRAFIA BASEADA EM ATRIBUTOS............ 133
3 PESQUISAS NA ÁREA DE CRIPTOGRAFIA MÚLTIPLA..................................................... 138
RESUMO DO TÓPICO 1................................................................................................................... 140
AUTOATIVIDADE............................................................................................................................. 141
TÓPICO 2 — GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES...................................... 143

1 INTRODUÇÃO................................................................................................................................. 143
2 CONCEITOS...................................................................................................................................... 144
3 EXEMPLOS DE DISTRIBUIÇÃO DE CHAVES......................................................................... 157
RESUMO DO TÓPICO 2................................................................................................................... 161
AUTOATIVIDADE............................................................................................................................. 162
TÓPICO 3 — ALGORITMOS DE HASH....................................................................................... 165

1 INTRODUÇÃO................................................................................................................................. 165
2 CONCEITOS...................................................................................................................................... 166
3 EXEMPLOS DE ALGORITMOS HASH....................................................................................... 173
LEITURA COMPLEMENTAR........................................................................................................... 177
RESUMO DO TÓPICO 3................................................................................................................... 181
AUTOATIVIDADE............................................................................................................................. 182
REFERÊNCIAS..................................................................................................................................... 184
UNIDADE 1 —
PREPARAÇÃO DE DADOS
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:
• compreender a importância e as características de uma informação;

• compreender conceitos de redes, assim como protocolos, camadas,
equipamentos e ambientes;
• conhecer aspectos históricos e evolutivos das redes de computadores,
segurança e criptografia;
• desenvolver conhecimentos relacionados a vulnerabilidades e ameaças.
• saber a definição, bem como a importância do estudo da segurança e
criptografia e conhecer as atividades que envolvem este processo;
• compreender os diferentes mecanismos de segurança da informação;
• identificar aspectos de segurança da informação, assim como compreender a
conexão da segurança da informação com as outras áreas da informática;
• conhecer os tipos de algoritmos e características deles, podendo
compreender as funcionalidades de cada um;
• aprender sobre as divisões da Criptologia.
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer da unidade,
você encontrará autoatividades com o objetivo de reforçar o conteúdo
apresentado.
TÓPICO 1 – APRESENTAÇÃO
TÓPICO 2 – CONCEITOS DE REDE, SEGURANÇA E CRIPTOGRAFIA
TÓPICO 3 – ALGORITMOS E CRIPTOGRAFIA
CHAMADA
Preparado para ampliar seus conhecimentos? Respire e vamos

em frente! Procure um ambiente que facilite a concentração, assim absorverá
melhor as informações.
1
2
TÓPICO 1 —
UNIDADE 1
APRESENTAÇÃO
1 INTRODUÇÃO
Chegou a hora de começarmos a estudar sobre o mundo da Segurança
e Criptografia, vamos aos estudos sobre a evolução por trás das tecnologias
e ferramentas da segurança da informação, vamos compreender conceitos,
gestão e vulnerabilidades dessa área. Entender aspectos históricos sobre
a importância e funcionamento de sistemas, trocas de mensagens, envio e
compartilhamento de arquivos, entre outras tecnologias de comunicação, que
não foram criadas de uma hora para outra, mas foram evoluindo ao longo do
tempo e de acordo com as necessidades de aprimoramento. Outro ponto a ser
estudado será a utilização da segurança a fim de agregar confiabilidade no
tráfego de informações para os usuários.
Para termos segurança durante a utilização de computadores e sistemas

informatizados, foram necessários estudos sobre diferentes formas de proteção e
também desenvolvimento de políticas de segurança durante o desenvolvimento
dos softwares e sistemas informatizados. Para se ter uma ideia, segundo o Centro
Federal de Investigações de Crimes Cibernéticos Americano (2020), o relatório
anual Internet Crime Complaint Center (GORHAM, 2019), aponta que as denúncias
de crimes virtuais cresceram em torno de 32,8% em relação ao ano de 2018, em
números isso corresponde a 467361 casos. Já as perdas financeiras, nesse mesmo
ano, também tiveram um aumento analisando o mesmo período: totalizam um
crescimento de 29,6% e com valores correspondendo a US$ 3,5 bilhões. O que
mais assusta é que os prejuízos e número de denúncias relacionados a cibercrimes
(crimes cometidos pela internet) estão em constante crescimento, como vemos
nos noticiários. Você pode estar pensando, se mais pessoas usam a internet, maior
será o aumento na taxa de crimes e danos ao patrimônio, e isso é verdade.
DICAS
Conheça um pouco mais sobre esses ataques em:

https://www.ic3.gov/Home/AnnualReports.
3
UNIDADE 1 — PREPARAÇÃO DE DADOS
Assim como houve aumento nos índices de crimes e também de acesso

à internet, a segurança da informação precisou evoluir na mesma velocidade.
Se pensarmos que a tecnologia evolui junto à quantidade de usuários, é natural
que os ataques acompanhem esse crescimento devido a novos equipamentos não
estarem com todas as configurações corretas, inexperiência do usuário e novas
vulnerabilidades. Como sabemos, o mundo da tecnologia é muito dinâmico.
Como esses ataques cibernéticos surgem? Qual o objetivo? Como a

segurança pode evitar isso? Durante o decorrer do livro esses questionamentos
serão respondidos. Por ora, vemos que os principais mecanismos para realização
de ataques estão associados aos vírus (programas mal-intencionados), worms
(em português, vermes) e entre outros códigos maliciosos. Conforme definem
Nakamura e Geus (2007, p. 11):
Dentre os fatos que demonstram o aumento da importância da

segurança, pode-se destacar a rápida disseminação de vírus e worms,
que estão cada vez mais sofisticados. Utilizando técnicas que incluem
a engenharia social, canais seguros de comunicação, exploração
de vulnerabilidades e arquitetura distribuída, os ataques visam a
contaminação e a disseminação rápida, além do uso das vítimas como
origem de novos ataques.
Os ataques e ameaças ocorrem de várias formas, por isso, para que

tenhamos segurança na utilização da informação não basta cuidarmos de um
único fator, é necessário empregarmos mecanismos de segurança para garantir
a proteção.
Na computação, a segurança da informação precisa ser constantemente

avaliada e preservada, por isso, o objetivo da segurança é proteger as mensagens
para que pessoas mal-intencionadas não possam manipular, modificar, roubar e
obstruir o conteúdo. Segundo Tanenbaum e Wetherall (2011, p. 543):
A segurança é um assunto abrangente e inclui inúmeros tipos

problemas. Em sua forma mais simples, a segurança se preocupa em
garantir que pessoas mal-intencionadas não leiam ou, pior ainda,
modifiquem secretamente mensagens enviadas a outros destinatários.
Outra preocupação da segurança são as pessoas que tentam ter acesso
a serviços remotos que elas não estão autorizadas a usar. Ela também
lida com meios para saber se uma mensagem supostamente verdadeira
é um trote. A segurança trata de situações em que mensagens legítimas
são capturadas e reproduzidas, além de lidar com pessoas que tentam
negar o fato de terem enviado determinadas mensagens.
A compreensão da segurança engloba o conhecimento em diversas áreas,

como gestão de ativos, ferramentas, documentação, permissionamento e controle
de acessos. Vamos iniciar nossos estudos recordando e aprimorando os conceitos de
redes e como elas evoluíram.
4
TÓPICO 1 — APRESENTAÇÃO
E
IMPORTANT
Fundamentar os conceitos básicos de redes e segurança é importante para

que você utilize como base para o aprendizado do novo conteúdo.
2 CONCEITOS
Nesse tópico vamos abordar alguns assuntos sobre conhecimentos
gerais nas áreas de tecnologia, principalmente voltados aos assuntos de
criptografia. É importante tomarmos nota de conceitos como informação,
criptografia, redes e segurança, além de compreender como cada um desses
itens estão diretamente conectados.
2.1 INFORMAÇÃO E CRIPTOGRAFIA

A informação, assim como a comunicação, foi objeto de preocupação e
estudo entre as pessoas em todos os períodos da humanidade, principalmente
em conflitos, guerras e disputas territoriais. As pessoas comunicavam-se
secretamente durante esses conflitos e dentre as técnicas adotadas estava o uso de
mecanismos de criptografia, tendo como objetivo ocultar as mensagens e torná-
las não compreensíveis por interceptadores.
Você já deve ter estudado a história e ter visto alguns fatos que falavam
sobre a criptografia, não é mesmo? Ou ter ouvido sobre hieróglifos, enigmas,
mensagens criptografadas? Dentre as muitas utilizações da criptografia, as mais
conhecidas foram na Primeira e na Segunda Guerra Mundial. Segundo Kim e
Solomon (2014), o ato de embaralhar mensagens foi crucial durante a primeira
guerra, devido ao exército inimigo não conseguir interpretar a comunicação e
troca de informações das tropas.
Genial, não é mesmo? Durante a guerra, os alemães utilizaram-se da

criptografia e automatizaram o processo com o desenvolvimento de uma máquina
denominada Enigma. A Enigma foi uma máquina eletromecânica de criptografia
usada pelos alemães na Primeira e Segunda Guerra Mundial, ela era responsável
por “embaralhar” as mensagens que eram transmitidas (MOCHETTI, 2016).
Vejamos na figura a seguir a máquina Enigma, repare que ela lembra as antigas
máquinas de escrever.
5
FIGURA 1 – ENIGMA
FONTE: <http://horizontes.sbc.org.br/wp-content/uploads/2016/11/enigma-300x234.jpeg>.
Acesso em: 22 fev. 2021.
E
IMPORTANT
Recomendamos que você assista ao filme O Jogo da imitação (2014). Esse

filme aborda aspectos históricos da guerra e a vida de Alan Turing, criptoanalista britânico.
Esse filme foi inspirado pelo livro bibliográfico escrito por Andrew Hodges sobre Alan Turing
(Alan Turing: The Enigma).
Em continuação ao evento da Segunda Guerra mundial, outros métodos

e mecanismos que viríamos a utilizar na informática foram desenvolvidos
nessa época. Segundo Fontoura (2015), Alan Turing desenvolveu um sistema
decodificador dos códigos da Enigma, semelhante aos algoritmos o inventor
desenvolveu o passo a passo que tornava a informação criptografada em um
texto compreensível.
DICAS
Recomendamos que leia uma breve bibliografia de Alan Turing, disponível em:
http://www.invivo.fiocruz.br/cgi/cgilua.exe/sys/start.htm?infoid=1370&sid=7
6
As estratégias de guerra foram expostas após a decifragem de códigos,

ou seja, a troca de informação de um exército foi acessada por pessoas não
autorizadas. Vemos que a informação começa a ser percebida como algo valioso
e importante para as pessoas, instituições e organizações.
É importante que nesse momento você reflita como a informação esteve

presente em cada período da humanidade e como ela era protegida e compartilhada
entre as pessoas. Na atualidade, com a informática, percebemos que a informação
se tornou um “bem” e um recurso muito utilizado pelas empresas. Assim como
protegemos os bens materiais com seguros, alarmes e monitoramentos, com a
informação as preocupações são as mesmas ou talvez um pouco maiores. Quando
um bem material é roubado e, posteriormente, é recuperado ele continua com
o mesmo valor agregado, todavia, com a informação o processo é diferente, ou
seja, ela pode perder valor através de acessos indevidos ou modificações não
autorizadas. Conforme Kim e Solomon (2014), a informação deve ser protegida
de diferentes formas e meios, a fim de manter-se confiável. Além da proteção
da informação, é necessário que tudo que armazene, transporte, relacione-se e
proteja-a estejam seguros e sejam confiáveis. Por isso, é de suma importância que
todas as etapas da criação, utilização e transmissão da informação comprometam-
se em entregar integridade, confiabilidade e disponibilidade.
Você saberia dizer quão importante é para um banco saber quanto dinheiro
seu cliente possui? Ou uma empresa de marketing saber o que os usuários levam
em conta na hora de comprar um produto? Informações estratégicas possuem um
alto valor agregado. Portanto, tudo que tem valor necessita de proteção.
Vamos seguir nosso aprendizado sobre o próximo conceito, redes de

computadores, em que veremos como as informações trafegam.
DICAS
Como veremos, as redes de computadores são importantes para a segurança

da informação e responsáveis pela proteção durante o acesso, armazenamento e transporte.
Veja mais em: https://www.youtube.com/channel/UCmp06STPXKHNlOdYF7zOveQ/videos
2.2 REDES DE COMPUTADORES

Ter um computador ou um dispositivo que não esteja conectado à rede
de computadores não apresenta grande vantagem no mundo moderno devido à
globalização e virtualização. Através da comunicação podemos consumir informações
de diferentes áreas, desenvolvendo assim nosso intelecto. Claro que para isso
necessitamos que os equipamentos garantam a segurança da comunicação.
7
Já imaginou se uma videoconferência de acionistas de uma empresa

fosse invadida, qual a credibilidade que os diretores e administradores
passariam aos investidores? Ou se houvesse algum sequestro do banco de dados
impossibilitando as atividades da empresa, qual seria o impacto financeiro? Caso
um roubo de um projeto fosse realizado pelo concorrente, qual seria o impacto
da vantagem competitiva no mercado? Por isso, as redes e conexões de uma
empresa necessitam ser seguras e constantemente auditadas para assegurar a
conectividade entre dispositivos, equipamentos e pessoas. Você sabe o que é uma
rede? Vejamos a definição segundo Tanenbaum e Wetherall (2011, p. 17):
Um conjunto de computadores autônomos interconectados por uma

tecnologia. Dois computadores estão interconectados quando podem
trocar informações. A conexão não precisa ser feita por um fio de
cobre; também podem ser usadas fibras ópticas, micro-ondas, ondas
de infravermelho e satélite de comunicações.
Isso não se resume apenas a computadores, pois com a evolução

tecnológica os dispositivos móveis passaram por avanços e receberam muitas
melhorias, inclusive a possibilidade de conectar-se à internet. Podemos
encontrar redes domésticas e empresariais compostas por televisões, celulares,
computadores portáteis, centrais eletrônicas, câmeras de vigilância, dentre
infinitas possibilidades.
Você já parou para pensar como isso iniciou e como foram os avanços
tecnológicos que permitiram isso? Hoje em dia é difícil viver sem um sinal de 4G
ou um wi-fi, não é mesmo? Vamos voltar um pouco na história e entender como a
internet que conhecemos hoje foi desenvolvida e como as pessoas começaram a
se comunicar a distâncias maiores.
2.2.1 Origem das redes de computadores

Podemos dizer que o compartilhamento de técnicas de cultivos, fatos
históricos e lendas entre as pessoas é semelhante à troca de dados e arquivos
entre dois computadores. Baseado no compartilhamento de ideias e comunicação
humana, pesquisadores identificaram que as vantagens em troca de informações
poderiam ser aplicadas na informática. Conforme Kim e Solomon (2014), na
informática, percebeu-se logo que as máquinas trabalhando conjuntamente
poderiam agregar um valor maior, seja em agilidade ou em precisão. Percebeu-se
que a comunicação de equipamentos por meio de redes poderia facilitar a vida
das pessoas, sem falar de ganho de produtividade, agilização de processos de
desenvolvimento e automação. Sendo assim, no ano de 1969, surgia a Advanced
Research Projects Agency Network (Arpanet) (em português: Rede da Agência para
Projetos de Pesquisa Avançada), com o objetivo de interligar laboratórios de
pesquisa nos Estados Unidos.
8
Esse projeto ou protótipo de rede era responsável por conectar 4

universidades: Universidade de Utah (UTAH), Universidade de Santa Barbara
(UCSB), Stanford Research Institute (SRI) e Universidade da Califórnia (UCLA).
Nesse projeto, foram utilizadas linhas telefônicas adaptadas e o link era de 50 kbps
(TANENBAUM; WETHERALL, 2011).
Ainda, para Tanenbaum e Wetherall (2011), após a criação de redes de

rádio e satélite, os protocolos utilizados começaram a apresentar problemas para
se conectarem, criando assim a necessidade de desenvolvimento de um novo
modelo de arquitetura de referência. O objetivo dessa arquitetura seria conectar
várias redes de forma uniforme e minimizar os problemas.
DICAS
Aprofunde seus conhecimentos sobre o desenvolvimento da internet e sua

história, leia o livro Onde os magos nunca dormem: a íncrível história da origem da internet
e dos gênios por trás de sua criação de Katie Hafner e Matthew Lyon.
FONTE: HAFNER, K.; LYON, M. Onde os magos nunca dormem: a incrível história da origem da
internet e dos gênios por trás de sua criação. Rio de Janeiro: Red Tapioca, 2019.
De acordo com Sena (2017), foi a partir de 1972 que tivemos o

desenvolvimento do protocolo TCP/IP (Transmission Control Protocol / Internet
Protocol, em português, Protocolo de Controle de Transmissão /Protocolo
de Internet) e a sua padronização ocorreu somente no ano de 1983. Após esse
protocolo, tornou-se oficial, sendo utilizado pela maioria dos computadores (e
dispositivos) na troca de dados.
Assim como a linguagem humana, pesquisadores e cientistas precisaram

definir padrões de comunicação para as máquinas. Você já deve ter alguma
vez apertado a tecla F12 enquanto navegava na internet e ter visto uns códigos
estranhos não é mesmo? Esses códigos que apareceram são padrões de escrita de
uma página web (internet). Qualquer computador consegue compreender aqueles
códigos. Em redes de computadores ocorre o mesmo, há padrões de linguagens
nas máquinas que devem ser seguidos para que as “máquinas se entendam” – o
TCP/IP é um deles. E graças a essa padronização a internet tornou-se intuitiva e
de fácil acesso. Com o padrão de comunicação definido, empresas e pesquisadores
conseguiram, de forma mais fácil, desenvolver novas tecnologias. Protocolos de
acesso remoto, protocolos de envio e recebimento de e-mails, transferência de
arquivos são alguns exemplos. Além das inovações nesses protocolos, serviços e
transmissão de informação passaram também por avanços de segurança.
9
Sena (2017) afirma que no ano de 1981 foi identificado o primeiro vírus,
ele foi desenvolvido por Rich Skrenta e era chamado de Elk Cloner. Esse vírus
mostrava ao usuário infectado um poema em ciclos de 50 reinicializações. Por não
haver, na época, ferramentas de extração do vírus, sua remoção era complicada.
Já a primeira “epidemia” que se tem registro foi do vírus Brain (em

português, Cérebro), no ano de 1986, que diferente do anterior, foi responsável
por grandes prejuízos, pois ele se alocava no boot (inicialização do computador) no
disco rígido. Já no ano seguinte, temos outra pandemia, agora do vírus STONED.
Somente após esses vírus é que surge uma das ferramentas que mais utilizamos
nos computadores domésticos e corporativos, o antivírus.
Dentre os desenvolvedores do antivírus estavam John McAfee e Eugene

Kaspersky, dois sobrenomes bem conhecidos quando falamos de antivírus. Após
McAfee criar seu próprio negócio, essa ferramenta começou a ser difundida e os
recursos de extração de vírus e proteção começaram a tomar uma maior atenção
no mercado.
Conforme Tanenbaum e Wetherall (2011), para apoiar esse processo

de segurança, no ano de 1988, começa o desenvolvimento de uma ferramenta
responsável por filtragem de pacotes, o firewall (em português: parede de fogo).
Foi a partir desse momento, que começamos a utilizar frequentemente outros
mecanismos como firewalls, proxies, antivírus e controle de acessos. Antes de
iniciarmos nossos estudos sobre essas ferramentas, vamos nos aprofundar sobre
o mundo dos protocolos de redes.
2.2.2 Protocolo TCP/IP

Após o avanço de hardwares e softwares, foi necessário adotar padrões de
comunicação para que os dispositivos pudessem trocar informações de maneira
segura. Assim como os seres humanos, os dispositivos necessitam de uma
linguagem padrão para enviar e receber os dados.
Os dois modelos mais conhecidos e difundidos em redes de computadores

são o TCP/IP e o OSI, sendo o TCP/IP pioneiro (TANENBAUM; WETHERALL 2011).
Esses modelos foram responsáveis por segmentar e facilitar o envio de pacotes em
uma rede, em que cada camada possui suas responsabilidades e protocolos.
Nas camadas mais “baixas”, como podemos observar na Figura 2, ficam

a (rede, internet). Elas são responsáveis por trabalhar com a comunicação, envio
e recebimento dos pacotes. Já nas camadas superiores, que são as de transporte
e aplicação, elas são responsáveis por definir a forma de envio, tamanho e
identificação do tipo de pacote
10
FIGURA 2 – MODELOS
FONTE: <https://www.dltec.com.br/blog/wp-content/uploads/2019/02/osi-tcp-ip.png>.
Acesso em: 13 jan. 2021.
Analisando os modelos TCP/IP e OSI apresentados na figura anterior,

podemos comparar as diferenças entre eles como a forma que são divididos e a
correspondência das camadas (TANENBAUM; WETHERALL 2011). Observe que
as cores definidas demonstram apenas equivalência de camadas entre os modelos.
Podemos observar as outras camadas e sua equivalência entre os modelos,

perceba que no modelo TCP/IP, o azul representa a camada de aplicação (em
relação ao modelo OSI, é equivalente as camadas de aplicação, apresentação e
sessão). Essa camada possui como responsabilidades: definir uma função do
pacote (transferência de arquivos, envio de e-mail e entre outros), formatação de
dados e conversão de letras.
Já na camada em laranja (transporte), o objetivo é oferecer métodos

para a entrega de dados, ou seja, verificar como os dados serão transportados.
Continuando, na camada rosa (internet) constam as informações sobre qual
endereço deve ser entregue o pacote (endereço de internet, máquina ou serviço).
Por fim, temos a camada de acesso à rede, identificada pela cor verde, (em relação
ao modelo OSI, é equivalente as camadas de enlace e física) é responsável por
garantir que a conexão física esteja funcionando.
De acordo com Kim e Solomon (2014), podemos compreender que esses

modelos são como uma boneca russa, em que os dados são colocados dentro
de um compartimento e cada camada é responsável por colocar uma etiqueta
e encapsular a informação. Vejamos na figura a seguir um exemplo de como
acontece o encapsulamento.
11
DICAS
Não vamos nos aprofundar na explicação das camadas, pois o objetivo

deste livro é sobre segurança e criptografia. Caso tenha ficado interessado sobre o
assunto, sugerimos que leia o livro Redes de computadores, dos autores Tanenbaum
e Wetherall (2011).
FIGURA 3 – CAMADAS E COMPORTAMENTO DOS DADOS
FONTE: <https://docplayer.com.br/docs-images/47/23715490/images/page_8.jpg>.
Segundo Tanenbaum e Wetherall (2011), cada camada dos modelos

TCP/IP e OSI possui protocolos com características diferentes. Podemos fazer
uma analogia e dizer que cada camada é como idiomas na linguagem humana
que possuem suas próprias características como: tipo de caracteres (símbolos),
tamanhos e formatos.
Para auxiliar nesse processo e garantir a segurança da informação,

existem protocolos específicos que visam tornar a informação ainda mais segura
e protegida. Se tratando de segurança, vejamos no quadro a seguir as camadas do
modelo TCP/IP e vulnerabilidades envolvidas.
12
QUADRO 1 – RISCOS POR CAMADAS
Camada Vulnerabilidades
Ataques via SMTP, HTTP, DNS, NIS, NFS, NTP, WHOIS,
Aplicação
login remoto, pishing
Transporte Spoofing (UDP), ataque de roteamento, sequencial
Internet Spoofing, ataque ICMP
Acesso à rede Escuta passiva e Sobrecarga de Serviços (broadcast)
FONTE: O autor
Nomes e siglas complicadas, não é mesmo? Nesse momento, não fique

preocupado com isso, apenas atente-se aos diferentes riscos que cada camada
está suscetível.
Devido aos diversos ataques e vulnerabilidades que as redes de

computadores estão expostas, alguns pesquisadores desenvolveram projetos e
tecnologias que pudessem tornar as redes mais seguras. Dentre as técnicas para
aumentar a segurança, estava o uso de criptografia como mecanismo de proteção.
Agregar proteção e manter as funcionalidades dos protocolos, seria como resolver
dois problemas de uma única vez – em um único protocolo. Para Tanenbaum e
Wetherall (2011), ele aponta que esse recurso de proteção pode ser utilizado em
protocolos, pois há protocolos que realizam suas atribuições na comunicação e
também apresentam mecanismos adicionais de segurança.
Um exemplo desse mecanismo pode ser encontrado durante nossa

navegação na internet. Ao acessar uma página na internet, você já deve ter
reparado em umas letras antes do site que você está buscando, correto? Essas
letras representam um protocolo de aplicação, o HTTP ou HTTPS. Conforme
Tanenbaum e Wetherall (2011), o HTTPS (Hyper Text Transfer Protocol Secure –
Protocolo de transferência de hipertexto seguro) e o HTTP (Hypertext Transfer
Protocol – Protocolo de transferência de hipertexto) são protocolos básicos da
internet e podem ser usados em qualquer aplicação cliente/servidor. Veja na
figura a seguir um exemplo da utilização durante acesso ao site do banco HSBC.
FIGURA 4 – ENDEREÇO UTILIZANDO HTTPS
FONTE: O autor
13
O protocolo HTTPS é um protocolo que é utilizado constantemente

durante navegação em sites de bancos, corretoras de investimentos, administração
de seguros e em sites de prefeituras. Ele possui as mesmas características do
protocolo HTTP, mas possui uma camada extra de segurança que utiliza o
protocolo SSL/TLS.
Segundo Tanenbaum e Wetherall (2011), outro mecanismo de proteção

associado à segurança é o SSL e o TLS. O SSL (Secure Sockets Layer – Camada de
Soquetes Segura) é um complemento criptográfico desenvolvido para a internet
responsável por tornar mais seguro a camada de transporte e aplicação. O TLS
(Transport Layer Security – Segurança na Camada de Transporte) é o sucesso do
SSL. Ele é um complemento que fornece privacidade e integridade de dados
em uma troca de comunicação (envio e recebimento de pacotes), pois utiliza
criptografia em sua comunicação, trabalhando nas mesmas camadas do SSL.
2.2.3 Firewall
O firewall, em tradução literal parede de fogo, é um equipamento ou
mecanismo responsável por efetuar o controle de tráfego de informações em
uma rede ou computador. Para Tanenbaum e Wetherall (2011), um firewall
pode ser constituído por um hardware próprio ou estar configurado em alguma
máquina. Pois é através de parâmetros na sua configuração, que lhe permite
se tornar a “autoridade máxima” e limitar os acessos, além de controlar o que
pode ou não pode ser visto. Segundo Centro de Estudos, Resposta e Tratamento
de Incidentes de Segurança no Brasil (Cert.br) (2003), o firewall ajuda a reduzir
riscos quando a informação necessita estar disponível na internet, e também
pode proteger as informações antes de serem compartilhadas na internet, de
ataques e vulnerabilidades.

O firewall consiste em autorizar ou bloquear pacotes de saída e entrada
em uma rede de computadores. No entanto, você sabe o que são pacotes? Um
pacote pode ser compreendido como pedaços de uma informação que são
encapsulados por protocolos (transporte, rede, aplicação etc.). Por isso, o firewall
é responsável por consultar em seus parâmetros de bloqueio e permissão e, com
base nisso, liberar ou negar a transição do pacote dentro da rede (TANENBAUM;
WETHERALL 2011).
Se estiver dentro do que foi definido, ele poderá seguir e cumprir seu
objetivo no computador de destino ou aplicação. Agora, se o pacote não apresenta
as características de autorização ou tenha informações duvidosas, ele será negado
e descartado pelo equipamento. Veja a figura a seguir sobre o funcionamento do
equipamento que representa esse fluxo de triagem de pacotes.
14
FIGURA 5 – TRATAMENTOS DO FIREWALL
FONTE: <https://www.infowester.com/firewall.php>. Acesso em: 13 fev. 2021.
Vejamos, na Figura 5, a simulação de uma rede com dois firewalls, que

estão configurados para filtrar pacotes vindos de uma rede pública (internet) e
também filtrar pacotes do setor financeiro da rede privada (rede local composta
por equipamentos da própria empresa).
FIGURA 6 – EXEMPLO COMPLEXO DE FIREWALL
FONTE: <https://www.cert.br/docs/seg-adm-redes/images/ex-fw-compl.png>.
15
Perceba que no exemplo apresentado e colocado em destaque na Figura

7, temos um firewall exclusivo ao financeiro, isso ocorre devido à necessidade
de proteção das informações do servidor e computadores, além da filtragem de
pacotes vindos da rede interna da empresa para este setor.
FIGURA 7 – DESTAQUE SETOR FINANCEIRO
FONTE: Adaptada de <https://www.cert.br/docs/seg-adm-redes/images/ex-fw-compl.png>.

Referente aos outros servidores (WWW, DNS, SMTP e SMTP/POP+SSL)

apresentados na Figura 8, os pacotes transitam livremente na rede da empresa,
pois há configurações (DMZ – Demilitarized Zone ou Zona Desmilitarizada
em português) que autorizam o acesso e utilização dos serviços sem restrição
ou bloqueio.
FIGURA 8 – DESTAQUE SERVIDORES
FONTE: Adaptada de <https://www.cert.br/docs/seg-adm-redes/images/ex-fw-compl.png>.

16
De acordo com Tanenbaum e Wetherall (2011), o funcionamento do

firewall utiliza configurações definidas pelo administrador e que elas não são
fixas no equipamento, ou seja, o firewall pode atuar de diferentes maneiras,
realizando filtros de pacotes em um serviço, filtros de pacotes em aplicações,
filtro em camadas (rede, aplicação, sessão), tudo parametrizado.
Essas configurações podem ser responsáveis apenas pelo

redirecionamento de portas, conexões externas e encaminhamento de pacotes.
Há também possibilidade de atuar no controle de protocolos dos pacotes,
roteamentos, criptografias, bloqueios de acesso a sites etc. Como vemos, o firewall
é um ativo de rede ou ferramenta de tecnologia que diminui vulnerabilidades e
ameaças através do controle de pacotes, no entanto, sua correta configuração é
fundamental para tornar uma rede segura ou não.
2.2.4 Proxy
No tópico anterior, vimos que o firewall é conhecido como mecanismo de
proteção e filtragem, já proxy é reconhecido por apoiar a segurança e assegurar
que os usuários acessem conteúdos confiáveis. Conforme Tanenbaum e Wetherall
(2011, p. 466), o proxy pode ser parametrizado de diferentes formas e possuir
diferentes objetivos:
Um proxy Web é usado para compartilhar cache entre os usuários.

Um proxy é um agente que atua em favor de alguém, como o usuário.
Existem muitos tipos de proxies. Por exemplo, um proxy ARP responde
a solicitações ARP em favor de um usuário que está em outro lugar (e
não pode responder por si mesmo). Um proxy Web busca solicitações
Web em favor de seus usuários. Ele normalmente oferece caching das
respostas da Web e, por ser compartilhado pelos usuários, tem cache
substancialmente maior do que um navegador.
Conforme Cert.br (2006), durante a navegação em sites, os usuários

expõem seus endereços, credenciais e informações pessoais. Com a utilização
de um servidor proxy, os riscos na navegação diminuem, pois eles deixam de
acessar um servidor desconhecido na internet e passam a acessar um servidor
local (servidor proxy).
O servidor proxy é um equipamento físico semelhante a um servidor

que armazena documentos, só que ele armazena páginas de internet. O Cache
(memória temporária) do servidor proxy permite que usuários acessem um site
na internet armazenado no cache do servidor (localmente), garantindo assim
menor risco e contato com ameaças.
17
Tomemos como exemplo uma empresa de tecnologia, se um funcionário

recém-contratado acessa o Facebook na empresa pela primeira vez, o servidor é
responsável por armazenar a página da internet em sua memória (localmente),
logo, quando outros usuários acessarem o Facebook eles estarão acessando a
memória do servidor e não mais a internet. A vantagem disso é a velocidade
de acesso percebida pelo usuário, ou seja, em vez dele acessar o servidor do
Facebook (em alguns casos localizados em outros países), ele passa a acessar o
site cacheado no servidor de sua própria empresa. Outra vantagem percebida é
com relação à segurança, em que se diminui a chance de o usuário cair em golpes
de páginas falsas.
Na Figura 9, podemos visualizar o exemplo apresentando, em que ocorre

a busca de um endereço. Primeiramente, é consultado o cache do navegador,
caso não seja encontrado, aí sim a busca irá para o cache do proxy. Vale reforçar
que essas buscas, até o momento, ocorrem dentro da organização e somente
quando não encontrado nos caches, a busca é realizada na internet (servidores
de outras empresas).
FIGURA 9 – EXEMPLO COMPLEXO DE FIREWALL
FONTE: O autor.
O servidor proxy possui outras vantagens além de fornecer agilidade

de acessos, ele também fornece proteção e limitação de acesso a conteúdo. Por
exemplo, quando você é contratado por uma empresa, ela geralmente fornece um
manual de boas práticas durante utilização na internet. Geralmente, esse manual
contém o que você pode e não pode acessar, como exemplo de bloqueio pode
estar redes sociais, programas de e-mails que não corporativos, assistir filmes,
entre outros. Esses bloqueios geralmente são estabelecidos no proxy. Segundo
Tanenbaum e Wetherall (2011), estão associadas à proteção ofertada pelos proxies
os filtros de conteúdo. Em filtros de conteúdo, a proteção de dados ocorre devido
ao controle de acessos, ou seja, o proxy busca em sua lista de regras o que o
usuário pode ou não acessar (dentro da rede privada da empresa).
18
Os parâmetros do proxy definem as regras de conexão e transição de

pacotes dentro da rede. Alguns parâmetros estão associados à: tipo de protocolo,
porta de conexão, endereço do remetente e destinatário, horário de conexão
etc. Esse filtro também pode ser responsável por bloquear sites que requerem
autorizações especiais, sites que solicitam informações do usuário.
2.2.5 Antivírus
Conforme Tanenbaum e Wetherall (2011), um vírus nada mais é que um
programa computacional que tem como objetivo danificar, roubar ou apenas
perturbar o usuário. Já o antivírus, também é um software, só que com objetivo
de neutralizar os vírus. O antivírus é responsável por defender o usuário de um
ataque vindo de qualquer lugar. Essa poderosa ferramenta protege o usuário de
si mesmo. Sabe aquele momento que dá vontade de abrir um arquivo que você
não conhece ou não tem segurança sobre a origem dele? Sabe aquele e-mail com
assuntos interessantes? Isso mesmo, o antivírus nos protege quando caímos na
tentação e de sofrermos prejuízos financeiros, equipamentos e perdas de tempo.
Como já dito e reforçado por Castelló e Vaz (2020), o funcionamento

do antivírus é simples, ele trabalha com uma base de dados dos principais
arquivos maliciosos encontrados e desenvolve uma “vacina” para combatê-los.
É importante reforçar, que o antivírus pode trabalhar também com o firewall e
softwares de proteção. No mercado, encontramos antivírus pagos e gratuitos,
sendo que a principal diferença, encontra-se na quantidade de camadas que eles
protegem e a frequência de atualização da base de ameaças.
DICAS
Visando à proteção do usuário, o antivírus atua em diversas frentes para combater

ameaças e diminuir os riscos durante a utilização do computador. Caso pretenda desenvolver
seus conhecimentos sobre o assunto de firewall, antispam e spyware, recomenda-se a leitura
do livro Fundamentos de segurança da informação: com base na ISO 27001 e na ISO 27002,
de Jule Hintzbergen, Kees Hintzbergen, André Smulders e Hans Baars.
FONTE: HINTZBERGEN, J. et al. Fundamentos de segurança da informação: com base na

ISO 27001 e na ISO 27002. Rio de Janeiro: BRASPORT, 2018.
19
2.2.6 Backup e Disaster Recovery

Você já imaginou quantos arquivos temos armazenadas em nossos
telefones e computadores? E ainda, se por um descuido houvesse uma invasão e
todos essa arquivos se perdessem? Foto em família, vídeos, mensagens... Antes
de continuar, uma dica: Realize backup constantemente de seus documentos e
arquivos. Na correria do nosso dia a dia, muitas vezes não nos preocupamos
em realizar cópia de segurança (backup) das nossas informações. Em muitos
casos, só lembramos da importância desse recurso quando há um desastre,
não é mesmo? Esse recurso foi desenvolvido para mitigar perda de dados
ocasionados por um ataque ou problemas nos equipamentos. Vamos conhecer
um pouco mais sobre ele.
Conforme descrito por Castelló e Vaz (2020), um backup pode ser

realizado de três formas: Total, diferencial e incremental. Em cada tipo, ele possui
características diferentes, bem como vantagens e desvantagens. O processo de
voltar um backup é denominado restore, em português, restauração.
O backup total, conforme o próprio nome sugere, é uma cópia completa

de todos os arquivos, seja um telefone ou uma base de dados. Em caso de falhas
ou ataques, é realizado uma substituição dos dados corrompidos de acordo com
a última data salva do backup escolhido. A vantagem desse tipo de backup é que
se pode escolher os dados que precisam ser restaurados individualmente. Como
desvantagens podemos listar o espaço de armazenamento e tempo de realização
do processo. Observe a figura a seguir que exemplifica essa situação.
FIGURA 10 – BACKUP TOTAL
FONTE: <https://www.controle.net/novo/assets/img/faq/backup-full.jpg>. Acesso em: 13 jan. 2021.
20
No backup diferencial, ainda de acordo com Castelló e Vaz (2020), a cópia

de segurança é realizada conforme as últimas alterações dos arquivos no último
backup completo. Ou seja, nessa forma de backup, é realizado um backup de
todos os arquivos, posteriormente, quando há necessidade de um novo backup,
o mecanismo faz uma comparação do backup completo com as alterações que
foram realizados no arquivo. Caso tenha havido alterações, o backup copia todas
as alterações realizadas. Neste tipo de backup, as vantagens são o consumo
menor de espaço no disco, pois não há necessidade de sempre ter que copiar
todos os arquivos. Como desvantagens, há uma maior demora para realizar
o backup devido comparação de alterações e o tempo de restauração é maior
consequentemente. Observe a figura a seguir que exemplifica essa situação.
FIGURA 11 – BACKUP DIFERENCIAL
FONTE: <https://www.controle.net/novo/assets/img/faq/backup-diferencial.jpg>. Acesso em:

13 jan. 2021.
O backup incremental consiste em uma cópia realizada em arquivos

alterados. Ou seja, nessa forma de backup, é realizado um backup de todos
os arquivos, posteriormente quando há necessidade de um novo backup, o
mecanismo faz uma comparação do backup completo com as últimas alterações
nos arquivos. Caso alguma alteração tenha ocorrido, é realizado o backup do
arquivo mais atual. A diferença desse tipo de backup é que ele fragmenta os
arquivos que foram copiados no backup. No caso de uma restauração, é restaurado
o backup total e mais os fragmentos das cópias dos arquivos. Observe a figura a
seguir que exemplifica essa situação.
21
FIGURA 12 – BACKUP INCREMENTAL
FONTE: <https://www.controle.net/novo/assets/img/faq/backup-incremental.jpg>. Acesso em:

13 jan. 2021.
Como vimos, não faltam opções para manter os dados seguros. Além
de soluções de backup de arquivos, existe soluções de segurança a nível de
negócios e processos. Para Tanenbaum e Wetherall (2011), temos ainda o disaster
recovery, em português “recuperação de desastre”. A recuperação de desastres
pode ser compreendida como um modelo de recuperação a nível de negócio e
não somente restauração de arquivos (backup). Esse recurso visa reestabelecer
processos, arquivos, aplicações e serviços após uma tragédia (roubo, incêndio,
desastre natural). Podemos entender que esse método possui uma visão
completa operacional.
2.2.7 Controle de Acesso

Como vimos, é de suma importância manter cópias de segurança das
informações, mas também precisamos controlar quem as acessa. Você já imaginou
o que aconteceria se todos da empresa tivessem acesso a todas as informações,
se todos pudessem consultar o salário dos outros funcionários, pudessem ter
acesso aos planejamentos da gerência, os planos de expansão ou as fórmulas dos
produtos. Com certeza isso seria um caos. Para diminuir os riscos de vazamento
de informações, é necessário garantir o acesso somente a quem necessita da
informação. Segundo definem Tanenbaum e Wetherall (2011), o controle de acesso
é a forma de bloquear ou permitir acesso de pessoas a um arquivo ou programa.
Para Castelló e Vaz (2020), esse controle de acesso ou permissionamento

pode ocorrer de diversas maneiras e pode variar conforme o sistema que está
sendo utilizando. Através de ferramentas como Active Directory Domain Services
(em português: Serviços de Domínios de Diretório ativado) e Samba (ferramenta
utilizada em redes linux) podemos controlar acessos a arquivos e pastas em
computadores, já em banco de dados, podemos limitar o acesso através da criação
de roles (em português regras) ou views (em português visualizações). Através
dessas ferramentas, é possível a criação e administração de grupos de usuários
além de políticas permissionamento em diferentes escalas.
22
Portanto, em uma rede corporativa, dar somente a permissão necessária

para que ele execute suas atividades, é uma medida aparentemente simples, mas
extremamente importante, já é uma proteção contra atividades mal-intencionadas,
sejam usuário ou terceiros.
2.3 RISCOS E AMEAÇAS

Muitos são os ataques que podem comprometer a segurança dos dados
de uma organização. Todos os dias, essas organizações estão expostas a diversos
vírus e crimes cibernéticos. Algumas dessas ameaças, já são bem conhecidas.
DICAS
Conheça os maiores ataques cibernéticos e os prejuízos causados. Disponível

em: https://medium.com/ganeshicmc/os-10-maiores-ataques-cibern%C3%A9ticos-da-
hist%C3%B3ria-9803db52462a.
Quando ouvimos nesses assuntos sobre sequestro e vazamento de

informações, clonagem de números telefônicos e roubos parece algo distante
da nossa realidade, não é mesmo? Você sabia que somos o segundo país do
mundo em ataques virtuais? Além desses ataques que afetaram operações e até
mesmo a sobrevivência das empresas, temos como consequência o vazamento de
informações confidenciais, a espionagem industrial, e como dissemos, isso pode
gerar danos permanentes que comprometem a sobrevivência da organizar.
Cada arquivo malicioso possui características diferentes de instalação

na máquina, propagação, forma de contaminação e funcionamento. Observe na
imagem a seguir alguns arquivos maliciosos e como eles agem nos computadores.
23
FIGURA 13 – ARQUIVOS MALICIOSOS E SEUS DANOS
FONTE: Cert.br (2020, s.p.)
Após a contaminação de um mecanismo malicioso podemos sofrer

grandes prejuízos não é mesmo? Vamos estudar agora cada mecanismo desse e
analisar os impactos que eles podem causar.
Segundo o Cert.br (2020), o vírus computacional é um programa ou parte

de um programa de computador, geralmente mal-intencionado, que visa se
tornar parte de outros programas e arquivos. Esses mecanismos necessitam ser
ativados para cumprirem seu objetivo, geralmente isso ocorre durante a execução
do programa ou arquivo hospedeiro. Os vírus propagam-se principalmente
através de e-mails e mídias removíveis.
24
Worm (em português, verme) é outro programa que devemos ter cuidado.
Segundo o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança
no Brasil (2020), ele é um programa que possui alto índice de propagação em
redes, enviando cópias de si mesmo de computador para computador. Diferente
do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo
em outros programas ou arquivos, mas sim pela execução direta de suas cópias
ou pela exploração automática de vulnerabilidades existentes em programas
instalados em computadores. Worms são notadamente responsáveis por
consumir muitos recursos, devido à grande quantidade de cópias de si mesmo
que costumam propagar e, como consequência, podem afetar o desempenho de
redes e a utilização de computadores.
Outro mecanismo mal-intencionado são os bots e botnets (em português,

robô e robôs). Conforme o Centro de Estudos, Resposta e Tratamento de Incidentes
de Segurança no Brasil (2020, s.p.):
Bot é um programa que dispõe de mecanismos de comunicação com

o invasor que permitem que ele seja controlado remotamente. Possui
processo de infecção e propagação similar ao do worm, ou seja, é
capaz de se propagar automaticamente, explorando vulnerabilidades
existentes em programas instalados em computadores. A comunicação
entre o invasor e o computador infectado pelo bot pode ocorrer via
canais de IRC, servidores Web e redes do tipo P2P, entre outros meios.
Ao se comunicar, o invasor pode enviar instruções para que ações
maliciosas sejam executadas, como desferir ataques, furtar dados do
computador infectado e enviar spam.
O spyware (em português, espia), como o próprio nome sugere, é um

mecanismo de monitoramento das atividades de um sistema e envio das
informações coletadas para terceiros. Segundo Cert.br (2020), ele pode ser
utilizado de forma legítima em que o dono monitora a ação de outros usuários
em uma máquina e na forma maliciosa, onde há violação de privacidade sem a
devida autorização.
O backdoor (em português, porta dos fundos), é um programa que permite

o retorno de um invasor a um computador comprometido, por meio da inclusão
de serviços criados ou modificados para este fim. Pode ser incluído pela ação de
outros códigos maliciosos (CERT.BR, 2020).
O Trojan (em português, cavalo de troia), comumente conhecido como

cavalo de troia, é um programa que executa ações informadas pelo usuário
e também ações desconhecidas por ele. Segundo Cert.br (2020, s.p.), podemos
perceber o uso desse programa nos seguintes exemplos:
Exemplos de trojans são programas que você recebe ou obtém

de sites na Internet e que parecem ser apenas cartões virtuais
animados, álbuns de fotos, jogos e protetores de tela, entre outros.
Estes programas, geralmente, consistem em um único arquivo e
25
necessitam ser explicitamente executados para que sejam instalados

no computador. Trojans também podem ser instalados por atacantes
que, após invadirem um computador, alteram programas já existentes
para que, além de continuarem a desempenhar as funções originais,
também executem ações maliciosas.
Por fim, Rootkit (termo formado por duas palavras: Kit e root. Em
português, conjunto de ferramentas e raiz) é um conjunto de programas e
técnicas que permite esconder e assegurar a presença de um invasor ou de outro
código malicioso em um computador comprometido (CERT.BR, 2020). Esse tipo
de mecanismo visa remover evidências de ataques, mapear vulnerabilidades,
capturar informações e entre outros.
Como podemos perceber, há diferentes formas de mecanismos maliciosos

que trazem preocupações à equipe de segurança da informação. Cada um possui
uma característica, um impacto e explora as vulnerabilidades.
2.4 CRIPTOLOGIA
Já vimos que a criptografia é quase tão antiga quanto a escrita, e que
seu uso é bastante amplo. Observamos que a criptografia esteve muito ativa
durante a história da humanidade em conflitos e troca de informações. Vamos
agora aprofundar os nossos conhecimentos sobre as divisões da criptografia e
suas responsabilidades. Para realizar tais funções, ela emprega conhecimentos de
diversas áreas, como: matemática, computacional, psicológica e filológica.
A criptografia é parte integrante da ciência de símbolos, a criptologia.

Vamos nos aprofundar mais no assunto de criptologia e suas divisões? Conforme
Tanenbaum e Wetherall (2011), a Criptologia estuda os conjuntos de técnicas que
tornam uma mensagem incompreensível a pessoas não autorizadas, que são: a
quebra das informações ocultadas e os métodos de ocultação de mensagens.
FIGURA 14 – DIVISÃO DA CRIPTOLOGIA
FONTE: <http://www.mat.ufpb.br/bienalsbm/arquivos/Oficinas/PedroMalagutti-TemasInterdisciplinares/
Aprendendo_Criptologia_de_Forma_Divertida_Final.pdf>. Acesso em: 13 fev. 2021.
26
A criptoanálise estuda as formas para decodificar uma mensagem sem

tornar-se conhecido. Essa técnica utiliza métodos matemáticos para que uma
mensagem codificada se torne a mensagem original, ou seja, busca quebrar
o código da mensagem transformando-se, assim, em mensagem legível e
compreensível (TANENBAUM; WETHERALL, 2011).

A esteganografia estuda métodos e formas de inserir uma imagem
responsável pela autenticidade da informação dentro da mensagem ou objeto.
Esse método é utilizado popularmente nas cédulas de papel moeda (método
conhecido popularmente como “marca d’agua”), responsável por identificar a
autenticidade de uma nota. A esteganografia é também utilizada na emissão de
documentos, imagens e até para atestar a originalidade uma obra, como imagens
transmitidas na TV digital. O objetivo principal da esteganografia é manter obra,
produto, imagem ou documento de forma original e com propriedades autorais
(TANENBAUM; WETHERALL, 2011). A criptoanálise responsável por estudar as
formas de decodificar uma mensagem sem tornar-se conhecido. Essa técnica utiliza
métodos matemáticos para que uma mensagem codificada se torne a mensagem
original, ou seja, busca quebrar o código da mensagem transformando-se assim a
mensagem legível e compreensível.
Outra divisão da criptologia é a criptografia, responsável por estudar a

escrita oculta, ou seja, estudo voltado aos métodos de tornar uma mensagem
não compreensível exceto a quem envia e quem recebe. Para que a criptografia
funcione, ela necessita de códigos e cifras.
Lembra da brincadeira da língua do “P”? Compare a cifra como sendo a

regra de colocar o “P” na frente de cada palavra. As cifras são responsáveis por
converterem o texto utilizando um padrão. Uma das vantagens da cifragem, é
que ela não necessita ter uma lógica ou um padrão para transformar o texto, basta
apenas não ser alterada. Na criptografia, também existem os códigos e eles são
mecanismos complementares da cifra, ou seja, podemos compará-los como um
cadeado, em que o código é uma chave e a cifra é o próprio cadeado.
Outra divisão existe é das cifras, elas podem ser de substituição ou

transposição. Conforme Bezerra (2020), as cifras estão divididas em cifras de
substituição e cifras de transposição. As cifras de substituição, como o próprio
nome sugere, funcionam como um disfarce. Neste tipo de cifra, um texto é
substituído por outro, assim como no exemplo do envio da mensagem “FACA”.
Na cifra de transposição, as letras são mantidas e há reordenação das letras,
nela, não há o disfarce como na cifra de substituição. No exemplo do envio da
mensagem “FACA”, a mensagem enviada poderia ficar “AFCA” ou “ACAF”
(entre outras combinações).
27
2.4.1 Criptografia
Você já deve ter brincado alguma vez com seus amigos de símbolos ou ter
usado a “língua do P” para se comunicar, não é mesmo? Observe que a criptografia
já fazia parte da sua vida nessas brincadeiras de infância. Segundo Nakamura
e Geus (2007), podemos dizer que a criptografia é uma escrita responsável por
tornar uma mensagem incompreensível a pessoas não autorizadas, ou seja, ela
só é lida por quem consegue decifrar o código. A criptografia utiliza de recursos
como símbolos, chaves e cifras para converter mensagens. Vejamos um pequeno
exemplo sobre como criptografar e descriptografar uma palavra. Aplicaremos a
cifra de César em nosso exemplo.
FIGURA 15 – CIFRA DE CÉSAR
FONTE: Adaptada de <https://2.bp.blogspot.com/-jLRQZjbg5_w/VOu0QsgLYSI/

AAAAAAAAT2Y/0yzQyvhd-jw/s1600/Cifra%2Bde%2BCesar.png>. Acesso em: 13 jan. 2021.
Em nossa situação hipotética, vamos enviar uma mensagem criptografada

para um colega que tenha a mesma cifra que a sua. A mensagem que pretendemos
enviar é “FACA”. Para realizar a cifragem, observe as equivalências de letras:
a letra “F” da primeira linha será equivalente à letra “C” da segunda linha, a
letra “A” da primeira linha será equivalente à letra “X” da segunda linha e a letra
“C” da primeira linha será equivalente à letra “Z” da segunda linha, logo, o que
enviaremos será “CXZX”. Seu amigo, após receber a mensagem, pegará a cifra e
fará o processo inverso. Supomos ainda que um terceiro integrante, sem a cifra,
veja a mensagem, você acha que ele entenderá o texto “criptografado”? Percebeu
que ninguém saberá a mensagem, caso não souberem a cifra.
Saindo das brincadeiras de criança, e indo para a computação, em

mecanismos automatizados de criptografia, ela começou realmente a ser
empregada através de algoritmos que realizam a criptografia. Segundo Tanenbaum
e Wetherall (2011), até 1970 a criptografia era utilizada exclusivamente pelo
governo. A popularização da criptografia foi realizada após o desenvolvimento
do primeiro modelo, denominado DES (Data Encryption Standard, em português,
Padrão de Criptografia de dado). Esse algoritmo foi desenvolvido pela IBM em
1977 e tinha a capacidade de 72 quadrilhões de combinações.
28
Seguindo com a evolução da criptografia nos algoritmos, Segundo

Singh (2013), nos anos de1990, Xuejia Lai e James Massey publicam um artigo
denominado Uma proposta para um novo padrão de encriptação de bloco” – LAI,
1990) denominado IDEA (International Data Encryption Algorithm). O objetivo do
IDEA foi substituir o DES. Nesse novo algoritmo proposto no IDEA, utilizava-
se uma chave de 128 bits. Além disso, ele possuía uma melhor interface de
implementações do que os outros softwares existentes na época, além de melhor
adequar-se a computadores de uso popular.
Como nem tudo é perfeito, no ano de 1997 aconteceu a primeira quebra de

criptografia do código DES de 56 bits. Na época, para realizar essa façanha, estima-
se que foram utilizados aproximadamente uma rede com 14.000 computadores.
Graças aos avanços da tecnologia, no ano seguinte, o código DES foi quebrado
em apenas 56 horas, e em 1999, esse ataque foi baixado para apenas em apenas 22
horas e 15 minutos.
Como o processo que quebra de criptografia tornando-se cada vez mais

rápido, foi necessário a implementação de novos modelos. Então, começaram
a ser implementados os conceitos de utilização de chaves simétricos e
assimétricos, certificação digital, assinatura digital, além de novos mecanismos
de cifragem de dados e protocolos customizados voltados a preservação da
segurança da informação.
TUROS
ESTUDOS FU
Veremos mais sobre esses mecanismos de cifragem no Tópico 2 da Unidade

1 e também nas demais unidades deste livro.
29
RESUMO DO TÓPICO 1
Neste tópico, você aprendeu que:
• A informação foi sempre objeto de pesquisa durante a evolução humana e

desenvolvimento de novas tecnologias.
• A informação possui características e que a segurança da informação visa

resguardá-las de ameaças.
• A informação sempre foi peça principal em disputas de territórios, táticas de

guerra, relacionamentos e comunicação.
• Uma rede de computadores possui ligação direta com a segurança da

informação. Uma informação disponibilizada e compartilhada em rede sofre
inúmeros riscos.
• Os fundamentos de redes são necessários ser compreendidos para desenvolver o

aprendizado sobre segurança da informação e criptografia.
• Em redes de computadores, o pacote é dividido em camadas. Cada camada

possui responsabilidades, características e protocolos.
• Em redes de computadores, falamos sobre ameaças, vulnerabilidades e

medidas de segurança com os hardwares.
• Em redes de computadores falamos sobre ameaças, vulnerabilidades e medidas

de segurança com os hardwares, de uma transmissão de dados e a importância
de clusters, redundâncias de serviços e meios de transmissão.
• A segurança física aborda aspectos de energia, climatização, controle de acesso,

descarte de equipamentos e conscientização ambiental.
• Os fundamentos e conceitos sobre ferramentas de proteção lógica, cuidados

relacionados à parametrização de equipamentos e a correlação das ferramentas e
parametrizações com a política de segurança.
• A utilização de ferramentas como firewalls, antivírus, antispams e

permissionamentos é muito importante.
• As atualizações de softwares e firmwares são responsáveis por corrigir e

prevenir ameaças.
30
• A evolução da criptografia ocorreu de forma gradual. Viu-se que a criptografia
estava associada a fatos históricos como guerras, troca de mensagens e
controle de acesso.
• A Criptologia é uma grande área de estudo e que ela é dividida em diversas

outras áreas. Viu-se também que a criptografia é um fragmento dessa área.
31
AUTOATIVIDADE
1 (PRODEB, 2018) As estruturas de tecnologia dentro das empresas cresceram

de forma desordenada ao longo dos anos, tendo como justificativa a
necessidade de manter os sistemas funcionando. Sobre Infraestrutura
Tecnológica, assinale a alternativa CORRETA:
FONTE: Adaptado de <https://arquivos.qconcursos.com/prova/arquivo_prova/68561/

instituto-aocp-2018-prodeb-analista-de-tic-i-arquitetura-de-solucoes-prova.pdf?_
ga=2.268889841.1400620687.1613140521-387904301.1603801534>. Acesso em: 12 fev. 2021.
a) ( ) Disponibilidade, de modo amplo, é a proporção de tempo e lugar

em que um sistema permanece ativo, dependendo da estrutura do
hardware e da Infraestrutura downtime proposta.
b) ( ) Quanto melhor for a operação do sistema, maior terá de ser sua
disponibilidade (downtime), isto é, menor terá de ser o tempo em que
o sistema fica sujeito a algum tipo de falha.
c) ( ) Disponibilidade, de modo amplo, é a proporção de tempo e lugar
em que um sistema permanece ativo dependendo da estrutura do
hardware e da Infraestrutura uptime proposta.
d) ( ) Quanto mais crítica for a operação do sistema,maior terá de ser sua
disponibilidade (uptime), isto é, menor terá de ser seu downtime –
tempo em que o sistema fica parado devido a alguma falha.
e) ( ) Quanto melhor for a operação do sistema uptime, maior terá de ser sua
estrutura downtime, isto é, maior terá de ser o tempo em que o sistema
uptime fica livre de falhas.
2 (QUADRIX, 2019) A respeito de redes de computadores e dos aplicativos

para segurança da informação, julgue o item a seguir: “Os firewalls não
podem ser usados como interface com outros dispositivos de segurança,
como servidores de autenticação”.
FONTE: Adaptado de <https://www.qconcursos.com/questoes-de-concursos/questoes/

c6e62239-7d>. Acesso em: 12 fev. 2021.
a) ( ) Certo
b) ( ) Errado
3 Sabemos que o backup é um recurso muito importante na segurança. É

ele que garante que uma recuperação de dados caso houver alguma falha
sistêmica, roubo de equipamentos ou corrompimento de arquivos. Quais
são os 3 tipos de backups mais utilizados?
32
TÓPICO 2 —
UNIDADE 1
FUNDAMENTOS DE REDE, SEGURANÇA E CRIPTOGRAFIA
1 INTRODUÇÃO
Agora que compreendemos um pouco sobre a origem e evolução da
segurança da informação, aprofundaremos os nossos conhecimentos nas áreas de
redes de computadores, segurança e criptografia. O objetivo deste tópico é fazer
com o leitor desenvolva um conhecimento teórico sobre o tema e possa adquirir
um conhecimento crítico constatando a responsabilidade na administração de
um ambiente.
Como vemos e lemos comumente notícias sobre a informática, percebemos

a quantidade de invasões e roubos de informações que as pessoas sofrem.
Perda de documentos, sequestro de banco de dados, estelionato e roubos são
alguns dos crimes cibernéticos que mais atingem pessoas. As vulnerabilidades e
hipossuficiência de segurança são as duas situações que favorecem que pessoas
mal-intencionadas consigam cometer os crimes citados.
Como discutido anteriormente, a segurança da informação precisa atuar

em duas frentes, com pessoas e técnicas de proteção. Neste tópico, relacionado
a pessoas, trataremos sobre políticas de acesso, administração de permissões e
condutas. Com relação às técnicas, conceituaremos os itens introduzidos no tópico
anterior e dissertaremos sobre o funcionamento deles. É importante entendermos
conceitualmente as funcionalidades que oferecem segurança aos usuários e os
mecanismos de defesa de ataques.
2 FUNDAMENTOS
Agora que fomos introduzidos à criptografia e redes de computadores,
vamos conhecer os recursos de chaves, assinaturas digitais, mecanismos de
segurança e certificados digitais que fornecem mais confiabilidade e que são
responsáveis por proteger a empresas, usuários e até ao funcionamento dos
próprios sistemas. Além da confiabilidade, os recursos são responsáveis por
prover integridade e controle de acesso.
Como veremos a seguir, alguns mecanismos de segurança visam digitalizar

documentos e comprovantes, ou seja, tornar algo que temos no “mundo real” em
algo virtual. Outro item em que podemos empregar a tecnologia é na utilização
de arquivos virtuais como forma de autenticidade de uma ação/documento.
33
2.1 SEGURANÇA
Compreendendo os fundamentos básicos de redes, podemos seguir em
nosso aprendizado sobre segurança. Como vimos no tópico anterior, a segurança
na informática é complementada pelas redes de computadores. Ambas as áreas
se interligam no planejamento, configuração e administração.
A segurança na informática ocorre da mesma forma e em uma camada a

mais, a virtual. Como vimos na introdução, a segurança na informática precisa
ser responsável por guardar equipamentos fisicamente e informações e dados
virtualmente (TANENBAUM; WETHERALL 2011). Vimos que a segurança zela
nesses dois níveis por manter a informação confidencial, íntegra e disponível
aos usuários. Para manter as informações com suas características, ela utiliza de
autenticação, sigilo, aceitação e controle de integridade. Com isso, vamos aos
fundamentos da segurança da informação e expandir nossa base de conhecimento.
2.1.1 Certificado digital

No mundo físico, a comprovação de autenticidade de uma informação
sempre foi realizada de alguma forma. Assinaturas, carimbos, digitais e selos,
todos utilizados para declarar um documento oficial. Na informática, e com
a tecnologia, meios de autenticidade têm sido empregados para substituir a
comprovação presencial de determinado acordo ou informação. O certificado
digital e assinatura digital são alguns desses mecanismos de segurança que visam
autenticar determinada informação.
A internet está cada vez mais presente no cotidiano das pessoas,

principalmente na vivência dos jovens (NARDON, 2006). Podemos nos conectar a
empresas, pessoas e ao governo para consultar processos, realizar procedimentos
bancários, realizar compras de bens, investir, entre outras coisas. Para executar
todos esses processos, é necessário que o usuário por trás da máquina seja quem
realmente diz. Esses processos, por serem de grande importância, precisam ser
confiáveis e seguros a fim de que não haja fraudes.
Para isso, os certificados digitais são empregados. Eles são responsáveis

por garantir que uma pessoa seja quem diz ser na rede. O certificado é uma
tecnologia na área da informática que visa identificar transações eletrônicas
considerando sua autenticidade, confidencialidade e integridade, para que não
ocorram interceptações, adulterações, entre outras fraudes possíveis. O certificado
digital possui um recurso que trabalha em paralelo, que é a assinatura digital.
Conhecida por ser um mecanismo de segurança, a assinatura digital utiliza
chaves criptográficas. Esse tipo de segurança de assinatura permite transformar
uma assinatura em uma hash responsável por encapsular a informação. Qualquer
modificação nela ou acesso altera a hash, invalidando assim o documento.
34
TÓPICO 2 — FUNDAMENTOS DE REDE, SEGURANÇA E CRIPTOGRAFIA
O certificado digital, conforme acordo do ICP-Brasil, podem ser

classificados em duas classes, cada uma tem quatro tipos. Na classe “A” existem
os certificados A1, A2, A3 e A4 que são certificados de assinatura digital utilizados
em e-mails, redes privadas e documentos eletrônicos. Na classe “S” existem os
certificados S1, S2, S3 e S4 que são certificados de sigilo que são utilizados em
base de dados, mensagens e codificação de documentos.
O certificado digital é um documento eletrônico que armazena uma

assinatura digital com informações, como nome, entidade emissora, prazo de
validade e uma chave pública. O certificado é um documento responsável por
comprovar a autenticidade do usuário (QUALISIGN, 2020). É através dele
que é confirmado as primícias da segurança da informática para realização de
uma negociação: autenticidade, não repúdio, confidencialidade e integridade.
O certificado digital quando utilizado, deve-se prezar pelo envio através de
conexões seguras, por exemplo, conexões que utilizam o SSL.
É complicado entender o certificado digital sem nunca ter obtido

um. Portanto, com o processo explicativo de aquisição pode ficar mais claro
compreender este conteúdo. Primeiramente, na aquisição do certificado é
necessário buscar um órgão certificador (TANENBAUM; WETHERALL, 2011). O
Certificador é responsável por associar a identidade de uma empresa ou pessoa a
uma chave e “registrar” dados em um arquivo, o certificado digital. Para realizar
tal processo, é necessário agendar um dia para comparecer a empresa certificado
e apresentar os documentos que comprovem a identificação. Para adquirir
o certificado, é necessário que a pessoa apresente seus documentos (RG, CPF,
Contrato Social, Comprovante de endereço) originais e suas cópias.
Um órgão certificador precisa seguir normas estabelecidas por empresas

homologadas pelo governo para realizar o registro de chaves (QUALISIGN, 2020).
No Brasil, existe a ICP-Brasil que é responsável por estabelecer uma política de
chaves. Ela é responsável por garantir a autenticidade, integridade e validade
jurídica de documento em sua forma virtual, aplicações, transações eletrônicas e
aplicações que utilizam o certificado.
2.2 CRIPTOGRAFIA
A Criptografia é um recurso utilizado frequentemente na segurança e
nas tecnologias para proteção de dados e informação. Como vimos, a segurança
da informação e a criptografia estão completamente ligadas e entrelaçadas. A
segurança utiliza a criptografia como o mecanismo particular de mascarar um
conteúdo para tornar a informação inelegível para pessoas não autorizadas.
Neste subtópico, vamos compreender a criptografia e sua aplicação e

fundamentação. Conforme Kim e Solomon (2014), a criptografia possui um papel
importante no mundo globalizado e é responsável por encapsular informações
importantes em tecnologias que utilizamos. Alguns exemplos são as assinaturas
35
digitais, certificados digitais, chaves simétricas e assimétricas, protocolos de

autenticação, entre outras tecnologias. A criptografia é utilizada em diversos
segmentos da sociedade como tecnologia da informação, economia, administração,
saúde, entre outros. Emprega em ambos os setores que movimentam o país, setor
público e setor privado.
A criptografia permitiu a informática evoluir a um nível avançado e a

alcançar áreas que necessitavam desse tipo de ferramenta para automatização.
Uma área que podemos citar é a bancária (KIM e SOLOMON, 2014). Pense nas
inúmeras transações financeiras que estão acontecendo no momento que você
lê este parágrafo. Ocorreram muitas, não é mesmo? O banco, por sua vez, teve
que administrar operações que aconteciam dentro de casa (na agência bancária)
e via internet banking. Os clientes que estavam na agência, poderiam comprovar
que eles realmente eram quem diziam ser através de um documento, assinatura
ou testemunha. Na internet, o contato físico não é possível para assegurar a
segurança, portanto, o papel desses mecanismos de criptografia são: assegurar
que uma transação financeira feita através de um aplicativo foi autorizada ou
realizada pelo cliente que realmente “é quem diz ser”. Através disso, vemos a
importância desses mecanismos na tecnologia. Vamos agora compreender a
complexibilidade dessa ferramenta que assegura nossa segurança no dia a dia.
2.2.1 Princípios da criptografia

A criptografia é semelhante ao conjunto de técnicas e métodos responsáveis
por codificar e cifrar informações através de um algoritmo (TANENBAUM;
WETHERALL 2011). O objetivo é converter um texto compreensível em um
texto ilegível. A criptografia é realizada através de dois formas: códigos e cifras.
Nas cifras, a informação é criptografada através de uma cifra que é transposta
ou substituída. Nos códigos, eles protegem a informações trocando partes por
códigos pré-definidos.
Kim e Solomon (2014) afirmam que as cifras de transposição são

responsáveis por misturar os caracteres da informação original e as cifras de
substituição responsáveis por seguirem uma tabela e assim trocarem as letras
ou caracteres. A criptografia pode ser realizada por diversos mecanismos como
hardwares específicos, computadores, celulares e manualmente por seres
humanos. O que diferencia cada um é a probabilidade de erros e a velocidade de
execução. Quando falamos em algoritmos de criptografia, os principais são DES,
AES, RC5, IDEA e RSA, MD5 e SHA-1. Cada qual possui uma particularidade e
nível de segurança.
Tanenbaum e Wetherall (2011) afirma que na criptografia, além de

algoritmos são utilizadas chaves, que são um número ou diversos números. A
chave, assim como no mundo real, deve estar acessível somente a quem possui
autorização e acesso a determinado local ou objeto. Através desses recursos da
36
criptografia, cifras, chaves e esteganografia muitas ferramentas que utilizamos

como certificado digital, autenticação e validação de segurança podem ser
utilizadas de forma confiável, sem falarmos da segurança da comunicação.
Cada ferramenta possui um foco específico para garantir a confidencialidade,
autenticidade e disponibilidade.
2.2.2 Cifras
O papel de uma cifra na tecnologia é estabelecer uma forma de
ocultamento da informação. Essa ocultação de mensagem pode ser realizada
através de métodos de substituição (troca de uma letra ou parte de mensagem
por outra letra ou parte da mensagem), método de transposição (troca da ordem
das letras ou parte da mensagem por outra, não substituídas) ou misto. Vamos
compreender e exemplificar os métodos (KIM e SOLOMON, 2014).
Na cifragem de transposição, a mensagem mantém os conteúdos,

todavia há uma mudança na ordem dos caracteres (KIM e SOLOMON, 2014).
Exemplificando, vamos cifrar a palavra “hospital” para “patilhso”. Vemos que a
palavra se torna conhecida, pois sabíamos o que era no início. Caso uma pessoa,
sem apresentá-la ao contexto, dificilmente saberia o que significa “patilhso”.
Outro exemplo que podemos citar nesse tipo de cifragem é com a utilização de
chave. Suponha que você agora entregue a palavra “patilhso” a alguma pessoa
que tenha a chave para descriptografar, ela possivelmente fará a descriptografia e
descobrirá que você quis dizer “hospital”. Veja a imagem a seguir ilustrando esse
segundo exemplo:
FIGURA 16 – EXEMPLO DE CIFRAGEM DE TRANSPOSIÇÃO COM CHAVE
FONTE: O autor
37
Na cifragem de transposição, existem inúmeras formas para cifrar uma

mensagem (KIM e SOLOMON, 2014). A cifra pode ser implementada utilizando
Fibonacci, fórmulas matemáticas e símbolos que guia a ordenação. Nos exemplos
citados, vimos a cifragem sendo realizada de forma manual, geralmente até
desenvolvida em um bloco de notas ou planilha. Todavia, essas mesmas cifras
podem ser informatizadas para agilizar, evitar erros e performar o processo de
cifragem e decifragem de uma informação.
Segundo Kim e Solomon (2014), na cifragem de substituição, há

realmente um mascaramento de caracteres ou mensagem. Na computação, esse
recurso é muito utilizado durante a substituição de caracteres por bloco de bits.
Exemplificando, tomemos como exemplo a palavra “hospital” novamente. A
cifra de substituição que equivale a palavra “hospital” é “%$!*(-s)”. Caso você
envie a palavra cifrada sem dizer que “%” equivale a “h”, “$” equivale a “o”
e sucessivamente, a pessoa que receber a mensagem dificilmente a decifrará
(praticamente impossível). Veja a imagem a seguir ilustrando esse exemplo:
FIGURA 17 – EXEMPLO CIFRAGEM DE SUBSTITUIÇÃO
FONTE: O autor
Na cifragem mista, como o próprio nome sugere, ambas as cifragens são

utilizadas para estabelecer uma criptografia na mensagem (KIM e SOLOMON,
2014). Quando falamos em cifragem, podemos utilizar diversos elementos
para apoiar nesse processo de segurança. Instrumentos, cartões perfurados ou
com altos relevos, dados, moedas são alguns exemplos. Quando falamos em
codificação de mensagens, podemos exemplificar também cifras e códigos que
empregamos na comunicação braile e Morse. As cifras são peças-chaves na
criptografia. Como pode se observar, elas estão diretamente ligadas a chaves,
algoritmos e certificados. Observa-se que ela pode implementar um mecanismo
que adicione uma camada de segurança extra na mensagem.
38
2.2.3 Chaves Privadas

Segundo Tanenbaum e Wetherall (2011), as chaves privadas utilizam-se da
criptografia tradicional com uma ênfase diferente. Ao invés de buscar algoritmos
simples para codificação, elas buscam formas de utilizar e possuir algoritmos
complexos para criptografar. Uma chave é uma cadeia de valores utilizada
para cifrar ou decifrar dados. Uma chave compreende um simples arquivo que
armazena essa cadeia de valores.
Em uma criptografia que utiliza de chaves simétricas, há utilização de

uma única chave compartilhada entre os usuários que acessarem a informação.
Uma única chave é utilizada para criptografar e descriptografar o texto. Quanto
maior a chave de criptografia (128 a 256 bits) mais segura é.
2.2.4 Assinatura digital

Esse mecanismo utiliza-se da criptografia para assegurar segurança para
o remetente e destinatário a fim de manter os pilares principais da segurança:
autenticação, sigilo, não repúdio e controle de integridade. A assinatura digital,
como o próprio nome propõe, visa que uma pessoa assine um documento
tornando-o tão válido como se fosse realizado fisicamente o processo. A validade
desse documento pode ser comprovada nas esferas jurídicas, fazendo com que
a autenticação realizada não permita de ambos os lados que façam repúdio ao
documento, assim como infira a ele controle de integridade e sigilo. Basicamente,
esse mecanismo possui duas finalidades: associar a identidade de uma pessoa ao
documento digital original e estabelecer integridade neste documento. Tal como
QualiSign (2020, p. 50) descreve:
A assinatura digital é uma modalidade de assinatura eletrônica,

resultado de uma operação matemática que utiliza criptografia e
permite aferir, com segurança, a origem e a integridade do documento.
A assinatura digital fica de tal modo vinculada ao documento
eletrônico que, caso seja feita qualquer alteração no documento, a
assinatura se torna inválida. A técnica permite não só verificar a
autoria do documento, como estabelece também uma “imutabilidade
lógica” de seu conteúdo, pois qualquer alteração do documento,
como a inserção de mais um espaço entre duas palavras, invalida a
assinatura. Tecnicamente, uma Assinatura Digital é um conjunto
de dados que acompanha ou está logicamente associado a uma
mensagem digital codificada, que pode ser utilizada para certificação
do autor do documento, bem como para garantir que a mensagem não
foi modificada desde que ela deixou o autor.
A Assinatura Digital é criada no momento da assinatura do Resumo
Criptográfico (O QUE) de um arquivo com a chave privada do usuário
(QUEM). Uma vez que a chave pública é distribuída como a parte da
assinatura digital, qualquer um que vê a assinatura pode verificar que
esta foi assinada pela chave privada correspondente. Desta maneira,
tanto o remetente, quanto os receptores podem associar a identidade
do remetente a um arquivo específico (QUEM fez O QUE). Assinaturas
Digitais, para a maioria dos documentos, possuem a mesma força legal
que as assinaturas em papel.
39
A assinatura digital é utilizada em diversas áreas da sociedade. Pode-

se destacar as áreas de contratos, e-mails, laudos, procurações, balanços de
empresas, petições, prontuários médicos, arquivos eletrônicos transferidos entre
empresas (EDI), apólices de seguros. Dentre as vantagens dessa ferramenta estão
a eliminação do uso do papel e diminuição de custos de emissão, armazenamento
e descarte de documentos.
A assinatura digital traz muitos ganhos às empresas e pessoas. Com

ela, é possível ter vantagens extras como rastreabilidade, localização e status de
documentos, confiabilidade, integridade, redução de custos, sustentabilidade,
mobilidade, entre outros. Tudo isso sem deixar de lado a validade jurídica.
Lembrando que a assinatura digital é um complemento extra do certificado
digital. Portanto, para uma assinatura digital poder ser realizada, a pessoa ou
empresa necessita ter apresentando todos os documentos originais e cópias a um
órgão homologado certificador.
A assinatura digital pode estar associada a uma chave também, pública ou

privada. Em ambas as assinaturas ocorre um processo de validação burocrático
que visa assegurar o não repúdio, integridade e sigilo. Na assinatura de chave
privada ou simétrica, a autenticação ocorre por meio de um órgão que possui
acesso a todas as informações de assinaturas que ele autorizou a criação. Esse
órgão é responsável por garantir que assinatura contenha a chave do usuário
(garantir que o usuário é quem diz ser), data/hora (garantir a atualidade) e
mensagem criptografada (os dados que estão “em jogo”).
Em assinatura de chave pública ou assimétrica, visa resolver esta

desvantagem. Como a chave privada é exclusiva de cada participante, há a
autenticação na mensagem. Portanto, o repúdio e o sigilo não podem existir, pois
as mensagens foram autenticadas por uma chave específica autenticada.
2.2.5 Certificado Digital

O certificado digital é um mecanismo de segurança que engloba um
conjunto de técnicas e processos para estabelecer que transações eletrônicas não
sejam violadas (TANENBAUM; WETHERALL, 2011). Ele também é responsável
por evitar que dados transmitidos sejam adulterados e interceptados durante a
comunicação. O certificado digital pode ser reconhecido como um documento
eletrônico que contém informações que identificam uma determinada pessoa,
instituição ou máquina na rede. Um certificado pode ser emitido para pessoas
físicas, jurídicas, máquinas e softwares. A utilização dele geralmente é realizada
através de uma outra aplicação.
A emissão desse mecanismo é realizada por uma entidade confiável. Ela

é responsável por associar ao usuário chaves criptográficas (pública e privada).
Essas chaves são responsáveis por codificar e decodificar um documento.
Conhecemos e ouvimos sempre falar de certificados, todavia, conhecemos
40
somente seu resultado. Aprofundando, esses certificados envolvem protocolos

de segurança, entidades certificadoras, salas-cofre, autoridades de registro e
políticas de uso definidos por diretrizes de órgão especiais. Existe uma hierarquia
de administração desses documentos, vide figura a seguir.
FIGURA 18 – ESTRUTURA DE CERTIFICAÇÃO DIGITAL NO BRASIL
FONTE: Ribeiro (2020, p. 7)
41
Segundo Ribeiro (2020, p. 8), os certificados digitais são classificados em

oito tipos:
São duas séries de certificados, com quatro tipos cada. A série A (A1,
A2, A3 e 4) reúne os certificados de assinatura digital, utilizados na
confirmação de identidade na Web, em e-mail, em redes privadas
virtuais (VPN) e em documentos eletrônicos com verificação da
integridade de suas informações. A série S (S1, S2, S3 e S4) reúne os
certificados de sigilo, que são utilizados na codificação de documentos,
de bases de dados, de mensagens e de outras informações eletrônicas
sigilosas. Os oito tipos são diferenciados pelo uso, pelo nível de
segurança e pela validade. Nos certificados do tipo A1 e S1, as chaves
privadas ficam armazenadas no próprio computador do usuário.
Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informações
referentes ao seu certificado ficam armazenadas em um hardware
criptográfico – cartão inteligente (smart card) ou cartão de memória
(token USB ou pen drive). Para acessar essas informações você usará
uma senha pessoal determinada no momento da compra.
Cada certificado possui características como tamanho, processo de

geração, mídias armazenadoras e validades diferentes. Vide figura a seguir um
exemplo de certificado de uma máquina.
FIGURA 19 – CERTIFICADO
FONTE: O autor
Os certificados digitais também são empregados e podem estar associados

na receita federal, como no caso do e-CPF e e-CNPJ. Esses certificados são
exclusivos para pessoas físicas e jurídicas que utilizam de sigilo fiscal no Brasil.
Com esses tipos de certificados, é possível realizar agendamentos on-line,
42
pesquisa de situação fiscal, Pesquisa dos rendimentos informados pelas Fontes

Pagadoras (beneficiário PF e PJ), cadastro de representantes legais, Exportação,
Mantra, Importação, Trânsito aduaneiro e entre outras atividades. Como vemos,
o certificado digital utiliza-se de mecanismos relacionados a chaves públicas e
privadas para ser gerado e utilizado.
2.2.6 Chaves Públicas

As chaves públicas ou assimétricas, assim como as chaves simétricas são
mecanismos de segurança desenvolvidos para que as pessoas possuam maior
conforto durante a navegação na internet. Essas chaves são responsáveis por manter
a mensagem com suas características sem alteração, com sigilo e autenticação.
Segundo Ribeiro (2020), diferente das chaves privadas, cada usuário dispõe
de uma chave privada única que é responsável por dizer que aquela pessoa que
deverá ter acesso à mensagem é realmente quem diz ser. Observa-se que nesse
tipo de segurança não há um órgão intermediário que garante o não repúdio. As
chaves públicas, por sua vez, podem ficar disponíveis a qualquer um. Fazendo
uma analogia a esse assunto, podemos citar um cadeado que protege um bem. O
cadeado é a chave pública, a informação é o que o cadeado protege e quem tem a
chave do cadeado (chave privada) pode abri-lo e acessar a informação.
As chaves públicas podem ser compreendidas também como um conjunto

de valores que podem criptografar e descriptografar uma mensagem.
DICAS
Revise ambos os conceitos de chaves públicas e privadas e busque na

internet por tutoriais de implementação desse mecanismo de segurança. Há passo a passo
disponibilizado de forma gratuita para criar chaves. Efetuando isso, você poderá aprimorar
seus conhecimentos sobre o assunto e estudar sobre as fórmulas matemáticas utilizadas
na criptografia.
43
2.2.7 Protocolos de autenticação

Em redes de computadores e segurança da informação nos deparamos
constantemente com autenticações e mecanismos de controle de acessos como
senhas, usuários, autorização via endereço físico e rede. Esses mecanismos, por
sua vez, utilizam de protocolos de redes para obter proteção na comunicação
em redes privadas ou públicas. Neste subtópico vamos abordar conteúdos sobre
redes, segurança, criptografia e protocolos.
Conforme Ribeiro (2020), em redes de computação, o padrão mais

adotado e com maior sucesso de utilização é o 802.11. Utilizado frequentemente
em redes, esse padrão de rede foi desenvolvido pelo IEEE e possui dois objetivos
principais: conexão e autenticação. Como protocolo de segurança para esse
tipo de rede, o IEEE adotou o WEP (Wired Equivalent Privacy). O protocolo WEP
utiliza-se de chaves pré-compartilhadas entre as estações e o roteador. Essa chave
é concatenada em vetor de inicialização responsável por alimentar um gerador de
números pseudoaleatórios baseados no algoritmo RC4. Essa chave é formada por
40 bits ou 104 bits e seu vetor de inicialização é composto por 24 bits. As chaves de
40 bits são conhecidas como WEP1, que são muito vulneráveis e sofrem ataques
conhecidos como brute force. Esse tipo de chave possui inúmeros tipos de falha,
como decodificação da cifra sem possuir uma chave, falhas de RC4, falsificação
de autenticação, redirecionamento IP, entre outras.
De acordo com Ribeiro (2020), para utilização do protocolo WEP é

recomendável que se observe outros mecanismos de segurança, por exemplo,
alteração de topologia (empregabilidade de um firewall), alteração do canal padrão,
utilização de chaves de difícil dedução e controle do alcance do sinal. O processo
de autenticação do WEP possui quatro passos básicos: requisição, tentativa,
resposta e aceite/negação. O processo de autenticação é realizado através de uma
requisição entre dois “negociadores” (roteadores com outros dispositivos). Em
seguida, é realizado uma tentativa utilizando uma chave pré-compartilhada para
encriptação e envio da resposta. Ambos os negociadores fazem o mesmo cálculo
para ver se a resposta é igual. Por fim, após uma comparação dos resultados, há
autenticação se os resultados forem idênticos.
Segundo Ribeiro (2020), o protocolo WEP por possuir poucos mecanismos

de segurança acabou não sendo mais considerado um protocolo viável a
utilização. Em redes 802.11, para autenticação o WEP passou a ser substituído
por servidores como RADIUS e TACACS+ (ainda utilizavam o WEP). Estes
por sua vez, apresentaram melhores mecanismo para manuseio de conexões.
Os protocolos utilizados por esses servidores foram EAP-TLS e o EAP-MD5. O
EAP-TLS utiliza-se do protocolo TLS sobre o encapsulamento EAP (Extensible
Authentication Protocol – Protocolo de autenticação extensível). O MD5 possui um
processo de autenticação mais simplório, em que utiliza o hash MD5 (processo
criptográfico de um algoritmo MD5) da senha de cada usuário.
44
Para substituição do WEP, o IEEE, após inúmeros esforços, desenvolveu o

WPA (Wi-fi Protected Access – Acesso protegido sem fio). O WAP utiliza o TKIP
(Temporal Key Integrity Protocol – Protocolo de Integridade de Chave Temporária)
que é responsável por gerar chaves por pacotes, em que há um algoritmo de
verificação de integridade e um vetor de inicialização de 48 bits (superior ao
utilizado pelo WEP) (RIBEIRO, 2020). O WPA pode ser empregado de diferentes
formas com chaves pré-compartilhadas ou com o 802.11. Na figura a seguir,
podemos visualizar o fluxo de autenticação de um usuário. Lembrando que esse é
apenas um exemplo de topologia e que existem inúmeras formas.
FIGURA 20 – FLUXO DE AUTENTICAÇÃO
FONTE: Adaptada de <https://encrypted-tbn0.gstatic.com/images?q=tbn%3AANd9GcSho5-

hH85mezmY4K 2YiPQ6JPLrtFRQ2uavrw&usqp=CAU>. Acesso em: 13 jan. 2021.
Concluindo este tópico e subtópico, vemos que a autenticação é um dos

mecanismos de segurança que podem ser empregados em redes de computadores.
Observamos que a criptografia é empregada também nas validações de usuário
em uma rede para estabelecer autenticação, confidencialidade e integridade.
45
2.3 SEGURANÇA DA INFORMAÇÃO

Como sabemos, a segurança da informação não protege apenas a
informação, mas sim o conjunto de ferramentas que a acessa. Portanto, técnicas
para utilizar os mecanismos de segurança devem ser estudadas também, assim
como formas de administrar chaves, acessos, frequência de atualizações, gestão
de senhas e entre outros. Exemplificando, uma chave privada é um excelente
mecanismo de segurança, concorda? Todavia, ela não deve estar acessível para
utilização de qualquer pessoal. Na administração de chaves, existem quatro
objetivos para proteção delas:
• Armazenamento das chaves.

• Atualizar as chaves.
• Controlar acesso de usuários.
• Diversificação de chaves.
De acordo com Tanenbaum e Wetherall (2011), em se tratando de política,

o armazenamento visa isolar as chaves e controlar o ambiente que elas estão.
Definir um armazenamento seguro é necessário. Assim como no mundo real,
uma chave deve estar guardada em um local seguro, com restrição de acesso e
com outros mecanismos protegendo-as. Na segurança da informação, as chaves
podem ser armazenadas em sistemas de gestão de sistemas, dispositivos móveis
e em equipamentos específicos. Recomenda-se que as chaves sempre estejam
protegidas por senhas. Na atualização de chaves, o importante é uma que chave
em mãos erradas funcione por um grande período. A atualização visa manter o
mecanismo que utilizam chaves operantes e atualizados com as últimas melhorias.
Nessa política, podemos dizer que a atualização de segurança, atualização de
recursos e melhorias de chaves cabem em uma outra política específica.
Segundo Tanenbaum e Wetherall (2011), no controle acesso a chaves, é

definido quem terá a responsabilidade de administração de chaves, controlá-
las, criar chaves e atualizá-las. Geralmente, os scripts, senhas e ferramentas
para administração e controle de chaves ficam com o gerente da segurança da
informação. Por fim, a diversificação de chaves é responsável por existir um padrão
de gestão de chaves, mas que o padrão possa ter pequenas características ímpares,
como utilizar hashs diferentes para desenvolvimento da chave, utilizar métodos
criptográficos modificados, entre outros. Por fim, todos os objetivos estipulados
visam proteger as chaves. Devemos observar que, às vezes, é a importância em
administrar o recurso de segurança é semelhante a de propriamente utilizá-lo.
As preocupações tomadas na administração de chaves são igualmente

importantes em todas as divisões da criptologia. Algumas ferramentas que
utilizam da criptografia, como certificados digitais e assinaturas digitais,
necessitam de cuidados especiais quanto à segurança da informação. Segundo
Ordonez, Pereira e Chiaramonte (2005), em uma política de certificados e
assinaturas digitais, a principal preocupação está em garantir que os dados
e documentos não sejam violados. Quando um documento que utilizou um
certificado digital ou assinatura digital perde a confiabilidade, juridicamente, ele
é inválido, ocasionando o repúdio a informação.
46
Na segurança da informação, quando empregamos qualquer mecanismo

de proteção da criptologia, mais precisamente da criptografia, há necessidade
em se apurar os riscos e ameaças da tecnologia, evitando, assim, facilitar os
ataques e usos indevidos dos mecanismos como chaves, certificados digitais,
cifras e entre outros.
47
RESUMO DO TÓPICO 2
• O certificado digital funciona como um mecanismo de autenticação de

segurança, assim como os diferentes tipos e o processo para aquisição.
• Existem diferentes tipos de criptografia.
• Existem as cifras de transposição e substituição.
• Existem diferentes tipos de cifragem de uma informação.
• As chaves privadas possuem mecanismos de segurança e que esse tipo de

chave é compartilhado entre os envolvidos na troca de informações.
• A assinatura digital é utilizada com o certificado digital.
• As chaves são um mecanismo de segurança e existem dois tipos de chaves:

públicas e privadas.
• O certificado digital é um mecanismo de segurança e que possui diferentes

tipos que podem ser adquiridos.
• Há diferentes tipos de entidades certificadoras.
• Há uma hierarquia para controle de emissões e homologações de certificados e

certificadoras.
• As chaves públicas podem ser compreendidas também como um conjunto de

valores que podem criptografar e descriptografar uma mensagem.
• Na administração de chaves, existem quatro objetivos para proteção delas:

Armazenamento das chaves, atualizar as chaves, controlar acesso de usuários e
diversificação de chaves.
48
AUTOATIVIDADE
1 (UFPR, 2017) O desenvolvimento da criptografia de chave pública

caracterizou uma revolução, permitindo a alteração do modelo de
distribuição de chaves utilizado pela criptografia simétrica. A respeito de
criptografia de chave pública, analise as afirmativas a seguir:
FONTE: Adaptado de < https://arquivos.qconcursos.com/prova/arquivo_prova/55344/

nc-ufpr-2017-itaipu-binacional-profissional-de-nivel-superior-jr-computacao-ou-informatica-
suporte-prova.pdf?_ga=2.197641007.1400620687.1613140521-387904301.1603801534>.
I- Tornou a criptografia simétrica obsoleta.

II- É mais resistente à criptoanálise em comparação à criptografia simétrica.
III- Por definição, a chave privada é a utilizada para descriptografar os dados.
IV- Permite o uso de novos modelos de distribuição de chaves quando
comparada à criptografia simétrica.
Assinale a alternativa CORRETA:

a) ( ) Somente a afirmativa IV está correta.
b) ( ) As afirmativas I e III estão corretas.
c) ( ) As afirmativas II e III estão corretas.
d) ( ) As afirmativas II e IV estão corretas.
2 Quanto ao instrumento tecnológico que permite a identificação segura do

autor de uma mensagem ou documento em uma rede de computadores,
assinale a alternativa CORRETA:
a) ( ) Biometria.
b) ( ) Cartão inteligente.
c) ( ) Certificado digital.
d) ( ) PIN.
3 Como vimos até agora, a segurança é uma preocupação crescente dos

usuários e muitos recursos tecnológicos têm sido desenvolvidos para
proteção, dentre eles, o certificado digital. Disserte sobre o certificado
digital e suas aplicações.
4 (UFSC, 2019) Quais das seguintes propriedades são garantidas ao

criptografar um arquivo usando uma chave secreta simétrica? Analise as
sentenças a seguir:
FONTE: Adaptado de <https://arquivos.qconcursos.com/prova/arquivo_

prova/60339/ufsc-2019-ufsc-tecnico-de-tecnologia-da-informacao-prova.pdf?_
ga=2.33950625.1400620687.1613140521-387904301.1603801534>. Acesso em: 12 fev. 2021.
49
I- Sigilo.
II- Integridade.
III- Autenticidade.

a) ( ) Somente a sentença I está correta.
b) ( ) Somente a sentença II está correta.
c) ( ) Somente a sentença III está correta.
d) ( ) As sentenças II e III estão corretas.
50
TÓPICO 3 —
UNIDADE 1
ALGORITMOS E CRIPTOGRAFIA
1 INTRODUÇÃO
Na atualidade, os algoritmos já se tornaram comum ao linguajar das
pessoas, mesmo as que não são da área de tecnologia. Páginas de internet,
expressões matemáticas e até mesmo sistemas comerciais, tudo é organizado
através de um algoritmo, mas nem todos têm ao certo o conhecimento de como
isso funciona. Um algoritmo, ou mais conhecido como “sequência de passos”,
é um conjunto de instruções sistemas ordenados cujo objetivo é alcançar um
resultado através de comandos ou ordens lógicas.
Para muitos cursos da área de tecnologia, a disciplina de algoritmo é,

talvez, uma das que mais causa pavor aos acadêmicos, pois ela difere do modo que
pensamos. Nosso pensamento não possui a necessidade de ser lógico e sequencial,
mas nos algoritmos são necessários que a ordenação dos passos seja executada para
a resolução de um problema, mesmo que esse problema seja algo simples.
Na área de informática, um algoritmo pode aparecer em diferentes

formatos: da utilização de algoritmos acontece no desenvolvimento de aplicações,
e conforme a forma de visualização, seja no computador ou no celular, haverá um
algoritmo que irá adequar a visualização até utilização de algoritmos nos bancos
de dados, que verificam se as informações são únicas ou para garantir que elas
não sejam alteradas indevidamente.
São inúmeras as aplicações, mas nosso foco são os algoritmos que são
utilizados no processo de criptografia, como eles são desenvolvidos, que
características precisam ter e o que necessitam possuir para que seus códigos
não sejam descobertos. Na criptografia, os algoritmos são muito aplicados nos
processos de criptografia, em que há conversão de uma mensagem, dado ou
informação em um objeto não decifrável por pessoas não autorizadas.
2 CONCEITOS
Você já deve ter ouvido em algum da sua vida a palavra algoritmo, não
é mesmo? O que você pensou na primeira vez que ouviu ela? Uma tela cheia de
códigos incompreensíveis, números aleatórios, códigos... Difícil, não é mesmo?
Mas agora que você está estudando sobre computação e sistemas, essa palavra
ficou bem mais compreensível, pois vemos em nosso dia a dia diversos algoritmos
em programas, vídeos, jogos e em nossos trabalhos.
51
Então, vamos ver nesse tópico como algoritmos e criptografia se conectam.

Saber a relação entre ambos os conteúdos é muito importante devido ao papel
ativo dos algoritmos nos mecanismos de segurança.
Vamos iniciar nossos estudos sobre algoritmos e os processos

criptográficos?
2.1 ALGORITMOS
Antes de iniciarmos nossos estudos sobre os scripts e algoritmos, você já
tentou descrever como desenhar um objeto em uma folha ou escrever uma receita
ou até mesmo detalhar o processo de escovar os dentes? Interessante, não é mesmo?
Quando descrevemos um processo, para nós compreendê-lo é algo simples, mas
para quando outra pessoa necessita compreender é mais trabalhoso, não é?
Podem parecer um pouco estranhas essas perguntas e até mesmo

desconexas, mas por incrível que pareça, todas elas são sequencias de passos
finitos, ou seja, podem ser representadas através de algoritmos, vejamos
alguns exemplos:
Comer um sorvete
1° passo – Pegar o sorvete.
2° passo – Retirar o papel.
3° passo – Colocar o sorvete na boca.
4° passo – Fim.
Calcular o troco
1° passo – Ler o valor a ser pago.
2° passo – Ler o valor que você vai dar para pagar.
3° passo – Subtrair do valor que você deu o valor a ser pago.
4° passo – Fim.
Somar dois números

1° passo – Ler o 1° número.
2° passo – Ler o 2° número.
3° passo – Calcular o 1° + o 2°.
4° passo – Fim.
Beber um copo de água

1° passo – Pegar o copo.
2° passo – Ir até o filtro ou garrafa d’água.
3° passo – Encher o copo com água.
4° passo – Beber/Fim.
52
TÓPICO 3 — ALGORITMOS E CRIPTOGRAFIA
Olhando em nosso dia a dia, os exemplos das atividades que realizamos

demonstram como ordenamos as atividades, semelhantemente a um algoritmo.
Na informática, o algoritmo está presente em todas as áreas e na criptografia
não é diferente. Há necessidade de termos instruções organizadas para que o
computador possa “entender” e realizar as atividades para alcançar o resultado
esperado. Um algoritmo é classificado conforme a área que ele atua, sua criticidade
e complexidade. Um algoritmo pode ser classificado como um programa desktop.
Em criptografia, o algoritmo pode ser classificado em algoritmos de

fluxos e algoritmos de blocos. Como o próprio nome sugere, o algoritmo de
bloco opera usando bloco de dados. O texto é dividido em partes que variam
de 8 a 16 bytes que posteriormente serão decifrados ou cifrados. De acordo
com Kim e Solomon (2014), quando um bloco não possui quantidade suficiente
de dados, ele é automaticamente completado com algum conjunto de dados
predeterminado (Ex.: completar utilizando 0 ou algum outro caractere). Em
algoritmos de bloco, existe um processo denominado realimentação responsável
por resolver uma vulnerabilidade em que textos aparecem mais de uma vez,
sendo a cifra idêntica em diferentes momentos. Esse processo permite a cifragem
de blocos por encadeamento CBC (Cipher Block Chaining). Segundo Rouse (2020),
no encadeamento de blocos de cifras, cada bloco de texto sem formatação é
XOR (consulte XOR) com o bloco de texto cifrado imediatamente anterior e, em
seguida, criptografado.
Segundo Kim e Solomon (2014), os algoritmos de blocos processam de

forma conjunta os bits, possuindo como características a segurança, resistência a
erros (devido à individualidade de blocos), codificação fora de ordem e agilidade
para a comunicação digital. Uma segurança extra que a codificação fora de ordem
fornece é em casos de acessos aleatórios, a identificação de conversão não faz
sentido em dados soltos. A desvantagem deste tipo de algoritmos está relacionada
a modificar a mensagem original. Nos algoritmos de fluxo, a criptografia ocorre
de forma bit a bit, em fluxo contínuo. Não há divisão de blocos. Quando falamos
em algoritmos de criptografia, os mais conhecidos são: DES, AES, RC (2,3,4,5 e 6),
IDEA e RSA, MD e SHA. Vamos agora desenvolver nossos conhecimentos nesses
algoritmos e chaves.
2.1.1 Data Encryption Standard (DES)

Segundo Tanenbaum e Wetherall (2011), o DES é um algoritmo de
criptografia composto por 56 bits. Com essa quantidade de bits, ele é considerado
pequeno e fraco podendo ser quebrado mais facilmente. Ele foi o algoritmo
simétrico mais utilizado no mundo antes da padronização do AES. O DES é um
dos algoritmos mais simples da criptografia. Além de utilizar uma chave fixa de
56 bits ele utiliza um bloco de 64 bits.
53
É feita uma permutação inicial no bloco de 64 bits e depois o bloco é

dividido em duas metades. Após a divisão, o seguinte procedimento
é repetido dezesseis vezes: 1. Uma metade do bloco serve de entrada
para a função de embaralhamento (função de Feistel) juntamente com
uma subchave de 48 bits derivada da chave principal de 56 bits. Esta
mesma metade é enviada para a próxima rodada e será entrada para o
XOR juntamente com a saída da função de Feistel. Existe um total de
16 subchaves, uma para cada rodada; 2. A função de Feistel expande
os 32 bits de entrada para 48 bits e faz um XOR com a subchave; 3.
Os 48 bits de saída do XOR são separados em oito conjuntos de seis
bits; 4. É feita então uma transformação não linear que transforma os
seis bits de cada conjunto em quatro bits de saída para cada conjunto;
5. Finalmente os 32 bits de saída do passo anterior sofrem uma
permutação e este é o resultado de saída da função; 6. É feito um XOR
entre a saída da função de Feistel e a outra metade do bloco de entrada
do passo 1. Após as dezesseis rodadas é feita uma permutação final
no bloco de 64 bits gerando o texto cifrado (BRAZIL, 2007, p. 20-21).
Conforme Tanenbaum e Wetherall (2011), O algoritmo 3DES é uma

mutação do algoritmo desenvolvido para o DES. O 3DES utiliza três grupos
diferentes da chave de 56 bits, logo 168 bits (mais 24 bits de paridade) com
um bloco de 64bits. O DES triplo utiliza o sistema EDE para cifragem, ou seja,
o texto plano é encriptado primeiro com a primeira chave, descriptografado
com a segunda e encriptado novamente com a terceira (MORAES, 2004, p. 62).
O 3DES é mais seguro, todavia, por possuir lentidão devido à utilização das
3 chaves. No DES, como podemos ver na imagem a seguir, há um texto a ser
criptografado (8 bits de verificação + 56 bits do texto). Lembrando que caso não
seja preenchido o bloco ele será alto completado. Os “Ks” apresentados são as
permutações que ocorrem.
FIGURA 21 – FLUXO ALGORITMO DES
FONTE: <https://www.tutorialspoint.com/cryptography/images/des_structure.jpg>. Acesso em:

13 jan. 2021.
54
Conforme citado, na figura a seguir há um exemplo de permutação que

pode ocorrer.
FIGURA 22 – PERMUTAÇÃO
FONTE: <https://www.tutorialspoint.com/cryptography/images/initial_and_final_permutation.jpg>.
Nos algoritmos 3DES, o fluxo de criptografia e descriptografia ocorre da

seguinte forma:
• Há a criptografia dos blocos de textos usando o DES através da chave K1.

• Descriptografia da saída usando o DES através da chave K2.
• Criptografia da etapa 2 usando o DES através da chave K3.
• Finalizado o processo de criptografia 3DES.
A descriptografia desse algoritmo é realizado de forma reversa, em que

o usuário descriptografado primeiro usando K3, depois criptografa com K2 e
descriptografado com K1. Na figura a seguir é possível ver o fluxo desses algoritmos.
55
FIGURA 23 – FLUXO ALGORITMO 3DES
FONTE: <https://www.tutorialspoint.com/cryptography/images/encryption_scheme.jpg>.
O DES por possuir alguns riscos e desvantagens acabou se tornando

obsoleto. Outros algoritmos foram desenvolvidos e tornaram-se padrões de
utilização.
2.1.2 Advanced Encryption Standard (AES)

Segundo Ordonez, Pereira e Chiaramonte (2005), o Advanced Encryption
Standard (Padrão de Criptografia Avançado) ou AES, é uma cifra de bloco que
utiliza chaves privadas de criptografia. Esse algoritmo foi desenvolvido pelo
NIST (National Institute of Standards and Technology) em 2003. Esse é um algoritmo
oficial empregado pelo governo americano e muito popular. Ele foi considerado
o padrão substituto do DES. O AES possui como características a utilização de
um bloco de tamanho fixo com 128 bits e uma chave de 128,192 ou 256 bits. Sua
empregabilidade possui agilidade tanto em software quanto hardware tendo
como característica a utilização pouca memória.
De acordo com Ordonez, Pereira e Chiaramonte (2005), o algoritmo de AES

é baseado em redes de substituição-permutação. São operações vinculadas que
associam de entradas por saídas específicas (substituição) e outras com bits aleatórios
(permutação). Esse algoritmo tem como característica a utilização de cálculos
no formato de bytes e não bits. Diferente do DES, não há um limite de ciclos de
criptografia, tudo dependerá conforme o comprimento da chave. O AES caracteriza-
se por utilizar dez rodadas para chaves de 128 bits, 12 rodadas para chaves de 192
bits e 14 rodadas para chaves de 256 bits. Veja a seguir como a estrutura AES trabalha.
56
FIGURA 24 – FLUXO ALGORITMO AES
FONTE: <https://www.tutorialspoint.com/cryptography/images/aes_structure.jpg>. Acesso em:

13 jan. 2021.
Segundo Moreno (2014), os algoritmos AES não possuem ciclo definido.

Geralmente, a criptografia é realizada por rodadas. Cada rodada possui quatro
subprocessos. O primeiro processo é denominado substituição de bytes. Como
o próprio nome sugere, é realizado uma substituição da entrada consultando
uma tabela fixa (S-BOX). O resultado é uma matriz de 4x4. O segundo processo é
denominado Shiftrows, que é responsável para que cada uma das 4 linhas da matriz
seja movida para a esquerda. Todas as outras entradas saídas são reinseridas do
lado direito da linha. O resultado é uma nova matriz do mesmo tamanho. O que
ocorre é o seguinte:
• A primeira linha não é deslocada.

• A segunda linha é deslocada uma posição (byte) para a esquerda.
• A terceira linha é deslocada duas posições para a esquerda.
• A quarta linha é deslocada três posições para a esquerda.
O terceiro processo é denominado MixColumns. Cada coluna de quatro

bytes é transformada usando uma função matemática especial. Essa função recebe
como entrada os quatro bytes de uma coluna e gera quatro bytes completamente
novos, que substituem a coluna original. O resultado é outra nova matriz
composta por 16 novos bytes.
Por fim, há o processo de Addroundkey, em que os 16 bytes da matriz

agora são considerados 128 bits e têm XOR nos 128 bits da chave redonda. Se essa
é a última rodada, a saída é o texto cifrado. Caso contrário, os 128 bits resultantes
serão interpretados como 16 bytes e iniciaremos outra rodada semelhante. O
57
processo de descriptografia funciona invertendo os 4 processos: Adicionar

chave redonda, misturar colunas, deslocar linhas e substituição de bytes. Até o
momento, não foram identificados ataques cripto analíticos contra o AES que
tenham sido notificados. A segurança do AES assim como o DES está garantida
quando implementado um bom gerenciamento de chaves.
58
LEITURA COMPLEMENTAR
TRANSPOSIÇÕES GEOMÉTRICAS
Marcelo Ferreira Zochio
Quando as cifras de substituição monoalfabéticas se tornaram frágeis,

havia a necessidade que fosse mais robusta. Criou-se então o método de
transposição. Cifras que se baseiam em trocam os caracteres do texto plano de
lugar, embaralhando a mensagem original seguindo um A seguir será descrito o
funcionamento de algumas cifras de transposição geométricas.
Transposição colunar simples
A entrada do texto plano é feita por linha e a saída em coluna usando uma
matriz (Tabela 1.1) rapazes são capazes.
Tabela 1.1 – Transposição colunar simples
O texto criptografado fica:

OAAASZOZRECEASASPSP
Transposição linear simples
A entrada do texto plano é feita por coluna e a saída em linha usando uma
matriz (Tabela 1 mesmo exemplo anterior:
59
Tabela 1.2 – Transposição linear simples

OPSCZSASAERZAPSAEOA
Transposição colunar com chave numérica
Acrescentamos uma chave numérica para criptografar o texto plano.

A chave numérica é bas palavra ou frase. Para produzir uma chave numérica
a partir da chave, as letras são numerad alfabética e as letras repetidas são
numeradas em sequência da esquerda para a direita (Tabe exemplo usaremos a
palavra-chave “urubu”:
Tabela 1.3 – Transposição colunar com chave numérica

ASASSZOZOAAARECEPSP
60
Transposições por itinerário
Esse tipo de transposição usa figuras geométricas nas quais é seguido

determinado itinerário p letras do texto plano. A mais famosa é a rail fence
(“paliçada”), que segue um padrão fixo e (Tabela 1.4). Apesar de ser uma das
cifras de transposição mais antigas, sua origem é desconhe Ela foi usada na
Guerra Civil norte-americana (1861-1865), quando os confederados e os usaram
para cifrar suas mensagens.
Usando o exemplo anterior:
Tabela 1.4 – Transposição por itinerário com duas linhas
O texto criptografado resulta na string:

ORPZSACPZSSAAESOAAE
Outro exemplo com três linhas (Tabela 1.5), usando a mesma frase:
Tabela 1.5 – Transposição por itinerário com três linhas
O texto criptografado resulta na string:

OPSCZSAAESOAAERZAPS
Triângulo com saída por colunas
Usando como exemplo a string “Atacar os doces pelos flancos”, a

montagem resulta na Tabela 1.6
61
Tabela 1.6 – Transposição por triângulo com saída por colunas
Lendo da esquerda para a direita, a saída por colunas resulta na string:

OOSACFTRELAAOSACSPNDECLOS
Entrada por espiral externa com saída por colunas
Usando o mesmo exemplo anterior, temos como resultado a Tabela 1.7.
Tabela 1.7 – Transposição por entrada em espiral externa com saída em colunas
Lendo da esquerda para a direita, a saída por colunas resulta na string:

AOCLATDEFNASSSCCOPOOARELS
Entrada em diagonal com saída por coluna
Usando o mesmo exemplo anterior, temos como resultado a Tabela 1.8
62
Tabela 1.8 – Transposição por entrada em diagonal com saída por coluna
Lendo da esquerda para a direita, a saída por coluna
FONTE: Adaptado de ZOCHIO, M. Introdução à Criptografia. 1. ed. [S. l.]: Novatec Editora, 2016.
63
RESUMO DO TÓPICO 3
• Os algoritmos são importantes e agregam muitas finalidades durante um

processo de criptografia. Viu-se que é através de uma sequência lógica (algoritmo)
padrão que a mensagem é tornada compreensível ou incompreensível.
• Existem diferentes tipos de algoritmos e que eles não são utilizados em apenas
desenvolvimento de aplicações e na web.
• O algoritmo pode ser classificado em algoritmos de fluxos e algoritmos de blocos.
• Nos algoritmos de fluxo, a criptografia ocorre de forma bit a bit, em fluxo contínuo.
• Nos algoritmos de bloco, a criptografia ocorre em grupo de dados.
• O DES é um algoritmo composto por 56 bits, pouco eficiente e com algumas

falhas conhecidas de segurança.
• O DES utiliza uma chave fixa de 56 bits e um bloco de 64 bits.
• O algoritmo 3DES é uma mutação do DES. Utiliza uma chave de 168 bits e um
bloco de 64 bits.
• O DES possui um fluxo para realizar a criptografia de um dado. Observou-se

que ele trabalha com blocos de dados (partes), e em cada bloco realiza uma
série de processos para entregar a mensagem criptografada.
CHAMADA
Ficou alguma dúvida? Construímos uma trilha de aprendizagem

pensando em facilitar sua compreensão. Acesse o QR Code, que levará ao
AVA, e veja as novidades que preparamos para seu estudo.
64
AUTOATIVIDADE
1 (AOCP, 2018) Assinale a alternativa CORRETA que apresenta o Algoritmo

de Hashing descrito a seguir: “Pode processar mensagens de menos de 264
bits de tamanho e produz uma mensagem de 160bits”.
FONTE: Adaptado de <https://arquivos.qconcursos.com/prova/arquivo_

prova/68564/instituto-aocp-2018-prodeb-analista-de-tic-i-data-center-prova.pdf?_
ga=2.197584431.1400620687.1613140521-387904301.1603801534>. Acesso em: 12 fev. 2021.
a) ( ) MD2.
b) ( ) MD4.
c) ( ) MD5.
d) ( ) SHA-1.
2 (AOCP, 2018) Exemplos de algoritmos de criptografia usados na criptografia

simétrica incluem os algoritmos: RC1, WEP, 3DES e o AES.
FONTE: Adaptado de <https://www.qconcursos.com/questoes-de-concursos/

questoes/490833f5-4c>. Acesso em: 12 fev. 2021.
a) ( ) Certo.
b) ( ) Errado.
3 (AOCP, 2018) Técnicas criptográficas permitem que um remetente disfarce

os dados de modo que um intruso não consiga obter informação dos dados
interceptados. Sobre as características relacionadas à criptografia: conceitos
básicos e aplicações, protocolos criptográficos, criptografia simétrica e
assimétrica, principais algoritmos, assinatura e certificação digital, julgue o
item a seguir. “O problema relacionado à cifra de bloco de tabela completa
é que, para valores efetivos de k (em que k é o tamanho do bloco), é inviável
manter uma tabela com 2k entradas”.
FONTE: Adaptado de <https://www.qconcursos.com/questoes-de-concursos/

questoes/139c8e38-49>. Acesso em: 12 fev. 2021.
a) ( ) Certo.
b) ( ) Errado.
4 (IDECAN, 2019) Em criptografia, os termos algoritmo de Diffie-Helman,

RC4 e SHA-1 estão relacionados, respectivamente, com:
FONTE: <https://www.qconcursos.com/questoes-de-concursos/questoes/d8286db5-3f>.
65
a) ( ) Função hash criptográfica, algoritmo de criptografia simétrica e método
de troca de chaves.
b) ( ) Função hash criptográfica, algoritmo de criptografia assimétrica e
método de troca de chaves.
c) ( ) Método de troca de chaves, algoritmo de criptografia simétrica e função
hash criptográfica.
d) ( ) Algoritmo de criptografía simétrica, função hash criptográfica e
criptografía simétrica.
66
REFERÊNCIAS
ALECRIM, E. O que é firewall? - Conceito, tipos e arquiteturas. [S. l.], 19 fev. 2013.
Disponível em: https://www.infowester.com/firewall.php. Acesso em: 13 fev. 2021.
ALMADA-LOBO, F. A revolução da Indústria 4.0 e o futuro dos Sistemas de

Execução de Fabricação (MES). Journal of Innovation Management, v. 3, n.
4, 2015. Disponível em: https://journalsojs3.fe.up.pt/index.php/jim/article/
view/2183-0606_003.004_0003. Acesso em: 13 jan. 2021.
ABNT. NBR ISO/IEC 27002: tecnologia da informação: técnicas de segurança

– código de prática para a gestão da segurança da informação. Rio de Janeiro:
ABNT, 2005. Disponível em: http://www.fieb.org.br/download/senai/nbr_
iso_27002.pdf. Acesso em: 12 fev. 2021.
ABNT. NBR ISO/IEC 27001: Tecnologia da informação: técnicas de

segurança – sistema de gestão de segurança da informação – requisitos. Rio
de Janeiro: ABNT, 2006.
AVORIO, A.; SPYER, J. Para entender a internet. São Paulo: Paraentender, 2015. 289 p.
BRAZIL, G. W. Protegendo redes ad hoc com certificados digitais e limite

criptográfico. 2007. 109 f. Dissertação (Mestrado) – Programa de Pós-Graduação
em Computação, Universidade Federal Fluminense, Niterói, 2007.
CASTELLÓ, T.; VAZ, V. Tipos de Criptografia. 2020. Disponível em: http://www.

gta.ufrj.br/grad/07_1/ass-dig/TiposdeCriptografia.html. Acesso em: 13 fev. 2021.
CASTELLS, M. A sociedade em rede. São Paulo: Paz e Terra, 1999.
CENTRO DE ESTUDOS, RESPOSTAS E TRATAMENTO DE INCIDENTES DE

SEGURANÇA NO BRASIL (Cert.br). Cartilha de segurança para internet. 2020.
Disponível em: https://cartilha.cert.br/malware/. Acesso em: 12 fev. 2020.
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES

DE SEGURANÇA NO BRASIL (Cert.br). Práticas de segurança para
administradores de redes internet: versão 1.2. 2003. Disponível em: http://
www.cert.br/docs/seg-adm-redes/seg-adm-redes.html. Acesso em: 10 out. 2020.
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE

SEGURANÇA NO BRASIL (Cert.br). Cartilha de segurança para internet: versão
3.1. São Paulo: Comitê Gestor da Internet no Brasil, 2006. Disponível em: https://
cartilha.cert.br/sobre/old/cartilha_seguranca_3.1.pdf. Acesso em: 10 out. 2020.
67
DIAS, C. Segurança e auditoria da tecnologia da informação. Rio de Janeiro:
Axcel Books do Brasil, 2000.
FONTOURA, P. Alan Turing é considerado pai da computação. [S. l.], 2 jul.

2015. Disponível em: https://memoria.ebc.com.br/infantil/voce-sabia/2015/07/
alan-turing-e-considerado-pai-da-computacao. Acesso em: 13 fev. 2021.
GORHAM, M. 2019 Internet crime report. 2019. Disponível em: https://pdf.ic3.

gov/2019_IC3Report.pdf. Acesso em: 16 jul. 2020.
HAYKIN, S. Sistemas de comunicação analógicos e digitais. 4. ed. Porto

Alegre: Bookman, 2007. Disponível em: https://www.docsity.com/pt/sistemas-
de-comunicacao-analogicos-e-digitais-simon-haykin-4a-ed/4782988/. Acesso em:
14 jan. 2021.
ISO. ISO/IEC 13335-1:2004. Information technology – Security techniques –

Management of information and communications technology security – Part 1:
Concepts and models for information and communications technology security
management. 2004. Disponível em: https://www.iso.org/standard/39066.html.
ISO. ISO/IEC Guide 73:2002. Risk Management – Vocabulary – Guideliness

for use in standards. First edition. Switzerland: International Organization for
Standardization, 2002. Disponível em: https://www.iso.org/standard/34998.html.
KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas de

Informação. Rio de Janeiro: LTC, 2014. 385 p.
MEIRELES, T. Curvas Elipticas e Criptografia. 2020. 73 f. Trabalho de Conclusão de

Curso (Bacharel) - Universidade Federal de Uberlândia, [S. l.], 2020.
MORAES, R. F. de. Construção de um ambiente web com ferramentas para

estudo de algoritmos de criptografia através do Matlab. Rio de Janeiro:
Universidade Federal do Rio de Janeiro, 2004. 62p.
MOCHETTI, K. Alan Turing e a Enigma. [S. l.], 22 nov. 2020. Disponível em:
http://horizontes.sbc.org.br/index.php/2016/11/alan-turing-e-a-enigma/. Acesso
em: 13 fev. 2021.
NAKAMURA, T. E.; GEUS, L. P. Segurança de redes em ambientes

cooperativos. São Paulo: Novatec, 2007.
NARDON, F. A relação interpessoal dos adolescentes no mundo virtual e

no mundo concreto. Trabalho de Conclusão de Curso. Criciúma: Curso de
graduação em Psicologia, Universidade do Extremo Sul Catarinense, 2006.
68
OLIVEIRA, R. R. Criptografia simétrica e assimétrica: os principais algoritmos
de cifragem. 2012. Disponível em: http://www.ronielton.eti.br/publicacoes/
artigorevistasegurancadigital2012.pdf. Acesso em: 12 fev. 2021.
MORENO, E. D.; PEREIRA, F. D.; CHIARAMONTE, R. B. Criptografia em

software e hardware. São Paulo: Novatec, 2005.
RAMALHO, J. A. Preocupação com segurança deve estar também nas ruas e

estradas. 2017. Disponível em: https://www.campograndenews.com.br/artigos/
preocupacao-com-seguranca-deve-estar-tambem-nas-ruas-e-estradas. Acesso
em: 19 jul. 2020.
RELATÓRIO DE CRIMES NA INTERNET DE 2019. [S. l.], 6 jan. 2020.

Disponível em: https://www.ic3.gov/Media/PDF/AnnualReport/2019_
IC3Report.pdf. Acesso em: 13 fev. 2021.
RIBEIRO, G. Certificado digital: como funciona o certificado digital. c2020.

Disponível em: http://www.contabilestoril.com.br/pdf/certificadodigital.pdf.
RISTENPART, T. et al. Hey, you, get off of my cloud: exploring information

leakage in third-party compute clouds. 2009. Disponível em: https://dl.acm.org/
doi/10.1145/1653662.1653687. Acesso em: 13 jan. 2021.
SENA, G. Como surgiu os malwares? 2017. Disponível em: https://www.

tutorialeinformacao.com.br/2017/07/como-surgiu-os-malwares.html. Acesso em:
19 jul. 2020.
SILVA, B. et al. Aplicação de técnicas de criptografia de chaves assimétricas

em imagens. 2013a. Disponível em: https://www.ucsp.edu.pe/sibgrapi2013/
eproceedings/wuw/114922_1.pdf. Acesso em: 26 abr. 2020.
SILVA, B. et al. Criptografia assimétrica de imagens utilizando algoritmo RSA.

2013b. Disponível em: https://www.peteletricaufu.com/static/ceel/doc/artigos/
artigos2013/ceel2013_029.pdf. Acesso em: 14 jan. 2021.
SILVA, M. B. Uma abordagem de infraestrutura de chaves públicas para

ambientes corporativos. 2004. 161 f. Trabalho Final (Graduação) – Engenharia
da Computação, Centro Universitário de Brasília. Brasília, 2004.
SINGH, G. A study of encryption algorithms (rsa, des, 3des and aes) for
information security. International Journal of Computer Applications.
Foundation of Computer Science, v. 67, n. 19, 2013.
SKLAR, B. Digital communications: fundamentals and Applications. 2. Ed. Los

Angeles: Prentice Hall, 2008.
69
STALLINGS, W. Redes e sistemas de comunicação de dados. 5. ed. Rio de
Janeiro: Elsevier, 2005.
STALLINGS, W; BROWN, L. Segurança de computadores: princípios e Práticas.

2. ed. Rio de Janeiro: Elsevier, 2014.
TANENBAUM, A. S.; WETHERALL, D. Redes de computadores. 5. ed. São

Paulo: Pearson Prentice Hall, 2011.
TORRES, G. Redes de computadores. Rio de Janeiro: AXCEL Books do Brasil, 2001.
TUTORIALS POINT. Data Encryption Standard. 2019. Disponível em: https://

www.tutorialspoint.com/cryptography/data_encryption_standard.htm. Acesso
em: 3 maio 2020.
VIEIRA, L. Brasil é o 2º país com mais ataques virtuais que sequestram dados.
[S. l.], 24 set. 2019. Disponível em: https://noticias.r7.com/tecnologia-e-ciencia/
brasil-e-o-2-pais-com-mais-ataques-virtuais-que-sequestram-dados-24092019.
Acesso em: 17 set. 2020.
70
UNIDADE 2 —
FERRAMENTAS UTILIZADAS PARA

SEGURANÇA E CRIPTOGRAFIA
• distinguir ferramentas e técnicas de criptografia;
• relacionar características e diferenças entre algoritmos utilizados na

criptografia;
• compreender as funcionalidades e a importância da certificação digital;
• identificar diferenças entre os certificados digitais e sua aplicabilidade.
PLANO DE ESTUDOS
apresentado.
TÓPICO 1 – FERRAMENTAS DE CRIPTOGRAFIA E DE

DESENVOLVIMENTO DE ALGORITMOS
TÓPICO 2 – CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA
TÓPICO 3 – EXEMPLOS QUE CRIPTOGRAFIA E CERTIFICAÇÃO

DIGITAL
CHAMADA

71
72
TÓPICO 1 —
UNIDADE 2
FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO

DE ALGORITMOS
1 INTRODUÇÃO
Na primeira unidade deste livro já conhecemos a história e a origem da
segurança da informação, que com o passar do tempo evoluiu à medida que
novas ferramentas e tecnologias foram desenvolvidas. Nesse sentido, as últimas
décadas foram marcadas pela criação e uso de redes de computadores e da
internet. Por isso, com novas formas de se trocar informações entre as pessoas, por
meio dos computadores, foi necessário desenvolver técnicas que assegurassem a
integridade, autenticidade e confiabilidade dessas informações.
A criptografia surge nesse contexto, como uma forma de manter dados e

informações seguras, mesmo quando trafegadas por diferentes pontos geográficos
de um país ou até mesmo do mundo, por exemplo. Assim como as tecnologias
foram desenvolvidas e aprimoradas ao longo do tempo, o mesmo aconteceu
com a criptografia, que teve início com sistemas mais simples e concisos. Por
esse motivo, a criptografia vem evoluindo na mesma medida em que as ameaças
contra a segurança da informação estão se tornando mais fortes e perigosas, sejam
relacionadas a dados pessoais ou de organizações.
Desta forma, a criptografia tem se tornado primordial quando se trata

de segurança da informação. É por isso que vamos continuar conhecendo mais
detalhes sobre os seus tipos e aplicações. Neste tópico, vamos trazer mais alguns
conceitos, mas também exemplos de aplicações e ferramentas que utilizam a
criptografia para o seu funcionamento.
2 CONCEITOS
Vamos pensar em um exemplo prático de necessidade de criptografia. João é
um representante de vendas de uma empresa que produz chocolates. Ele vende
para médios e grandes mercados, restaurantes e algumas lojas de conveniência
em uma determinada região do país. Entre os produtos que ele revende estão:
barras de chocolate, bombons e chocolates para uso em gastronomia.
73
UNIDADE 2 — FERRAMENTAS UTILIZADAS PARA SEGURANÇA E CRIPTOGRAFIA
FIGURA 1 – PASTA DE DOCUMENTOS PROTEGIDA
FONTE: <https://image.freepik.com/fotos-gratis/pasta-com-documentos-e-um-
cadeado_1048-2451.jpg>. Acesso em: 18 jan. 2021.
O final do semestre está chegando e João recebe de sua gerente de vendas,

Ana, um memorando eletrônico com uma nova política de preços. Essa nova
política traz a lista de preços tabelados para todos os produtos, assim como
indica o menor preço que cada representante de vendas pode negociar com seus
clientes. Anteriormente, o percentual de descontos era limitado ao tamanho do
pedido, entre outros fatores. Agora, o memorando informa que os representantes
de vendas têm mais autoridade e autonomia para aumentar ainda mais os
descontos, de acordo com regras mais complexas.
João quer proteger da melhor forma possível esse memorando eletrônico

sobre a nova política de vendas, para que concorrentes ou ainda seus clientes
não tenham acesso e assim tirem vantagens nas negociações futuras. Visto que
é necessário que João tenha acesso fácil às novas regras no momento que estiver
tentando executar uma venda. Não pode simplesmente memorizá-lo, pois conta
com mais de dez páginas. Por isso, ele decide encriptar o memorando, para
protegê-lo. O seu notebook poderia ser roubado e outra pessoa teria acesso as
suas informações sigilosas, por exemplo. Nesse contexto, adquire um sistema
específico com a função de encriptar arquivos. O arquivo de saída do referido
programa gera um texto aparentemente sem sentido.
Por esse motivo que o sistema de encriptação também tem a opção de

retornar ao arquivo original, para que ele possa ser utilizado por João da forma
que o recebeu. Entretanto, essa função não pode ser de fácil acesso, senão o
arquivo vai continuar desprotegido caso outra pessoa acesse seu notebook. Então,
ele chega à conclusão que não é suficiente utilizar o sistema de encriptação sem
colocar em prática a criação de uma chave, que deve ser usada para o processo
inverso. Cabe agora manter essa chave segura.
74
TÓPICO 1 — FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO DE ALGORITMOS
Nesse simples exemplo, você pode perceber a importância das diferentes

etapas de encriptação. Mais do que um sistema, é necessário pensar em como
protegê-lo, assim como conhecer as suas funcionalidades. Em outras palavras, a
proteção dos arquivos na criptografia é feita pela instalação de uma “fechadura”
(o algoritmo de criptografia) na “porta” (o computador). Para utilizar essa
fechadura (encriptar os dados), é preciso que você insira a chave (senha) e a
“gire” (execute o programa).
Um algoritmo de encriptação executa sua função utilizando a chave

para modificar um texto simples e convertê-lo em um texto cifrado. Assim,
para desbloquear o arquivo encriptado, é necessário inserir a mesma chave e
depois executar novamente o algoritmo, na ordem inversa. Da mesma forma que
apenas uma chave é correta para abrir uma porta em uma casa, apenas a chave
de criptográfica certa pode decriptar os dados. Esse conceito se refere ao que já
vimos nas sessões anteriores, a chave simétrica (BURNETT; PAINE, 2002).
DICAS
Consulte o artigo Estudo de algoritmos criptográficos simétricos na placa

Beaglebone Black de Silva, Ochôa e Leithardt para conhecer conceitos sobre a aplicação
da criptografia simétrica relacionada à Internet das Coisas (IoT – Internet of Things).
FONTE: SILVA, B. A. da; OCHOA, I. S.; LEITHARDT V. R. Q. Estudo de algoritmos criptográficos

simétricos na placa Beaglebone Black. 2019. Disponível em: https://sol.sbc.org.br/index.
php/eradrs/article/view/7039/6928. Acesso em: 19 fev. 2021.
O processo que acontece no exemplo do memorando eletrônico que

citamos pode ser compreendido melhor pelo fluxo de informações representado na
Figura 2. A entrada inicial é um texto simples, que não está cifrado, e a saída é
um texto já cifrado. Isso é possível por meio do processamento do algoritmo de
criptografia. Isso quer dizer que a entrada é um texto normal, o processamento
aplica regras de criptografia nesse texto e a saída apresenta um texto seguro,
já criptografado. Essa é a forma criptográfica mais simples, a chave simétrica,
pois somente uma chave é necessária para encriptar os dados que são inseridos
no sistema.
75
FIGURA 2 – UTILIZAÇÃO DE CHAVE SIMÉTRICA EM ALGORITMO DE ENCRIPTAÇÃO
FONTE: Burnett e Paine (2002, p. 17)
O processo inverso, Figura 3, inicia com um texto cifrado, o processamento

do algoritmo somente acontecerá se for utilizada a mesma chave do processo
anterior, para no final se obter novamente o texto simples. Ou seja, a mesma chave
que for utilizada para encriptar um texto simples e transformá-lo em um texto
cifrado, precisa ser empregada para desencriptar um texto cifrado para torná-lo
novamente um texto simples.
FIGURA 3 – UTILIZAÇÃO DE CHAVE SIMÉTRICA EM ALGORITMO DE DESENCRIPTAÇÃO
FONTE: Burnett e Paine (2002, p. 17)
76
Outro exemplo prático da utilidade da criptografia para manter a

segurança da informação, acontece nas compras pela internet. Pense que você vai
realizar uma compra dessa forma, e uma das opções de pagamento é o cartão de
crédito. Suas informações pessoais como cliente e do seu cartão, neste caso, são
enviadas a um servidor do site do vendedor ou a um servidor no site de algum
serviço terceirizado de pagamento. Para que suas informações cheguem a um
destes servidores, você as envia pela internet, que é uma rede pública na qual
qualquer um, com conhecimento necessário, consegue diferenciar os bits que
passam por ela. Assim, se o número do seu cartão de crédito for enviado sem ser
“disfarçado” de alguma forma, qualquer pessoa poderá interceptar esse número
e comprar mercadorias ou serviços por sua conta (CORMEN, 2017).
Claro que é improvável que alguém fique monitorando o seu acesso à

internet só para procurar dados que sejam parecidos com um número de cartão
e assim roubá-lo. O mais comum é que se fique esperando para ver se alguém
envia essas informações desprotegidas, de uma forma geral, e você pode ser uma
das vítimas desse tipo de golpe. Por isso, é importante manter a segurança desses
dados “disfarçando” o número do cartão de crédito pelo uso de sites seguros,
com URL que inicie com “https:” e não a comum “http:”. Com o uso do “https:”,
o navegador protege as informações por meio de criptografia, assim como prevê
uma autenticação para que você saiba que está em site seguro (CORMEN, 2017).
DICAS
Consulte o artigo Segurança de dados no e-commerce: a criptografia e

a logística como diferencial competitivo de Eduardo Bragança para conhecer mais
informações sobre como a criptografia pode ser útil para o comércio on-line. O artigo está
disponível no seguinte link: https://www.ecommercebrasil.com.br/artigos/seguranca-de-
dados-no-e-commerce-a-criptografia-e-a-logistica-como-diferencial-competitivo/.
Neste subtópico, retomamos alguns conceitos principais de criptografia,

como a criptografia simétrica. Também vimos exemplos que reforçam a
importância da criptografia para a segurança da informação, seja no seu dia a dia
ou no trabalho de empresas e organizações. Em seguida, conheceremos alguns
sistemas, ou algoritmos, utilizados para colocar esses conceitos em prática.
77
2.1 TIPOS DE ALGORITMOS UTILIZADOS NA

CRIPTOGRAFIA
Para que a criptografia seja útil para garantir a segurança de informações,
é muito importante saber quais informações são mais sensíveis e assim planejar
que ferramentas são necessárias em cada caso. Esse planejamento depende
do conhecimento do profissional de tecnologia da informação ou do gerente
de segurança da informação sobre os sistemas, ferramentas e algoritmos
de criptografia que estão disponíveis. Assim, será possível escolher qual
algoritmo é mais adequado para cada informação e qual a forma mais segura
de gerenciamento das chaves de criptografia, por exemplo. Essas escolhas
vão impactar no desempenho e na utilidade dos mecanismos de segurança da
informação (COULOURIS et al., 2013).
Apesar da existência de muitas técnicas e ferramentas de segurança

disponíveis quando se trata da segurança da informação, ainda é complexo
planejar um sistema seguro. Isso porque é preciso que esse projeto preveja todos os
ataques e brechas de segurança possíveis, da mesma forma que um programador
precisa excluir todos os erros de um programa que estiver desenvolvendo, para
que seja executado corretamente. Por isso, a importância tão grande de definir
objetivos e analisar os seus resultados. Em resumo, segurança da informação
significa evitar desastres ou grandes problemas e minimizar acidentes, que
provavelmente acontecer (COULOURIS et al., 2013).
Nesse sentido, deve ser previsto um plano de ação para os piores casos
de falhas na segurança. Por exemplo, definir que procedimento adotar: quando
interfaces de sistemas internos forem expostas; se as redes de comunicação forem
inseguras; quando os algoritmos e códigos de criptografia ficarem disponíveis
para invasores; se invasores tiverem acesso a recursos importantes; e ainda se a
base de dados não estiver mais confiável (COULOURIS et al., 2013).
DICAS
Consulte o artigo Tudo o que você sempre quis saber sobre criptografia e
não perguntou de Filipe Siqueira, para verificar mais conceitos e exemplos sobre o uso de
chaves simétricas e assimétricas na segurança pessoal de informações. Ele está disponível
no seguinte link: https://noticias.r7.com/tecnologia-e-ciencia/tudo-que-voce-sempre-quis-
saber-sobre-criptografia-e-nao-perguntou-24012018.
78
Além da criptografia com chave simétrica, em que a mesma chave é

utilizada tanto para encriptar quanto para desencriptar uma informação, existe
a criptografia com chave assimétrica. A criptografia com chave assimétrica,
também chamada de criptografia de chave pública, precisa de duas chaves: uma
chave que é pública e outra que permanece privada. A chave pública pode ser
distribuída entre todos que a utilizarão, por meio de e-mail, por exemplo. Já a
chave privada precisa ser conhecida apenas pelo seu proprietário. O processo de
encriptação acontece da seguinte forma em sistemas com criptografia assimétrica:
a informação inicial ou texto simples é cifrada com a chave pública, mas somente
pode ser decifrada ou desencriptada com a chave privada correspondente. Da
mesma forma, um texto simples que for cifrado com a chave privada, somente
pode ser decifrado com uso de sua chave pública correspondente (BRANQUINHO
et al., 2014). Para compreender melhor o funcionamento da chave assimétrica,
observe a Figura 4:
FIGURA 4 – FLUXO DE ENVIO DE MENSAGENS POR MEIO DE CHAVE ASSIMÉTRICA
FONTE: Branquinho (2014, p. 221)
Na Figura 4, no passo 1, o receptor (aquele que quer receber uma

mensagem criptografada) gera o par de chaves assimétricas: uma pública e
outra privada. No passo 2, esse mesmo receptor envia para o remetente a chave
pública, que será necessária para decifrar a mensagem cifrada com a chave
pública. Já no passo 3, o remetente cifra a mensagem (texto simples) com a chave
pública que recebeu e, no passo 4, envia a mensagem cifrada para o receptor.
Por fim, no passo 5, o receptor consegue decifrar a mensagem criptografada por
meio de sua chave privada (BRANQUINHO et al., 2014).
79
A criptografia com chave pública facilita a distribuição das chaves entre

os interessados, porém seu desempenho é inferior em grandes volumes de
dados. Por isso, quando há um grande volume de dados são mais indicadas
as chaves simétricas. Existe ainda a possibilidade do uso de protocolos mistos,
como o TLS (Transport Layer Security – Segurança da Camada de Transporte).
O protocolo TLS estabelece um canal seguro por meio da combinação o uso
de chaves assimétricas e simétricas, que podem ser empregadas em trocas de
dados (COULOURIS et al., 2013).
DICAS
Para conhecer mais os conceitos e funções da TLS, veja o vídeo SSL / TLS //
Dicionário do Programador, que está disponível no link:
https://www.youtube.com/watch?v=eOsGqXy2vmA
Por isso, a criptografia com chave simétrica é a mais indicada para

garantir que grandes volumes de dados permaneçam confidenciais, pois é
mais rápida. Entretanto, a criptografia de chave assimétrica, apesar de ter
processamento mais lento, tem como vantagens um gerenciamento mais fácil,
sem a necessidade de um canal de comunicação específico para compartilhar as
chaves (CERT.BR, 2020).
Por esse motivo, é importante avaliar as características, vantagens

e desvantagens de cada um dos métodos de criptografia para utilizá-los da
melhor forma em cada caso. Por exemplo, a chave simétrica pode ser empregada
na codificação de grandes volumes e a assimétrica em volumes menores de
informações. O uso combinado desses dois tipos de chaves geralmente é feito
em navegadores da internet, assim como em leitores de e-mails (CERT.BR, 2020).
A fim de garantir a segurança de mensagens de e-mail, é importante

utilizar leitores de e-mail com suporte nativo à criptografia, que implementem
o protocolo S/MIME (Secure/Multipurpose Internet Mail Extensions – Extensões de
E-mail Seguras/Multifuncionais). O suporte nativo significa que esses leitores de
e-mail já possuem criptografia como uma capacidade integrada ou, então, que
possibilitem a integração de outros complementos ou programas que possam
ser instalados e utilizados nos navegadores para utilização de criptografia
(CERT.BR, 2020).
80
Existem diversos programas de criptografia, pagos e livres, como o

GnuPG (gratuito), que além de disponibilizar a integração a programas de leitura
de e-mails, podem ser utilizados para encriptar outros tipos de informação,
como arquivos armazenados em computadores ou em mídias removíveis. Há
ainda outros programas, tanto nativos nos sistemas operacionais ou que podem
ser comprados separadamente, que possibilitam cifrar todos os arquivos de
um computador, seus diretórios de arquivos e atém mesmo dispositivos de
armazenamento externo (CERT.BR, 2020).
DICAS
Veja informações adicionais sobre o GnuPG, software livre que fornece funções
de criptografia, no seguinte link: https://gnupg.org/
Portanto, a criptografia é formada por uma série de fórmulas

matemáticas, nas quais se utilizada uma chave para cifrar e decifrar uma
informação, a fim de mantê-la segura. Utilizando um software de criptografia
e um par de chaves (sejam públicas ou privadas), um usuário pode proteger
suas informações pessoais, por exemplo. Entre as finalidades dos softwares
de criptografia estão a assinatura digital, que é útil para garantir que um
documento não foi alterado depois da assinatura. Também a encriptação de
documentos, para que somente o dono do par de chaves (a chave que cifra
e a outra que decifra) possa ler a informação. E ainda a junção dessas duas
funções, assinar e cifrar um mesmo documento (RNP, 2012).
DICAS
Leia o artigo Um estudo comparativo de algoritmos de criptografia de chave

pública: RSA versus curvas elípticas para conhecer um caso prático do uso de chaves
públicas. Disponível em:
http://revista.urcamp.tche.br/index.php/Revista_CCEI/article/download/32/pdf_58
81
Como já vimos na Unidade 1, existe uma grande quantidade de

algoritmos que podem ser utilizados para criptografia tanto de chaves
simétricas quando de chaves assimétricas. Entre os exemplos de algoritmos
de chave simétrica, podemos citar: DES (Data Encryption Standard – Padrão
de Criptografia de Dados), 3DES (Triple DES – Padrão de Criptografia Tripla
de Dados), IDEA (International Data Encryption Algorithm – Algoritmo de
Criptografia de Dados Internacional), RC4 e AES (Advanced Encryption
Standard – Padrão de Criptografia Avançado). Já os principais algoritmos de
chave assimétrica são: RSA e ECC (Eliptic Curve Cryptography – Algoritmos de
Curva Elítpica) (BRANQUINHO et al., 2014).
82
RESUMO DO TÓPICO 1
• A criptografia é importante tanto para empresas quando para o uso pessoal na

proteção de informações sigilosas.
• O fluxo de utilização de chaves simétricas e assimétricas para encriptação de

informações depende de diferentes etapas.
• As chaves de sessão são criadas de acordo com sua necessidade específica,

principalmente no caso da cifragem de uma grande quantidade de dados.
• O planejamento da segurança da informação é essencial para definir em quais

casos é mais eficiente utilizar chaves simétricas, assimétricas, ou um misto das
duas opções.
• Existem diferentes métodos de criptografia que utilizam chave simétrica

e assimétrica, o que interfere no funcionamento de sistemas que utilizam
esses conceitos.
83
AUTOATIVIDADE
1 A criptografia é uma das ferramentas mais importantes da segurança da

informação. Por meio dela é possível manter seguras informações sigilosas
que precisam ser acessadas por diferentes usuários, por meio de uma rede
de computadores. Nesse sentido, assinale a alternativa CORRETA que
descreve uma das funções ou características da criptografia:
a) ( ) A criptografia é a única ferramenta indispensável para garantir a

b) ( ) A criptografia deve ser utilizada combinada a outros instrumentos de
c) ( ) A criptografia é à prova de falhas e de erros, por conta de suas boas
funcionalidades e fácil implementação.
d) ( ) A criptografia soluciona sozinha todos as possíveis adversidades
quando se trata de segurança da informação.
2 A proteção de arquivos por meio da criptografia pode ser exemplificada

pelo uso de uma chave em uma porta. No sentido de que a porta seja o
computador, o algoritmo ou sistema de criptografia a fechadura e a senha
para codificar e decodificar os dados a chave. Nesse contexto, classifique V
para as sentenças verdadeiras e F para as falsas:
( ) Em um algoritmo de criptografia, a entrada da encriptação é chamada de

texto cifrado.
( ) Em um algoritmo de criptografia, a saída da encriptação é chamada de
texto cifrado.
( ) Em um algoritmo de criptografia, a entrada da decriptação é chamada de
texto simples.
( ) Em um algoritmo de criptografia, a saída da decriptação é chamada de
texto simples.
Assinale a alternativa que apresenta a sequência CORRETA:

a) ( ) F – F – V – V.
b) ( ) V – V – F – F.
c) ( ) F – V – F – V.
d) ( ) V – F – V – F.
3 A chave de criptografia da chave é utilizada em casos em que é preciso

proteger uma chave de sessão. Basicamente, utilizam-se duas chaves nesse
processo, a primeira, a chave da sessão, que acaba sendo encriptada, e
a segunda, que é a chave dessa criptografia. Sobre o exposto, analise as
84
I- A KEK precisa de proteção e é armazenada para sua próxima utilização.
II- A KEK é descartada a cada uso, pois pode ser gerada novamente.
III- A KEK para ser gerada depende de um salt específico.

4 A criptografia com chaves simétricas depende de chaves iguais tanto para

codificar quanto para decodificar as informações. Já no uso de chaves
assimétricas, dependem de chaves diferentes para os momentos de proteger
e possibilitar o acesso a uma informação encriptada. Nesse contexto,
classifique V para as sentenças verdadeiras e F para as falsas:
( ) A criptografia assimétrica utiliza uma chave privada para encriptar e

uma chave pública para decriptar os dados.
( ) A criptografia assimétrica utiliza uma chave pública para encriptar e uma
chave privada para decriptar os dados.
( ) Na criptografia assimétrica, se for empregada a mesma chave da
encriptação para a decriptação, será gerado um texto sem sentido.
( ) Na criptografia simétrica, se for empregada a mesma chave da encriptação
para a decriptação, será gerado um texto sem sentido.

a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) F – V – V – V.
d) ( ) V – F – V – V.
5 A criptografia faz parte do planejamento da política de segurança da

informação de uma organização. Nesse sentido, é importante definir para
quais necessidades da informação pode ser utilizada criptografia simétrica
ou funções específicas para a criptografia assimétrica. Sobre este contexto,
analise as sentenças a seguir:
I- O planejamento da segurança da informação é um processo simples, visto

que existem muitas técnicas de segurança disponíveis.
II- De forma sucinta, garantir a segurança da informação com o uso de
criptografia visa evitar desastres e minimizar incidentes de segurança em
uma organização.
III- A criptografia com chave simétrica costuma ser utilizada em grandes
volumes de dados, por possuir um processamento mais rápido que a
assimétrica.
IV- A criptografia com chave assimétrica costuma ser utilizada em grandes
volumes de dados, por possui um processamento mais rápido que a
simétrica.
85
86
TÓPICO 2 —
UNIDADE 2
CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA
1 INTRODUÇÃO
O certificado digital é utilizado para garantir a segurança da informação
por meio da criptografia. Esse tipo de certificado possibilita que seja estabelecida
confiança entre usuários e organizações que trocam documentos eletrônicos
(COULOURIS et al., 2013). Nesse contexto, um certificado digital é uma forma de
documento eletrônico assinado digitalmente por uma autoridade certificadora,
a qual possui diversos dados sobre o emissor e o titular desse certificado. A
principal função do certificado digital é vincular uma pessoa ou entidade a uma
chave pública (TRT4, 2020).
A arquitetura de geração e de distribuição de certificados digitais pode

ser separada em dois grupos diferentes: a infraestrutura hierárquica e a rede de
confiança. A principal diferença entre esses dois grupos é o modo que é realizada
a garantia sobre os certificados emitidos. A infraestrutura hierárquica é mais
centralizadora, enquanto a rede de confiança é mais descentralizadora (ASSIS, 2013).
A infraestrutura hierárquica é utilizada em muitos países, inclusive

no Brasil, onde é controlada pela Infraestrutura de Chaves Públicas Brasileiras
(ICP-Brasil). Nessa infraestrutura, a emissão e o controle dos certificados digitais
são segmentados por meio de delegação dessa responsabilidade às entidades
que estiverem interessadas e forem aptas a realizar essa tarefa. Essas entidades
passam a ser denominadas de Entidades Certificadoras (EC) ou Autoridade de
Registros (AR) e são reguladas diretamente pela ICP-Brasil (ASSIS, 2013). Na
Figura 5, estão dispostas as nove entidades certificadoras reconhecidas pela ICP-
Brasil como oficiais e que estão autorizadas a emitir certificados digitais.
87
FIGURA 5 – HIERARQUIA DAS ENTIDADES CERTIFICADORAS CONVENIADAS À ICP-BRASIL
ICP Brasil
CASA DA IMPRENSA RECEITA SERASA SERPRO

AC-JUS ACPR CAIXA CERTISING
MOEDA OFICIAL FEDERAL
FONTE: Assis (2013, p. 54)
Para adquirir um certificado digital no Brasil, o interessado precisa

procurar uma EC ou AR, devidamente credenciada e vinculada ao Instituto
Nacional de Tecnologia da Informação (ITI), que é a Autoridade Certificadora Raiz
da ICP-Brasil. Para emissão do certificado digital para pessoa física, é necessário
apresentar documentos pessoais como cédula de identidade ou passaporte; CPF;
título de eleitor; comprovante de residência atualizado; e PIS/PASEP, de acordo
com a área de atuação. Por esse motivo, é indispensável a presença física do
futuro titular do certificado, já que esse documento eletrônico passará a ser como
uma “carteira de identidade” utilizada no mundo virtual (TRT4, 2020).
DICAS
Para conhecer mais sobre a estrutura do Instituto Nacional de Tecnologia da

Informação e as Autoridades Certificadoras, acesse o site: https://estrutura.iti.gov.br/.
No caso de certificado digital para pessoa jurídica, que é o caso de

empresas e demais organizações com CNPJ, também é necessário se dirigir
a uma Autoridade de Registro ou Certificação. Nesse caso, apresentar os
seguintes documentos: registro comercial; ato constitutivo, estatuto ou
contrato social; CNPJ; e documentos pessoas da pessoa física responsável pelo
registro (TRT4, 2020).
As principais informações que um certificado digital armazena são:

a chave pública de seu titular; nome, endereço e e-mail; período de validade
do certificado; nome da Autoridade de Registro ou Certificadora que emitiu o
certificado; número de série do certificado; e assinatura digital da Autoridade de
Registro ou Certificadora (TRT4, 2020).
88
TÓPICO 2 — CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA
Já a rede de confiança é um segundo modelo de arquitetura para

certificados digitais. Diferente do modelo hierárquico, a rede de confiança não
possui um órgão central responsável pela emissão dos certificados, o que torna o
processo totalmente descentralizado. Para compreender o funcionamento desse
modelo, as instituições que desejam ter uma relação de segurança da informação,
ou seja, de confiança, podem ser dispostas como um diagrama com várias arestas
que representam cada certificado. Quanto mais relacionamentos cada instituição
construir no diagrama, maior a sua rede de confiança. Isso quer dizer que o
certificado de cada instituição se torna mais confiável a cada nova instituição que
passa a confiar nele. O software chamado OpenPgP utiliza esse conceito de rede de
confiança como um mecanismo de troca de certificado (ASSIS, 2013).
DICAS
Para conhecer mais sobre o OpenPGP, acesse o site:

https://www.openpgp.org/about/.
Por exemplo, se uma instituição chamada “Instituição 1” precisa trocar documentos

com outra chamada “Instituição 2” utilizando certificados digitais com a infraestrutura
de rede de confiança, ela deve realizar uma sequência de passos definidos. Primeiro é
feita a conferência se já houve uma relação de confiança entre as duas instituições, e se
não houve passa-se a verificar se existe um vínculo entre as demais instituições que a
“Instituição 1” já se relaciona (ASSIS, 2013).
Esse exemplo pode ser apresentado em forma de algoritmo em um

pseudocódigo, em que a “Instituição 1” é “I1” e “Instituição 2” é “I2”. Veja o
Quadro 1:
89
QUADRO 1 – ALGORITMO PARA VERIFICAÇÃO DE CONFIABILIDADE DE CERTIFICADO EM

REDE DE CONFIANÇA
00 INÍCIO
01
02 Se I2 está contida na rede de confiança de I1:
03 Inicia a transação;
04 Senão:
05 Inicia com 0 o nível de convergência;
06 Para cada instituição Ix contida na rede de confiança em I1 faça:
07 Para cada instituição Iy contida na rede de confiança em I2 faça:
08 Se Ix for igual a Iy:
09 Incrementa o nível de convergência;
10 Fim Se;
11 Fim Para;
12 Fim Para;
13 Fim Se;
14
15 Se o valor da convergência for maior ou igual a um limiar T:
16 Realiza a transação;
17 Senão:
18 Aborta a transação;
19 Fim Se;
20
21 Se a transação for bem-sucedida:
22 Insere I2 na rede de confiança de I1:
23 Fim Se;
24
25 FIM.
FONTE: Assis (2013, p. 56)
No algoritmo apresentado na Tabela ,1 primeiro é verificado que a

“Instituição 2” consta na rede de confiança da “Instituição 1”. Depois, criam-se
procedimentos a serem adotados caso a verificação inicial seja negativa. Uma das
variáveis utilizadas é o nível de convergência, que nada mais é do que comparar as
redes de confiança das duas instituições envolvidas. A cada instituição que coincida,
ou seja, que esteja presente nas redes das duas instituições sendo comparadas,
aumenta-se o nível de contingência. Por fim, com um nível de convergência
previamente definido, no algoritmo chamado de “limiar T”, define-se se a transação
será abortada ou realizada. Caso seja realizada com sucesso, a “Instituição 2” passa
a fazer parte da rede de confiança da “Instituição 1” (ASSIS, 2013).
90
2 CONCEITOS
Já sabemos que a assinatura digital simula a função das assinaturas
convencionais, feitas em papel (Figura 7). De toda forma, é importante compreender
que a assinatura digital não é igual ao certificado digital. A principal diferença
é que a criptografia utilizada para implantar o mecanismo de assinatura digital
permite verificar se a mensagem ou documento é uma cópia sem alterações do que
foi produzido por seu signatário ou remetente. As técnicas de assinatura digital
baseiam-se na inclusão de um vínculo irreversível na mensagem ou documento
original, que pode ser retirado apenas pelo seu remetente. Esse processo é feito
cifrando a mensagem e criando uma forma compactada chamada de resumo ou
digest com uma chave conhecida apenas por quem incluiu a assinatura digital.
O resumo possui valor de comprimento fixo, que é calculado pela aplicação de
uma função de resumo segura (secure digest function). O resumo, devidamente
cifrado, serve como uma assinatura que acompanha a mensagem ou documento
(COULOURIS et al., 2013).
FIGURA 7 – ASSINATURA DIGITAL
FONTE: <https://i1.wp.com/paranashop.com.br/wp-content/uploads/2020/10/assinatura-
digital-5.jpg?w=1000&ssl=1>. Acesso em: 18 jan. 2021.
91
Para decifrar as assinaturas digitais geralmente são utilizadas chaves

públicas. Neste caso, o criador da mensagem gera uma assinatura digital com sua
chave privada e essa assinatura pode ser decifrada pelo destinatário com a chave
pública correspondente (COULOURIS et al., 2013). Ou seja, no caso da utilização
da assinatura digital não existe a preocupação específica com a confidencialidade
do documento ou da informação, mas sim com a sua origem, que é garantida
pela autenticação, pela assinatura. Qualquer pessoa que tenha a chave pública,
que é distribuída livremente, poderá descriptografar a mensagem assinada
digitalmente para ter certeza de que foi enviada por nós e que não foi alterada
(VALLE, 2015). Na Figura 8, esse processo é detalhado, veja:
FIGURA 8 – PROCESSO DE ASSINATURA DIGITAL
chave texto
texto claro
privada A assinado
internet
texto chave texto assinado

assinado pública A verificado
FONTE: Valle (2015, p. 64)
O processo inicia com o texto original ou texto claro como traz a imagem.
Então, o usuário realiza a assinatura digital com a sua chave privada “A”. Em
seguida, o texto já assinado é enviado para outro usuário por meio da internet.
Com uma chave pública “A”, é possível que o receptor do documento confira que
ele foi assinado, para assim confirmar sua autenticidade (VALLE, 2015).
É inquestionável a necessidade de assinaturas em muitos tipos de transações,

sejam pessoais ou comerciais. As assinaturas manuscritas são utilizadas como
uma forma de confirmar a veracidade de informações desde que os documentos
existem. Entre as necessidades dos destinatários de documentos assinados, seja
na forma digital ou manuscrita, estão: verificação de autenticidade, a fim de
convencer o destinatário de que o signatário realmente assinou o documento
e que o mesmo não foi alterado depois disso; diminuição de falsificação, pois
fornece uma prova de que somente o signatário assinou o documento, pois a
assinatura não pode ser copiada ou colocada em outro documento; e aplicação do
não repúdio, pois o signatário não pode negar que tenha assinado o documento
92
De toda forma, nenhuma dessas características desejáveis da assinatura

é totalmente garantida nas assinaturas convencionais, tendo em vista que
falsificações e cópias desse tipo são difíceis de serem detectadas. O que não acontece
no caso das assinaturas digitais, as quais não dependem da caligrafia de uma
pessoa, mas sim de um vínculo secreto e único do signatário com o documento.
As características dos documentos digitais, por si só, já são totalmente diferentes
dos documentos digitais. É muito mais fácil gerar, copiar e alterar um documento
digital. Por isso, simplesmente anexar a identidade do criador, seja com texto ou
uma imagem de uma assinatura, não tem nenhum valor para a verificação, pois
pode ser feito por qualquer pessoa (COULOURIS et al., 2013).
Isso que justifica a necessidade de vincular, de forma irrevogável, a

identidade do autor do documento digital à sequência inteira de seus bits. Isso
satisfaz os requisitos que conhecemos anteriormente, da autenticidade e da
diminuição (ou extinção) da falsificação. Quanto ao não repúdio, ainda existem
certas discussões sobre o assunto, como no caso em que um usuário afirma que
passou sua chave privada para outra pessoa. De toda forma, foi necessário o
uso desta chave para efetivar a assinatura eletrônica, o que torna inegável sua
utilização (COULOURIS et al., 2013).
Já o certificado digital é um documento que contém uma declaração,

geralmente curta, previamente assinada digitalmente. Para compreender o
funcionamento do certificado digital, vamos apresentar um exemplo. Pense que
B é um banco. Quando os clientes de B entram em contato, precisam ter certeza
de que estão falando com B (o banco), mesmo que nunca tenham entrado em
contato com ele anteriormente. B também precisa autenticar seus clientes, antes
de conceder a eles acesso às suas contas (COULOURIS et al., 2013).
A cliente Ana poderia achar útil obter um certificado do banco B,

informando o número de sua conta. Assim, Ana poderia utilizar esse certificado
para fazer compras como uma maneira de garantir que realmente é correntista do
banco B. Esse certificado é assinado por uma chave privada de B. Um vendedor,
Paulo, pode aceitar o certificado para cobrar seus produtos diretamente na
conta de Ana, desde que ela possa validar sua assinatura. Para isso, Paulo
precisa ter acesso à chave pública de B, para certificar que o certificado de Ana
é verdadeiro. Portanto, Paulo precisa de um certificado devidamente assinado
por uma autoridade conhecida e confiável, o qual contenha a chave pública de B
93
FIGURA 9 – FLUXO DA RELAÇÃO ENTRE BANCO B, CLIENTE ANA E VENDEDOR PAULO
FONTE: O autor
Por meio do nosso exemplo, foi possível acompanhar três figuras

diferentes: B como banco, Ana como cliente e Paulo como vendedor. Os três
dependem de certificados digitais para realizar suas transações de forma segura.
O banco B estabelece uma relação de confiança com seus clientes fornecendo a eles
um conjunto de senhas ou certificados, para acessarem suas contas. Os clientes,
como Ana, por sua vez, precisam confirmar sua identidade a cada vez que se
relacionarem com o banco B, para garantir que não seja um terceiro acessando sua
conta bancária. Por fim, empresas ou vendedores como Paulo também precisam
de uma confirmação de que seus clientes também são realmente clientes do banco
B. Na Figura 10, observa-se a representação gráfica do certificado digital como
uma identidade do seu portador, como se fosse sua digital e ao mesmo tempo sua
assinatura, para assim tornar seguras as informações.
FIGURA 10 – CERTIFICADO DIGITAL
FONTE: <http://www.cicgaribaldi.com.br/wp-content/uploads/2020/08/Ativo-3certificado_
digital_cdl-1024x696.png>. Acesso em: 18 jan. 2021.
94
Os certificados digitais podem ser empregados para estabelecer a

autenticidade de muitos tipos de declaração. Duas coisas principais são necessárias
para tornar certificados digitais úteis: um formato padrão e uma boa representação,
para que os emitentes e os respectivos usuários do certificado possam construí-los e
interpretá-los; e um acordo sobre a forma pela qual os encadeamentos de certificados
são construídos, principalmente no que se refere à autoridade confiável que deverá
ser empregada por todos os envolvidos. Além disso, é importante se preocupar
com a possibilidade de revogação de um certificado. Lembrando de nosso exemplo
anterior, Ana pode deixar de ser cliente do banco B. Por isso, é importante que o
certificado do banco fornecido a seus clientes tenha data de expiração, para que
deixe de funcionar (COULOURIS et al., 2013).
Certificado digitais ainda representam a única tecnologia com o

atributo essencial de validade legal no país. A certificação digital foi
introduzida no Brasil simultaneamente à criação da Infraestrutura
de Chaves Públicas (ICP-Brasil), por meio da Medida Provisória
2.200-2/2001. O Certificado Digital é um documento que utiliza uma
chave criptográfica e um padrão específico contendo dados de seus
titulares, garantindo a identidade deles; sendo assim, assegura a
confidencialidade, a autenticidade e o respaldo de qualquer transação
eletronicamente assinada, bem como a troca de informações com
integridade, confidencialidade e segurança. Atualmente, há cerca de
8.8 milhões de certificados digitais ativos no Brasil; isso corresponde a
3% da população total (OCDE, 2020, p. 100).
Por meio dos dados da Organização para Cooperação e Desenvolvimento

Econômico (OCDE) apresentados anteriormente, podemos perceber a importância
que os certificados digitais possuem tanto em relações econômicas quanto em
trocas de informações no Brasil. Por isso é tão importante conhecer esse tipo de
ferramenta que contribui para a segurança da informação com uso de métodos
de criptografia.
Além das funcionalidades dos certificados digitais, é importante conhecer a

vantagem do uso desses certificados. Entre as vantagens estão: uma autenticação
mais segura; maior dificuldade para comprometer ou roubar certificados
digitais; e tanto o computador quanto o usuário podem ser autenticados sem
a necessidade de intervenção do usuário. Podemos afirmar que os certificados
digitais proporcionam uma autenticação mais segura se comparados com senha
tradicionais. Isso porque o certificado digital é um arquivo real, o que torna mais
difícil burlar sua segurança. Enquanto uma senha pode ser fraca (muito simples,
muito curta), anotada em um local que não seja seguro, ou ainda falada em voz
alta para outras pessoas, o certificado não pode ser afetado por esses problemas
(WRIGHTSON, 2014).
Tanto o computador quanto o usuário podem se autenticar em uma rede

sem fio, por exemplo, sem a necessidade de interação ou de preenchimento de
senhas. Isso é possível por meio de funcionalidades como as credenciais de cache
dos sistemas Windows, por meio das quais os usuários podem se autenticar
95
diretamente a um sistema em que já tenham se autenticado anteriormente. Além

disso, os certificados digitais podem fornecer autenticação mútua, isso quer dizer
que as duas partes podem autenticar uma à outra. Assim, o usuário autentica a
rede sem fio e a rede sem fio autentica o usuário. Isso garante que as duas partes
estão se comunicando com o destinatário desejado (WRIGHTSON, 2014).
Outra vantagem importante do uso de certificados digitais, da mesma

forma que nas assinaturas digitais, é chamada de não repúdio. Esse benefício
pode ser percebido quando você assina uma mensagem utilizando sua assinatura
digital, como parte do processo de certificação digital, o que prova que apenas
alguém que possua sua chave privada poderia ter criado a mensagem. O que
quer dizer que você não pode negar (repudiar) que aprovou a criação e o envio
da mensagem. Isso é muito bom quando se lida com contratos legais em um
mundo digital, por exemplo (WRIGHTSON, 2014).
FIGURA 11 – PRINCIPAIS DIFERENÇAS ENTRE ASSINATURA E CERTIFICADO DIGITAL
FONTE: <https://www.facebook.com/colegionotarialdobrasilsp/posts/1333712523444520:0>.
96
É importante deixar claro que certificado digital e assinatura digital são

conceitos diferentes, conforme ilustrado na Figura 11. Enquanto o certificado
digital se torna uma espécie de “carteira de identidade digital” da pessoa
ou organização que o detém, a assinatura digital é uma forma de autenticar
documentos para que seja garantida a sua validade jurídica, usando, para isso, a
criptografia. Assim, podemos definir a assinatura digital como uma modalidade de
assinatura eletrônica, resultado do uso de algoritmos de criptografia assimétrica,
que possibilita assegurar a segurança, origem e integridade de um documento
(TRT4, 2020).
2.1 TIPOS DE CERTIFICADOS DIGITAIS

Baseada na infraestrutura hierárquica, a ICP-Brasil disponibiliza oito
principais tipos de certificados digitais, os quais são baseados no protocolo
X.509 v3. Esses certificados são divididos em dois conjuntos de séries (A e S), de
acordo com o seu propósito, seu custo e a segurança efetiva que proporcionam.
Quatro certificados de assinatura digital fazem parte da série A (A1, A2, A3,
A4), que são utilizados principalmente para autenticar identidade. Enquanto
os quatro certificados da série S (S1, S2, S3, S4), são úteis para garantia de
sigilo e são relacionados à proteção de dados e informações confidenciais. As
características e diferenças desses certificadas serão abordadas em seguida, na
Tabela 2 (ASSIS, 2013).
O protocolo X.509 é um formato padrão para certificados de chave

pública, utilizado para associar com segurança pares de chaves criptográficas
com identidades de organizações, usuários ou sites, por exemplo. Esse protocolo
foi utilizado pela primeira vez em 1988 como uma camada de autenticação de
um protocolo anterior, o X.500. Depois ele foi adaptado para uso da internet
pela Public-Key Infrastructure (Infraestrutura de Chave Pública) da Internet
Engineering Task Force (IETF – Força-Tarefa de Engenharia da Internet), que é uma
organização internacional aberta, que se preocupa em propor soluções para a
Internet e padronização de suas tecnologias e protocolos. Com o passar do tempo,
as versões 1 e 2 do protocolo foram corrigidas. Isso foi relacionado aos esforços
em padronizar os certificados digitais com chaves públicas, e, assim, em 1996,
foi disponibilizada a versão 3, que é a mais atual. Certificados que utilizam o
protocolo X.509 podem ser utilizados para assinar códigos, assinar documentos,
autenticar um cliente em um servidor, servir como uma identidade eletrônica
emitida pelo governo, entre outras funções (RUSSELL, 2019).
Esses tipos de certificados digitais são categorizados tecnicamente de

acordo com vários fatores, que são: o tamanho de bits das chaves assimétricas
utilizadas, o seu período de validade, o mecanismo de geração que utiliza e o tipo
de dispositivos de armazenamento final (ASSIS, 2013).
97
Na versão 3 do protocolo X.509, foram incluídas algumas extensões

mínimas para o transporte de dados como os atributos de chaves públicas, dados
adicionais sobre o titular do certificado e sobre as restrições e política de uso do
certificado digital. A partir daí os certificados digitais passaram a ser flexíveis
e permitiram o desenvolvimento de muitos outros perfis de certificados, que
utilizam combinações de extensões e que podem ser úteis para muitas aplicações
(SOUZA, 2014). Como no caso das diferentes séries dos certificados ICP-Brasil.
Na Figura 12, temos apresentada a estrutura de um certificado digital do padrão
X.509 v3, que é composta pela versão, número de série, assinatura do certificado
digital, identificação do emissor, validade, nome do proprietário, informações
adicionais sobre o proprietário e assinatura digital do emissor (Autoridade
Certificadora). Assim como os campos operacionais, que são o ID do emissor e do
proprietário e a lista de extensões com suas respectivas especificações de acordo
com a função para a qual o certificado será utilizado.
FIGURA 12 – PRINCIPAIS DIFERENÇAS ENTRE ASSINATURA E CERTIFICADO DIGITAL
FONTE: Silva (2004, p. 75)
Como vimos na Figura 12, a estrutura dos certificados digitais do protocolo

X.509 é composta basicamente pelo sujeito (nome discriminado e chave pública),
emitente (nome discriminado e assinatura), período de validade (não antes de
data e não após data), informações administrativas (versão e número de série)
e informações estendidas (qualquer outra informação complementar). Portanto,
cada certificado é vinculado a um portador, seja pessoa física ou jurídica, além
de conter a informação de que AR o emitiu, com a respectiva assinatura digital.
Ainda, outra informação importante é a validade do certificado, que garante
que ele possa ser empregado somente dentro do período para o qual foi emitido
Nesse contexto, um certificado X.509 vincula uma chave pública a

uma entidade nomeada, que é chamada de “sujeito” (subject). Essa vinculação
é feita por meio de assinatura da “emitente” (issuer) do certificado digital, a
Autoridade Certificadora. A informação do “nome discriminado” (distinguished
98
name) é empregada para preencher o nome de uma pessoa, organização ou outra

instituição, atreladas a informações contextuais do certificado para que o torne
exclusivo (COULOURIS et al., 2013). Veja na Figura 13, que representa cada uma
dessas figuras relacionadas à emissão do certificado digital, se pensarmos nos
certificados ICP-Brasil.
FIGURA 13 – VINCULAÇÃO DE INFORMAÇÕES EM UM CERTIFICADO DIGITAL
FONTE: O autor
É importante incluir as informações adicionais sobre a figura do “nome

discriminado”, que pode ser uma pessoa ou uma organização. Isso porque não
se pode considerar que apenas um nome torne um certificado exclusivo, o que
também pode acontecer em carteiras de habilitação por exemplo. Caso não tivesse
uma numeração específica e dependessem apenas do nome de seu portador,
pois é improvável que exista apenas uma pessoa no mundo com o mesmo nome
por mais diferente que ele possa parecer. Por isso a necessidade de construir
sequências de verificação longas nos certificados digitais, com assinaturas
validadas por meio de um encadeamento de verificação que direcione a alguém
conhecido e de confiança, no caso a Autoridade Certificadora. É a Autoridade
Certificadora, neste caso, a responsável pela criação da sequência de verificação
individual para cada certificado (COULOURIS et al., 2013). Veja no Quadro 2 as
principais características de cada um destes certificados:
QUADRO 2 – TIPOS DE CERTIFICADOS DIGITAIS DISPONÍVEIS NA ICP-BRASIL
Certificados Digitais
Tipo de Origem do par de Tamanho das Tipo de
Validade
Certificado Chaves Chaves Armazenamento
Arquivo em Disco
de um único
A1 Software 1.024 bits Um ano
Computador (HD ou
SSD)
Hardware
Criptográfico
A2 Móvel 1.024 bits Token ou Smartcard Até dois anos
(dispositivo físico
independente)
99
Hardware
Criptográfico
Token, Smartcard ou
A3 Móvel 1.024 bits Até cinco anos
Nuvem
independente)
Até 11 anos
Hardware HSM (Hardware
se utilizar
Criptográfico Security Module –
criptografia de
A4 (placa auxiliar 2.048 bits Módulo de Segurança
curvas elípticas,
instalada em um de Hardware) ou
caso contrário
computador) Nuvem
até seis anos
Arquivo em Disco
de um único
S1 Software 1.024 bits Um ano
Computador (HD ou
SSD)
Hardware
Criptográfico
S2 Móvel 1.024 bits Token ou Smartcard Até dois anos
independente)
Hardware
Criptográfico
Token, Smartcard ou
S3 Móvel 1.024 bits Até cinco anos
Nuvem
independente)
HSM (Hardware Até 11 anos
Hardware
Security Module se utilizar
Criptográfico
– Módulo de criptografia de
S4 (placa auxiliar 2.048 bits
Segurança de curvas elípticas,
instalada em um
Hardware) ou caso contrário
computador)
Nuvem até seis anos
FONTE: Assis (2013, p. 65) e ITI (2020, s.p.)
Lembre-se que os Algoritmos de Curva Elípticas (Eliptic Curve

Cryptography – ECC), são um método utilizado para gerar pares de chaves pública/
privada com base em propriedades de curvas elípticas. No ECC, as chaves são
mais curtas, seguras e as demandas de processamento para cifrar e decifrar
mensagens ou documentos são menores se comparadas às do RSA, por exemplo.
Essa característica é útil para sistemas que incorporam dispositivos móveis,
que possuem recursos de processamento limitado. A matemática relevante
para seu processamento envolve propriedades complexas das curvas elípticas
100
DICAS
Leia o artigo Um estudo comparativo de algoritmos de criptografia de chave

pública: RSA versus curvas elípticas, para conhecer um caso prático do uso de chaves
públicas. Ele está disponível no link: http://revista.urcamp.tche.br/index.php/Revista_CCEI/
article/download/32/pdf_58
Portanto, de acordo com a Tabela 2, os certificados das séries A e S podem

ser instalados diretamente no disco do computador em que serão utilizados;
disponibilizados em Tokens (parecidos com Pendrives) ou Smartcards (Cartões
inteligentes com chips, como cartões de banco), que possibilitam a sua mobilidade;
acessados na Nuvem; ou embutidos em hardwares que são conectados a uma rede
de computadores. As mídias ou ferramentas de acesso aos certificados digitais
são representadas na Figura 11.
FIGURA 11 – PRINCIPAIS MANEIRAS DE UTILIZAR UM CERTIFICADO DIGITAL
FONTE: <https://cofrevirtual.com.br/blog/wp-content/uploads/2019/04/smart-card-token-pc-
ou-nuvem-qual-e-o-melhor-dispositivo-para-proteger-o-certificado-digital-795x405.jpg>.
Dos oito principais certificados ICP-Brasil que vimos anteriormente, os

mais comuns e que são utilizados por mais pessoas atualmente são os da série
A, que permitem a assinatura digital em qualquer arquivo. Eles têm como
característica a possibilidade de identificar quem assinou o documento, que
podemos chamar de autenticidade. Eles também confirmam a integridade do
arquivo, ou seja, depois de usar um certificado da série A em um arquivo, ele
não pode mais ser alterado. Esses certificados atendem necessidades de pessoas
físicas, jurídicas e profissionais liberais de diferentes áreas, otimizando suas
atividades (ITI, 2020).
101
Por exemplo, uma pessoa física pode utilizar um certificado a série A para
acessar e atualizar os seus dados na Receita Federal, referentes ao seu Imposto de
Renda ou então para assinar documentos digitalmente. Já pessoas jurídicas, ou
seja, empresas com CNPJ, podem utilizar esses mesmos certificados para garantir
a segurança do envio de informações entre filiais ou mesmo entre vendedores
e colabores externos. Como profissionais liberais, podemos citar o caso de
advogados, médicos ou dentistas, que possuem seus escritórios ou consultórios e
emitem documentos que precisam da garantia de autenticidade. Fazem isso por
meio do uso dos certificados.
Há ainda os certificados do tipo T, que também são chamados de Carimbo

de Tempo (Timestamp). Com um certificado de carimbo de tempo é possível
garantir a existência de um arquivo em determinada hora e data, o que além da
integridade permite garantir a temporalidade de um documento específico. Isso
quer dizer que os certificados do tipo T garantem que um documento seja confiável
e íntegro, para que não seja alterado, e ainda cria uma espécie de “carimbo”
digital no documento, com a data e hora da sua criação. Essa informação é útil
para garantir que o documento que foi criptografado não passou por nenhuma
alteração desde sua criação até a sua assinatura (ITI, 2020).
As Autoridades Certificadoras de Tempo (ACTs), devidamente

credenciadas na ICP-Brasil, são responsáveis por emitir o carimbo de tempo e
conferir os atributos de ano, mês, dia, hora, minuto e segundo que são associados
à determinada assinatura digital. As ACTs utilizam os certificados digitais do tipo
T, que precisam ser instalados nos computadores que emitem os carimbos de
tempo (ITI, 2020).
DICAS
Consulte o vídeo Atributos Certificado Digital, produzido pela ITI, para conhecer
mais detalhes sobre os certificados das séries A, S e T. Disponível em:
https://www.youtube.com/watch?v=sxwk_AkDe9M.
Outros certificados mais específicos são o CF-e-SAT (Cupom Fiscal

Eletrônico) e o OM-BR (Objetos Metrológicos). O CF-e-SAT é empregado nas
assinaturas de Cupons Fiscais Eletrônicos e pode ter validade de até cinco
anos. Já o certificado OM-BR é utilizado em objetos metrológicos, como aqueles
que conferem medição de bombas de combustível, ou relógios medidores de
energia elétrica ou água, por exemplo. Esses objetos necessitam de regulação do
INMETRO (Instituto Nacional de Metrologia, Qualidade e Tecnologia). Seu prazo
de validade é de até dez anos. O par de chaves desses dois tipos de certificado
precisa ser armazenado em um hardware criptográfico que seja homologado pela
ICP-Brasil, ou no caso do OM-BR pelo INMETRO (ITI, 2020).
102
DICAS
Para mais informações sobre CF-e-SAT, consulte o vídeo CF-e_SAT – O que

é, como funciona e condições para uso. O vídeo está disponível no link: https://www.
youtube.com/watch?v=7XnHxYhymHc&list=PL0xfQy3NwaQuc4PE_2fbB-lEbq8WFRYtm.
É importante deixar claro que os tipos de certificados apresentados

(de infraestrutura hierárquica) não são gratuitos, ou seja, para utilizar suas
funcionalidades é preciso realizar o pagamento de taxas específicas para cada
um deles. Eles devem ser adquiridos em entidades devidamente registradas e
conveniadas a ICP-Brasil. Os preços não são padronizados e variam de acordo
com a empresa e com o tipo de certificado (ITI, 2020).
DICAS
Para consultar mais conceitos sobre os certificados digitais e sua utilização no

dia a dia das empresas para criação de documentos digitais, acesse o endereço: https://
www.gov.br/iti/pt-br/assuntos/noticias/iti-na-midia/iti-na-midia-certificado-digital-o-que-
e-para-que-serve-e-como-fazer-um-documento-virtual.
Os tipos de certificados que conhecemos até aqui podem ser utilizados

por pessoas, empresas e organizações comerciais que emitem notas fiscais
eletrônicas, por exemplo. Para cada um desses casos, há um tipo de certificado
digital específico, que são respectivamente o CPF-e, CNPJ-e e NF-e. O CPF-e, por
exemplo, é útil para pessoas físicas que necessitam comprovar sua identidade,
seja para assinar procurações, contratos ou pendências fiscais on-line (ITI, 2020).
Já o CNPJ-e é empregado por pessoas jurídicas, no caso o representante

legal da empresa que é o detentor da assinatura, que não pode ser utilizada por
outros colaboradores da empresa. Além das mesmas indicações do CPF-e, o
CNPJ-e possui acesso a dados da empresa na Receita Federal, permite participar
de pregões eletrônicos promovidos por instituições públicas e ainda possibilita
declarar informações sobre funcionários no sistema on-line e-Social (plataforma
do governo para essa finalidade). Por fim, o NF-e é necessário para emissão de
Nota Fiscal eletrônica, e pode ser utilizado por qualquer funcionário da empresa
que esteja em posse do certificado, pois não está vinculado a uma só pessoa. Os
formatos possíveis desses três tipos de certificados são A1, A3 e A4 (ITI, 2020).
103
RESUMO DO TÓPICO 2
• Certificados digitais utilizam criptografia para garantir a segurança de dados e

informações.
• Existem duas arquiteturas de distribuição de certificados digitais: infraestrutura

hierárquica e rede de confiança.
• A infraestrutura hierárquica se refere aos certificados digitais emitidos, no

Brasil, por instituição conveniadas à ICP-Brasil.
• A rede de confiança depende de algoritmos específicos para verificar se as

relações entre instituições podem ser consideradas seguras ou não.
• Certificados e assinaturas digitais são conceitos diferentes.
• Assinaturas digitais simulam uma assinatura convencional, feita em papel.
• Certificados digitais são assinados digitalmente e contém informações

adicionais que declaram sua confiabilidade.
• Os certificados digitais disponibilizados pela ICP-Brasil podem ser divididos

em séries, sendo que as principais são A e S.
104
AUTOATIVIDADE
1 Os certificados digitais utilizam de criptografia para auxiliar na segurança

da informação. Esses certificados possibilitam a criação de confiança entre
usuários e organizações. Nesse sentido, assinale a alternativa CORRETA
que descreve uma das características dos certificados digitais:
a) ( ) Um certificado digital é assinado manualmente por uma autoridade

certificadora.
b) ( ) Um certificado digital é assinado digitalmente por uma autoridade
certificadora.
c) ( ) Um certificado digital vincula uma pessoa ou entidade a uma chave
privada.
d) ( ) Um certificado digital vincula uma pessoa ou entidade a uma assinatura
privada.
2 Os certificados digitais podem ser divididos em dois grupos de acordo com

sua arquitetura de geração e de distribuição. Sobre os grupos de certificados
digitais “infraestrutura hierárquica” e “rede de confiança”, classifique V
( ) A diferença principal entre os dois grupos é a forma como a segurança

dos certificados é garantida.
( ) A rede de confiança é mais centralizadora e a infraestrutura hierárquica
mais descentralizadora.
( ) A rede de confiança é mais descentralizadora e a infraestrutura hierárquica
mais centralizadora.
( ) No Brasil, a infraestrutura hierárquica é representada pela ICP-Brasil.
( ) As entidades que emitem certificados digitais segundo as regras da ICP-
Brasil são chamadas de Entidades de Registros (ER).

a) ( ) V – F – V – V – F.
b) ( ) F – V – V – F – F.
c) ( ) F – V – F – F – V.
d) ( ) V – V – F – V – V.
3 A rede de confiança de certificados digitais pode ser construída por meio de

um relacionamento entre diferentes instituições. Sobre o exposto, analise as
I- A rede de confiança possui um órgão central responsável pela emissão

dos certificados.
II- Quanto menor a rede de confiança, maior a confiabilidade do certificado
digital.
III- Quanto mais instituições confiarem em um certificado, maior a sua
utilização pelas demais instituições que fazem parte da rede.
105
d) ( ) As sentenças I e III estão corretas.
4 Assinaturas e certificados digitais costumam ser confundidos como se

fossem sinônimos, porém possuem diferenças. Nesse contexto, classifique
V para as sentenças verdadeiras e F para as falsas:
( ) A assinatura digital tem a mesma função que uma assinatura convencional,

conferir autenticidade a um documento.
( ) As assinaturas digitais geralmente são decifradas por meio de chaves
privadas.
( ) Para que os certificados digitais sejam úteis dependem de uma boa
apresentação e um formato padrão.
( ) Segundo a OCDE, 5% da população brasileira utiliza certificados digitais.

a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) F – V – V – V.
d) ( ) V – F – V – F.
5 Os certificados digitais disponibilizados pela ICP-Brasil são divididos

em séries distintas, baseadas na infraestrutura hierárquica. Sobre as
características e funcionalidades das diferentes séries de certificados
digitais, analise as sentenças a seguir:
I- Os certificados da série S são empregados principalmente para autenticar

identidade.
II- Os certificados da série A são empregados principalmente para autenticar
identidade.
III- Os certificados da série S geralmente são utilizados para proteger
informações e dados confidenciais.
IV- Os certificados da série A geralmente são utilizados para proteger
informações e dados confidenciais.

106
TÓPICO 3 —
UNIDADE 2
EXEMPLOS DE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL
1 INTRODUÇÃO
Anteriormente, conhecemos conceitos sobre o uso de chaves públicas
e privadas, algoritmos de criptografia simétrica e assimétrica, bem como as
assinaturas e certificados digitais. Nesse tópico, vamos examinar alguns aspectos
práticos do uso de chaves públicas e privadas para envio de mensagens seguras
e o papel dos certificados digitais na garantia da segurança da informação, com
base em exemplos de sua utilização.
Você já sabe que um usuário pode utilizar a criptografia de chave pública

para enviar uma mensagem e o seu destinatário pode verificar a autenticidade
e integridade dessa mensagem. Imagine duas pessoas fictícias que quisessem
enviar mensagens uma para a outra de forma segura por meio de uma rede
não confiável, os nomes delas são Mônica e Sônia. Mônica e Sônia são amigas
próximas. Um dia, uma delas precisou viajar e elas trocaram suas chaves públicas
por meio de pen drives. Logo, Sônia sabe que pode confiar na chave pública vinda
de Mônica porque a entregou fisicamente (WRIGHTSON, 2014).
Quando Mônica escreve um e-mail endereçado à Sônia, ela assina usando

sua chave privada. Para assinar a mensagem, o programa de correio eletrônico que
Mônica está utilizando submeterá o e-mail inteiro a um algoritmo criptográfico,
que criptografará o valor gerado pelo algoritmo por meio da chave privada de
Mônica. Depois, Mônica acrescentará o valor da assinatura ao final do e-mail e o
encaminhará para Sônia (WRIGHTSON, 2014).
Quando Sônia recebe a mensagem, verifica se o e-mail realmente veio de

Mônica e se a mensagem não foi violada por ninguém. Para isso, pega a chave
pública de Mônica e descriptografa a assinatura no e-mail para obter o valor
gerado pelo algoritmo de criptografia (chamado de valor de hash ou de resumo
de hash). Em seguida, calcula ela mesma o seu próprio valor de hash e o compara
com o valor da assinatura de Mônica. Se os valores forem iguais, Sônia tem a
confirmação sobre a integridade e autenticidade da mensagem por meio do uso
da criptografia assimétrica (WRIGHTSON, 2014). A tradução literal do termo
hash se refere à cerquilha, ou seja, o símbolo #.
107
DICAS
Conheça um pouco mais sobre o funcionamento do algoritmo de hash no

vídeo Assinatura Digital e Hash - Segurança da Informação.
FONTE: <https://www.youtube.com/watch?v=UlRCVihN3pE&t>. Acesso em: 19 fev. 2021.
É importante deixar claro que não é preciso entregar fisicamente a cópia

da chave pública para alguém, como vimos no exemplo anterior. No entanto,
geralmente, é aconselhável que essa chave seja enviada por um método “fora da
banda”. Isso porque você não vai querer enviar sua chave pública para alguém
utilizando o mesmo caminho de comunicação que você precisa proteger, por
ser inseguro. Por exemplo, para proteger e-mails com criptografia de chave
pública, não enviaria pelo mesmo e-mail ou em um e-mail anterior a sua chave
pública. Qual o motivo de não fazer isso? Veja, se um invasor pode receptar
suas mensagens nesse momento, poderá simplesmente inserir sua chave pública
em substituição à que foi enviada e o destinatário não terá como saber o que
aconteceu (WRIGHTSON, 2014).
De toda forma, geralmente o processo de empregar uma chave privada

para criar uma assinatura e anexá-la a um e-mail é automático. Isso porque
seria inadequado esperar que um usuário sem conhecimentos avançados de
segurança da informação executasse manualmente todas essas tarefas. Assim
como o destinatário do e-mail não descriptografaria manualmente a assinatura e
compararia os hashes, isso também pode ser feito automaticamente pelo serviço
de e-mail utilizado (WRIGHTSON, 2014). Foi apenas um exemplo para que você
consiga compreender a importância e funcionalidade desses algoritmos.
Em outras palavras, o fluxo de um algoritmo de hash inicia com a

mensagem que sai da origem, que é o arquivo original. Em seguida, é calculado o
seu resumo e ele é assinado com uma chave privada. Assim, o que vai para a rede
de comunicação já é o arquivo criptografado e assinado digitalmente. Quando
o arquivo é recebido, a assinatura é removida por meio de um algoritmo de
descriptografa, com a chave pública. O próprio algoritmo compara a mensagem
com e sem assinatura, e sendo igual confirma sua autenticidade.
108
TÓPICO 3 — EXEMPLOS DE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL
2 CRIPTOGRAFIA E CERTIFICAÇÃO EM DIFERENTES

FRENTES DE SEGURANÇA
Já conhecemos um pouco sobre os certificados digitais da ICP-Brasil,
que utilizam a criptografia para garantir validade jurídica, autenticidade,
confidencialidade, integridade e não repúdio a informações e operações realizadas
por meio deles no ambiente virtual. Esses certificados permitem realizar vários
procedimentos virtualmente, sem a necessidade de deslocamento presencial à
sede de órgãos governamentais ou de empresas para impressão de documentos,
por exemplo (ITI, 2017a).
Entre as possibilidades de uso dos certificados digital ICP-Brasil está:

assinatura de documentos e contratos digitais, autenticação em sistemas,
atualização de informações em sistemas, e em rotinas de categorias profissionais
específicas. Os documentos e contratos assinados digitalmente com certificado
digital ICP-Brasil têm a mesma validade que documentos assinados em papel.
Isso proporciona economia com impressões, além de agilizar a movimentação
desses documentos, por meio eletrônico (ITI, 2017a).
Como exemplo do uso de um certificado digital para autenticação

em sistemas, podemos pensar em uma empresa de tecnologia que possui
colaboradores que trabalham presencialmente e outros a distância, em home
office. Para que os colaboradores que estão em home office tenham o mesmo
acesso aos sistemas de informação utilizados na empresa, realizam seus acessos
por meio de certificados digitais, para garantir suas identidades. Então, mesmo
trabalhando de suas casas, esses colaboradores conseguem acessar a informações
sigilosas com segurança.
Quanto à autenticação, vários sistemas com informações confidenciais,

principalmente os sistemas de governo, podem ser acessados de forma segura
via internet com certificados digitais. O que permite também a atualização
de informações nesses sistemas. Sobre as categorias profissionais, médicos,
advogados, contadores, entre outros, já vem empregando o certificado digital
em sistemas virtuais unificados e seguros, que possibilitam integração e
desburocratização de processos (ITI, 2017a).
No caso de acesso seguro a sistemas de governo, podemos citar o uso de

certificados digitais por servidores públicos que realizam compras institucionais,
como pregões e licitações. As instituições públicas possuem sistemas de
informações específicos para o registro e controle desse tipo de transação e para
que os processos sejam seguros e auditáveis, cada servidor possui um certificado
único, vinculado ao seu CPF. Assim, é possível garantir a legalidade e segurança
nas compras realizadas com verbas públicas.
109
DICAS
Confira a matéria Medida Provisória amplia possibilidades de assinaturas

eletrônicas para incrementar serviços públicos digitais em: https://www.gov.br/iti/pt-
br/assuntos/noticias/indice-de-noticias/medida-provisoria-amplia-possibilidades-de-
assinaturas-eletronicas-para-incrementar-servicos-publicos-digitais.
3 TÉCNICAS DE REFORÇO CRIPTOGRÁFICO

Já conhecemos exemplos de aplicações de criptografia e de certificados
digitais, que são úteis para realização de atividades em empresas e demais
organizações ou ainda pelos cidadãos de forma geral. A partir de agora, vamos
observar conceitos que podem ser empregados para reforçar as técnicas de
criptografia utilizadas para garantir a segurança da informação.
Existem diferentes técnicas que podem ser utilizadas para aumentar a

segurança de sistemas criptográficos, sendo úteis se aplicadas de forma geral.
Entre elas vamos conhecer mais sobre a salt (em tradução literal significa ‘salgar’)
e a key whitening (clareamento de chave) (TEIXEIRA FILHO, 2015).
A salt é utilizada em funções de hash, para concatenar uma parte dos dados
extraído do próprio texto antes dele passar pela função de hash. O seu objetivo é
dificultar qualquer tentativa de deduzir o conteúdo completo do texto com base
na saída da função de hash. Deduzir o conteúdo, nesse caso, significa o ato de
uma pessoa mal-intencionada conseguir interceptar partes de uma mensagem ou
documento sigiloso e com essas partes conseguir deduzir ou compreender o que
se quer dizer na mensagem ou documento (TEIXEIRA FILHO, 2015).
A utilização do salt, em outras palavras “salgar”, o hash é importante pois

existem listas disponíveis na internet com senhas conhecidas e seus respectivos
digest (resumos), as chamadas Rainbow Tables (tradução literal: tabelas arco-íris).
Esse problema pode ser resolvido de forma fácil ao adicionar mais uma string (letra
ou número) à senha antes de calcular o hash. Neste caso, a string a mais será o salt da
criptografia, portanto o reforço na segurança (CABRAL; CAPRINO, 2015).
Vamos a um exemplo de aplicação do salt em um hash com inclusão de

uma string. Suponha que Fernando seja um usuário que quer se cadastrar em um
sistema on-line de uma empresa, e para isso ele precisa criar um usuário e uma
senha. Fernando define como usuário “Fernando” e como senha “abc1234”. Esse
usuário e senha precisa ser armazenado no banco de dados do sistema, para que
quando Fernando queira acessá-lo, não precise criar um cadastro. A senha não
110
pode ser armazenada dessa forma no banco de dados, para que seja garantida a
sua segurança. Então, o que será armazenado é o hash dessa senha, criado por meio
de um algoritmo criptográfico. Para aumentar a segurança desse procedimento,
utiliza-se o salt. Para nosso exemplo, o salt é apenas uma string, a letra “d”. assim,
a senha armazenada para Fernando, depois da aplicação da função salt, seria “d”
mais o “hash de abc1234”.
E é possível deixar ainda mais reforçado esse salt incluindo mais

um cálculo de hash no processo, ou seja, calculando o hash do hash e depois
armazenando o seu resultado. Esse cuidado de “salgar” o hash anula o problema
de gravar digests conhecidos nas tabelas disponíveis na internet (CABRAL;
CAPRINO, 2015).
Já a key whitening é empregada em funções criptográficas para adicionar

no início e no final da chave utilizada uma parte dos dados combinada com a
própria chave por meio de uma operação lógica XOR (ou Exclusivo), antes dela ser
cifrada. A operação XOR lida com bits individuais, ou seja, com números binários.
Isso aumenta o seu tamanho efetivo e dificulta a descoberta da chave. Depois de
decifrado o documento ou mensagem, o processo é revertido (TEIXEIRA FILHO,
2015). Pense no nosso exemplo anterior, na senha do usuário Fernando. Se fosse
aplicada a função key whitening para aumentar a segurança da senha, a senha
armazenada poderia ser “b” mais “abc1234” mais “c”, e depois esses caracteres
ainda seriam criptografados.
DICAS
Conheça mais sobre os diferentes tipos de técnicas de encriptação e de reforço

criptográfico, inclusive utilizando o operador lógico XOR, no texto Técnicas Clássicas de
Encriptação. O referido texto está disponível em:
http://wiki.stoa.usp.br/images/c/cf/Stallings-cap2e3.pdf
Portanto, além das técnicas de criptografia que já conhecemos ao longo

deste livro, aprendemos que elas podem ser complementadas para que tenham
um melhor resultado na garantia da segurança da informação. Assim como vimos
que os certificados digitais podem ser utilizados em diferentes atividades e estão
a cada dia mais presentes em nossas vidas.
111
SEGURANÇA DA INFORMAÇÃO: CONHEÇA AS 12

MELHORES PRÁTICAS
Segurança da informação é um tema estratégico da gestão de negócios,

que nunca pode ser deixado de lado. Seus desvios interferem no bom andamento
das atividades rotineiras, no alcance dos resultados planejados e na sobrevivência
e reputação de uma empresa. Apesar de tão essencial, as diversas facetas desse
tema são desconhecidas da maior parte dos gestores de negócio.
Todos os aspectos da segurança da informação precisam estar em vista

e serem tratados com o máximo de critério e cuidado para que os gestores e
colaboradores da empresa sejam beneficiados, assim como os públicos externos
– parceiros e clientes – que interagem com ela. As práticas de segurança vão do
básico ao sofisticado, dependendo do mecanismo escolhido pelo gestor de TI.
Algumas práticas são tradicionais e conhecidas pela maioria das pessoas e outras,
somente pelos especialistas da área. Veja as 12 melhores práticas de segurança da
informação, descritas de forma simples e objetiva:
1. Detectar vulnerabilidades de hardware e software
Os equipamentos de TI – hardwares – e os sistemas e aplicativos

– softwares – passam por evolução tecnológica contínua e precisam ser
substituídos periodicamente. Sua aquisição tem que levar em conta os aspectos
técnicos e de qualidade, não podendo se nortear apenas pelo quesito preço.
A defasagem tecnológica torna vulnerável toda a infraestrutura e a segurança
de TI e gera consequências tais como: perda de competitividade, ineficiência
operacional, insatisfação de colaboradores e clientes, morosidade e ineficácia
do processo decisório.
Os equipamentos estão sujeitos a defeitos de fabricação, instalação ou

utilização incorreta, quebra ou queima de componentes e má conservação, o que
pode comprometer um ou mais dos princípios da segurança da informação. Os
softwares estão sujeitos a falhas técnicas e de configurações de segurança, mal-
uso ou negligência na guarda de login e senha de acesso.
Devem ser adotadas práticas de segurança específicas para cada elemento

componente da infraestrutura de TI: servidores, computadores, a rede, os
softwares e os componentes de comunicação, dentre outros. Assim como deve
ser providenciado treinamento e atualização de conhecimentos para a equipe
de TI e os usuários dos recursos tecnológicos. Inabilidade técnica também
gera vulnerabilidades de hardware e software. É imprescindível detectar de
forma rápida as possíveis vulnerabilidades de hardware e software, para tomar
providências imediatas no sentido da sua solução.
112
2. Cópias de segurança
O tão conhecido backup – ou cópia de segurança – é um mecanismo

fundamental para garantir a disponibilidade da informação, caso as bases onde
a informação esteja armazenada sejam danificadas ou roubadas. O backup pode
ser armazenado em dispositivos físicos – servidores de backup, CD, pendrive,
HD externo – ou em nuvem.
O mais importante é que haja pelo menos duas cópias das bases de dados,
armazenadas em locais distintos da instalação original, ou seja, ambas guardadas
em locais seguros fora do prédio da sua empresa. A partir do backup é possível
recuperar, em curtíssimo espaço de tempo, informações perdidas acidentalmente
ou em consequência de sinistros (enchentes, incêndio etc.), sabotagens ou roubos.
3. Redundância de sistemas
A alta disponibilidade das informações é garantida com a redundância

de sistemas, ou seja, quando a empresa dispõe de infraestrutura replicada – física
ou virtualizada. Se um servidor ou outro equipamento de TI (roteador, nobreak
etc.) falhar, o seu substituto entra em operação imediatamente, permitindo a
continuidade das operações, às vezes, de forma imperceptível para o usuário.
4. Eficácia no controle de acesso
Existem mecanismos físicos, lógicos ou uma combinação destes de controle

de acesso à informação. Os mecanismos físicos podem ser: sala de infraestrutura
de TI com acesso restrito e com sistemas de câmeras de monitoramento. Outra
forma de restrição de acesso é o uso de travas especiais nas portas, acionadas por
senha (misto físico/lógico). Já os principais mecanismos lógicos são, por exemplo:
firewall, assinatura digital e biometria.
5. Política de segurança da informação
É um documento que estabelece diretrizes comportamentais para os

membros da organização, no que tange às regras de uso dos recursos de tecnologia
da informação. Estas regras servem para impedir invasões de cibercriminosos,
que podem resultar em fraudes ou vazamento de informações, evitar a entrada
de vírus na rede ou o sequestro de dados e garantir a confidencialidade,
confiabilidade, integridade, autenticidade e disponibilidade das informações.
Vale ressaltar, é indispensável que o texto da política seja curto e objetivo, para
facilitar e estimular a leitura e tornar o processo de divulgação e treinamento das
pessoas mais leve e eficaz.
113
6. Decisão pela estrutura de nuvem pública/privada/híbrida
Uma das formas mais avançadas de garantir a segurança da informação

é a decisão pela utilização de uma estrutura de computação em nuvem. Esta
estrutura tem três categorias distintas: nuvem pública, privada ou híbrida. Na
nuvem pública toda a infraestrutura de TI, a sua manutenção, os seus mecanismos
de segurança e a atualização são de responsabilidade do provedor do serviço. A
sua instalação é rápida e os seus recursos são escalonáveis, de acordo com o perfil
de demanda da empresa contratante.
A nuvem privada é de propriedade da empresa e fica instalada em sua

área física, requerendo infraestrutura de hardware, software, segurança e pessoal
próprios para o seu gerenciamento. Já a nuvem híbrida combina o melhor dos
dois tipos anteriores, com isso, parte dos dados são disponibilizados na nuvem
privada – aqueles que exigem sigilo – e outra parte fica na nuvem pública – dados
não confidenciais.
7. Gestão de riscos apropriada
Os principais riscos à segurança da informação estão relacionados com

alguns aspectos:
7.1. Falta de orientação
Não saber como operar equipamentos, sistemas e aplicativos, enfim, os

recursos de TI, coloca em risco a segurança da informação e o desconhecimento
de técnicas de proteção, também. Por isso, proporcionar treinamentos nas novas
tecnologias e/ou recursos de TI aos usuários comuns e à equipe de informática é
uma boa prática que tem o seu lugar.
7.2. Erros de procedimentos internos
Procedimentos de gestão da segurança da informação mal estruturados

ou desatualizados podem acarretar vulnerabilidades e perdas de dados. Essas
vulnerabilidades podem se manifestar nos hardwares, softwares ou nas pessoas
despreparadas para fazer frente às ameaças que se renovam a cada dia.
7.3. Negligência
Deixar de cumprir com as regras da política de segurança da informação

ou com os procedimentos internos de TI, por mera negligência, pode custar caro
– prejuízos financeiros, de imagem ou materiais. Campanhas de conscientização
dos colaboradores para redobrarem os cuidados e estarem sempre alertas
a ciladas cibernéticas, especialmente em e-mails, sites e arquivos maliciosos,
que provocam a propagação de vírus, malwares, trojans e outros na rede de
informática, são fundamentais.
114
7.4. Malícia
As ações mal-intencionadas de colaboradores internos insatisfeitos e de

pessoas externas tornam instável a segurança da informação, especialmente, se
não houver mecanismos de detecção de intrusões. Conhecer as principais fontes de
riscos é o ponto de partida para mapear os diversos cenários que podem configurar
ameaças à segurança da informação e tornar possível o desenvolvimento de boas
práticas de gestão de riscos.
8. Regras de negócio bem definidas
As informações críticas devem ser identificadas e as regras de negócio

referentes ao acesso, manutenção – inclusão, alteração, exclusão – e tempo de
guarda devem ser estabelecidas de forma criteriosa, para garantir total segurança.
As regras de negócios são indispensáveis para a configuração de permissões
de Acesso em: softwares, hardwares e redes lógicas. Essas regras precisam ser
melhoradas continuamente, agregando novos mecanismos físicos e lógicos
e novas práticas comportamentais que contribuam para minimizar os riscos à
9. Cultura da organização
A terceira plataforma de TI combinou tecnologias sociais, computação em

nuvem, dispositivos móveis – smartphones, tablets – e tecnologias de análise de
dados – business intelligence e big data – para promover a conectividade permanente,
romper as fronteiras da mobilidade e gerar informação em tempo real sobre o
comportamento dos consumidores.
Esse movimento fez com que as metodologias de gestão da segurança

da informação ganhassem uma nova dinâmica de readequação e realinhamento
constantes, para bloquear as novas rotas de ataques cibernéticos às bases de
dados das empresas, proporcionadas pelas novas tecnologias. Tudo isto impacta
diretamente na cultura organizacional, que precisa se adequar a essa transformação
digital, modernizando os seus processos internos, sem descuidar da segurança.
Para tanto, velhos conceitos, práticas e formas de pensar e trabalhar precisam
ser revistas e até reinventadas, para que todos estejam cientes dos riscos e sobre
como proteger as informações empresariais.
10. Contratos de confidencialidade
Os colaboradores internos de uma organização e os terceirizados,

especialmente aqueles vinculados à área de TI, no exercício de suas atividades,
muitas vezes, têm acesso a informações sigilosas, que precisam ser resguardadas.
A melhor forma de preservar a segurança da informação, nesses casos, é fazer
um contrato de confidencialidade com todas as pessoas que conhecem e acessam
informações sigilosas. É importante que este contrato de confidencialidade seja
redigido considerando os requisitos legais aplicáveis à organização e eventuais
acordos deste gênero pactuados com clientes, fornecedores, prestadores de
serviços e parceiros de negócios.
115
11. Gestão de continuidade de negócios (GCN)
As informações de um negócio são essenciais para garantir a sua

continuidade, pois se compõem de dados dos clientes, produtos, parceiros
comerciais, transações financeiras e comerciais e demais assuntos pertinentes ao
funcionamento de uma empresa. A sua perda pode tornar inviável o negócio. A
gestão de continuidade de negócios (GCN) é uma prática que visa estabelecer
planos de ação de emergência para resposta rápida a eventos adversos (desastres
naturais, explosões, incêndios, fraudes financeiras, atentados, sabotagens, falhas
nos sistemas informatizados ou nos equipamentos etc.).
12. Benchmarking
O benchmarking é um importante instrumento de gestão, que parte do

princípio de comparação de produtos, serviços, processos e práticas empresariais
próprios de uma organização com os de terceiros – concorrentes ou não. Isso
mesmo, muitos insights fantásticos surgem da análise de situações das empresas
de ramos diferentes de atividade e que podem ser replicadas – casos de sucesso –
ou evitadas – casos de insucesso – com as devidas adaptações.
As atualizações tecnológicas ao mesmo tempo que produzem novos

recursos para proteção da informação, também abrem gaps, que podem ser
aproveitados por pessoas mal-intencionadas para realizar crimes cibernéticos,
visando obter fama e/ou dinheiro. Inúmeros casos de violação da segurança da
informação são divulgados todos os anos e precisam ser tomados para estudo de
caso e determinação de novas práticas de proteção tanto no campo das máquinas
e aplicativos, quanto nas ações das pessoas. Assim, impedem-se infortúnios que
afetam a vida de muita gente.
Outro ponto de atenção quando o assunto é segurança, trata-se da

adoção de critérios rigorosos para seleção e monitoramento da segurança da
informação nos parceiros de negócios da área de TI e outras. Eles são solidários na
responsabilidade pelo atendimento aos princípios da segurança da informação.
É preciso também garantir a segurança jurídica das relações de trabalho e de
parceria, por meio da aplicação de contratos de confidencialidade.
FONTE: Adaptado de <https://www.meupositivo.com.br/panoramapositivo/seguranca-da-

informacao/>. Acesso em: 15 jan. 2021.
116
RESUMO DO TÓPICO 3
• É necessário garantir a segurança das chaves públicas e privadas utilizadas para

criptografar e descriptografar mensagens e documentos, preferencialmente
transmitindo-as “fora da banda”.
• O valor ou resumo de hash é muito importante para realizar comunicações com

uso de criptografia.
• Os certificados digitais são utilizados em muitas frentes de segurança,

principalmente relacionados a informações pessoais ou de relacionamento
com os órgãos governamentais.
• Existem técnicas que podem ser utilizadas para reforçar um algoritmo utilizado
na criptografia de informações.
CHAMADA

117
AUTOATIVIDADE
1 A troca de informações, como e-mails pode ser protegida pelo uso de

criptografia, por meio de chaves públicas e privadas. Nesse contexto,
assinale a alternativa CORRETA que descreve um dos passos entre uma
troca de e-mails criptografados entre duas pessoas:
a) ( ) Por meio da criptografia simétrica, um e-mail a ser enviado deve ser

cifrado com uma chave pública e decifrado com uma chave privada.
b) ( ) Por meio da criptografia simétrica, um e-mail a ser enviado deve ser
cifrado com uma chave privada e decifrado com uma chave privada.
c) ( ) Por meio da criptografia assimétrica, um e-mail a ser enviado deve ser
cifrado com uma chave privada e decifrado com uma chave privada.
d) ( ) Por meio da criptografia assimétrica, um e-mail a ser enviado deve ser
cifrado com uma chave privada e decifrado com uma chave pública.
2 O uso de chaves públicas ou privadas na criptografia auxilia a manter

documentos, mensagens ou informações sigilosas protegidas. Para isso,
é necessário preocupar-se também com a segurança dessas chaves. Nesse
contexto, classifique V para as sentenças verdadeiras e F para as falsas:
( ) É preciso entregar fisicamente uma cópia da chave pública para outra pessoa
para que se possa ter uma comunicação segura com uso de criptografia.
( ) É preciso entregar fisicamente uma cópia da chave privada para outra pessoa
para que se possa ter uma comunicação segura com uso de criptografia.
( ) É aconselhável encaminhar por um meio diferente do envio de uma
mensagem uma cópia da chave pública para outra pessoa para ter uma
comunicação segura.
( ) Enviar uma mensagem e uma cópia da chave pública pelo mesmo endereço
de e-mail para outra pessoa diminui a segurança da troca de mensagens.

a) ( ) F – F – V – V.
b) ( ) V – V – F – F.
c) ( ) F – V – V – F.
d) ( ) V – F – F – V.
3 Os certificados ICP-Brasil podem ser utilizados em diversas funções para

garantir a segurança de dados e informações. Sobre este assunto, analise as
I- O uso de certificados digitais ICP-Brasil possibilita assinar documentos e

contratos digitais.
II- O uso de certificados digitais ICP-Brasil possibilita atualizar informações
em sistemas de governo.
III- Os documentos assinados digitalmente com certificado ICP-Brasil e em
papel possuem validade diferente.
118
d) ( ) As sentenças I e II estão corretas.
4 Os certificados ICP-Brasil são empregados em diferentes sistemas e

ferramentas para proteger informações pessoais e de empresas. Nesse
contexto, classifique V para as sentenças verdadeiras e F para as falsas:
( ) O e-CAC é um sistema da Receita Federal que possibilita o acesso a

serviços protegidos por sigilo fiscal.
( ) A CNH Digital é impressa e possui um chip de identificação com as
informações do motorista.
( ) O Passaporte Eletrônico é totalmente digital e possui a mesma validade
que o passaporte em papel.
( ) O e-RPC é utilizado pelo INPI para realizar o pedido de registro de
programas de computador.

a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) F – V – V – F.
d) ( ) V – F – F – V.
5 As técnicas de reforço criptográfico são úteis para dificultar o trabalho de

pessoas mal-intencionadas, que têm como objetivo acessar informações
sigilosas criptografadas. Sobre o exposto, analise as sentenças a seguir:
I- A técnica de reforço criptográfico salt é utilizada em funções criptográficas

para adicionar uma parte dos dados no início e no final da chave utilizada.
II- A técnica de reforço criptográfico salt faz uso da operação lógica XOR (ou
exclusivo) para lidar com números binários.
III- A técnica de reforço criptográfico salt é útil para evitar o uso das
chamadas tabelas arco-íris que disponibilizam na internet senhas e seus
respectivos digest.

d) ( ) As sentenças I e II estão corretas.
6 As técnicas de reforço criptográfico tornam a criptografia de informações

mais forte contra os ataques de segurança. Sobre o exposto, analise as
119
I- A técnica de reforço criptográfico key whitening é utilizada para concatenar
um pedaço dos dados extraídos do próprio texto antes de passar pela
função de hash.
II- A técnica de reforço criptográfico key whitening faz uso da operação lógica
XOR (ou exclusivo) para lidar com números binários.
III- A técnica de reforço criptográfico key whitening pode ser aplicada realizando
o cálculo do hash do hash, armazenando posteriormente seu resultado.

c) ( ) Somente a sentença III está correta..
120
REFERÊNCIAS
ASSIS, M. R. M. Informática para concursos públicos de informática. São
Paulo: Novatec, 2013.
ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS (ABNT). Conheça

a ABNT. 2020. Disponível em: http://www.abnt.org.br/abnt/conheca-a-abnt.
Acesso em: 28 jul. 2020.
BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013.
BRANQUINHO, M. A. et al. Segurança de automação industrial e SCADA. São

Paulo: GEN LTC, 2014.
BURNETT, S.; PAINE, S. Criptografia e segurança: o guia oficial. Rio de Janeiro:

Elsevier, 2002.
CAIXA ECONÔMICA FEDERAL (CEF). Conectividade Social ICP – FGTS: o

que é. 2020. Disponível em: https://www.caixa.gov.br/empresa/conectividade-
social/Paginas/default.aspx. Acesso em: 13 nov. 2020.
CASA CIVIL DA PRESIDÊNCIA DA REPÚBLICA – IMPRENSA NACIONAL.

Diário Oficial da União. 2020. Disponível em: https://www.in.gov.br/web/
dicionario-eletronico/-/diario-oficial-da-uniao. Acesso em: 13 nov. 2020.
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDANTES DE

SEGURANÇA NO BRASIL (Cert.br). Cartilha de Segurança para Internet:
criptografia. 2020. Disponível em: https://cartilha.cert.br/criptografia/. Acesso
em: 4 ago. 2020.
CIC GARIBALDI. Saiba como o Certificado Digital pode ser útil para sua
empresa na pandemia. 2020. Disponível em: http://www.cicgaribaldi.com.
br/2020/08/17/saiba-como-o-certificado-digital-pode-ser-util-para-sua-empresa-
na-pandemia/. Acesso em: 2 nov. 2020.
COFRE VIRTUAL. Smart Card, Token, PC ou Nuvem: qual é melhor para o

certificado? 2020. Disponível em: https://cofrevirtual.com.br/blog/dicas/smart-
card-token-pc-ou-nuvem-certificado/. Acesso em: 3 nov. 2020.
COLÉGIO NOTARIAL DO BRASIL – SEÇÃO SÃO PAULO. Juristas: a diferença

entre assinatura digital e certificado digital. 2019. Disponível em: https://www.
cnbsp.org.br/index.php?pG=X19leGliZV9ub3RpY2lhcw==&in=MTc3Nzk=&filtro
=1&Data=&fbclid=IwAR00P7mjvJSZWhO3KeVCWz8PaLLENIz0Oh2W0dNTTV_
LDMO_8bmB_isCPFc. Acesso em: 2 nov. 2020.
COULOURIS, G. et al. Sistemas distribuídos: conceitos e projeto. 5. ed. Porto

Alegre: Bookmann, 2013.
121
CABRAL, C.; CAPRINO, W. Trilhas em segurança da informação: caminhos e
ideias para a proteção de dados. Rio de Janeiro: Brasport, 2015.
CALOBA, G.; KLAES, M. Gerenciamento de projetos com PDCA: conceitos

e técnicas para planejamento, monitoramento e avaliação do desempenho de
projetos e portfólios. Rio de Janeiro: Alta Books, 2016.
CARVALHO, N. Organizações e segurança informática. Rio Tinto: Lugar da

Palavra, 2009.
CORMEN, T. H. Desmistificando algoritmos. Rio de Janeiro: Campus, 2017.
DANTAS, M. L. Segurança da Informação: uma abordagem focada em gestão

de riscos. Olinda: Livro Rápido, 2011.
DEPARTAMENTO NACIONAL DE TRÂNSITO (DENATRAN). Portal de

serviços: perguntas frequentes. c2021. Disponível em: https://portalservicos.
denatran.serpro.gov.br/#/faq/cnhdigital. Acesso em: 13 nov. 2020.
FEDERAÇÃO DO COMÉRCIO DO ESTADO DE SÃO PAULO (FECOMÉRCIO).

Segurança da informação para empresas: soluções simples, grandes resultados.
São Paulo: Fischer2, 2012.
FERNANDES, A. A.; ABREU, V. F. de. Implantando a governança de TI: da

estratégia à gestão dos processos e serviços. 3. ed. Rio de Janeiro: Brasport, 2012.
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO (ITI).

Certificado digital: saiba mais. 2020. Disponível em: https://aquitemcd.iti.gov.
br/certificado-digital/. Acesso em: 3 nov. 2020.

Certificado digital: benefícios. 2017a. Disponível em: https://antigo.iti.gov.br/
certificado-digital/2-uncategorised/95-beneficios. Acesso em: 3 nov. 2020.

Certificado digital: serviços. 2017b. Disponível em: https://antigo.iti.gov.br/
certificado-digital/servicos. Acesso em: 3 nov. 2020.
MELENDEZ FILHO, R. Service desk corporativo: solução com base na ITILR

V3. São Paulo: Novatec, 2011.
NERIS, A. Assinatura digitais ganham espaço nas empresas e despontam

no cenário pós-pandemia. 2020. Disponível em: https://paranashop.com.
br/2020/10/assinaturas-digitais-ganham-espaco-nas-empresas-e-despontam-no-
cenario-pos-pandemia/. Acesso em: 2 nov. 2020.
NEVES, J. L. S.; REGINALDO F. dos. Conquistando resultados superiores: a

administração à luz da ciência e da filosofia. São Paulo: Labrador, 2018.
122
ORGANIZAÇÃO PARA COOPERAÇÃO E DESENVOLVIMENTO
ECONÔMICO (OCDE). A caminho da era digital no Brasil. Paris: OCDE
Publishing, 2020.
PALMA, F. O que é ITIL? c2021. Disponível em: https://www.portalgsti.com.

br/itil/sobre/#:~:text=O%20que%20%C3%A9%20ITIL%3F,d%C3%A9cadas%20
de%20acumulo%20de%20aprendizado. Acesso em: 29 jul. 2020.
PONTES, E. Políticas e normas para segurança da informação. Rio de Janeiro:

Brasport, 2012.
POSITIVO TECNOLOGIA. Cibersegurança e a necessidade de investimento

em equipamentos e soluções de proteção. 2018. Disponível em: https://www.
meupositivo.com.br/panoramapositivo/ciberseguranca/. Acesso em: 2 ago. 2020.
RECEITA FEDERAL DO BRASIL. Portal e-CAC. c2021.Disponível em: https://

cav.receita.fazenda.gov.br/autenticacao/login. Acesso em: 13 nov. 2020.
REDE NACIONAL DE ENSINO E PESQUISA (RNP). Introdução à criptografia

e PGP. 2012. Disponível em: https://memoria.rnp.br/cais/keyserver/. Acesso em:
5 ago. 2020.
RUSSELL, A. O que é um certificado X.509? 2019. Disponível em: https://www.

ssl.com/pt/faqs/o-que-%C3%A9-um-certificado-x-509/. Acesso em: 19 nov. 2020.
SANTOS JUNIOR, A. L. dos. Quem mexeu no meu sistema? Segurança em

sistemas de informação. Rio de Janeiro: Brasport, 2008.
SILVA, L. S. D. Public Key Infrastructure – PKI. São Paulo: Novatec Editora, 2004.
SOUZA, E. A. P. de. O certificado digital X.509 como elemento de validação

de confiança no serviço DNSSEC. 2014. 107 f. Dissertação (Mestrado em
Engenharia de Computação) – Instituto de Pesquisas Tecnológicas do Estado de
São Paulo, São Paulo, 2014.
TEIXEIRA FILHO, S. A. Segurança da informação descomplicada. Brasília:

Clube de Autores, 2015.
TRIBUNAL REGIONAL DO TRABALHO DA 4ª REGIÃO (TRT4). Certificado

digital e assinatura digital. 2020. Disponível em: https://www.trt4.jus.br/
portais/media/111407/certificado_digital_ins.pdf. Acesso: em: 1º nov. 2020.
VALLE, A. Gestão estratégica da tecnologia da informação. 2. ed. Rio de

Janeiro: Editora FGV, 2015.
WRIGHTSON, T. Segurança de redes sem fio: guia do iniciante. Porto Alegre:

Bookman, 2014.
123
124
UNIDADE 3 —
CRIPTOGRAFIA MÚLTIPLA E
GERENCIAMENTO DE CHAVES
• entender os princípios básicos do uso de criptografia múltipla;
• conhecer a importância da criptografia múltipla para a segurança da

informação;
• compreender a funcionalidade do gerenciamento de chaves criptográficas;
• entender o funcionamento dos algoritmos de hash.
PLANO DE ESTUDOS
apresentado.
TÓPICO 1 – CRIPTOGRAFIA MÚLTIPLA
TÓPICO 2 – GERENCIAMENTO DE CHAVES
TÓPICO 3 – ALGORITMOS DE HASH
CHAMADA

125
126
TÓPICO 1 —
UNIDADE 3
CRIPTOGRAFIA MÚLTIPLA
1 INTRODUÇÃO
Atualmente, a criptografia está presente no cotidiano de todos nós, seja em
protocolos de comunicação, caixas eletrônicos, telefones celulares, proteção de
softwares e conteúdo, urnas eletrônicas, televisão digital, entre outros exemplos.
O que também acontece nos sistemas de informação. No caso desses sistemas,
mesmo que todos os demais mecanismos de segurança sejam quebrados e os
dados sejam extraídos da base de dados, a proteção que a criptografia fornece é
a última barreira para garantir o sigilo das informações. Já vimos nas unidades
anteriores que a criptografia está se desenvolvendo e evoluindo constantemente,
por isso, ela realiza um ótimo trabalho nesse sentido, impedindo que dados e
informações sigilosas caiam em mãos indesejadas (UTO, 2013).
FIGURA 1 – REPRESENTAÇÃO DE UMA ENCRIPTAÇÃO
FONTE: Cert.br (2012, p. 67)
Uma implantação de mecanismos criptográficos de sucesso depende de

diversos cuidados, que se não forem observados comprometem a segurança
da solução como um todo. Esses cuidados principais são: utilizar algoritmos e
protocolos conhecidos e previamente analisados; usar técnicas e ferramentas
criptográficas adequadas para cada situação; empregar bibliotecas que possuam
implementações corretas dos sistemas criptográficos utilizados; gerenciar as
chaves criptográficas, principalmente nos processos de geração, distribuição e
armazenamento (UTO, 2013).
127
UNIDADE 3 — CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES
Um exemplo do que pode dar errado ao não seguir esses cuidados,

é o uso de um certificado digital criado por pessoas mal-intencionadas. Esse
certificado pode ter informações prévias válidas, mas na verdade é falsificado.
Um certificado falso pode ser utilizado para atacar as vulnerabilidades ou
fraquezas do sistema (UTO, 2013). Por esse motivo é tão importante conhecer as
autoridades certificadoras que são fornecedoras confiáveis de certificados digitais
criptografados, como as que vimos na unidade anterior.
Neste tópico, conheceremos alguns conceitos complementares sobre a

utilidade do uso de criptografia, bem como formas em que ela pode ser reforçada,
como é o caso da criptografia múltipla. A criptografia múltipla é basicamente um
processo de criptografar de uma informação mais de uma vez, seja utilizando o
mesmo método ou algoritmo ou, ainda, métodos diferentes em cada uma das
vezes. Dessa forma, ao observar os cuidados que elencamos acima no processo
de implantação da criptografia e se ela for planejada de forma combinada, ou
multiplicada, maior será a garantia de manutenção da segurança da informação.
2 CONCEITOS
O avanço das tecnologias e do poder de computação fortaleceu tanto a
velocidade em que as informações transitam como as técnicas que os hackers
desenvolveram para atacar algoritmos, inclusive os de criptografia. Uma das
soluções para lidar com esse problema é utilizar um modelo complexo que
utilize criptografia em mais de um nível, o que pode ser chamado de criptografia
múltipla, criptografia multinível ou ainda criptografia em cascata. Independente
do nome que seja empregado, a criptografia múltipla combina a força de vários
algoritmos básicos de criptografia para construir uma abordagem complexa e
sofisticada, para assim aumentar a segurança da informação (HABBOUSH, 2018).
DICAS
Consulte o vídeo É possível contornar ou quebrar a criptografia? para conhecer a

influência das ações dos hackers na hora de utilizar criptografia em uma organização. Não
se esqueça de ativar as legendas em português! O vídeo está disponível no link:
https://www.youtube.com/watch?v=AErkYC98Q2U
128
TÓPICO 1 — CRIPTOGRAFIA MÚLTIPLA
Para colocar esse modelo de criptografia em prática, é preciso lidar com dois
obstáculos principais: manter a eficiência e a segurança do sistema. A eficiência é
a maior preocupação quando se pensa em enviar grandes quantidades de dados
e a segurança. Isso porque ela envolve deixar o processamento do sistema mais
ou menos lento. Por esse motivo, pode ser um grande diferencial na escolha dos
métodos de segurança a serem colocados em prática. Já a segurança se refere em
criar um sistema completo, com vários níveis diferentes de criptografia e, por
consequência, seguro (HABBOUSH, 2018).
Portanto, nesse modelo de criptografia, uma informação criptografada

uma vez passa por pelo menos mais dois estágios de encriptação. Isso porque
não estamos falando de criptografia dupla, mas de criptografia múltipla, e ela se
refere a mais de duas encriptações.
A criptografia múltipla funciona assim: no primeiro momento, o texto

simples é convertido em texto cifrado usando o algoritmo de criptografia. Depois,
esse texto já cifrado passa a ser a entrada dele ou de outro algoritmo de criptografia
por pelo menos mais duas vezes. (STALLINGS, 2017).
Nas duas unidades anteriores falamos sobre os diferentes tipos de

algoritmos que podem ser utilizados na criptografia, entre eles o 3DES (Triple
DES – Padrão de Criptografia Tripla de Dados), que é uma versão mais forte da
versão DES (Data Encryption Standard – Padrão de Criptografia de Dados). Por
isso, você já sabe que o 3DES consiste em aplicar o DES três vezes com duas ou
três chaves diferentes. Essa estratégia aumenta a resistência contra ataques de
força bruta equivalente a um comprimento de chave de 112 bits (COULOURIS
et al., 2013).
DICAS
Assista ao vídeo Triple DES para compreender mais detalhes sobre o

funcionamento do algoritmo 3DES. Não esqueça de ativar as legendas em português. Ele
está disponível no link: https://www.youtube.com/watch?v=2O4dsChgcg8
Agora, vamos conhecer uma forma simples de colocar em prática a

criptografia múltipla com 3DES. Imagine que você trabalha em uma empresa
de investimentos financeiros e precisa enviar informações sigilosas para um de
seus clientes. Para isso, você escolhe criptografar sua mensagem utilizando o
algoritmo 3DES. Esse algoritmo utiliza duas chaves para cifrar o texto simples
e transformá-lo em um texto cifrado. Esse processo de dois estágios pode ser
129
representado por uma equação, em que, cada um dos elementos é representado

por uma letra. Na equação, a letra ‘C’ representa o texto cifrado, que é aquele que
se pretende encontrar, ou seja, aquele que você precisa enviar para o seu cliente
já protegido. Enquanto a letra ‘P’ representa o texto antes de ser cifrado, que são
aquelas informações sigilosas antes de serem criptografadas (STALLINGS, 2017).
Continuando nossa equação, precisamos representar de alguma forma as

duas chaves (keys), por isso, são utilizadas as expressões ‘K1’ para chave 01 e
‘K2’ para a chave 02. Cada um dos processos de encriptação também precisa ser
representado de alguma forma em nossa equação, por isso é utilizada a letra ‘E’.
Assim, dado um texto simples ‘P’ e duas chaves de criptografia ‘K1’ e ‘K2’, o texto
cifrado ‘C’ é gerado por meio da seguinte equação (STALLINGS, 2017):
C = E (K2, E (K1, P))
Veja que a equação é utilizada para encontrar como resultado o texto

cifrado ‘C’, por isso, ele está posicionado antes do símbolo ‘=’. Em sequência,
temos o processo de encriptação, que é representado pela letra ‘E’. Para fazer o
cálculo necessário, primeiro o texto simples ‘P’ passa pela chave 01, a ‘K1’. Por
isso, o passo inicial é separado pelo primeiro parêntese. Na sequência, o texto ‘P’,
já protegido pela primeira chave é encriptado pela segunda chave ‘K2’. Por fim, a
solução do cálculo passa a ser o valor de ‘C’. Assim, você obtém uma mensagem
cifrada com o algoritmo 3DES para enviar de forma segura as informações
necessárias para seu cliente!
Logo a seguir, na Figura 2, você pode ver como acontece esse processo de
encriptação (encryption), em forma de fluxograma. Veja que o texto simples (P)
passa por duas chaves, que são K1 e K2, para gerar o texto criptografado (C). A
letra ‘X’ representa o texto cifrado somente pela primeira chave.
FIGURA 2 – CRIPTOGRAFIA MÚLTIPLA COM DES DE DUAS CHAVES
FONTE: Stallings (2017, p. 209)
Para decriptografar o texto cifrado, as chaves são aplicadas na ordem

inversa:
P = D (K1, D (K2, C))
130
Nessa equação, o que se busca com o cálculo é o valor de ‘P’ e a entrada

dela é o texto já encriptado ‘C’. Ela funciona da mesma forma que a equação
anterior, mas na sequência inversa. Agora, o primeiro passo é descriptografar o
texto com a segunda chave ‘K2’, para, em seguida, fazer o mesmo com a chave
‘K1’. O resultado é alcançado executando os cálculos de dentro para fora, ou seja,
dos parênteses internos para os externos.
Na Figura 3, o que temos é o fluxograma do processo de decriptação

(decryption). Nele, o texto criptografado (C) passa por duas chaves para que se
torne novamente o texto simples (P). Relembrando do nosso exemplo do envio de
uma mensagem segura para um cliente, a decriptação é o que o cliente terá que
fazer para conseguir ler a mensagem recebida.
FIGURA 3 – CRIPTOGRAFIA MÚLTIPLA COM DES DE DUAS CHAVES
A nossa próxima ilustração, a Figura 4, mostra como o texto simples passa

por três chaves, tanto ao ser encriptado quanto decriptado. Elas podem ser diferentes
ou não, ou seja, podem ser empregadas as chaves K1, K2 e K3 ou então repetir uma
das chaves durante o processo, como a K1. Isso é o que diferencia a quantidade de
chaves necessárias tanto na encriptação quanto na decriptação tripla.
FIGURA 4 – CRIPTOGRAFIA MÚLTIPLA COM DES COM TRÊS CHAVES
131
É importante deixar claro que, conforme vimos nas figuras anteriores,

existem duas versões do 3DES, uma com duas (Figuras 2 e 3) e outra com três chaves
(Figura 4). O 3DES com duas chaves tornou-se relativamente popular e foi adotado
para uso em padrões de gerenciamento de chaves muito importantes, como o
American National Standards Institute (Instituto Americano de Normas Nacionais)
ANSI X9.17 (1985) e International Organization for Standardization (Organização
Internacional de Normalização) ISO 8732.1 (1988) (STALLINGS, 2017):
O 3DES que utiliza somente duas chaves, aquele que vimos nas Figuras
2 e 3, está sujeito a um número maior de ataques que o algoritmo que emprega
três chaves. Isso porque é um método mais antigo de criptografia, que já está
sendo superado pelas novas tecnologias disponíveis no mercado. Por esse motivo
essa opção de criptografia não é muito recomendada para proteger informações
atualmente, somente para descriptografar dados que já protegidos por meio
desse método. Utilizar três chaves diferentes nesse tipo de criptográfica aumenta
a segurança das mensagens ou dados cifrados (STALLINGS, 2017).
Por conta dessa diferença no nível de segurança, serviços de e-mail e

vários aplicativos para internet adotaram o 3DES de três chaves. Por exemplo o
software de encriptação PGP (Pretty Good Privacy – Muito Boa Privacidade), que
foi projetado inicialmente para garantir a privacidade, autenticação e segurança
de comunicações on-line. As versões mais recentes da tecnologia PGP também são
úteis em assinaturas digitais, encriptação de discos físicos (hard drives) e proteção
de redes de computadores. Outro exemplo do uso do 3DES é o protocolo S/MIME
(Secure/Multipurpose Internet Mail Extensions – Extensões de correio da Internet
Seguras/Multifuncionais), utilizado na segurança e criptografia de serviços de
e-mail (STALLINGS, 2017).
DICAS
Consulte o texto “S/MIME para assinatura e criptografia de mensagens”, de

David Maguire, para compreender mais detalhes sobre o funcionamento da aplicação S/
MIME. Ele está disponível no seguinte link: https://docs.microsoft.com/pt-br/exchange/
policy-and-compliance/smime/smime?view=exchserver-2019#:~:text=S%2FMIME%20
permite%20que%20voc%C3%AA,foi%20iniciada%20com%20o%20remetente.
132
2.1 CRIPTOGRAFIA HOMOMÓRFICA E CRIPTOGRAFIA

BASEADA EM ATRIBUTOS
Muitos algoritmos e abordagens vêm sendo criados e utilizados
para lidar com a questão da criptografia. Além dos algoritmos simétricos e
assimétricos que conhecemos nas unidades 1 e 2 deste livro, novas categorias
de algoritmos de criptografia vêm sendo introduzidas no mercado nos últimos
anos, como resultado de pesquisas de especialistas nesta área. Entre estas
categorias podemos citar a criptografia homomórfica e a criptografia baseada
em atributos (HABBOUSH, 2018).
A criptografia homomórfica é basicamente um esquema criptográfico

que possibilita trabalhar com dados criptografados sem precisar descriptografá-
los, o que diminui a possibilidade de exposição de informações confidenciais.
O principal objetivo dessa categoria de criptografia é poder realizar operações
mesmo com os dados já criptografados. Isso permite reduzir o número de vezes
em que os dados precisam ser descriptografados e, consequentemente, reduz a
probabilidade desses dados serem roubados. Ou seja, isso quer dizer que não é
necessário descriptografar as informações já protegidas todas as vezes em que
for preciso acessar uma informação presente no arquivo cifrado. Seu uso torna
mais rigoroso o controle sobre a disponibilidade da informação, garantindo sua
confidencialidade e integridade (KUNDRO, 2019).
O primeiro esquema de criptografia homomórfica foi proposto em 1978

por Ronald Rivest, Adlemann e Dertouzos (os dois primeiros pesquisadores são
os mesmos que publicaram, com Shamir, o famoso algoritmo RSA). Entretanto,
o esquema não teve o sucesso esperado na época, pois não apresentou de
forma prática como as operações em um arquivo criptografado poderiam ser
realizadas. Por isso, foi somente em 2009, que Craig Gentry disponibilizou
bases teóricas para a construção desse esquema, para que pudesse ser seguro
e eficiente, o que deu origem a muitas pesquisas e avanços nessa categoria de
criptografia (KUNDRO, 2019).
Na Figura 5, você pode visualizar um esquema que apresenta as

funcionalidades de uma criptografia uma homomórfica.
133
FIGURA 5 – EXEMPLO DE CRIPTOGRAFIA HOMOMÓRFICA
FONTE: Adaptada de <https://www.welivesecurity.com/wp-content/uploads/2019/09/

criptografia_homomorfica2.jpg>. Acesso em: 5 jan. 2021.
A Figura 6 traz o exemplo de dados sendo enviados por meio de um

serviço de nuvem. Os dados que estão em azul estão seguros, criptografados.
Nela, temos o exemplo da criptografia homomórfica, em que um usuário está
enviando dados criptografados para a nuvem no primeiro passo. Esse usuário
precisa acessar os dados para fazer uma operação, mas agora consegue fazer
isso mesmo com os dados criptografados, no passo 2. O terceiro e último passo
representados na figura já trazem o retorno dos dados criptografados ao usuário.
FIGURA 6 – EXEMPLO DE CRIPTOGRAFIA NÃO HOMOMÓRFICA
FONTE: Adaptada de <https://www.welivesecurity.com/wp-content/uploads/2019/09/

criptografia_homomorfica2.jpg>. Acesso em: 5 jan. 2021.
134
Na Figura 6, os dados que estão em vermelho estão descriptografados. No

caso da criptografia não homomórfica, o usuário envia os dados para um serviço
de nuvem, no passo 1. Depois de certo tempo, ele precisa acessar esses dados,
mas para isso ele precisa descriptografar seus dados, que é o que acontece no
passo 2. Somente assim o usuário consegue acessar os dados e realizar a operação
que precisava. Depois disso, os dados são criptografados novamente, ainda no
passo 3. Por fim, os dados retornam para o usuário novamente criptografados.
Veja que no caso da criptografia não homomórfica, a operação com os

dados somente pode ser realizada com os dados descriptografados. Enquanto na
criptografia homomórfica a operação com os dados é realizada mesmo com os
dados cifrados.
A principal diferença entre essas duas formas de colocar a criptografia em

prática, demonstradas na Figura 4, é o fato de que os algoritmos de criptografia
mais comuns são pensados justamente para não possuírem propriedades de
homomorfismo, ou seja, para não possuírem nenhuma estrutura relacionada
com os dados originais. Por outro lado, a criptografia homomórfica, mesmo que
seja segura, depende de que o algoritmo de criptografia possibilite determinadas
operações, com uma implementação específica (KUNDRO, 2019).
Assim, podemos dizer que as vantagens dos sistemas criptográficos

homomórficos podem atender as necessidades de gestão de informações de
dados médicos, sistemas de votação eletrônica, sistemas de informação judiciais,
entre outros. Principalmente no caso dos sistemas que são centrados na nuvem
(KUNDRO, 2019).
DICAS
Consulte o artigo Compressão e otimização de chaves públicas usando

algoritmo genético em criptografia completamente homomórfica de Joffre Gavinho
Filho, Gabriel Pereira da Silva e Claudio Miceli para conhecer mais conceitos de criptografia
homomórfica e um exemplo de sua aplicação. O artigo está disponível em:
https://siaiap34.univali.br/sbseg2015/anais/SBSegCompletos/artigoCompleto18.pdf
Agora que já vimos a criptografia homomórfica, vamos conhecer a

criptografia baseada em atributos (CBA). Imagine um grande banco de dados
de uma empresa. Nesse banco estão listadas informações sobre os funcionários,
sobre os produtos e sobre os clientes atendidos, ou seja, seus atributos.
135
É por meio da política de acesso que os administradores desse banco

de dados poderão restringir o acesso a determinadas informações aos seus
funcionários. Como especificar que somente quem trabalha com a gestão de
pessoas pode ver as informações pessoais dos colaboradores, enquanto somente
quem trabalha no setor de vendas e expedição pode acessar os dados sobre
os clientes. Dessa forma, a CBA associa chaves criptográficas de usuários com
atributos dos dados, aplicando uma política de acesso para criptografá-los.
Nessa política está descrita uma estrutura de acesso aos dados pelos usuários
(COSTA et al., 2018).
Isso quer dizer que a política de acesso define atributos descritivos

relacionados com operadores lógicos, como ‘E’ (AND) e ‘OU’ (OR), os quais
determinam quem pode acessar cada dado como texto claro. É importante
deixar claro que em um banco de dados, atributos descritivos são aqueles que
demonstram ou representam as características de um objeto (data de nascimento,
sexo, idade etc.) (COSTA et al., 2018).
NOTA
As operações lógicas podem ser encontradas em diferentes áreas do

conhecimento, como em cursos de eletrônica, de banco de dados ou de programação. A
programação de algoritmos utiliza operadores lógicos para muitas funções, pois eles são
úteis para fazer comparações entre informações.
Os principais operadores lógicos são: ‘E’ e ‘OU’. O operador lógico ‘E’ tem resultado
verdadeiro caso os valores comparados sejam iguais com a informação inicial. Por exemplo,
em um banco de dados de uma empresa você faz a seguinte consulta: “selecione o nome
dos funcionários que tem 20 anos ‘E’ moram em São Paulo”. Nesse caso, só vão ser listados
os nomes dos funcionários que atendam as duas características que são ter 20 anos de
idade e residir em São Paulo.
Por outro lado, se a consulta do banco de dados utilizar o operador lógico ‘OU’,
ficaria assim: “selecione o nome dos funcionários que tem 20 anos ‘OU’ moram em São
Paulo”. Agora a lista de funcionários apresentada como resultado da consulta será maior,
pois não é necessário cumprir os dois quesitos, mas somente um ou outro.
Por exemplo, existe um documento criptografado dividido em duas

partes, a parte 1 e a parte 2. Os usuários ‘A’ e ‘B’ querem acessar o documento,
a política descreve que o usuário ‘A’ tem acesso às partes ‘1’ e (AND) ‘2’ do
documento, enquanto o usuário ‘B’ pode acessar somente a parte ‘1’. Essas
regras de acesso, ou não, a determinados dados, são descritas na política de
acesso dos dados da organização. Esse exemplo é ilustrado na Figura 7. Por isso,
podemos dizer que a CBA é totalmente planejada para aplicação de controle de
acesso (COSTA et al., 2018).
136
FIGURA 7 – EXEMPLO DE CRIPTOGRAFIA BASEADA EM ATRIBUTOS
FONTE: O autor
Nessa categoria de criptografia, uma autoridade de atributos confiável

é definida diretamente no algoritmo, para que ela seja a responsável por gerar
os parâmetros de todo o sistema, assim como suas chaves públicas. Em outras
palavras, é construída uma espécie de “lista” onde estão descritos que dados
podem ser acessados pelos usuários de acordo com seus atributos. Ou seja, nessa
lista, não estão descritos os nomes dos usuários que tem acesso aos documentos,
mas sim os atributos que o usuário precisa ter para acessar determinada
informação cifrada, como: trabalhar em determinado setor da empresa, ter mais
de cinco anos de casa, entre outros (COSTA et al., 2018).
Por isso que ela é chamada de criptografia de atributos. Isso quer dizer
que, nesse caso, o próprio sistema criptográfico é responsável por fazer esse
controle de parâmetros de acesso do sistema e gerar as chaves públicas e privadas
para os usuários, conforme suas respectivas autorizações de acesso. Se na “lista”
de permissões de acesso um usuário não tiver a autorização para receber tais
chaves, elas não são geradas e distribuídas (COSTA et al., 2018).
Nesse tipo de criptografia, os atributos também são importantes na hora de

enviar e receber mensagens cifradas. Isso porque com a CBA uma mensagem é
criptografada por um usuário que obedece a uma política de acesso baseada nos
atributos, e essa mensagem somente pode ser descriptografada se a chave secreta
do destinatário tiver acesso a esses mesmos atributos (COSTA et al., 2018).
137
3 PESQUISAS NA ÁREA DE CRIPTOGRAFIA MÚLTIPLA

Além das categorias que já conhecemos até agora, existem outras
iniciativas de criptografia múltipla que buscam combinar diferentes técnicas e
ferramentas para assim aumentar a segurança, confiabilidade e integridade das
informações. Em seguida, veremos dois exemplos.
Os pesquisadores Aljawarneh, Yassein e Talafha (2017) propuseram um

algoritmo de criptografia multinível que tem como objetivo ser útil para proteger
recursos para big data de multimídia. É importante deixar claro que big data é um
grande conjunto de dados, cada vez mais comum nos dias de hoje. Multimídia
trata de meios e formas diferentes de comunicação que são combinadas.
Todos os dias uma quantidade imensa de fotos, vídeos, áudio e os famosos

memes circulam pela internet. Esses arquivos, são criados por diferentes mídias
e formas de comunicação e, por isso, são chamados de dados de multimídia.
Por esse motivo que os pesquisadores citados anteriormente se preocuparam
em elaborar um estudo nessa área, pois a multimídia pode ser considerada o
maior big data da atualidade. A ideia desse algoritmo de criptografia é diminuir
os custos computacionais necessários para proteger esse tipo de informação, que
comumente utiliza criptografia simétrica (HABBOUSH, 2018).
O algoritmo desses pesquisadores é composto por uma estrutura com

criptografia multinível que inclui três técnicas diferentes: o esquema de criptografia
Feistel, o AES (Advanced Encryption Standart – Padrão de Criptografia Avançada)
e ainda algoritmo genético (que utiliza técnicas computacionais inteligentes).
Nesse algoritmo, não há uma etapa específica para a geração de chave, pois a
chave é gerada a partir do texto simples.
O esquema de criptografia Feistel é uma estrutura simétrica utilizada

para construir cifras em bloco utilizada por muitos algoritmos de criptografia,
inclusive o 3DES. Já o AES, conhecemos nas unidades anteriores. Os algoritmos
genéticos são métodos que utilizam técnicas computacionais inteligentes, ou seja,
são ferramentas da Inteligência Artificial, que tenta inserir em softwares uma
inteligência similar à humana (ALJAWARNEH; YASSEIN; TALAFHA, 2017).
Atualmente, existem diferentes dispositivos que possuem esse tipo de inteligência
“embutida”, como as assistentes pessoais Alexa (Amazon) ou a Siri (Apple), e até
mesmo aplicativos como o Google Maps, que auxilia no cálculo de rotas.
138
DICAS
No vídeo Algoritmo genético aplicado ao problema da mochila, você pode

conhecer os conceitos básicos relacionados a esse tipo de algoritmo, aplicados em um
exemplo. O vídeo está disponível no link: https://www.youtube.com/watch?v=FYF6lS_BHKA
Portanto, esses pesquisadores usam técnicas totalmente diferentes de

criptografia em cada um dos níveis do seu algoritmo, para aumentar a segurança
da informação cifrada. Os resultados dessa pesquisa mostraram que o sistema
criado por eles tem um menor tempo de execução em processos de criptografia e
descriptografia, mesmo com grandes quantidades de dados (HABBOUSH, 2018).
Outro exemplo é um estudo de Masadeh et al. (2014) que, com os demais

pesquisadores envolvidos no trabalho, traz uma abordagem de segurança
em vários níveis. Esses pesquisadores utilizam uma combinação de sistemas
PGP (Pretty Good Privacy – Privacidade Muito Boa), visto anteriormente, que
utiliza 3DES com três chaves, e HMAC (Hash-based Message Authentication Code
– Código de Autenticação de Mensagem Baseado em Hash) para autenticar a
comunicação de informações com criptografia. Essa abordagem utiliza o PGP
para gerar as mensagens que são criptografadas com a chave pública do receptor
(HABBOUSH, 2018).
O HMAC, que também utilizado na iniciativa desses pesquisadores,

é uma técnica que emprega funções hash criptográficas para autenticação de
mensagens. Essa técnica tem dois parâmetros, a mensagem original e uma chave
secreta, conhecida somente pelo remetente e pelo destinatário a da mensagem.
Essa técnica é empregada pelo remetente para produzir um valor que representa
uma combinação da chave secreta e do resumo da mensagem. Esse novo valor
é chamado de MAC, que é anexado à mensagem enviada ao destinatário. O
destinatário também utiliza o HMAC, para poder comparar os resultados dos
MAC que calculou e recebeu. Se os dois forem iguais, a mensagem foi recebida
corretamente (MASADEH et al., 2014). Veremos mais detalhes sobre os algoritmos de
hash no próximo tópico.
A técnica abordada no estudo de Masadeh et al. (2014) possui um método

de criação de chave elaborado, com dois algoritmos de criptografia diferentes,
um para cifrar a mensagem e outro para decifrar. Os algoritmos desenvolvidos
realizam um cálculo aritmético para gerar as chaves e colocar em prática os
processos criptográficos, com o uso de matrizes em cada processo de encriptação
(MASADEH et al., 2014).
139
RESUMO DO TÓPICO 1
• A criptografia está presente no dia a dia das pessoas, em diferentes formas de

comunicação e transmissão de dados.
• As técnicas criptográficas estão evoluindo ao mesmo tempo em que novas

tecnologias da informação são colocadas em uso, para garantir a segurança de
dados e informações.
• A criptografia multinível é uma das ferramentas disponíveis para aumentar o

nível de segurança dos dados sensíveis e sigilosos que trafegam diariamente
por diferentes tecnologias da informação de da comunicação.
• Existem diversas técnicas utilizadas para colocar a criptografia multinível

em prática, sendo que a primeira delas foi o Padrão de Criptografia Tripla de
Dados (3DES), que continua sendo útil até os dias de hoje.
140
AUTOATIVIDADE
1 A implantação de técnicas e soluções criptográficas, para que seja eficiente,

depende de diferentes precauções. Sobre estas precauções que garantem o
sucesso do uso da criptografia, assinale a alternativa CORRETA:
a) ( ) Gerenciar chaves criptográficas, utilizar algoritmos conhecidos

e analisados previamente, empregar ferramentas criptográficas
adequadas para cada situação.
b) ( ) Gerenciar chaves criptográficas, utilizar sistemas de informação baratos
no mercado, usar ferramentas genéricas para todas as situações.
c) ( ) Empregar bibliotecas com implementações diferentes dos sistemas
criptográficos utilizados, usar algoritmos sem teste prévio.
d) ( ) Empregar bibliotecas com ferramentas criptográficas variadas, utilizar
algoritmos e protocolos em língua portuguesa.
2 O DES (Padrão de Criptografia de Dados) triplo consiste em aplicar o próprio

DES com chaves diferentes. Nesse contexto, analise as sentenças a seguir:
I- O 3DES pode utilizar duas ou três chaves diferentes.

II- O 3DES com duas chaves é mais eficiente que o com três chaves diferentes.
III- O 3DES com duas chaves diferentes foi popular na década de 1970,
utilizado em serviços de e-mail.
IV- O 3DES com três chaves diferentes é utilizado na segurança de serviços
de e-mail.

a) ( ) As sentenças II e III estão corretas.
b) ( ) As sentenças I e IV estão corretas.
d) ( ) Somente a sentença IV está correta.
3 Diferentes algoritmos e abordagens vem sendo estudadas ao longo dos anos

para tratar da questão do aumento da segurança da informação por meio
da criptografia. Nesse sentido, classifique V para as sentenças verdadeiras
e F para as falsas:
( ) A criptografia homomórfica associa atributos dos dados a serem cifrados

com chaves criptográficas de seus usuários.
( ) A criptografia baseada em atributos associa atributos dos dados a serem
cifrados com chaves criptográficas de seus usuários.
( ) A criptografia homomórfica permite realizar operações em dados
criptografados sem a necessidade de descriptografá-los.
( ) A criptografia baseada em atributos permite realizar operações em dados
criptografados sem a necessidade de descriptografá-los.
141
a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) V – F – V – F.
d) ( ) F – F – V – V.
4 Os avanços das tecnologias da informação e da comunicação têm fortalecido

a velocidade com que as informações transitam pelo mundo. Da mesma
forma, esses avanços acontecem na experiência e nas técnicas utilizadas por
hackers para atacar sistemas de segurança da informação criptografados.
Uma das soluções nesse sentido é a utilização da criptografia multinível.
Disserte sobre o conceito desse tipo de criptografia e cite as duas
preocupações principais ao ser colocada em prática.
5 Existem diferentes iniciativas e pesquisas que se preocupam em combinar

ferramentas a fim de criar métodos de criptografia multinível mais seguros
e eficientes. Entre eles, a criptografia multinível aplicada a recursos de big
data de multimídia. Neste contexto, disserte sobre a proposta criada por
Aljawarneh, Yassein e Talafha (2017) para este fim.
142
TÓPICO 2 —
UNIDADE 3
GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES
1 INTRODUÇÃO
Acadêmico, no Tópico 2, abordaremos o gerenciamento e a distribuição
de chaves criptográficas. Os principais assuntos que podem ser relacionados
ao gerenciamento e à distribuição de chaves são o processo de criptografia,
os protocolos de segurança e o planejamento do gerenciamento (STALLINGS,
2017). Neste tópico, conheceremos vários aspectos e questões envolvidas com
estes assuntos.
Você já sabe que a criptografia é utilizada para manter informações

em segurança, certo? Da mesma forma, as chaves criptográficas que garantem
essa segurança também devem ser protegidas de divulgações não autorizadas.
Em outras palavras, podemos dizer que as chaves são a base dos sistemas
criptográficos. Por esse motivo, os equipamentos ou dispositivos utilizados
para gerar, armazenar e arquivar as chaves precisam ser protegidos fisicamente
(HINTZBERGEN et al., 2018).
As chaves criptográficas desempenham um papel muito importante

na operação da criptografia, podendo ser comparadas a uma combinação de
um cofre. Caso alguém descubra a chave do seu cofre, a combinação que você
possui não oferece mais a proteção necessária (BARKER, 2020).
O gerenciamento de chaves é importante para o processo de

criptografia, pois é fundamental para a segurança da informação que as chaves
criptográficas sejam protegidas contra alterações, perda ou destruição. Em
qualquer um desses casos, o usuário vai ficar sem acesso aos dados protegidos
por criptografia. Por isso, um bom gerenciamento de chaves é primordial
para manter a confidencialidade, a disponibilidade e a integridade dos dados
criptografados (HINTZBERGEN et al., 2018).
Além da distribuição, o gerenciamento de chaves preocupa-se com o

registro de quem usa cada par de chaves, a data de emissão e de validade das
chaves, assim como o procedimento a ser tomado quando as chaves forem
comprometidas. Ou seja, caso as chaves sejam alteradas indevidamente, perdidas
ou destruídas por algum motivo, o gerenciamento de chaves deve prever um
plano de ação para cada situação (HINTZBERGEN et al., 2018).
143
Não se preocupe! Veremos mais sobre como funciona o gerenciamento

de chaves e a aplicação da distribuição de chaves ao longo deste tópico.
DICAS
Leia o artigo Criptografia assimétrica para programadores: evitando outros

maus usos da criptografia em sistemas de software, de Alexandre Braga e Ricardo Dahab,
para conhecer mais conceitos sobre a distribuição de chaves e sua relação com o uso de
certificados digitais. O artigo está disponível no link:
https://www.atmosphere-eubrazil.eu/sites/default/files/SBSeg2018-livro-somente-minicurso2.pdf
2 CONCEITOS
Você já sabe que, para a criptografia simétrica funcionar, as duas partes
envolvidas (emissor e receptor) precisam ter acesso à mesma chave. Para que
seja possível garantir a segurança da comunicação entre o emissor e o receptor, a
maneira como cada um tem acesso ou recebe essa chave também precisa ser segura.
Para aumentar a segurança das informações, uma maneira que as

organizações utilizam, é a troca frequente de senhas. Isso porque a troca frequente
de chave pelo usuário é uma das soluções possíveis para limitar a quantidade de
dados comprometidos caso um invasor tenha acesso a essa chave. Ou seja, se o
usuário descartar a chave que utiliza e passar a utilizar outra, com outro valor, há um
aumento da segurança de suas comunicações criptografadas (STALLINGS, 2017).
Dessa forma, podemos dizer que a força da segurança de um sistema

criptográfico pode ser medida pela forma como a chave é distribuída entre
os interessados. Compreenda que a distribuição de chaves é basicamente a
forma como as chaves criptográficas são entregues aos usuários que precisam
delas (STALLINGS, 2017). No caso de uma pequena empresa que não utiliza
muito a troca de mensagens criptografadas, essas chaves podem ser entregues
pessoalmente. Já em uma grande indústria, com várias filiais distribuídas pelo
país, o cenário muda, e outras formas de distribuição de chaves são necessárias.
Veremos mais sobre essas técnicas ao longo do tópico.
Por esse motivo, a distribuição de chaves é um dos grandes desafios na

criptografia simétrica. Como vimos anteriormente, ela não envolve somente a troca
de chaves entre os usuários interessados, mas também informações importantes
para o gerenciamento delas, como a data que foi criada ou substituída. Esse
144
TÓPICO 2 — GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES
desafio é enfrentado de forma diferente no caso da criptografia assimétrica, pois

apesar de ser computacionalmente mais pesada, esse tipo de criptografia é mais
adequado para a troca de chaves (NAKAMURA, 2016). Você conhecerá mais
informações sobre essas diferenças no gerenciamento e distribuição de chaves
simétricas e assimétricas ao longo desse tópico.
Para que a criptografia realmente seja segura e eficaz para seus usuários,
ela depende de um gerenciamento, ou seja, de um controle adequado. Pois de nada
adianta utilizar algoritmos criptográficos fortes, se o gerenciamento de chaves for
fraco ou ruim, pois isso pode comprometer o resultado final. Por exemplo, imagine
que você possui um ótimo algoritmo de criptografia para trocar informações
com seu banco. No entanto, você recebeu as chaves criptográficas para acessar o
aplicativo do banco de uma forma insegura, em um e-mail sem proteção que pode
ser facilmente interceptado. Por isso, o gerenciamento de chaves possui um ciclo
de vida com diferentes fases, que são: sua geração, armazenamento, distribuição
e uso (BARKER, 2020).
É muito importante termos em mente que o processo de criptografia

depende da força das chaves e ainda da eficácia dos mecanismos e protocolos
criptográficos associados às chaves. Isso quer dizer que todas as chaves secretas
e privadas devem ser protegidas contra divulgação não autorizada e modificação
(BARKER, 2020).
Agora que já entendemos a importância de termos controle sobre as

chaves criptográficas, vamos conhecer mais sobre o ciclo de vida que citamos
anteriormente. Começando pelas fases de geração e distribuição, que podem ser
tratadas como uma só fase, chamada de estabelecimento de chaves. Esse processo
inicia com a criação de uma chave ou reutilização de uma chave já compartilhada
pelos usuários envolvidos, ou seja, com a geração ou busca de uma chave já
utilizada anteriormente (BARKER; BARKER, 2019).
Isso quer dizer que a fase chamada de estabelecimento de chaves

precisa que as chaves sejas novas ou reutilizadas, sejam recebidas pelos usuários
que precisam delas para se comunicar. Isso só vai acontecer depois das chaves
criptográficas serem geradas e encaminhadas para os seus respectivos interessados.
Por exemplo, imagine que você more em um prédio onde o síndico é

responsável pela distribuição das chaves aos novos moradores. Quando um novo
vizinho chega ao prédio, receberá do síndico a chave do apartamento que já foi
utilizada por seus antigos moradores. Todavia, para garantir sua segurança, o
novo vizinho realiza a troca de fechadura e providencia uma nova chave. Isso
também pode acontecer no caso de chaves criptográficas repetidas, podem até
ser utilizadas em algum momento, mas para que se garanta que mais ninguém
possui a chave, além dos usuários autorizados, emprega-se uma nova.
145
Isso quer dizer que o processo completo de estabelecimento das chaves

envolve a geração e a distribuição das chaves. Essa distribuição pode ser manual,
por transporte automatizado ou por comunicação via rede de comunicação.
Durante o estabelecimento da chave, é necessário definir o tempo de duração
dela, ou seja, a validade que ela poderá ser usada (BARKER; BARKER, 2019).
Como vimos, as etapas que compõem o gerenciamento de chaves são

a geração, armazenamento, distribuição e uso. Todas elas possuem extrema
importância e por isso devem estar detalhadas em uma Política de Gerenciamento
de Chaves Criptográficas da organização. É um documento necessário para que
exista padrões de gerenciamento em cada uma dessas fases (BARKER; BARKER,
2019). Ou seja, é um documento no qual os responsáveis descrevem todas as regras
que devem ser respeitadas na organização ou empresa para o gerenciamento de
chaves criptográficas, assim como quais são as obrigações e penalidades em caso
de descumprimento.
DICAS
Consulte o artigo Planejador de missões do rádio definido por software do

ministério da defesa, de Victor Feitosa de Carvalho Souza, Filipe Machado Pinto Napolitano
e Maurício Henrique Costa Dias, para conhecer um sistema de informações criado para
auxiliar no gerenciamento de chaves criptográficas. O artigo está disponível em:
https://www.researchgate.net/profile/Mauricio_Dias6/publication/336107267_
Planejador_de_Missoes_do_Radio_Definido_por_Software_do_Ministerio_da_Defesa/
links/5d8e662a92851c33e942f3d5/Planejador-de-Missoes-do-Radio-Definido-por-
Software-do-Ministerio-da-Defesa.pdf.
Durante o processo de gerenciamento de chaves, é importante que sejam

definidas quais são as ações que devem ser realizadas, indicando os procedimentos
tanto em caso de sucesso como em caso de alguma falha ou acesso indevido da
chave, assim como quem será o responsável em caso de falhas.
Vejamos um exemplo prático, imagine que você trabalhe em uma

empresa e perdeu a chave da sua sala. O que deve ser feito? Com quem você
deve entrar em contato para resolver o problema? Se isso acontecer com uma
chave criptográfica, é preciso que esteja definido na Política de Gerenciamento de
Chaves Criptográficas da empresa.
As principais funções, procedimentos e responsabilidades que precisam

ser definidas na Política de Gerenciamento de Chaves Criptográficas são as
seguintes: geração ou aquisição de chaves, distribuição segura de chaves,
estabelecimento de validade das chaves e o gerenciamento do inventário de
chaves e/ou certificados (BARKER; BARKER, 2019).
146
Assim como a revogação de emergência de chaves comprometidas e

substituição de chaves e/ou certificados, armazenamento e recuperação de
backups de informações e chaves arquivadas, verificação de integridade de
chaves armazenadas antes de utilizá-las e, por fim, a destruição de chaves que
não são mais necessárias (BARKER; BARKER, 2019).
Como vimos nos exemplos apresentados, para que tenhamos um

gerenciamento de chaves eficiente é necessário que seja feito um bom planejamento
das atividades que envolvem esse processo. Bem como a identificação dos
procedimentos associados, pois isso garantirá que o uso das chaves alcance o
seu objetivo principal, que é proteger os dados criptografados. Gerenciar, nesse
caso, refere-se a planejar as atividades necessárias em cada caso, a fim de manter
organizado o uso de chaves e certificados criptográficos de uma organização.
A organização das chaves criptográficas pode ser comparada com a

identificação de um molho de chaves de diferentes portas, por exemplo. Cada
chave possui um número ou uma cor, existe uma lista indicando cada porta que
determinada cor de chave abre, além de informações complementares, como a
data que foi trocada pela última vez ou quem chamar caso ela seja perdida.
Se a organização tiver bem claro quem é responsável por cada

procedimento do gerenciamento de chaves, o usuário saberá a quem recorrer em
cada situação de problema. Por esse motivo que a construção da Política de
Gerenciamento de Chaves gera uma sensação de controle e responsabilidade
para todos os envolvidos.
Agora que já sabemos como é importante o gerenciamento de chaves,

vamos conhecer com mais detalhes como é feita a distribuição. Segundo Stallings
(2017), a distribuição de chaves entre duas partes, os usuários ‘A’ e ‘B’, pode
acontecer das seguintes formas:
1- O usuário ‘A’ pode entregá-la fisicamente para o usuário ‘B’. Por exemplo, se
você ingressar em um novo trabalho em uma pequena empresa, você pode
receber uma chave criptográfica das mãos de seu chefe, como em um token.
2- Um terceiro pode selecionar a chave e entregá-la fisicamente para os usuários
‘A’ e ‘B’. Por exemplo, novamente você, como um novo funcionário de uma
empresa, pode receber sua chave criptográfica do profissional de TI da empresa
a pedido do seu chefe. Sendo ele o responsável por entregar também uma
chave para o seu colega de mesa. Ou seja, apesar de ser responsabilidade do
profissional de TI fazer essa entrega, ele precisa primeiro receber essa ordem
de outra pessoa, pois não vai entregar novos certificados a todos os novos
colaboradores que forem contratados.
3- Se os usuários ‘A’ e ‘B’ tiverem utilizado uma chave recentemente, um desses
usuários pode transmitir a nova chave para o outro, criptografada com a chave
antiga. Por exemplo, se você utilizou ontem uma chave para conversar com
um cliente, hoje ele precisa te enviar uma nova chave para uma nova troca de
mensagens. Ele pode criptografar a nova chave com a antiga para que você
receba via e-mail.
147
4- Se os usuários ‘A’ e ‘B’ tiverem uma conexão criptografada com um terceiro

usuário, ‘C’, ele pode entregar uma chave por meio de links criptografados.
Por exemplo, caso você trabalhe em uma grande empresa, em que as chaves
criptográficas não são entregues manualmente. O envio das chaves para você e
seus colegas pode ser centralizado em um profissional interno de tecnologia da
informação ou em um servidor que faça esse procedimento automaticamente.
ATENCAO
Lembre-se que um Token é um dispositivo eletrônico físico, que geralmente é

conectado ao computador por uma porta USB, como um pen drive. Ele pode ser utilizado
para gerar senhas criptográficas ou para armazenar certificados e assinaturas digitais.
Veja que as opções 1 e 2 dependem da entrega manual de uma chave.

São opções até razoáveis para criptografia que utilize links criptografados, pois
cada dispositivo trocará dados via internet somente com seu parceiro, na outra
extremidade do link. Um exemplo da opção 1, listada anteriormente, é: uma
pequena empresa possui dez funcionários no total, dois deles são vendedores
externos, que fazem viagens de visita aos clientes em diferentes cidades.
Os funcionários que ocupam o cargo de vendedor externo podem receber
manualmente uma chave de seu chefe, como um Smartcard ou Token para
que, nos momentos em que estiverem presencialmente na sede da empresa,
comuniquem-se com ele.
Ou então, como exemplo da opção 2, listada anteriormente, o profissional de

tecnologia da informação da empresa poderia entregar para todos os vendedores
chaves específicas para se comunicarem entre si e com o seu chefe. Ou seja,
a entrega de chaves seria feita por um terceiro e não por quem realmente vai
realizar a troca de mensagens.
Só que essa forma de entregar manualmente uma chave criptográfica

é bem mais difícil quando cada interessado está em locais muito distantes.
Principalmente quando for necessário distribuir várias chaves ao longo do
tempo, que precisam ser fornecidas de uma forma mais dinâmica. Por isso, a
definição se essas duas opções são viáveis ou não, depende do número de pares
de chaves que precisam ser utilizados no sistema, ou seja, da quantidade de
usuários, equipamentos (hosts) e transações envolvidas (STALLINGS, 2017). Para
as ocasiões em que a entrega manual não é possível ou viável, utilizam-se as
opções 3 e 4, que são explicadas em seguida.
148
Continuando com a distribuição de chaves, há momentos em que ela não

pode ser feita presencialmente. Nesses casos, pode ser utilizada a criptografia
ponta a ponta, aquela que protege a comunicação entre dois dispositivos
específicos. Se essa distribuição ponta a ponta for feita em uma rede interna
como em uma empresa por exemplo, será preciso uma chave para cada par de
hosts conectados à rede que precisem se comunicar. Portanto, se houver ‘N’ hosts,
o cálculo para a quantidade de chaves necessárias é o seguinte: [N (N – 1)] / 2
(STALLINGS, 2017).
Lembre-se do exemplo anterior, da empresa com dez funcionários. Pense

que cada um deles é um host que precisa se comunicar com os demais. Portanto, se
o cálculo acima fosse aplicado, seria o seguinte: [10 (10 – 01)] / 2. Ou seja, ‘N’ (10) é o
número de hosts que precisam se comunicar e o valor que fica entre parênteses na
equação é de um host a menos (10 – 01 = 09), que é encontrado subtraindo um. O
resultado (10 X 09 = 90) é divido por dois (90 / 02 = 45) pois se trata de um par de
chaves, que são duas chaves iguais. Portanto, aplicando a equação para chegar a
ao número de chaves necessário no exemplo da pequena empresa, a conclusão é
que seriam necessários 45 pares de chaves.
Já se a criptografia for feita em nível de aplicativo, como em aplicativos de

mensagens como o WhatsApp ou o Telegram, por exemplo, é preciso uma chave
para cada par de usuários que querem se comunicar por meio de mensagens. Isso
quer dizer que uma rede pode ter centenas de hosts, mas milhares de usuários e
processos (STALLINGS, 2017).
DICAS
Confira o artigo Sobre a criptografia ponta a ponta, do aplicativo WhatsApp

para conhecer mais detalhes sobre o seu funcionamento. O artigo está disponível em:
https://faq.whatsapp.com/general/security-and-privacy/end-to-end-encryption/?lang=pt_br
Portanto, no caso de grandes empresas ou para uso de criptografia

a nível de aplicativo, as duas primeiras opções não são viáveis. Pois não é tão
simples entregar uma grande quantidade de chaves criptográficas fisicamente.
Por exemplo, quando você quer conversar com um amigo ou parente que mora
longe de você, você não conseguiria primeiro viajar até ele e entregar uma chave,
ou então mandá-la pelos Correios. O mesmo acontece no caso de uma grande
empresa com filiais por diferentes estados do país. Não seria vantajoso entregar
manualmente uma chave para cada filial toda vez que um funcionário precisasse
falar com um colega de outra filial para resolver um problema da empresa.
149
Seguindo nossa lista, a opção 3 é uma possibilidade para criptografia de

link ou criptografia ponta a ponta. Nesse caso, um dos usuários que precisa se
comunicar ainda possui uma chave e envia ela para o outro usuário criptografada,
com uma chave que os dois tenham acesso. Pense no exemplo da grande empresa
com várias filiais que vimos anteriormente. Ana, que é funcionária da filial
da cidade de Videira/SC, precisa enviar uma mensagem para Roberta, uma
funcionária da filial de Recife/PE. Ana havia trocado mensagens confidenciais
com Roberta recentemente, por isso ainda possui uma chave que ela também tem
acesso. Assim, Ana manda para Roberta a nova chave criptografada com a chave
que as duas possuem.
No entanto, se um invasor conseguir obter acesso à primeira chave,

aquela que foi utilizada anteriormente por Ana e Roberta, todas as chaves
seguintes encaminhadas por esse meio podem estar em perigo. Como vimos
no exemplo das opções 1 e 2, o número de chaves necessárias é muito grande
(STALLINGS, 2017).
Os conceitos e possibilidades de distribuições de chaves de 1 a 3 são

voltados para a criptografia simétrica, aquela que utiliza uma mesma chave
tanto para criptografar quanto para descriptografar uma informação. Como já
vimos nas unidades anteriores, a criptografia simétrica tem como vantagens:
maior velocidade das aplicações, facilidade de implementação em hardware e
chaves pequenas que geram cifradores robustos. Entretanto, esse mesmo tipo de
criptografia possui fragilidades, entre elas a dificuldade no gerenciamento das
chaves (PEIXINHO, 2013).
Para entender melhor a dificuldade de gerenciar as chaves no caso da

criptografia simétrica, vejamos um exemplo. Ana precisa conversar por meio de
criptografia com Paulo, conforme vemos na Figura 8. Para isso, ela utiliza um
algoritmo criptográfico e uma chave criptográfica. Como ela empregou criptografia
simétrica, tanto Ana quanto Paulo possuem a mesma chave (PEIXINHO, 2013).
FIGURA 8 – COMUNICAÇÃO CRIPTOGRÁFICA ENTRE DOIS USUÁRIOS
FONTE: O autor
150
Agora Ana também precisa conversar com Luiz, conforme ilustrado na

Figura 9. Para isso, ela precisa gerar uma nova chave, pois a chave anterior é
exclusiva para conversar com Paulo. Se fosse utilizada a mesma chave para a
comunicação com os dois usuários, eles teriam acesso a todas as conversas.
Agora pense se Ana precisasse conversar com 100 pessoas, seria preciso
100 chaves diferentes! É fácil compreender a dificuldade em gerenciar todas essas
chaves no caso da criptografia simétrica, pois quando o número de usuários
envolvidos aumenta, ela se torna inviável (PEIXINHO, 2013). A solução para
essas questões é apresentada ainda nesse tópico.
FIGURA 9 – COMUNICAÇÃO CRIPTOGRÁFICA ENTRE TRÊS USUÁRIOS
FONTE: O autor
Com o objetivo de tentar resolver os problemas do gerenciamento e

distribuição de chaves simétricas para muitos usuários, foi criada a criptografia
assimétrica. A criptografia assimétrica possui um gerenciamento de chaves mais
eficiente e pode ser utilizada para garantir a confidencialidade e autenticidade das
informações, apesar de possuir um desempenho mais lento do que a criptografia
simétrica. Para evitar uma maior lentidão em todas as transações criptográficas,
normalmente as duas técnicas são utilizadas combinadas (PEIXINHO, 2013).
Esse processo combinado pode acontecer da seguinte forma: Ana cria

uma chave simétrica randômica, os dados que ela precisa enviar são cifrados com
essa chave. Depois, a própria chave simétrica de Ana é cifrada com uma chave
assimétrica do destinatário, Paulo. Por fim, esse conjunto de chave de mensagem
é enviado a Paulo, que consegue decifrar o conjunto com sua chave assimétrica
e decriptar os dados com a chave simétrica de Ana, que acabou de receber
(PEIXINHO, 2013).
Agora vamos analisar a opção 4, que vimos lá no começo deste tópico, que
era: “Se os usuários ‘A’ e ‘B’ tiverem uma conexão criptografada com um terceiro
usuário, ‘C’, ele pode entregar uma chave por meio de links criptografados”. Neste
caso, um terceiro usuário é o responsável por distribuir as chaves aos interlocutores,
que no nosso exemplo anterior foram Ana e ‘Paulo. Esse terceiro, ‘C’, não
necessariamente precisa ser uma pessoa ou indivíduo, mas pode ser um centro de
distribuição chaves (Key Distribution Center – KDC), ou seja, um servidor específico
para isso. Esse servidor precisa ter instalado um sistema específico que faça a
151
autenticação dos usuários da rede em que está conectado. É função desse servidor
ter um banco de dados com as informações dos usuários, efetivar a autenticação dos
usuários e conceder chaves criptográficas sempre que eles solicitarem. O servidor
serve de centro de distribuição de chaves (STALLINGS, 2017).
Esse KDC pode distribuir as chaves para os pares de usuários, sejam hosts,
processos ou aplicativos, conforme necessário. Neste caso, cada usuário precisa
compartilhar uma chave exclusiva com o centro de distribuição, para que por
esse ‘canal seguro’ receba suas chaves (STALLINGS, 2017). Isso significa que cada
usuário ou host precisa ter uma chave criptográfica específica para conseguir se
comunicar com o centro de distribuição.
Veja esse processo na Figura 10. João quer conversar com Maria, mas
para isso precisa de um par de chaves criptográficas. Para isso, João envia uma
solicitação ao KDC com sua chave específica para esse tipo de comunicação. Ao
receber essa chave específica, KDC confere os dados do usuário em seu banco
de dados, faz a devida autenticação e aí sim concede um novo par de chaves
criptográfico. O par de chaves é enviado igualmente para João e para Maria. Por
fim, os dois usuários conseguem se comunicar de forma segura.
FIGURA 10 – FUNCIONAMENTO DE UM CENTRO DE DISTRIBUIÇÃO DE CHAVES
FONTE: <https://materialpublic.imd.ufrn.br/curso/disciplina/4/62/3/8>. Acesso em: 25 jan. 2021.
A utilização de um KDC é baseada em uma hierarquia de chaves. As

chaves precisam ser divididas em pelo menos dois níveis hierárquicos pelo
sistema utilizado no servidor. Assim, a comunicação entre esse centro de
distribuição e os sistemas finais é criptografada com uma chave temporária,
chamada de chave de sessão (STALLINGS, 2017).
152
Geralmente, a chave de sessão tem a duração de uma conexão lógica, ou

seja, é usada em somente uma comunicação entre dois usuários e depois disso é
descartada. Cada chave de sessão deve ser obtida no centro de distribuição de
chaves, conectado a mesma rede utilizada pelo usuário final. As chaves de sessão
são transmitidas criptografadas, por meio de uma chave mestra, que é conhecida
tanto pelo centro de distribuição quanto pelo usuário final (STALLINGS, 2017).
Para compreender melhor a questão da hierarquia de chaves, observe

a Figura 11. Perceba que na ilustração a seguir estão apresentados três níveis
hierárquicos. A elipse maior, que fica na parte de cima da figura, representa o
centro de distribuição, que se comunica com o segundo nível, por meio de chaves
de sessão criptografadas. A eclipse do meio simboliza os sistemas e usuários. Já
o terceiro nível representa os usuários finais, que dependem das chaves mestras,
que não são criptografadas, para receber as demais chaves.
FIGURA 11 – FUNCIONAMENTO DA HIERARQUIA DE CHAVES
FONTE: Adaptado de Stallings (2017, p. 444)
Na organização que utiliza as funções de um servidor como centro de

distribuição de chaves, cada usuário final recebe uma chave mestra exclusiva,
para se comunicar com o respectivo centro de distribuição de chaves. Portanto,
a quantidade de chaves mestras é limitada à quantidade de usuários e não tem
relação com a quantidade de mensagens que eles precisam enviar ou receber.
É importante deixar claro que essas chaves mestras também precisam ser
distribuídas de forma segura, mas não necessariamente precisam ser protegidas
por criptografia. Por exemplo, os usuários podem receber por e-mail um link
de acesso a essas chaves. Assim, como o número final de chaves mestras não é
tão grande, uma por usuário, elas podem ser distribuídas até fisicamente como
certificados em tokens (STALLINGS, 2017).
153
Portanto, a partir das opções de distribuição de chaves que conhecemos

até aqui, podemos afirmar que a quarta opção é a mais viável e segura quando for
preciso distribuir muitas chaves criptográficas em um pequeno espaço de tempo e
em locais grandes ou distantes.
Por exemplo, no caso de grandes empresas que possuem filiais em mais

de uma cidade e que mesmo assim precisam manter segura a sua comunicação.
Da mesma forma, essa distribuição depende de um bom gerenciamento dessas
chaves, para que elas se mantenham seguras.
Já sabemos que as chaves são a base de qualquer sistema criptográfico,

por esse motivo, etapas como a geração, armazenamento e arquivamento dessas
chaves devem ser gerenciadas. Da mesma forma, o registro dos pares de chaves
e de quem as usa, o que é importante tanto na criptografia simétrica quanto na
assimétrica. Esse registro deve ser feito em um banco de dados da organização que
contenha as informações básicas dos usuários relacionadas a uma identificação
das chaves que utiliza (HINTZBERGEN et al., 2018).
Por exemplo, pense em uma biblioteca que possui armários em sua

entrada, para que cada pessoa que quiser entrar na biblioteca possa guardar
seus pertences sem que pessoas não autorizadas tenham acesso. Cada um
desses armários possui uma identificação, uma sequência, de números, 12, 13,
14 e assim por diante. Para entrar na biblioteca, é necessário que você realize
um cadastro prévio, que contenha seus dados pessoais, como nome, telefone,
e-mail e endereço. Assim, a cada vez que você for entrar na biblioteca, precisa
se identificar e informar o número do armário que utilizou, do qual só você tem
a chave. Dessa forma, ficará armazenado no registro vinculado ao seu nome o
armário que você está utilizando.
É isso que acontece no registro de chaves. No banco de dados, específico

para esse fim, estão listados os usuários e uma identificação das chaves que
eles utilizam, sem a chave propriamente dita. Para que possa ser feito o seu
gerenciamento, como o controle de sua validade de acordo com a sua data de
distribuição, por exemplo.
No caso da criptografia assimétrica, os pares de chaves são utilizados

para determinar a autenticidade e o não repúdio das mensagens criptografadas.
Então o registro precisa ter a informação de quais pares foram emitidos por
quem e em que momento. Com essas informações é possível também relacionar
a validade dessas chaves (HINTZBERGEN et al., 2018).
154
DICAS
Leia o artigo Uma contribuição para a segurança da informação: um estudo

de casos múltiplos com organizações brasileiras, de Napoleão Verardi Galegale, Edison
Luiz Gonçalves Fontes e Bernardo Perri Galegale, para compreender a importância do
planejamento e da política de segurança da informação nas organizações, bem como o
papel do gerenciamento de chaves nesse contexto. O artigo está disponível no seguinte
link: https://www.scielo.br/scielo.php?script=sci_arttext&pid=S1413-99362017000300075
Se a criptografia for utilizada para proteger informações em um

computador é arriscado compartilhar as mesmas chaves em todos os
computadores de uma empresa, por exemplo. Isso porque se essas chaves forem
conhecidas fora da empresa, todos os equipamentos terão que passar por uma
nova criptografia. Caso algo nesse sentido aconteça, a alteração deve ser feita
de forma rápida, para prevenir a brecha na confidencialidade da informação
Agora imagine um algoritmo criptográfico que pode ser considerado

tecnicamente perfeito, pois não pode ser quebrado por nenhum tipo de ataque
à segurança. Esse algoritmo pode ser comparado a um grande e forte cadeado
à prova de roubo. No entanto, se alguém mal-intencionado, ou um ladrão, tiver
acesso à chave do cadeado, fica muito fácil abrir e ter acesso ao que se considerava
protegido (HINTZBERGEN et al., 2018).
Portanto, proteger as chaves de roubo, duplicação ou destruição é essencial

para que o cadeado funcione de acordo com o planejado, mantendo pessoas não
autorizadas do lado de fora e possibilitando que pessoas autorizadas abram a
porta. Da mesma forma, a força de um sistema criptográfico está relacionada
diretamente à qualidade do gerenciamento de suas chaves (HINTZBERGEN et
al., 2018). Ou seja, o gerenciamento de chaves depende da forma como as chaves
são geradas, armazenadas, distribuídas e utilizadas pelos usuários.
Um bom gerenciamento de chaves depende de um sistema que auxilia

a realizar todas as atividades de planejamento e controle necessárias. Para isso,
utilizam-se os Sistemas de Gerenciamento de Chaves Criptográficas (Cryptographic
Key Management System – CKMS). Os CKMS tratam da estrutura e dos serviços
que possibilitam a geração, distribuição, controle, contagem e destruição das
chaves criptográficas e informações de gerenciamento associadas a elas (BARKER;
BARKER, 2019). Existem vários sistemas de gerenciamento de chaves disponíveis
no mercado, cada organização poderá escolher o que melhor se adeque as suas
necessidades, de acordo com seu número de usuários e hardware disponível.
155
DICAS
Consulte o artigo Windows Server: como usar o Serviço de Gerenciamento

de Chaves (KMS) para a ativação de sistemas com licenciamento por volume para
compreender o funcionamento desta ferramenta. O artigo está disponível no link:
https://www.dell.com/support/kbdoc/pt-br/000179240/windows-server-como-usar-o-
servi%c3%a7o-de-gerenciamento-de-chaves-kms-para-a-ativa%c3%a7%c3%a3o-de-
sistemas-com-licenciamento-por-volume.
Isso quer dizer que o CKMS não se refere somente ao sistema de

informação, mas sim a todos os elementos envolvidos no processo, ou seja,
hardware, software, documentação e outros equipamentos. Assim como
as instalações, pessoal, procedimentos e padrões que formam o sistema que
estabelece, gerencia e oferece suporte aos produtos e serviços criptográficos aos
usuários finais da organização. Por isso mesmo que os CKMS podem lidar tanto
com chaves simétricas, quanto com chaves assimétricas, ou ambas (BARKER;
BARKER, 2019).
Por isso que a Política de Gerenciamento de Chaves, sobre a qual falamos

no início do texto, deve identificar todos os elementos ligados ao CKMS e ainda
descrever relações entre eles. A infraestrutura de gerenciamento de chaves é
grande e complexa, mas pode ser descrita em quatro partes, que são:
• Os algoritmos criptográficos utilizados.

• As relações operacionais e de comunicação entre os elementos organizacionais
disponíveis, ou seja, uma descrição da responsabilidade de cada funcionário
ou setor da organização evolvido no processo, para saber como e com quem
falar sobre cada assunto e atividade.
• Os propósitos para os quais a criptografia é empregada, ou seja, em quais casos
ela é empregada na organização. É necessário definir quais dados e informações
dentro da empresa que são sigilosos a ponto de precisarem ser criptografados,
por exemplo, dados financeiros, contábeis, de faturamento etc.
• O número e a complexidade (nível de segurança) dos relacionamentos de
chave criptográfica necessário para a organização (BARKER; BARKER, 2019).
A estrutura, a complexidade e o tamanho do CKMS podem variar muito,

pois dependem das necessidades de cada organização. Isso quer dizer, que
organizações maiores dependem de mais complexos e robustos CKMS, enquanto
organizações menores podem precisar de menos para manter suas informações
seguras. De toda forma, os elementos e funções descritas anteriormente precisam
estar presentes na maioria das organizações que precisam de proteção criptográfica
(BARKER; BARKER, 2019).
156
3 EXEMPLOS DE DISTRIBUIÇÃO DE CHAVES

Para explicar de forma mais simples o funcionamento de um centro de
distribuição de chaves, imagine um sistema de venda de ingressos de um cinema
para um filme com classificação para maiores de 18 anos. Para comprar o ingresso,
você precisa ir à bilheteria do cinema (centro de distribuição) para realizar o
pagamento e provar, com a documentação necessária, que você tem mais de 18
anos (PEIXINHO, 2013). Essa relação está ilustrada na Figura 12.
Ao realizar a comprovação e adquirir o ingresso com sucesso, a bilheteria

vai lhe entregar um ingresso (ticket/nonce), que você vai precisar apresentar ao
bilheteiro (autenticador) para conseguir acesso à sala de cinema onde o filme
está sendo exibido. O bilheteiro é o responsável por verificar a autenticidade do
ticket antes de autorizar sua entrada (PEIXINHO, 2013).
FIGURA 12 – COMUNICAÇÃO CRIPTOGRÁFICA ENTRE TRÊS USUÁRIOS
FONTE: O autor
Viu? Dessa forma o processo de distribuição de chaves não fica tão

complexo, mas os passos são basicamente os mesmos que vimos anteriormente.
O processo inicia com o usuário fazendo a solicitação inicial ao centro de
distribuição e segue com as comprovações de veracidade e autenticidade das
mensagens de solicitação do usuário.
E
IMPORTANT
Em criptografia, esse tipo de identificador exclusivo é chamado de “nonce”,

e vem do inglês da expressão numbers used once (números usados uma vez) O nonce
é útil tanto para o estudo e aplicação de criptografia como em diferentes técnicas de
programação. O nonce pode ser a informação de data e hora, um contador ou número
aleatório, ou qualquer outra numeração que seja diferente em cada solicitação. O nonce
não pode ser um número muito fácil de ser descoberto por interceptores mal intencionados,
por isso, números aleatórios costumam ser uma boa escolha (STALLINGS, 2017).
157
Em seguida, o usuário recebe uma resposta do centro de distribuição,

devidamente identificada e criptografada, para que somente o destinatário ou
receptor possa abrir essa mensagem. Por fim, a mensagem é autenticada e as
chaves podem ser utilizadas nas comunicações criptografadas.
O conceito de distribuição de chaves pode ser implantado de diferentes

formas. Vamos apresentar, aqui, um cenário mais comum, no qual cada usuário
compartilha uma chave mestra exclusiva com um centro de distribuição de chaves
(Key Distribution Center – KDC). Isso é ilustrado na Figura 10.
Suponha que o usuário ‘A’ precisa enviar uma mensagem segura para o
usuário ‘B’ e para isso ele necessita de uma chave de sessão única. O usuário ‘A’
tem uma chave mestra, que vamos chamar de ‘Ka’, como se fosse a junção da
palavra key (chave) com o nome do usuário que é ‘A’ A chave ‘Ka’ é conhecida
apenas por ‘A’ e pelo centro de distribuição de chaves. Da mesma forma, o usuário
‘B’ também tem sua chave mestra, ‘Kb’, somente compartilhada com o centro de
distribuição de chaves (STALLINGS, 2017).
A primeira etapa, que é a primeira flecha apontando do notebook do

usuário ‘A’ para o centro de distribuição de chaves na Figura 13, é uma solicitação
de chave de sessão de ‘A’ para o centro de distribuição de chaves para proteger
sua conexão com ‘B’. A solicitação contém um identificador de ‘A’ (IDa), um
identificador de ‘B’ (IDb) e um identificador exclusivo, ‘N1’, que é um número
definido para ser utilizado apenas uma vez em uma comunicação criptográfica
(STALLINGS, 2017).
FIGURA 13 – CENÁRIO DE DISTRIBUÇÃO DE CHAVES
158
Na segunda etapa, o centro de distribuição de chaves responde com

uma mensagem criptografada, utilizando a chave ‘Ka’, para que somente ‘A’
tenha acesso e tenha a certeza de sua origem. Essa mensagem possui dois itens
destinados ao usuário ‘A’, que são: a chave de sessão única solicitada (Ks); e a
mensagem de solicitação inicial incluindo o nonce, para que ‘A’ possa confirmar
sua veracidade, vendo que a mensagem não foi alterada tanto no envio quando
no retorno do centro de distribuição de chaves (STALLINGS, 2017).
A mesma mensagem da segunda etapa inclui ainda dois itens para o

usuário ‘B’: a chave de sessão única (Ks), para ser usada na comunicação com ‘A’;
e um identificador de ‘A’, o ‘IDa’. Estes dois últimos itens são criptografados com a
chave ‘Kb’, para que somente ‘B’ tenha acesso e para comprovar a identidade de
‘A’ (STALLINGS, 2017).
Na terceira etapa, que pode ser vista na Figura 10 como uma flecha entre
o usuário ‘A’ e ‘B’, o usuário ‘A’ armazena a chave de sessão ‘Ks’ recebida e
encaminha para o usuário ‘B’ as informações recebidas do centro de distribuição
de chaves. Agora ‘B’ também possui a chave de sessão ‘Ks’, sabe que a outra parte
é ‘A’ pois recebeu seu identificador, e confirmar que a informação veio do centro
de distribuição de chaves porque ela estava criptografada om a chave ‘Kb’. Estas
foram as etapas de distribuição das chaves (STALLINGS, 2017).
Agora ‘A’ e ‘B’ possuem uma chave de sessão para iniciar sua comunicação
protegida. No entanto, ainda são necessárias as etapas quatro e cinco para que
o processo ocorra dentro do esperado, que são as etapas de autenticação. Antes
trocar mensagens e informações sigilosas, na quarta etapa ‘B’ envia para ‘A’ um
nonce, o ‘N2’, por meio da chave de sessão ‘Ks’ (STALLINGS, 2017). Na ilustração,
essa etapa é a primeira flecha que sai do usuário ‘B’ (receptor), representado por
um computador de mesa, e vai para o usuário ‘A’ (emissor).
Depois, na quinta etapa, também usando ‘Ks’, ‘A’ responde com ‘f’ (N2).
Nesse caso, ‘f’ é uma função que realiza alguma transformação em ‘N2’, somando
um ao número enviado, por exemplo. Essas duas últimas etapas garantem a ‘B’
que a mensagem recebida na etapa 3 é segura (STALLINGS, 2017).
Somente depois dessas cinco etapas, tanto as de distribuição de chaves

quanto as de autenticação, que ‘A’ e ‘B’ poderão ter uma troca de mensagens
segura por meio do uso de uma chave de sessão. Perceba que esse é um exemplo
simples, de comunicação entre dois usuários e um centro de distribuição. No
caso de muitos usuários, o processamento operacional será muito maior e mais
complexo, exigindo um gerenciamento de chaves efetivo.
Não é preciso limitar a função de distribuição de chaves a um único centro de

distribuição, como o que vimos na Figura 13. Na verdade, em redes muitos grandes,
não seria prático fazer isso. Uma alternativa é criar uma hierarquia de centros de
distribuição de chaves, podem ser definidos centro locais ou globais, cada um
responsável por um mesmo domínio dentro de uma rede (STALLINGS, 2017).
159
Assim, para uma comunicação entre usuários dentro do mesmo

domínio ou rede de comunicação, o centro de distribuição de chaves local
é o responsável por essa distribuição. Já se dois usuários, que estão em
domínios diferentes precisarem se comunicar, ‘C’ e ‘L” por exemplo, os
centros de distribuição de chaves locais podem ser comunicar com um centro
de distribuição de chaves global, definido previamente. Esse centro global
não fica dentro de nenhuma das duas organizações, pode ser um servidor
contratado externamente para prestar esse tipo de serviço. Portanto, neste
caso, a seleção da chave pode acontecer na organização do usuário ‘C’, na do
usuário ‘D’ ou ainda no centro global (STALLINGS, 2017).
DICAS
Confira uma entrevista com Ammie Stepanovich, que na ocasião era

diretora de políticas públicas de uma Organização Não Governamental (ONG) chamada
Acess Now, dedicada a direitos digitais. Na entrevista são abordados temas como
criptografia, hackers e acesso a informações, que podem ser relacionados à importância
do gerenciamento de chaves. O vídeo com a entrevista está disponível no seguinte link:
https://www.youtube.com/watch?list=PLdTwYi_NwRSwVDGg6jQLF8Zs4xQejDG6l&v=s_
uZmQ2HwAQ&feature=emb_logo
160
RESUMO DO TÓPICO 2
• O gerenciamento de chaves é uma atividade essencial para o sucesso da

criptografia das organizações.
• As chaves são a base de um sistema criptográfico, e a manutenção de sua

segurança garante a confidencialidade, a disponibilidade e a integridade dos
dados criptografados.
• A distribuição de chaves é uma das fases do gerenciamento de chaves, que envolve

o repasse das chaves criptográficas necessárias aos usuários que necessitarem.
• Existem diferentes técnicas de distribuição de chaves, que podem ser adequadas à

realidade de cada organização.
• A complexidade do gerenciamento de chaves necessário para a organização

vai depender do seu tamanho e da quantidade de informações que necessitam
ser protegidas por meio do uso da criptografia.
161
AUTOATIVIDADE
1 As chaves são a base dos sistemas criptográficos e por esse motivo devem ser
mantidas em segurança por meio de um gerenciamento, para evitar acessos
não autorizados. Sobre o gerenciamento de chaves e o uso da criptografia,
assinale a alternativa CORRETA:
a) ( ) O gerenciamento de chaves preocupa-se com a aquisição, devolução e

perda das chaves criptográficas.
b) ( ) O gerenciamento de chaves trata da compra, finalidade e venda das
chaves criptográficas.
c) ( ) O gerenciamento de chaves trata da emissão, validade e uso das chaves
criptográficas.
d) ( ) O gerenciamento de chaves visa alterar e destruir chaves criptográficas
antes de serem utilizadas.
2 A distribuição de chaves é uma função importante do gerenciamento

de chaves, sejam simétricas ou assimétricas. Nesse contexto, analise as
I- A distribuição de chaves assimétricas é mais difícil de ser realizada do que a

de chaves simétricas.
II- A criptografia assimétrica, mesmo mais pesada computacionalmente, é
mais adequada para a troca de chaves.
III- A distribuição de chaves envolve a troca de chaves entre os usuários, seu
uso e substituição.
IV- A criptografia simétrica, mesmo mais pesada computacionalmente, é mais
adequada para a troca de chaves.

a) ( ) As sentenças II e III estão corretas.
b) ( ) As sentenças I e IV estão corretas
c) ( ) Somente a sentença II está correta.
d) ( ) Somente a sentença IV está correta.
3 O gerenciamento de chaves criptográficas inadequado pode comprometer

a eficácia de algoritmos criptográficos considerados fortes. Nesse sentido,
classifique V para as sentenças verdadeiras e F para as falsas:
( ) O gerenciamento de chaves aborda o ciclo de vida completo de uma chave

criptográfica, desde sua geração, distribuição, armazenamento e uso.
( ) A segurança das informações criptografadas depende da eficiência dos
mecanismos e protocolos criptográficos associados às chaves.
( ) Profissionais de qualquer área do conhecimento, mesmo sem experiência,
podem ser responsáveis pela gestão de chaves criptográficas.
162
( ) É responsabilidade do gestor de chaves criptográficas adquirir, com seu
dinheiro, os sistemas e equipamentos necessários para a organização na
qual trabalha.

a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) V – V – F – F.
d) ( ) F – F – V – V.
4 O gerenciamento de chaves criptográficas envolve planejar as atividades

necessárias em cada fase de uso das chaves. Para que assim, a criação,
distribuição, uso e descarte das chaves e certificados digitais em uma
empresa se mantenha organizado. Uma etapa muito importante nesse
processo é a distribuição de chaves. Disserte sobre as quatro formas
principais de distribuição de chaves e deixe clara a maior dificuldade de
cada uma delas.
5 A eficácia do gerenciamento de chaves criptográficas depende de um

sistema que contribuía no controle de todas as atividades e funções
necessárias para este fim. Entre elas estão a geração, distribuição, contagem
e distribuição das chaves criptográficas. Neste contexto, disserte sobre
a proposta a função e a importância dos Sistema de Gerenciamento de
Chaves Criptográficas.
163
164
TÓPICO 3 —
UNIDADE 3
ALGORITMOS DE HASH
1 INTRODUÇÃO
Acadêmico, no Tópico 3, abordaremos os algoritmos de hash, que
traduzindo do inglês significa resumo. Já vimos um pouco sobre esse assunto
nas unidades anteriores, e o objetivo desse tópico é aprofundar seus conceitos.
Espera-se que você compreenda como esses algoritmos se relacionam com as
fases e técnicas criptográficas abordadas até o momento neste livro. Visto que
a função de hash é utilizada associada a técnicas criptográficas para garantir a
segurança de dados e informações.

Uma função de hash é aplicada em uma quantidade de informações de
tamanho variável, para gerar um resultado único e de tamanho fixo. Ou seja, na
função de hash já se sabe que tamanho terá a saída da função, independentemente
do tamanho que a informação de entrada dela tenha. O valor hash é criado de
uma forma que não é possível realizar o processamento inverso para se obter
a informação original. Isso quer dizer que ele não pode ser desfeito. Da mesma
forma, qualquer alteração na informação original resultará em um resumo
diferente (CERT.BR, 2012).
O algoritmo de hash é um dos algoritmos criptográficos mais versáteis,

pois pode ser empregado por uma grande variedade de sistemas de segurança e
protocolos de Internet. A autenticação de mensagens é uma dessas possibilidades,
pois possibilita confirmar se os dados recebidos são os mesmos que os enviados
(STALLINGS, 2017).
Ou seja, por meio dele é possível confirmar se os dados enviados não

foram interceptados e modificados, excluídos, reproduzidos ou ainda se houve
inclusão de informações diferentes das originais. Há casos em que é possível
que o destinatário verifique também se a identidade do remetente é válida
(STALLINGS, 2017).
Para que uma função hash seja considerada eficiente, ela deve produzir
resumos que pareçam ser aleatórios. Quanto mais aleatório o resumo parecer,
maior será a segurança dos dados criptografados (STALLINGS, 2017). Por
exemplo, se o resumo não for aleatório, lendo ele você poderá saber de qual
assunto a mensagem resumida trata. Já se as palavras e informações forem bem
misturadas, aleatórias, não será possível descobrir o conteúdo da mensagem
somente tendo acesso ao resumo.
165
O hash pode ser utilizado para verificar a integridade de um arquivo já

armazenado, seja em um computador ou em um backup. Também é útil para
verificar a integridade de um arquivo que tenha sido obtido na Internet, pois
muitos sites disponibilizam o hash do arquivo para esse tipo de verificação.
Ainda, o hash pode ser utilizado para gerar assinaturas digitais, pois é mais
rápido codificar o hash do que a informação completa de uma mensagem
(CERT.BR, 2012).
Entre os exemplos de métodos de hash estão o MD5 (Message Digest

Algorithm 5 – Algoritmo de Sintetização de Mensagem 5) e o SHA (Secure Hash
Algorithm – Algoritmo de Hash Seguro), sobre os quais veremos mais ao longo
desse tópico (CERT.BR, 2012).
2 CONCEITOS
Podemos dizer que a função hash (H) aceita como entrada um bloco de
dados (M) com comprimento variável, e como saída produz um valor hash (h)
com tamanho fixo. Preste atenção que a letra ‘H’ em maiúsculo é utilizada para
representar a função de hash que vai calcular o resumo, enquanto a letra ‘h’ em
minúsculo representa o valor de hash, que é o resumo propriamente dito. Esse
processo pode ser representado pela seguinte equação (STALLINGS, 2017):
h = H (M)
Lembre-se de que, como todo algoritmo, a função de hash precisa de uma

entrada para realizar um processamento e assim produzir uma saída. Na Figura
14, temos uma ilustração do funcionamento básico dessa função. Nesse exemplo,
a entrada é representada pela letra ‘M’, que é uma mensagem ou o bloco de dados
com um tamanho variável. Reforçando: a mensagem a ser resumida pode ter
qualquer tamanho!
Para realizar o processamento são necessárias algumas informações

adicionais sobre a entrada, como a letra ‘L’ que é a quantidade de bits de ‘M’.
Assim como ‘P’, que é uma variável que pode ser utilizada pela função quando
necessário para facilitar o seu cálculo. A letra ‘P’ representa um valor de
preenchimento (padding) que pode ser somado à largura ‘L’ de ‘M’.
Veja que a mensagem “entra” na função de hash (H) e por ela é

transformada no resumo, no valor de hash (h). Perceba que o resumo possui
um tamanho fixo pré-definido na função. Na ilustração, a função é representada
por um moedor de carne manual, no qual a “carne” seria a mensagem completa
e a “carne processada” é o resumo, resultado do processamento da mensagem
de entrada.
166
TÓPICO 3 — ALGORITMOS DE HASH
FIGURA 14 – REPRESENTAÇÃO DA FUNÇÃO DE HASH
Qualquer mudança em um bit da mensagem inicial (M), resulta em uma

mudança no resumo. Ou seja, ainda utilizando nosso exemplo do moedor, cada
grama a mais de carne colocada no moedor resultará diferença no resultado. Bom,
você deve estar se perguntando, e o que se faz com esse resumo ou essa “carne
moída”? O resumo é utilizado em trocas de mensagens que utilizam criptografia
para garantir a integridade das mensagens (STALLINGS, 2017).
Como isso acontece? O resumo criado por meio da função da hash

é enviado junto da mensagem original pelo remetente ao seu destinatário.
Utilizando a mesma função, o destinatário consegue gerar novamente o resumo
com o conteúdo da mensagem original. Se o valor que ele calculou coincidir com
o recebido, significa que a mensagem não foi interceptada e alterada no meio do
caminho (STALLINGS, 2017).
O processamento feito por funções hash também pode ser comparado a

uma mistura de tintas. Quando tintas de duas cores são misturadas uma com
a outra, é impossível separá-las novamente. Por exemplo, ao misturar as tintas
branca e preta, temos como resultado a cor cinza. Depois que já tivermos o cinza,
não conseguiremos separar ele em duas partes, uma parte branca e outra preta.
Esse exemplo quer ilustrar que essa função produz um cálculo irreversível, ou
seja, não se pode desfazer o resumo e com ele obter o texto original novamente
167
Agora que já vimos alguns conceitos sobre o que são os algoritmos que
utilizam funções de hash, vamos ver exemplos de sua aplicação e funcionalidade.
Esse algoritmo pode ser utilizado para confirmar se uma mensagem enviada de
um usuário para outro se manteve íntegra.
Pense que a usuária ‘Alice’ precisa enviar uma senha para o usuário ‘Bob’.
Quando a senha é definida por Alice, o sistema cria um determinado resumo e
armazena esse valor e com a senha propriamente dita. Na ilustração, o resumo é
representado pela letra ‘H’. Assim, nem mesmo uma pessoa com um acesso de alto
nível do sistema, como um analista de tecnologia da informação, conseguirá ver o
que Alice incluiu e enviou para Bob como senha (HINTZBERGEN et al., 2018).
Quando Bob receber a mensagem de Alice, ele vai utilizar o mesmo

algoritmo de hash e criará também um resumo da senha para que possa comparar
com o resumo que recebeu. Se os dois resumos forem iguais, é comprovado que
Bob recebeu a senha correta. Portanto, esse método é empregado para verificar
a integridade das mensagens (HINTZBERGEN et al., 2018). Esse processo é
ilustrado na Figura 15.
FIGURA 15 – AUTENTICAÇÃO DE MENSAGENS COM HASH
É bom ressaltar que o resumo precisa ser transmitido de forma segura.

Para que no caso de um usuário mal-intencionado receptar a mensagem para
alterá-la ou substituí-la, ele não consiga alterar também o valor do hash para
enganar o destinatário da mensagem (STALLINGS, 2017). Veremos mais sobre as
formas de aplicar a função de hash ao longo deste tópico.
168
Esse tipo de ataque é ilustrado na Figura 16, cujo usuário ‘Darth’ intercepta
a mensagem enviada por Alice a Bob. Darth altera o bloco de dados, calcula e
anexa à mensagem um novo valor do hash e a reencaminha para Bob. Bob, neste
caso, não consegue perceber a interceptação, pois o resumo foi substituído na
mensagem, por não estar devidamente seguro. Para evitar esse tipo de ação,
antes de ser encaminhado pela remetente, Alice, o resumo precisa ser protegido
por meio de criptografia, por exemplo (STALLINGS, 2017). Nessa ilustração, o
resumo também é representado pela letra ‘H’.
FIGURA 16 – INTERCEPTAÇÃO DE MENSAGENS COM HASH
Agora que já vimos exemplos sobre o uso de resumos em troca de

mensagens, conheceremos mais funcionalidades, como a autenticação de
mensagens. Uma forma comum dessa funcionalidade do algoritmo é obtida
com o uso de um código de autenticação de mensagens (Message Authentication
Code – MAC), que também é chamado de função hash com chave. Geralmente,
esses códigos são utilizados entre duas partes ou usuários que compartilham
uma chave secreta para autenticar as informações trocadas entre eles
(STALLINGS, 2017).
A função MAC recebe como entrada uma chave secreta em um bloco de

dados, com isso produz um valor de hash MAC, que é associado à mensagem
protegida. Assim, se for preciso verificar a integridade da mensagem, a função
MAC pode ser aplicada à mensagem e o seu resultado comparado com o valor
hash MAC que estiver associado (STALLINGS, 2017). Perceba que assim como o
os exemplos de algoritmos de hash que vimos anteriormente, que precisam de
uma função e produzem um valor de hash, a função de MAC também utiliza uma
função e tem como resultado um valor calculado.
169
Um interceptor de uma mensagem protegida pela função MAC não

será capaz de mudar o valor hash MAC associado sem conhecer a chave
secreta. Da mesma forma, o usuário que recebe a mensagem também consegue
confirmar quem é seu emissor, pois somente eles dois conheciam a chave secreta
(STALLINGS, 2017).
DICAS
Acesse ao artigo MACs, hashes e assinaturas para ver como esses métodos
podem ser aplicados para garantir a segurança de dados e informações em plataformas
Windows. Não esqueça de habilitar a versão em português do texto.
https://docs.microsoft.com/pt-br/windows/uwp/security/macs-hashes-and-signatures
Outra aplicação importante dos algoritmos de hash é no acompanhamento

de assinaturas digitais, cujo processo é bem parecido ao da autenticação de
mensagens por meio da função MAC. No caso da assinatura digital, o valor de
hash de uma mensagem é criptografado com a chave privada do usuário emissor.
Isso quer dizer que qualquer pessoa que conheça a chave pública do usuário
pode verificar a integridade da mensagem que está associada à assinatura digital.
Portanto, se um invasor quiser alterar a mensagem, precisa saber a chave privada
do usuário (STALLINGS, 2017).
As funções de hash também são úteis para criar arquivos de senha unilaterais
em sistemas operacionais, ou seja, para proteção de equipamentos físico. Para isso,
o sistema operacional armazena somente o resumo da senha e não ela própria.
Assim, a senha real não pode ser recuperada por um intruso que consiga obter o
seu arquivo, pois ele terá somente o resumo dela (STALLINGS, 2017).
Segundo Stallings (2017), existem diferentes métodos pelos quais um

código hash pode ser útil para fornecer a autenticação de mensagens, entre eles:
a) A mensagem (M) e o valor hash (H) são criptografados por meio de criptografia
simétrica (E). O usuário ‘A’ envia para ‘B’ uma mensagem. Neste caso,
somente ‘A’ e ‘B’ tem acesso à chave secreta (K), então ao receber e conseguir
descriptografar (D) a mensagem com a mesma chave (K), ‘B’ já tem a primeira
confirmação de sua autenticidade.
Neste caso, tanto a mensagem como o valor de hash foram criptografados,

por isso também há uma garantia de confidencialidade da mensagem. Esse
processo é ilustrado na Figura 17.
170
FIGURA 17 – CRIPTOGRAFIA DA MENSAGEM E DO VALOR DE HASH
b) Somente o valor hash (H) é criptografado (E), também por criptografia

simétrica, o que reduz a carga de processamento de sistemas e aplicativos
que não exigem uma verificação de confidencialidade da mensagem (M). Esse
fluxo é ilustrado na Figura 18.
FIGURA 18 – CRIPTOGRAFIA SOMENTE DO VALOR DE HASH
c) A função hash é utilizada sem nenhuma criptografia de autenticação da

mensagem (M). Essa técnica assume que as duas partes (usuários) que se
comunicam compartilham um valor secreto em comum (S), como uma senha
só para abrir o arquivo e não para cifrá-lo e decifrá-lo.
Neste caso, o usuário ‘A’ calcula o valor hash sobre a concatenação de ‘M’
e ‘S’ e acrescenta o valor hash de ‘M’. Como ‘B’ possui ‘S’, ele pode recalcular o
valor de hash para verificar a mensagem. Como o ‘S’ em si não é enviado, um
interceptor da mensagem não conseguirá gerar uma mensagem falsa e passar
despercebido. Veja o fluxo desse método na Figura 19.
FIGURA 19 – FUNÇÃO DE HASH SEM NENHUMA CRIPTOGRAFIA
171
d) Este caso realiza a verificação da integridade por meio de um valor ‘S’

compartilhado entre os usuários ‘A’ e ‘B’, da mesma forma que o método
(c). Entretanto, adiciona a verificação de confidencialidade à mensagem,
criptografando a mensagem inteira mais o valor de hash. Todo esse fluxo é
ilustrado na Figura 20.
FIGURA 20 – VERIFICAÇÃO DE INTEGRIDADE COM SENHA COMPARTILHADA
Quando não é necessário garantir a confidencialidade da mensagem,

o método (b) é mais vantajoso que os métodos (a) e (d), que criptografam a
mensagem inteira, pois ele exige menor poder de processamento computacional.
Nesse sentido, é crescente o interesse em técnicas que evitam a criptografia
na troca de mensagens. Devido ao valor cada vez maior de investimentos em
hardware de criptografia, assim como para evitar a diminuição de velocidade do
fluxo de mensagens em softwares criptográficos (STALLINGS, 2017).
Nesse contexto, de acordo com Peixinho (2013), as características de

algoritmos de hash eficientes são as seguintes:
1- Impossibilidade de descobrir a mensagem original, de entrada do algoritmo,

por meio do resultado da função hash. Por esse motivo os algoritmos de hash
são conhecidos como algoritmos de uma só via (one-way).
2- Não gerar um valor de hash repetido, igual ao um valor gerado com uma
mensagem original anterior pela função de hash. Característica chamada de
resistência à colisão fraca.
3- Não gerar dois valores de hash iguais para duas entradas de mensagens
originais já conhecidas que são diferentes. Característica chamada de resistência
à colisão forte.
Para o processamento de uma função de hash ser considerado ótimo,

além das características anteriores, é preciso que o algoritmo tenha as
seguintes propriedades: poder ser aplicado em um bloco de dados de qualquer
tamanho; produzir uma saída de comprimento fixo; ser de fácil implementação
em hardware e software. A função de hash que atender a todas as seis
características citadas anteriormente é chamada de função de hash forte. Caso a
terceira característica não seja atendida, é denominada de função de hash fraca
(STALLINGS; BROWN, 2014).
172
No próximo subtópico, veremos dois exemplos de algoritmos que

utilizam as funções hash e são utilizados em diferentes aplicações. Fique atento,
pois são abordados assuntos importantes para a compreensão do funcionamento
dessas funções.
3 EXEMPLOS DE ALGORITMOS HASH

Agora que você conhece os principais conceitos sobre o funcionamento
e a finalidade dos algoritmos de hash, conheceremos alguns exemplos de sua
aplicação, iniciando com os algoritmos deste tipo mais conhecidos, que são o
MD5 e o SHA.
O MD5 (Message Digest Algorithm 5 – Algoritmo de Sintetização de

Mensagem 5) foi inventado por Ron Rivest do MIT (Massachusetts Institute Of
Technology – Instituto de Tecnologia de Massachusetts). O pesquisador também
trabalhava para a indústria RSA de Segurança de Dados. Esse algoritmo,
basicamente produz um valor de hash de 128 bits para mensagens de qualquer
tamanho que sejam inseridas. Além disso, ele utiliza a função de uma só via, que
tem como principal objetivo verificar se um arquivo ou mensagem enviada não
foi alterada (PEIXINHO, 2013).
Ele foi proposto pela primeira vez em 1991, depois de alguns ataques
que tiveram sucesso contra sua versão anterior, o MD4. Para enfrentar esses
problemas, o algoritmo foi projetado para ser veloz, simples e seguro. Seus
detalhes são públicos e já foram analisados e verificados por diversos profissionais
que trabalham com criptografia (PEIXINHO, 2013). Em seguida, conheceremos
o algoritmo SHA.
DICAS
Para conhecer um algoritmo de exemplo de geração do método MD5 na

linguagem C#.NET, acesse o link:
http://www.linhadecodigo.com.br/artigo/3141/metodo-md5.aspx
Já o SHA (Secure Hash Algorithm – Algoritmo de Hash Seguro) é mais

recente, pois teve sua primeira versão (SHA-0) lançada em 1993 pelo NIST
(National Institut of Standards and Technology – Instituto Nacional de Padrões e
Tecnologia) norte-americano. Ele foi baseado na função hash MD4. Ele pode ser
usado para produzir resumos de 160 bits e de mensagens de qualquer tamanho.
Por essa característica, é eficiente contra os ataques de força bruta (PEIXINHO,
2013). Como já vimos nas unidades anteriores, ataques de força bruta são aqueles
em que se tenta descobrir a chave criptográfica por meio de um sistema de
tentativa e erro, tentando “adivinhá-la”.
173
O SHA possui diferentes versões, desde a primeira, o SHA-0, passando

por versões posteriores como SHA-1 (1995), SHA-2 (2001) e o mais recente, o
SHA-3 (2015). A estrutura e as operações matemáticas do SHA-1 (segunda versão
do algoritmo) são muito semelhantes as do MD5 e do SHA-0. Por esse motivo
ele foi descontinuado, por ser considerado inseguro. Nos anos seguintes foram
lançadas versões melhoradas e mais robustas do algoritmo, que foram o SHA-2
e o SHA-3. Esse último, SHA-3, tem como objetivo ser complementar ao SHA-
2, com um padrão aprovado por uma grande gama de sistemas e aplicações de
segurança (STALLINGS, 2017).
DICAS
Para conhecer mais sobre a história de criação e para ver um exemplo do

algoritmo de hash criptográfico SHA-3, acesse o link:
https://imasters.com.br/dotnet/sha-3-o-novo-padrao-de-hash-criptografico
A principal diferença do SHA-3 para seus predecessores, é sua função

“esponja”. Apesar de possuir uma estrutura geral parecida as outras versões do
SHA, nesse caso, a função esponja pega a mensagem de entrada e a divide em
blocos com tamanho fixo. Depois, cada bloco é processado, gerando uma saída
específica de cada um, e somente depois disso é feita uma junção de todos esses
resultados para formar o bloco de saída. Veja na Figura 21 que a mensagem
(message) de entrada composta por uma quantidade ‘n’ bits do SHA-3 é dividida
em uma quantidade ‘k’ blocos de tamanho fixo de ‘r’ bits cada (STALLINGS, 2017).
Ou seja, a letra ‘k’ é utilizada para representar o nome de cada bloco,

e a letra ‘r’ trata de uma quantidade aleatória de bits. O uso dessas letras não
têm uma explicação relacionada à abreviação de palavras, mas servem para
diferenciar cada parte da ilustração que podemos ver na Figura 21. Da mesma
forma que a letra ‘n’, que em muitas fórmulas e equações matemáticas é utilizada
para descrever um número que não é conhecido. Por exemplo, em um caso real,
um bloco de dados poderia ser dividido em bloco ‘A’, bloco ‘B’, bloco ‘C’ e assim
por diante.
174
FIGURA 21 – ENTRADA DO SHA-3
Em outras palavras, é preciso definir valores matemáticos para cada

quantidade de bits da mensagem de entrada, para que a função do SHA-3
consiga realizar os cálculos necessários por meio da divisão em blocos. Como a
quantidade total de bits da mensagem pode variar, então ela é representada por
um tamanho ‘n’. Esse tamanho ‘n’ é dividido em partes iguais que são divisíveis
por ‘r’. Por exemplo, imagine uma mensagem com 100 bits. Ela pode ser dividida
em cinco blocos de vinte bits, e isso deve ser informado na função do SHA-3 para
que assim o processamento seja feito por meio dessa quantidade de blocos.
Isso significa que o valor de ‘n’ pode ser encontrado multiplicando o

número de blocos (k) pela quantidade de bits de cada um (r), como vemos na
Figura 15. Da mesma forma, é preciso dividir o total de bits (k) da mensagem por
‘r’ e obter um resultado com números inteiros. Que são aqueles números sem
vírgula, sem decimais depois da vírgula. Se o resultado dessa divisão não for um
número inteiro, uma função mod é acionada pela função, para incluir um bloco
de bits para “arredondar” esse resultado. Na Figura 15, esse bloco é apresentado
como ‘pad’.
Depois de a entrada (input) ser dividida e o processamento do hash

ser realizado em cada um de seus blocos numerados como ‘P0’, ‘P1’ até ‘Pk-
1’, começa a construção da saída (output) da função. Cada saída também é
numerada de ‘Z0’, ‘Z1’ até ‘Zj-1’. A quantidade de bits dos blocos de saída vai
depender do tamanho de saída previamente definido. Isso pode ser visto na
Figura 19 (STALLINGS, 2017).
175
FIGURA 19 – SAÍDA DO SHA-3
Entenda que esse é um exemplo simplificado do processamento de

um algoritmo que utiliza SHA-3. Vários outros cálculos são necessários para
produzir uma saída satisfatória e segura. Por exemplo, existe a possibilidade de
configurar os valores a serem calculados de acordo com o nível de segurança
alcançável pela função hash. Assim, diminuindo ou aumentando o tamanho de
‘r’ no processamento, por exemplo.
Os métodos de hash que vimos nesse tópico não são os únicos, mas se
trata dos mais comuns no dia a dia de usuários e organizações que trabalham
com segurança da informação aliada à criptografia. Ao longo desta unidade
foram abordadas ferramentas e técnicas importantes para ampliar o poder da
criptografia no processamento e troca de dados e informações.
Ao final dessa unidade, é importante lembrar que vimos conceitos

desde a criptografia múltipla, que combina várias camadas de criptografia; a
proteção e o gerenciamento de chaves criptográficas; bem como os algoritmos
de hash, utilizados para criar resumos das mensagens por meio de algoritmos
especializados. Sendo que todos eles são essenciais para a aplicação da criptografia
na garantia da segurança das informações.
176
AFINAL, O QUE É CRIPTOGRAFIA E PARA QUE ELA SERVE?
Altieres Rohr
A cada conversa iniciada no WhatsApp, o aplicativo avisa: "as mensagens

e chamadas desta conversa estão protegidas com criptografia de ponta a ponta".
O que é essa tal de criptografia? Faz alguma diferença ela ser de "ponta a ponta"?
Pode parecer coisa de filme a ideia de que todas as suas conversas

precisam ser feitas "em código", transformando o texto que você envia em algo
incompreensível para a leitura humana. A criptografia faz exatamente isso: ela
embaralha todo o conteúdo que você envia usando uma fórmula (o "algoritmo")
e uma chave secreta.
Criptografar a comunicação na internet é indispensável. Enquanto as

antigas redes de telefonia e até as entregas de correspondência sempre foram
controladas por poucos, a internet cresceu graças à facilidade com que novos
provedores e redes podiam se integrar a ela.
Ou seja, a internet é um lugar onde estamos sempre "falando com

estranhos". E como não sabemos exatamente quem pode estar no meio de uma
conexão, usamos a criptografia para dispensar a necessidade de confiança total
na rede.
Além da internet, a criptografia também é uma excelente ferramenta para

controle de identidade. É ela que torna possível o e-CPF e o e-CNPJ, validando
as assinaturas eletrônicas dos certificados digitais. Também é provável que seu
celular esteja protegendo todos os seus dados e aplicativos com criptografia,
vinculando uma chave ao desbloqueio da tela.
Por que conversar 'em código' na internet?
Embora a criptografia tenha sido usada desde o início em algumas

atividades da internet (serviços financeiros e compras, por exemplo), a ação de
hackers tem justificado o uso dela em cada vez mais serviços. Brasileiros passam
90% do tempo de navegação em sites com criptografia, segundo dados do Google.
O motivo é fácil de entender: ela resolve três problemas ao mesmo tempo.

São eles:
1- Identificar as partes da comunicação. Um impostor não pode se passar

por outra entidade em uma comunicação criptografada sem roubar a chave
criptográfica, o "segredo" que alimenta a fórmula criptográfica para embaralhar
o conteúdo.
177
Quando um site usa criptografia, isso diz ao seu navegador que ele está conectado
ao site verdadeiro que reside no endereço acessado.
A mesma situação ocorre no WhatsApp, quando ele avisa que o "código de

segurança" de um contato mudou: pode ser que seu amigo tenha trocado de
telefone ou reinstalado o app, mas pode ser que a conta do WhatsApp dele tenha
sido roubada.
Como o criminoso não tem a chave original, ele é obrigado a cadastrar uma chave
nova, alertando todos os contatos sobre esse acontecimento.
2- Impedir "grampos" e espionagem. Como os dados trafegam "em código", um

invasor não consegue ver o conteúdo da transmissão, mesmo que controle o
canal por onde ela passa.
3- Detectar adulterações e mensagens corrompidas. A comunicação

criptografada, quando sofre alterações, não será mais decifrada de forma limpa
e correta. Isso permite detectar conexões que tenham sofrido interferência, seja
ela intencional (por causa de um ataque) ou acidental (erros de rede).
A popularidade de redes sem fio públicas também contribuiu para a adoção

da criptografia na web. Os roteadores sem fio já utilizam um tipo de criptografia,
mas nem todas as redes são criptografadas e nem sempre a criptografia do Wi-Fi é
boa, inclusive porque redes públicas podem usar senhas fracas. A solução, para
os aplicativos e sites, é adotar uma criptografia entre eles e seus usuários.
Quando você está na mesma rede que outras pessoas, todas elas podem
desviar seu acesso ou roubar dados de conexão, inclusive os cookies, que na
prática dão acesso total às suas contas de redes sociais, lojas e e-mail.
Com criptografia no canal de comunicação com o site, todo esse conteúdo

– inclusive os cookies – é transmitido de maneira segura. Na prática, a criptografia
é um pilar de segurança que viabiliza o uso de serviços e redes que normalmente
não seriam adequados.
O que é criptografia de 'ponta a ponta'?
Muitos serviços antigos de comunicação da web permitiam a conexão

direta entre dois usuários, especialmente para a transferência de arquivos. Se
ainda fosse assim, toda criptografia seria de "ponta a ponta", mas não é.
O aumento no número de pessoas com acesso à internet e as restrições

cada vez mais severas de acesso em empresas, além do compartilhamento de
endereços de IP – o que acontece inclusive na sua casa, quando você conecta ao
mesmo tempo o celular, notebook e a smart TV – dificultam as conexões diretas.
178
A regra agora são as comunicações intermediadas pelos serviços que

utilizamos, como o Facebook, o WhatsApp, o Telegram, o Skype, o Discord e
assim por diante.
Todos esses serviços usam criptografia, mas a criptografia comum não

é entre as "pontas" (os participantes da conversa), e sim até o intermediário. A
conexão vai criptografada até o intermediário, que decifra os dados e criptografa
novamente para envio ao destinatário.
A criptografia de "ponta a ponta", como a utilizada pelo WhatsApp, garante

que o conteúdo da mensagem seja decifrado apenas pelo destinatário final.
O aplicativo tem dois estágios de criptografia para isso: um até o servidor

intermediário do WhatsApp (com os dados do destinatário, que o app precisa
para saber a quem encaminhar a conversa, em seu papel de intermediário) e outro
para o conteúdo da mensagem, que só será decifrado pelo destinatário.
Além do WhatsApp, o Signal também oferece um serviço de comunicação

totalmente criptografado, enquanto o Telegram e o Facebook Messenger oferecem
o recurso de "chat secreto" que criptografa conversas específicas, mas não pense
que a criptografia de ponta a ponta é "especial". Ela só é um diferencial em
sistemas de troca de mensagens. Quando você usa um serviço ou site que é ele
próprio o destino dos dados (seu banco, uma loja on-line ou um site de notícias,
como o G1), a criptografia é sempre de "ponta a ponta".
Criptografia no seu bolso
Se você comprou um smartphone nos últimos três anos, tudo que você
guarda nele provavelmente está protegido com criptografia. A chave é atrelada ao
seu bloqueio de tela: quando você desbloqueia o aparelho, ele passa a ter acesso
à chave que permite decifrar o conteúdo da memória interna.
Se o seu smartphone for roubado, um criminoso não é capaz de acessar os

seus arquivos, mesmo que ele retire o chip de memória presente na placa lógica.
Notebooks nem sempre fornecem a mesma segurança. Sem criptografia,

não adianta muito ter uma senha de "bloqueio" do sistema — os dados ficam
totalmente expostos quando o armazenamento é ligado em outro computador.
No Windows, a criptografia é privilégio da edição "Pro" e superiores (o recurso
chama-se "BitLocker"). Os MacBooks da Apple também contam com essa
tecnologia, e o sistema da Apple não possui "versões" com recursos distintos.
A 'mágica' da assimetria e o risco quântico
O funcionamento técnico da criptografia é complexo, mas uma das

características mais interessantes da tecnologia está na chamada "criptografia
assimétrica". Nesse tipo de fórmula, a chave capaz de decifrar uma mensagem é
diferente da chave que gera o texto cifrado.
179
Na criptografia simétrica, a mesma chave embaralha e desembaralha as

informações.
Usar chaves diferentes para cifrar e decifrar mensagens é útil em diversos

cenários, inclusive no WhatsApp. Como a chave enviada aos seus contatos
(chamada de "chave pública") serve apenas embaralhar os dados, seus contatos
podem criptografar mensagens destinadas a você sem que isso dê a eles a
possibilidade de decifrar suas outras comunicações.
A chave que decifra os dados (chamada de "chave privada") jamais é

transmitida para ninguém.
Para essa "mágica" funcionar, o elo entre as chaves é estabelecido com

alguma propriedade matemática que os computadores têm dificuldade para
calcular. Uma dessas técnicas é a fatoração de números primos. Computadores
levariam milhares de anos para conseguir encontrar a chave privada que faz "par"
com uma chave pública.
O maior "risco" para esse truque hoje é a computação quântica.

Computadores quânticos são muito diferentes dos computadores tradicionais
(ou "binários"). Um cálculo complicado para um sistema binário pode não ser tão
desafiador para um sistema quântico.
Até hoje, nenhum ataque desse tipo já foi demonstrado na prática. Nossos
dados continuam seguros com a criptografia, mas é importante ficar de olho no que
pode acontecer.
FONTE: Adaptado de <https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/

post/2020/01/14/afinal-o-que-e-criptografia-e-para-que-ela-serve.ghtml>. Acesso em: 17 jan. 2021.
180
RESUMO DO TÓPICO 3
• Os algoritmos de hash são utilizados de forma combinada a diferentes métodos

criptográficos.
• Uma função de hash produz como resultado um valor de hash com tamanho
fixo, mesmo tendo como entrada mensagens ou blocos de dados de tamanho
variável.
• Por sua característica de não reversão, o valor de hash é comumente utilizado

para verificar se um dado foi alterado durante o trânsito entre diferentes
usuários.
• Existem diferentes algoritmos que colocam em prática as funções de hash,

entre os mais conhecidos estão o MD5 e as versões do SHA.
CHAMADA

181
AUTOATIVIDADE
1 As funções hash são empregadas sobre uma quantidade de informações

de tamanho variável e geram um resultado único e de tamanho fixo.
Nesse contexto, sobre o conceito e os objetivos das funções hash, assinale a
alternativa CORRETA:
a) ( ) Uma função hash eficiente produz saídas que são aleatórias.

b) ( ) O objetivo principal de uma função de hash é adulterar a integridade
dos dados.
c) ( ) O objetivo principal de uma função de hash é manter a agilidade dos
dados.
d) ( ) Uma função hash eficiente produz saídas que parecem ser aleatórias.
2 O algoritmo de hash pode ser considerado um dos algoritmos criptográficos

mais versáteis. Nesse contexto, analise as sentenças a seguir:
I- Entre as utilidades de um algoritmo de hash está a autenticação de

mensagens.
II- Os algoritmos de hash são úteis para criar senhas de sistemas operacionais.
III- Assinaturas digitais são criadas por meio de algoritmos de hash.
IV- Há sites que disponibilizam o hash de seus arquivos para possível
verificação de integridade.

a) ( ) As sentenças I e III estão corretas.
b) ( ) As sentenças I, II e IV estão corretas.
c) ( ) Somente a sentença II está correta.
d) ( ) Somente a sentença III está correta.
3 Algoritmos de hash podem ser empregados de forma combinada a

verificações de confidencialidade de mensagem, por meio de criptografia.
As combinações com outros métodos de segurança da informação podem
ampliar as características desses algoritmos. Nesse sentido, classifique V
( ) A mensagem original de entrada do algoritmo de hash pode ser descoberta

se o processamento for revertido.
( ) É impossível descobrir a mensagem de entrada do algoritmo de hash,
pois o valor de hash não permite reversão.
( ) O valor de hash gerado por uma função não pode ser igual ao valor que
seja resultado de outra mensagem original de entrada.
( ) É característica de uma boa função de hash a difícil implementação em
hardware e software.
182
a) ( ) V – F – F – V.
b) ( ) F – V – V – F.
c) ( ) V – V – F – F.
d) ( ) F – F – V – V.
4 As funções hash são fortemente empregadas para autenticar mensagens

entre diferentes usuários. Um caso específico é o uso do valor de hash
associado ao código de autenticação de mensagens (Message Authentication
Code – MAC). Disserte sobre o funcionamento do MAC.
5 O SHA (Secure Hash Algorithms – Algoritmo de Hash Seguro) foi lançado

em 1993 pelo NIST (National Institut of Standart and Techonology), que é
uma instituição norte americana. Neste contexto, disserte sobre a principal
diferença entre o SHA-3 e suas versões anteriores e sobre o funcionamento
dessa característica.
183
REFERÊNCIAS
ALJAWARNEH, S.; YASSEIN, M. B.; TALAFHA, W. A. A resource-efficient
encryption algorithm for multimedia big data. Multimed Tools Appl,
Dordrecht/Netherlands, v. 76, n. 01, p. 22703–22724, 2017.
BARKER, E. Recommendation for Key Management: part 1 – general.

National Institute of Standards and Technology (NIST), Gaithersburg,
edição especial, maio 2020. Disponível em: https://nvlpubs.nist.gov/nistpubs/
SpecialPublications/NIST.SP.800-57pt1r5.pdf. Acesso em: 25 fev. 2021.
BARKER, E.; BARKER, W. C. Recommendation for Key Management: part

2– best practices for key management organizations. National Institute of
Standards and Technology (NIST), Gaithersburg, maio 2019. Disponível em:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt2r1.pdf.
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE

SEGURANÇA NO BRASIL (Cert.br). Cartilha de segurança para internet. 4. ed.
São Paulo: Comitê Gestor da Internet no Brasil, 2012.
COSTA, L. da et al. Compartilhamento seguro de arquivos de saúde usando

criptografia baseada em atributos e redes descentralizadas. 2018. Disponível em:
https://sol.sbc.org.br/index.php/sbcas/article/view/3682/3634. Acesso em: 5 jan. 2021.
COULOURIS, G. et al. Sistemas distribuídos: conceitos e projeto. 5. ed. Porto

Alegre: Bookmann, 2013.
HABBOUSH, A. Multi-Level Encryption Framework. International Journal of

Advanced Computer Science and Applications, New York, v. 9, n. 4, p. 130-134, 2018.
HINTZBERGEN, J. et al. Fundamento de segurança da informação: com base na

ISSO 27001 e na ISSO 27002. 3. ed. Rio de Janeiro: Brasport, 2018.
KUNDRO, D. Criptografia homomórfica: um esquema de criptografia cada

vez mais usado. 2019. Disponível em: https://www.welivesecurity.com/
br/2019/09/06/criptografia-homomorfica-um-esquema-de-criptografia-cada-
vez-mais-usado/#:~:text=Atualmente%2C%20os%20sistemas%20de%20
criptografia,Levelled%20Homomorphic%20e%20Fully%20Homomorphic.
MASADEH, S. R. et al. A novel Paradigm In Authentication System Using Swifi

Encryption/ Decryption Approach. International Journal of Network Security
& Its Applications. v. 6, n. 1, p. 17-24, 2014.
184
NAKAMURA, E. T. Segurança da informação e de redes. Londrina: Editora e
Distribuidora Educacional, 2016.
PEIXINHO, I. de C. Segurança de redes e sistemas. Rio de Janeiro: RNP/ESR, 2013.
STALLINGS, W. Cryptography and Network Security: principles and practice.

7. ed. Boston: Pearson, 2017.
STALLINGS, W.; BROWN, L. Segurança de computadores. 2. ed. Rio de

Janeiro: Elsevier, 2014.
UTO, N. Teste de invasão de aplicações web. Rio de Janeiro: RNP/ESR, 2013.
185

Criptografia e Segurança

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Criptografia e Segurança

Enviado por

Direitos autorais:

Formatos disponíveis

Criptografia e

Revisão, Diagramação e Produção:

Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri

Amo, Gustavo Garcia de

Criptografia e segurança. / Gustavo Garcia de Amo; Roni Francisco

185 p.; il.

1. Proteção de dados. - Brasil. I. Pichetti, Roni Francisco. II. Centro

A segurança na área de tecnologia é imprescindível, já que as formas

Nosso livro está dividido em 3 unidades, sendo a primeira unidade

Vamos lá! Aproveito o ensejo para desejar-lhe sucesso em sua jornada

Boa leitura e bons estudos!

Prof. Gustavo Garcia de Amo

Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é

Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente,

Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de

Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela

Com o objetivo de enriquecer seu conhecimento, construímos, além do livro

Conte conosco, estaremos juntos nesta caminhada!

TÓPICO 2 — FUNDAMENTOS DE REDE, SEGURANÇA E CRIPTOGRAFIA..................... 33

TÓPICO 3 — ALGORITMOS E CRIPTOGRAFIA......................................................................... 51

TÓPICO 1 — FERRAMENTAS DE CRIPTOGRAFIA E DE DESENVOLVIMENTO

TÓPICO 2 — CERTIFICAÇÃO DIGITAL E CRIPTOGRAFIA.................................................... 87

TÓPICO 3 — EXEMPLOS DE CRIPTOGRAFIA E CERTIFICAÇÃO DIGITAL.................... 107

UNIDADE 3 — CRIPTOGRAFIA MÚLTIPLA E GERENCIAMENTO DE CHAVES........... 125

TÓPICO 1 — CRIPTOGRAFIA MÚLTIPLA.................................................................................. 127

TÓPICO 2 — GERENCIAMENTO E DISTRIBUIÇÃO DE CHAVES...................................... 143

TÓPICO 3 — ALGORITMOS DE HASH....................................................................................... 165

• compreender a importância e as características de uma informação;

TÓPICO 2 – CONCEITOS DE REDE, SEGURANÇA E CRIPTOGRAFIA

TÓPICO 3 – ALGORITMOS E CRIPTOGRAFIA

Preparado para ampliar seus conhecimentos? Respire e vamos

Para termos segurança durante a utilização de computadores e sistemas

Conheça um pouco mais sobre esses ataques em:

Assim como houve aumento nos índices de crimes e também de acesso

Como esses ataques cibernéticos surgem? Qual o objetivo? Como a

Dentre os fatos que demonstram o aumento da importância da

Os ataques e ameaças ocorrem de várias formas, por isso, para que

Na computação, a segurança da informação precisa ser constantemente

A segurança é um assunto abrangente e inclui inúmeros tipos

A compreensão da segurança engloba o conhecimento em diversas áreas,

Fundamentar os conceitos básicos de redes e segurança é importante para

2.1 INFORMAÇÃO E CRIPTOGRAFIA

Genial, não é mesmo? Durante a guerra, os alemães utilizaram-se da

Recomendamos que você assista ao filme O Jogo da imitação (2014). Esse

Em continuação ao evento da Segunda Guerra mundial, outros métodos

As estratégias de guerra foram expostas após a decifragem de códigos,

É importante que nesse momento você reflita como a informação esteve

Vamos seguir nosso aprendizado sobre o próximo conceito, redes de

Como veremos, as redes de computadores são importantes para a segurança

2.2 REDES DE COMPUTADORES

Já imaginou se uma videoconferência de acionistas de uma empresa

Um conjunto de computadores autônomos interconectados por uma

Isso não se resume apenas a computadores, pois com a evolução

2.2.1 Origem das redes de computadores

Esse projeto ou protótipo de rede era responsável por conectar 4

Ainda, para Tanenbaum e Wetherall (2011), após a criação de redes de

Aprofunde seus conhecimentos sobre o desenvolvimento da internet e sua

De acordo com Sena (2017), foi a partir de 1972 que tivemos o

Assim como a linguagem humana, pesquisadores e cientistas precisaram

Já a primeira “epidemia” que se tem registro foi do vírus Brain (em

Dentre os desenvolvedores do antivírus estavam John McAfee e Eugene

Conforme Tanenbaum e Wetherall (2011), para apoiar esse processo

2.2.2 Protocolo TCP/IP

Os dois modelos mais conhecidos e difundidos em redes de computadores