UNIDADE 3:

MECANISMOS DE
SEGURANÇA

3.1 Segurança física

1
 Definições
•Segurança Física: É realizada para evitar/dificultar as
falhas nos equipamentos e instalações
– Ex: Problema com equipamentos ativos, furtos, faxineira,
etc.

•Segurança Lógica: É realizada para evitar/dificultar as

falhas relacionadas aos softwares utilizados
– Ex: Bugs, falhas no desenvolvimento, etc.

Segurança Física

• A segurança começa pelo ambiente físico

“Não adianta investir dinheiro em esquemas sofisticados

e complexos se não instalarmos uma simples porta para
proteger fisicamente os servidores da rede.”

2
 Segurança Física
• Abrange todo o ambiente onde os sistemas de informação
estão instalados:
‒ Prédio, portas de acesso, trancas, piso, salas, computadores...
• Requer ajuda da engenharia civil e elétrica
• A norma ABNT NBR ISO/IEC 27002:2013 divide a área de
segurança física da seguinte forma:
‒ Áreas seguras (item 11.1)
‒ Equipamento (item 11.2)

Segurança Física
• Áreas seguras
‒Objetivo: Prevenir o acesso físico não autorizado, danos e
interferências com os recursos de processamento das
informações e nas informações da organização
 Perímetro da segurança física
 Controles de entrada física
 Segurança em escritórios, salas e instalações
 Proteção contra ameaças externas e do meio ambiente
 Trabalhando em áreas seguras
 Áreas de entrega e de carregamento

3
 Segurança Física
• Equipamento
‒Objetivo: Impedir perdas, danos, furto ou comprometimento
de ativos e interrupção das atividades da organização
 Instalação e proteção de equipamentos
 Utilidades (fornecimento de energia e/ou outros ativos de serviço)
 Segurança do cabeamento
 Manutenção de equipamentos
 Segurança de equipamentos fora das instalações
 Reutilização e alienação segura de equipamentos
 Remoção de propriedade

Segurança Física
Segurança externa e de entrada
 Proteção da instalação onde os equipamentos estão localizados, contra:
 Entrada de pessoas não autorizadas
 Catástrofes ambientais
 O prédio deve ter paredes sólidas e número restrito de entradas e
saídas
 Evitar baixadas onde a água possa se acumular → enchentes
 Evitar áreas muito abertas → descargas atmosféricas
 Em qualquer lugar, usar para-raios
 Usar muros externos e manter a área limpa → queimadas

4
 Segurança Física
Segurança externa e de entrada
 Controle de acesso físico nas entradas e saídas:
 Travas, alarmes, grades, vigilante humano, vigilância eletrônica, portas com senha,
cartão de acesso, registros de entrada e saída de pessoas e objetos

 Funcionários que trabalham na instituição devem ser

identificados com crachás com foto
 Visitantes de vem usar crachás diferenciados por setor visitado
 Todos funcionários devem ser responsáveis pela fiscalização

Segurança Física
Segurança da Sala de Equipamentos
 Agrega todo o centro da rede e os serviços que nela operam
 Entrada somente de pessoal que trabalha na sala
 Registro de todo o pessoal que entra e sai
 A sala deve ser trancada ao sair
 Deve fornecer acesso remoto aos equipamentos
 O conteúdo da sala não deve ser visível externamente
 Além do acesso indevido, a sala deve ser protegida contra:
 Vandalismo, fogo, interferências eletromagnéticas, fumaça, gases corrosivos,
poeira

5
 Segurança Física
Segurança da Sala de Equipamentos
• Se possível, uso de salas-cofre

Segurança Física
Segurança dos equipamentos
 Evitar o acesso físico aos equipamentos
 Acesso ao interior da máquina (hardware)
 Acesso utilizando dispositivos de entrada e saída (console)
 Proteger o setup do BIOS
 Tornar inativos botões de setup e liga/desliga no
gabinete
 Colocar senha no BIOS
 Inicialização apenas pelo disco rígido

6
 Segurança Física
Segurança do ambiente
 Geralmente o fornecimento de energia é de
responsabilidade da concessionária, e pode apresentar
variação de tensão e interrupção do fornecimento
 Para garantir a disponibilidade da informação é
preciso garantir o fornecimento constante de energia e
que ela esteja dentro da tensão recomendada
 Uso de nobreak e gerador
 Refrigeração

Segurança Física
Segurança do ambiente

• Nobreak (Uninterruptable
Power Supply - UPS)
– Alimenta os equipamentos
até o gerador estar disponível
– Utiliza baterias
– Autonomia limitada

7
 Segurança Física
Segurança do ambiente
• Banco de baterias
– Alimentam o no-break

• Sobre baterias, lembre-se:

– São caras
– Vida útil limitada
– Devem ser monitoradas
– Descarte ecológico

Segurança Física
Segurança do ambiente

• Gerador
– Diesel
– Gás natural
• Requer manutenção constante
• Partida
– Manual
– Automática

8
 Segurança Física
Segurança do ambiente

• Gerador
• Local de instalação:
– Exaustão de gases
– Ruído
– Abastecimento
– Armazenamento de combustível

Segurança Física
Segurança do ambiente

• Refrigeração
– Temperatura e umidade
• Funcionamento dos
equipamentos de TI
• Vida útil dos equipamentos de TI

9
 Segurança Física
Segurança do ambiente
• Fluxo de ar em um datacenter

http://www.thehotaisle.com/wp-content/bottomtotop.png, acessado em 26/07/2016.

Segurança Física
Segurança do ambiente
• Combate a incêndios
• Detecção
‒ Quanto mais cedo, melhor
‒ Sensores de fumaça convencionais
‒ Very early smoke detection apparatus (VESDA)
 Detecção por aspiração (dutos que percorrem a área)
‒ Botão de acionamento manual
• Alarme
‒ Sirenes
‒ Avisos por celular

10
 Segurança Física
Segurança do ambiente
• Combate a incêndios
‒Extintores
‒Chave para desligamento de
emergência
‒Dispersão de gases
 Combate às chamas.
 Água pode apagar um incêndio, mas
não é conveniente num datacenter
(sprinklers)

3.2 Segurança lógica

11
 Segurança Lógica
• A segurança lógica compreende os mecanismos de
proteção baseados em software
‒Senhas
‒Listas de controle de acesso
‒Criptografia
‒Firewall
‒Sistemas de detecção de intrusão
‒Redes virtuais privadas

Segurança Lógica
Firewall
• Referência às portas corta-fogo
responsáveis por evitar que um
incêndio em uma parte do prédio se
espalhe facilmente pelo prédio
inteiro
• Na Informática: previne que os
perigos da Internet (ou de qualquer
rede não confiável) se espalhem
para dentro de rede interna

12
 Segurança Lógica
Firewall
• Um firewall deve sempre ser instalado em um ponto
de entrada/saída de sua rede interna
‒Este ponto de entrada/saída deve ser único

• O firewall é capaz de controlar os acessos de e para a

sua rede

Segurança Lógica
Firewall
• Objetivos específicos de um firewall:
‒ Restringir a entrada a um ponto cuidadosamente controlado
‒ Prevenir que atacantes cheguem perto de suas defesas mais
internas
‒ Restringir a saída a um ponto cuidadosamente controlado

• O firewall pode estar em:

‒ Computadores, roteadores, configuração de redes, software
específico

13
 Segurança Lógica
Detectores de intrusão
• IDS (Intrusion Detection Systems): Sistemas
responsáveis por analisar o comportamento de uma
rede ou sistema em busca de tentativas de invasão
‒HIDS (Host IDS):
 Monitora um host específico
‒NIDS (Network IDS):
 Monitora uma segmento de rede

Segurança Lógica
VPN (Virtual Private Networks)
• VPN (Virtual Private Networks):
– Forma barata de interligar duas redes
privadas (Intranet) através da Internet
– Permite usar uma rede não confiável de
forma segura
– Exemplos:
 Ligação entre dois firewalls ou entre dois
servidores de VPN para interligar duas redes
inteiras
 Ligação entre uma estação na Internet e
serviços localizados dentro da rede interna
(Intranet)

14
 3.3 Tipos de criptografia
(simétrica e assimétrica)
e suas características

Criptologia

• Criptologia: É a ciência que cuida da comunicação e

do armazenamento de dados de forma segura e
geralmente secreta

• Ela engloba a Criptografia e a Criptoanálise

15
 Criptografia

• Criptografia: Engloba técnicas (métodos e protocolos)

utilizadas para esconder o significado de uma
mensagem

• A criptografia não esconde a mensagem real, apenas o

significado da mensagem

Criptografia
• Criptografia é diferente das técnicas de esteganografia, que
escondem a mensagem real
‒ Ex.: Usar “tinta invisível”; escrever uma mensagem na cabeça raspada,
esperar o cabelo crecer e enviar a pessoa ao destinatário

• Ela não criptografa nem incrementa o tamanho do arquivo de

mensagens escondidas
‒ Ex.: Selecionar padrões de bit em pixels coloridos para esconder a
mensagem

16
 Criptoanálise

• Criptoanálise: É a prática de mudar o texto cifrado em

texto simples, sem o conhecimento completo da cifra

• Ela testa e valida os métodos criptográficos

‒Exemplos: Força Bruta, backdoor

Objetivos e Fatores de Sucesso

• Quais os objetivos da • Quais são os fatores de

criptografia?
– Confidencialidade das mensagens
– Integridade de dados
– Identificação de entidades
– Autenticação de mensagens
– Autorização e controle de acesso
– Certificação
– Anonimato
– Não repúdio
sucesso?
‒ A confidencialidade das chaves
‒ A dificuldade de adivinhar as
chaves
‒ A dificuldade de inverter o
algoritmo de criptografia sem
saber a chave

17
 Texto Simples, Texto Cifrado, Cifra
• Texto simples: refere-se ao alfabeto comum usado
para compor a mensagem original
• Texto cifrado: refere-se à mensagem de texto simples
encriptado uma vez que as letras originais na
mensagem foram substituídas com o alfabeto cifrado
• Cifras: são qualquer forma de substituição criptográfica
aplicada ao texto da mensagem

Algoritmo, Chave
• Um algoritmo é um método geral de criptografia
• Uma chave especifica detalhes (informações adicionais) de
uma encriptação em particular
• Juntos, eles formam cifras e mensagens criptografadas
• No caso de uma cifra de substituição:
‒ O algoritmo iria substituir as letras do texto simples pelas letras
do texto cifrado
‒ A chave seria o texto no alfabeto cifrado

18
 Ciframento e Deciframento

• Ciframento

casa uityoi

• Deciframento

casa
uityoi

Técnicas de Criptografia - Tipos de

Cifras
• Clássicas ou simples
‒Transposição
‒Substituição
• Substituição polialfabética (homofônica, vigenère, etc.)
• Modernas
‒Quanto ao tipo de chave
 Algoritmos de chave simétrica (criptografia de chave privada)
 Algoritmos de chave assimétrica (criptografia de chave pública)

19
 Técnicas de Criptografia
• Transposição: é uma técnica de criptografia em que as
letras em uma mensagem são reordenadas para fornecer
sigilo

• Exemplo (cifra Rail Fence, ou Zig Zag):

HelloWorld Texto Simples (Mensagem Original)

H l oW r d Cifra (Linha 1)
e l o l Cifra (Linha 2)
HloWrdelol Texto Cifrado (Mensagem Transposta)

Técnicas de Criptografia
• Substituição: cada letra da mensagem de texto é substituída por
uma única letra diferente
‒ Cada letra mantém a sua posição original no texto da mensagem, mas a
identidade da letra é mudada
‒ Nessa definição é também chamada substituição monoalfabética

A B C D E Alfabeto comum
D C E G H Alfabeto cifrado

Mensagem texto simples: BAD

Mensagem texto cifrado: CDG

20
 Técnicas de Criptografia
• Um exemplo de técnica de criptografia de substituição é a
Cifra de César
• Usa deslocamento fixo ou variável (k) do alfabeto
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

Deslocamento de 3 caracteres (k=3)

• Por exemplo:
UNICARIOCA
XQLFDULRFD

Técnicas de Criptografia
• Particularidades das técnicas clássicas
‒Fáceis de usar
‒O receptor deve conhecer a chave para poder obter a
mensagem original
‒Frágeis, podem ser deduzidas (análise de ocorrência e
sequência de caracteres)

21
 Técnicas de Criptografia
• Um tipo de técnica de substituição monoalfabética é denominada Cifra
Aditiva
• A Cifra XOR Simples (Ou exclusivo - eXclusive OR) usa a operação
lógica correspondente com o uso de uma chave, para cifrar um texto
simples em texto cifrado
• Tabela-verdade:
A B A XOR B
0 0 0
0 1 1
1 0 1
1 1 0

• Exemplo:
 Mensagem de texto simples: ARROZ
 Representação em ASCII 8 bits:
01000001 01010010 01010010 01001111 01011010
 Chave: 11110011

01000001 01010010 01010010 01001111 01011010

11110011 11110011 11110011 11110011 11110011 ⊕
--------------------------------------------
10110010 10100001 10100001 10111100 10101001

• Mensagem cifrada: ²¡¡¼©

22
 Técnicas de Criptografia
• Substituição polialfabética: permite diferentes símbolos de texto
cifrado para representar o mesmo símbolo do texto simples

• Na substituição homofônica, letras do texto simples que se

repetem com maior frequência em um determinado idioma podem
conter mais cifras
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z UNICARIOCA
---------------------------------------------------
U X S F C E H D V I T P G A Q L K J R Z O W M Y B N OAVSUJVQS6
6 9 3 5 0 4 7
2
1

Texto simples
• Outro exemplo é a A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Cifra de Vigenère que A

B
A
B
B
C
C
D
D
E
E
F
F
G
G
H
H
I
I
J
J
K
K
L
L
M
M
N
N
O
O
P
P
Q
Q
R
R
S
S
T
T
U
U
V
V
W
W
X
X
Y
Y
Z
Z
A
usa uma tabela de C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
alfabetos (Tabula E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D

Recta) F
G
F
G
G
H
H
I
I
J
J
K
K
L
L
M
M
N
N
O
O
P
P
Q
Q
R
R
S
S
T
T
U
U
V
V
W
W
X
X
Y
Y
Z
Z
A
A
B
B
C
C
D
D
E
E
F
H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
• Ex.: I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
‒ Chave: ARROZ K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
Chave

L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
‒ Mens. texto simples: M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
FEIJAO N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
 Se o tamanho da chave P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
for menor que a Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
mensagem, repete-se a R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
partir da última letra: S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
ARROZA U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
‒ Mensagem Cifrada: V
W
V
W
W
X
X
Y
Y
Z
Z
A
A
B
B
C
C
D
D
E
E
F
F
G
G
H
H
I
I
J
J
K
K
L
L
M
M
N
N
O
O
P
P
Q
Q
R
R
S
S
T
T
U
U
V
FVZXZO X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y

23
 Técnicas de Criptografia
• Técnicas de Criptografia Modernas
‒Quanto ao tipo de chave
 Algoritmos de chave simétrica (criptografia de chave
privada)
 Algoritmos de chave assimétrica (criptografia de chave
pública)

Técnicas de Criptografia
• Simétrica

• Assimétrica

24
 Criptografia de Chave Simétrica

Criptografia de Chave Simétrica

• Principal característica é a utilização da mesma chave
para cifrar e decifrar
• Engloba os criptossistemas clássicos
• Outros nomes: Criptografia...
–...convencional
–...de chave única
–...de chave secreta

25
 Criptografia de Chave Simétrica

• Modos de operação quanto a manipulação de bits:

– Cifragem em bloco (block cipher): Trabalham sobre blocos
(conjuntos de bits)
 ECB (Electronic Codebook), CBC (Cipher Block Chaining), CFB
(Cipher Feedback), OFB (Output Feedback)
 Vetor de inicialização: bloco usado para gerar encriptações
aleatórias, bem como produzir textos cifrados distintos, no caso do
mesmo texto simples ser encriptado várias vezes, sem a necessidade
da geração mais lenta de novas chaves
– Cifragem em fluxo (stream cipher): Trabalham bit-a-bit

Cifragem em Bloco
• ECB (Electronic Code Book - Modo do Livro de Códigos)

Criptografar

Decriptografar

26
 Cifragem em Bloco
• CBC (Cipher Block Chaining - Modo do Encadeamento de
Blocos)

Criptografar

Decriptografar

Cifragem em Bloco
• ECB X CBC

27
 Cifragem em Bloco
• OFB (Output Feedback – Realimentação de Saída)

Criptografar

Decriptografar

Cifragem em Bloco
• CFB (Cipher Feedback – Realimentação de Cifra)

Criptografar

Decriptografar

28
 Criptografia de Chave Simétrica
• Alguns cifradores simétricos:
– LUCIFER
– DES, 3DES
– BLOWFISH
– RC2
– RC4
– IDEA
– RC5
– TWOFISH
– SERPENT
– RIJNDAEL (AES)

Criptografia de Chave Simétrica

• LUCIFER: criado por Horst Feistel em 1970 na IBM, funciona da seguinte maneira:
‒ A string de texto simples é traduzida para o formato binário
‒ A cadeia binária é embaralhada é dividida em blocos de 64 bits e criptografia acontece por bloco
‒ Cada um desses “blocos” são divididos em 2 blocos de 32 bits e eles são chamados de “Esquerdo
(0)” e “Direito (0)”
‒ O bloco “Direito (0)” é colocado através de uma função “estraçalhadora” que reorganiza os números
binários usando uma cifra de substituição bastante complexa
‒ O bloco “Direito (0)” é então adicionado ao “Esquerdo (0)” para criar um novo meio bloco chamado
de “Direito(1)”, e o bloco original “Direito (0)” é renomeado para a “Esquerdo (1)”

• Esta série de passos é chamada “Feistel Round” e é repetida 16 vezes no total. A

função pode mudar e é determinada por uma chave acordada entre o remetente e
do receptor

29
 Criptografia de Chave Simétrica
Bloco Inicial
(64 bits)

Primeira Chave
32 bits 32 bits

+ F

Novo Novo
bloco 32 bloco 32
bits bits

Criptografia de Chave Simétrica

• Uma versão modifcada do Lucifer foi adotada como o
padrão americano em 1977, denominada DES (Data
Encryption Standard)
‒Cifrador mais conhecido do mundo

• A principal diferença foi que a NSA limitou o DES a uma

chave de 56 bits para equilibrar os interesses entre a
segurança nacional e as necessidades de privacidade
pessoais e corporativos

30
 Criptografia de Chave Simétrica

• 3DES (Triple DES): IBM, início de 1979

• 3 chaves de 56 bits (168 bits)

Criptografia de Chave Simétrica

• Em resposta ao tamanho da chave e aos problemas de

desempenho relacionados ao Triple DES, criptógrafos
e empresas comerciais desenvolveram novas cifras
de bloco

31
 Criptografia de Chave Simétrica
• Blowfish (Counterpane Systems)
• RC2 (RSA)
• RC4 (RSA)
• IDEA (Ascon)
• Cast (Entrust)
• Safer (Cylink)
• RC5 (RSA)

Criptografia de Chave Simétrica

• Enquanto DES e Triple DES requeriam chaves de tamanho
fixo, suas substituições comerciais eram mais rápidas e
capazes de operar com chaves maiores e tamanho variável

• As diferentes substituições comerciais do DES prosperaram

em algum grau e as empresas construíram produtos
utilizando os algoritmos
‒ Mas nenhuma proposta se tornou um padrão mundial comparável
ao DES ou ao Triple DES

32
 Criptografia de Chave Simétrica
• Em 1997 o NIST (National Institute of Standards and
Technology), órgão do Departamento de Comércio dos EUA,
encarregado de aprovar padrões para o governo federal dos
EUA patrocinou um concurso para um novo padrão criptográfico
para uso não-confidencial

• O vencedor foi o Rijndael (Daemen & Rijmen) que veio a se

chamar AES (Advanced Encrytion Standard)

Criptografia de Chave Assimétrica

33
 Criptografia de Chave Assimétrica
• Proposto por W. Diffie e M. Hellman (1976)
• Baseia-se num par de chaves
– Pública, serve para cifrar
– Privada, serve para decifrar
• Mais lento que algoritmos de chave simétrica
• Exemplos: RSA, Diffie-Hellman, Curvas Elípticas, ElGamal,
Rabin

Criptografia de Chave Assimétrica

• RSA (Rivest-Shamir-Adleman): Primeiro algoritmo prático
(1978)
• Mais usado algoritmo de chave pública
• Provê confidencialidade e assinatura digital
• Segurança do método está na fatoração de números
grandes

34
 Criptografia de Chave Assimétrica
• Geração das chaves (por A)
• Gerar dois primos grandes e distintos p e q
• Computar n=p.q e  = (p-1)(q-1)
• Selecionar um inteiro aleatório e, 1 < e < 
 mdc(e, ) = 1
• Computar d, 1 < d < 
 ed = 1 (mod )
• Chave pública é (n,e); Chave privada é d

Criptografia de Chave Assimétrica

• Exemplo:
–Geração das chaves (n,e) e d
 p = 101 e q = 113
 n = 11413 e (n) = 100 . 112 = 11200
 e = 3533
 3533 = d-1 mod 11200 => d = 6597
–Ciframento (m = 9726)
 c = 97263533 mod 11413 = 5761
 m = 57616597 mod 11413 = 9726

35
 Comparativo entre os métodos

Criptografia Simétrica Criptografia Assimétrica

Velocidade Alta Baixa

Confiabilidade Boa Muito Boa

Nível de Segurança Alto Alto

Requer uma terceira parte confiável Algumas vezes Sempre

Quantidade de chaves usadas Uma Duas

Criptografia Híbrida
• Criptografia Híbrida
– “Meio termo” entre as criptografias
– Aproveita o que tem de bom das duas partes

• Os dois usuários usam chaves públicas e privadas para

proteger e transportar apenas as chaves secretas, e
então usam as chaves secretas para cifrar os dados

36
 3.4 Mecanismos de
assinatura digital e
funções de hashing

Assinatura Digital
• Assinatura Digital
‒ Suponha que uma terceira pessoa (TRUDY) é capaz de
interceptar a comunicação entre Alice e Bob

37
 Assinatura Digital
‒ Como Trudy não possui as chaves privadas de Alice e Bob, não consegue
decodificar a mensagem cifrada  Confidencialidade OK!
‒ No entanto, Trudy pode possuir as chaves públicas de ambos.
‒ O que a impede de enviar mensagens forjadas?

Assinatura Digital
• Assinatura Digital - permite que:

1. O receptor tenha certeza da identidade do emissor

2. O emissor não possa negar que enviou a mensagem
nem contestar seu conteúdo
3. O receptor não possa adulterar o conteúdo da
mensagem recebida

38
 Assinatura Digital
• Uma propriedade do RSA
diz que:

“Uma mensagem codificada

com a chave privada de um
usuário só pode ser
decodificada com a
respectiva chave pública”

(Note que é o inverso do

que foi dito até agora)

Assinatura Digital
• A mensagem codificada com a Chave Privada de um usuário:
‒ Pode ser decodificada por qualquer um que tenha sua chave
pública, ou seja, muitas pessoas
‒ Porém, se for decodificada corretamente significa que o emissor
é realmente o dono daquela chave pública (pois só ele tem a
chave privada)  garantia de identidade
‒ Para garantir sua identidade, o emissor anexa na mensagem
uma assinatura de sua mensagem codificada com sua chave
privada
‒ Para isso, utilizam-se as funções de Hashing

39
 Assinatura Digital
• Hashing ou Message Digest
• Produz uma assinatura a partir de uma entrada
• Características importantes:
1. O cálculo do hash de uma mensagem deve ser fácil e rápido.
2. O tamanho do hash deve ser constante, independente do tamanho da
mensagem de entrada.
3. A partir do hash deve ser impossível deduzir a mensagem original.
4. Não deve ser possível, a partir de uma mensagem e seu hash, deduzir
uma outra mensagem que produza o mesmo hash.
5. Uma mínima mudança na mensagem deve produzir uma grande
mudança no hash.

Assinatura Digital
• Funções mais usadas:
‒ MD5 - 128 bits
‒ SHA-1 - 160 bits
‒ SHA-2 - 224/256/384/512 bits
• Uma mínima alteração no texto, altera todo o hash
• Exemplo:
‒ Os hashes MD5 de 128-bit são normalmente representados por
uma sequência de 32 caracteres hexadecimais
 MD5(“mensagem de teste 1 2 3”)  63745902de0027d04c06d8ba5b94a225
 MD5(“mensagem de teste 1 2 2”)  4ebcbd22ef3815461cc75607647056cb

40
 Assinatura Digital
• Como as funções de hashing podem ser usadas para
gerar assinatura para quaisquer tamanhos de
mensagem, é de se esperar que diferentes entradas
produzam a mesma saída → colisão de hashing
‒ Apesar de possível, é matematicamente improvável (para não
dizer quase impossível) que se consiga obter uma segunda
mensagem que produza o mesmo hash
‒ Mesmo que se consiga (por força-bruta), é ainda mais
improvável que esta mensagem possua algum sentido
ortográfico e semântico

Assinatura Digital
• Verificação da Assinatura Digital:
1. Executa-se a função MD (usando o mesmo algoritmo MD que foi
aplicado ao documento na origem), obtendo-se um hash para aquele
documento, e posteriormente, decifra-se a assinatura digital com a
chave pública do remetente
2. A assinatura digital decifrada deve produzir o mesmo hash gerado pela
função MD executada anteriormente
3. Se estes valores são iguais é determinado que o documento não foi
modificado após a assinatura do mesmo, caso contrário o documento
ou a assinatura, ou ambos foram alterados

41
Assinatura Digital

Assinatura Digital
Garante a integridade
da mensagem e a
identidade do
emissor

Garante que apenas

o receptor possa
decodificar a
mensagem cifrada

42
 Assinatura Digital
• Aplicações Práticas: Autenticação/SMIME

Fonte de uma mensagem autenticada Forma como a mensagem anterior aparece

enviada pelo Outlook Express e recebida no Outlook Express.
pelo Netscape.

Assinatura Digital
• Aplicações Práticas: Criptografia/SMIME

Fonte de uma mensagem criptografada Forma como a mensagem anterior aparece

enviada pelo Outlook Express e recebida no Outlook Express.
pelo Netscape.

43
 Assinatura Digital
• Aplicações Práticas: Autenticação e criptografia/SMIME

Fonte de uma mensagem criptografada e Forma como a mensagem anterior aparece

autenticada enviada pelo Outlook Express e no Outlook Express.
recebida pelo Netscape.

Assinatura Digital
• Aplicações Práticas: Web
‒ Nos requisitos
– Autenticação do servidor
– Autenticação do cliente
– Integridade de conteúdo
– Confidencialidade
‒ Nos protocolos
– SSL (Secure Socket Layer)
– Secure HTTP (Secure HyperText Transfer Protocol)
‒ Nos aplicativos
– SSH (Secure Shell)
– IPSec (Internet Protocol Security)
– VPNs (Virtual Private Networks)
– EDI (Electronic Data Interchange)

44
 3.5 Certificados Digitais:
Características e
objetivos

Certificação Digital

• Uma vulnerabilidade não resolvida até aqui:

‒Suponha que Bob e Alice vão se falar pela primeira vez
‒Ambos devem obter a chave pública do outro
‒Se um terceiro (TRUDY) consegue distribuir chaves falsas
para ambos:
 Trudy poderia intermediar (e interceptar) toda a comunicação
entre Bob e Alice
 Bob e Alice pensariam estar se comunicando diretamente e com
segurança, mas não seria a realidade

45
 Certificação Digital
• O originador de uma mensagem criptografada precisa
conhecer a chave pública do destinatário
• O destinatário de uma mensagem autenticada precisa
conhecer a chave pública do originador
• É necessário que o usuário tenha certeza de que a chave
pública que está utilizando é autêntica
‒Em um pequeno grupo, poderia trocar as chaves
públicas e guardá-las de forma segura
‒Já em um grande grupo, a troca manual de chave é
impraticável!

Certificação Digital
• Certificado Digital: arquivo digital que contém as
informações necessárias à identificação de um indivíduo ou
programa, equipamento, componente, produto, etc, incluindo
sua chave pública
• Principal função de um certificado: vincular uma chave
pública ao nome de um protagonista (indivíduo, empresa, etc.)
• Os certificados em si não são secretos ou protegidos
– Usualmente estão disponíveis em uma base de acesso livre na
Internet (diretório X.500)

46
 Certificação Digital
• Autoridade Certificadora - AC (Certification Authority - CA):
Cartório eletrônico
– Entidade que emite certificados para possuidores de chaves
públicas e privadas (pessoa, dispositivo, servidor)

• Exemplos de CAs: VeriSign, Cybertrust, Nortel

Certificação Digital
• Atribuições de uma AC:
 Gerar, entregar e armazenar a chave privada de forma segura
 Distribuir a chave pública
 Atualizar o par de chaves
 Assinar a chave pública para gerar o certificado.
 Assinar certificados digitais garantindo sua validade
 Manter e divulgar uma lista com os certificados revogados (Certificate
Revocation List - CRL)
 CAs podem estar encadeadas em hierarquias de certificação, em que a CA de
um nível inferior valida sua assinatura com a assinatura de uma CA mais alta
na hierarquia

47
 Certificação Digital

• Período de validade e revogação

– Os certificados definem períodos de validade para as chaves
públicas

• Certificados podem ser revogados antes de sua expiração:

– Suspeita de corrupção da chave pública
– Término de contrato
– Mudança de nome

Certificação Digital
• Componentes básicos de um certificado digital:
– A chave pública
– Nome e endereço de e-mail
– Data da validade da chave pública
– Nome da autoridade certificadora (CA)
– Número de série do Certificado Digital
– Assinatura Digital da Autoridade Certificadora

48
 Certificação Digital

Certificação Digital
• Para que serve um Certificado Digital?
– Correio Eletrônico seguro
– Transações Bancárias sem repúdio
– Compras pela Internet sem repúdio
– Consultas confidenciais a cadastros
– Arquivo de documentos legais digitalizados
– Transmissão de documentos
– Contratos digitais
– Certificação de Equipamentos
– Certificação de Programas de Computador
– Certificação de vídeo, som e comandos digitais

49
 Certificação Digital
• Obtenção de um Certificado
 Cliente gera um par de chaves pública e privada (por exemplo,
usando RSA)
 Envia-se um pedido de certificado para a Autoridade de Registro
 AR (Autoridade Regional de Registro) faz a prova de existência do
requisitante e retransmite o pedido para a AC
 AC assina e envia o certificado
 Usuário instala seu certificado
 Usuário divulga o certificado

Certificação Digital
• Política de Certificação:
• A Autoridade de Registro (AR), tendo a delegação de uma AC
para tal, faz uma investigação no solicitante e determina:
– Se o pedido deve ser atendido
– Quais as características que deve ter

• Obs.: não confundir Autoridade de Certificação (CA) com a

Autoridade de Registro
‒ A AR faz o reconhecimento presencial da pessoa que solicita a
Certificação Digital

50
 Certificação Digital
• Tipos de certificados
– Certificados de AC: utilizados para validar outros certificados; auto-
assinados ou assinados por outra AC
– Certificados de servidor: utilizados para identificar um servidor
seguro; contém o nome da organização e o nome DNS do servidor
– Certificados pessoais: contém nome do portador e,
eventualmente, informações como endereço eletrônico, endereço
postal, etc
– Certificados de desenvolvedores de software: utilizados para
validar assinaturas associadas a programas

Certificação Digital

• Infra-estrutura para o gerenciamento de chaves públicas

(padrão Public Key Infrastructure - PKI)

• Determina:
– Onde os certificados digitais serão armazenados e recuperados
– De que forma estão armazenados
– Como um certificado é revogado, etc.

51
 Certificação Digital
• Requisitos para uma Infra-estrutura de Chave Pública
–Escalabilidade
–Suporte a várias aplicações
–Interoperabilidade
–Suporte a múltiplas políticas
–Limitação de responsabilidade
–Padronização

Certificação Digital
• Função da PKI
– Fornecer um modo para estruturar os componentes (usuários, CAs,
certificados, etc.).
– Definir padrões para os vários documentos e protocolos.
– Garantir a autenticação, confidencialidade, integridade e a não recusa
das informações.

• A própria empresa pode criar sua PKI e fazer, por exemplo, com que um
departamento das filiais atue como AC ou AR, solicitando ou emitindo
certificados para seus funcionários

52
 Certificação Digital
• ICP é a sigla no Brasil para PKI
• ICP-Brasil se caracteriza pela presença de um sistema
hierárquico ou vertical, onde há a presença de uma AC-raiz
(papel realizado pelo Instituto Nacional de Tecnologia da
Informação), que credencia e audita as ACs pertecentes ao
sistema

http://www.iti.gov.br/icp-brasil/estrutura, acesso em 28/07/2016

53
 Certificação Digital

Certificação Digital
1. Solicita o certificado digital 2. Verifica identidade do usuário

Autoridade Registro

Não: Recusa a solicitação Id 

válida
?

Envia certificado para o usuário

Publica o certificado Sim: Requisita o
Certificado para o usuário

Repositório Autoridade Certificadora

54