Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurana da Informao o conjunto de medidas tomadas para preservar as informaes de possveis danos, modificaes, destruies ou divulgaes no autorizadas. Pode tambm ser definida como o conjunto de medidas, normas e procedimentos destinados a garantir a integridade, a disponibilidade, a confidencialidade, a autenticidade, a irretratabilidade e a atualidade da informao em todo o seu ciclo de vida. Segurana de Informao est relacionada com proteo da informao, no sentido de preservar o valor que possuem para um indivduo ou uma organizao, no estando esta segurana restrita somente a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento tambm se aplica at mesmo a informaes em papel ou conversaes pessoais ou por telefone. O conceito se aplica a todos os aspectos de proteo de informaes. Proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaa a seu desenvolvimento. A segurana da informao a proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao no-autorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento.
2. Integridade
O conceito de integridade est ligado ao estado da informao no momento de sua gerao e resgate. Ela estar ntegra se no tempo de resgate estiver fiel ao seu estado original. O aspecto integridade no diz respeito ao contedo, que pode estar errado, mas s variaes e alteraes entre o processo de gerao e resgate. Portanto, integridade no significa a exatido da informao.
3. Disponibilidade
Sistemas de informao existem para disponibilizar informaes. A concepo dos sistemas operacionais de combate exige que a integrao dos subsistemas, ou seja, acesso informao entre os integrantes. De nada adianta uma completa infra-estrutura tecnolgica de12 comando e controle, com recursos que garantam a integridade e a confidencialidade das informaes se a mesma no puder ser acessada quando necessrio.
2. No-Repdio
a garantia de que um agente no consiga negar um ato ou documento de sua autoria. Essa garantia condio necessria para a validade jurdica de documentos e transaes digitais. S se pode garantir o no-repdio quando houver Autenticidade e Integridade (ou seja, quando for possvel determinar quem mandou a mensagem e quando for possvel garantir que a mensagem no foi alterada). Novamente, entramos no mrito de que s haver tal garantia 100% vlida, se houver uma instituio que emita essas garantias.
3. Legalidade
Garante a legalidade (jurdica) da informao. Aderncia de um sistema legislao. Caracterstica das informaes que possuem valor legal dentro de um processo de comunicao, onde todos os ativos esto de acordo com as clusulas contratuais pactuadas ou a legislao poltica institucional, nacional ou internacional vigentes.
4. Privacidade
Foge do aspecto de confidencialidade, pois uma informao pode ser considerada confidencial, mas no privada. Uma informao privada deve ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informao no ser disponibilizada para outras pessoas (neste caso atribudo o carter de confidencialidade a informao). a capacidade de um usurio realizar aes em um sistema sem que seja identificado.
5. Auditoria
Rastreabilidade dos diversos passos que um negcio ou processo realizou ou que uma informao foi submetida, identificando os participantes, os locais e horrios de cada etapa. Auditoria em software significa uma parte da aplicao, ou conjunto de funes do sistema, que viabiliza uma auditoria. Consiste no exame do histrico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violao de segurana.
Ameaas
Do ingls threat, pode ser definida como qualquer ao, acontecimento ou entidade que possa agir sobre um ativo, atravs de uma vulnerabilidade e conseqentemente gerando um determinado impacto. As ameaas apenas existem se houverem vulnerabilidades, sozinhas pouco fazem. Ativo tudo aquilo que tem valor para a sua empresa. Todos os ativos relevantes devem ser identificados e inventariados. Existe um pouco de confuso porque costumamos associar a expresso inventrio de ativos ao usual inventrio de hardware e software. Quando o assunto segurana da informao, por inventrio de ativos devemos compreender um conjunto mais abrangente de ativos, que contempla sistemas, pessoas, ambientes fsicos entre outros.
2. Involuntrias
So decorrentes de aes inconscientes, quase sempre causadas pelo desconhecimento do processo de segurana. Tem origem nos prprios integrantes da Unidade. Podem ser causadas por incidentes, erros, falta de energia etc.
3. Voluntrias
So ameaas propositais causadas por agentes humanos que deliberadamente procuram se infiltrar nos nossos sistemas para causar danos, tambm conhecidos como ataque a um sistema de informao. Ataque pode ser definido como um assalto ao sistema de segurana que deriva de uma ameaa inteligente, isto , um ato inteligente que seja uma tentativa deliberada (especial no sentido de um mtodo ou tcnica) para invadir servios de segurana e violar as polticas do sistema. Um ataque pode ser ativo, tendo por resultado a alterao dos dados; passivo, tendo por resultado a liberao dos dados; ou destrutivo visando negao do acesso aos dados ou servios.
Atacantes Newbie
Existem outras designaes como n00b, basicamente um novato, um recm-chegado a informtica, um utilizador final de um produto, que passa a vida a fazer perguntas sobre como funcionam as coisas mais bsicas, mas que quer aprender a dominar minimamente as ferramentas com que trabalha no seu dia-a-dia;
Luser
Associao de palavras Loser + User, semelhante ao newbie, mas neste caso no quer aprender nada, quer simplesmente as coisas a funcionar, ento sempre que tm duvidas inunda fruns e chats fazendo perder a pacincia a quem faz suporte tcnico, costumam ser vitimas fceis de trojans, por parte de utilizadores mal intencionados;
Lammer
Tambm se podem aclamar como script-kiddies, utilizadores que encontram uns programas na Internet (na sua maioria criados por crackers) que exploram determinados bugs, infectam computadores de terceiros com trojans, gabam-se sempre dos seus feitos e aclamam-se como hackers, vivem do trio das seguintes ferramentas: scan, exploit e trojan;
Defacer
So os pixadores digitais, uma ao defacing constitu-se basicamente na modificao da pgina inicial de um site, ou qualquer parte dele, pelos mais variados motivos.
Cyberpunks
a combinao de ciberntica e punk. So aqueles que realizam suas invases por puro divertimento e desafio. Eles geralmente so os responsveis por encontrar vulnerabilidades em sistemas e divulg-las na internet, trazendo um beneficio a organizaes de todos os tipos. Cyperpunk usa seu conhecimento acima da mdia para realizar protestos contra a sistemtica vigente das grandes corporaes, sob a forma de vandalismo e com cunho depreciativo, causando prejuzos sem ter qualquer ganho pessoal.
Insiders
So os responsveis por ataques de dentro da prpria rede interna de uma organizao, sendo os principais responsveis pelos maiores prejuzos com fraudes financeiras e com abusos nas redes internas. Os insiders geralmente so funcionrios descontentes com seu trabalho e normalmente so os principais causadores da espionagem industrial, que considerada uma nova modalidade de crime.
Wannabe
Pode ser algo positivo ou negativo, positivo se o tipo bastante culto sobre o assunto e est prestes a entrar na fase de larva ou negativo se o individuo vive apenas o sonho do mundo hacker dos filmes e nem faz a mnima ideia do que a realidade deste mundo;
Larval stage
quando o individuo abdica da sua vida real (pode durar entre 6 meses a 2 anos), para viver exclusivamente pela busca de informao e conhecimento cada vez mais aprofundado sobre sistemas e programao;
Hacker
Individuo que passou pela fase larvar, fez um grande caminho e tornou-se profundo conhecedor de pelo menos um sistema operativo, so excelentes programadores e administradores de sistemas. Mas este termo foi denegrido pela comunidade jornalista e so considerados como criminosos digitais. Mas na verdade possuem um rgido cdigo de tica, fazem a chamada prtica do bem, embora essa prtica possa ser contra a lei, tudo o que fazem pela busca do conhecimento e auxilio de terceiros, nunca para proveito prprio ou destruio alheia. No entanto existem 3 subformas do hacker:
White Hat
Especialistas em segurana que podem ou no pertencer a empresas e prestam servios a empresas ou terceiros, para ajudarem a aumentar a segurana de um determinado software ou rede. As grandes empresas como a Microsoft costumam recorrer a estes especialistas;
Grey Hat
Por norma no costuma executar crimes nem tirar proveito do seu conhecimento, mas podem fazerlo diretamente sendo movidos por ambies politicas, religiosas ou sociais; ou indiretamente executando uma ao que contra a lei do seu pas.
Cracker
Tambm conhecido por Black Hat, a terceira subforma do hacker, normalmente so indivduos com conhecimentos inferiores ao hacker, mas que usam todos os meios para proveito prprio, sem
qualquer tica. Podem infectar sistemas alheios ou mesmo destruir sem deixar vestgios. Costumam ser bons programadores e so quem burla as protees anti-pirataria, executa defaces, e invade sistemas. O lammer costuma usar as ferramentas do cracker que normalmente esto infectadas com trojans ou vrus para provocar danos nos computadores do lammer;
Phreaker
o chamado cracker da eletrnica e telecomunicaes, arranja maneiras de fazer chamadas telefnicas, ter acesso aos pacotes codificados de tv a cabo, desencriptar chaves de acesso a canais pagos por satlite etc; John Draper Capito Crunch - Ele tinha um amigo cego chamado Joe Engressia que chegou a concluso de que era possvel fazer ligaes de graa se conseguissem emitir uma determinada freqencia, 2600 hz. E John Draper arranjou um apito amarelo de plstico de brinquedo que vinha no Cereal Capn Crunch e Bem, comeou a fazer ligaes de graa. A ele inventou as Blues Boxes. Um dispositivo que simula um painel de um operador de telefonia. Esse negcio mudava o tom do apito e conseguia fazer o chaveamento de ligaes de longa distncia. Em outras palavras, ele podia ligar para o mundo inteiro com esse troo.
Carder
O cracker dos cartes de crdito, o seu objectivo roubar senhas dos cartes de crdito, iludir maquinas de levantamento de dinheiro, clonar cartes, fazer compras online com nmeros de cartes gerados aleatoriamente;
War driver
Cracker das redes wireless, basicamente procuram pontos de acesso a Internet sem fios e tentam usufruir da Internet sem custos explorando as vulnerabilidades de terceiros. Na Europa existe j o war chalking que so indivduos que informam os war drivers, dos melhores pontos com redes wireless, atravs de smbolos a giz ou das chamadas tags.
Tipos de Ataque Vrus
So pequenos programas criados para causarem algum tipo de dano a um computador. Este dano pode ser lentido, excluso de arquivos e at a inutilizao do Sistema Operacional.
Cavalo de Tria
Tambm conhecido como trojan-horse, um programa disfarado que executa alguma tarefa mau intencionada, como por exemplo abrir uma porta TCP do micro para uma possvel invaso. Alguns dos trojans mais populares so NetBus, Back Orifice e SubSeven.
Rootkits
Um invasor, ao realizar uma invaso, pode utilizar mecanismos para esconder e assegurar a sua presena no computador comprometido. O conjunto de programas que fornece estes mecanismos conhecido como rootkit.
Backdoors
Tcnica que o invasor usa para deixar uma porta aberta depois de uma invaso para que ele possa voltar facilmente ao sistema invadido para novas realizaes. Geralmente, os backdoors se
um programa auto-replicante, semelhante a um vrus. O vrus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm um programa completo e no precisa de outro programa para se propagar.
Spywares
Spyware consiste no software de computador que recolhe a informao sobre um usurio do computador e transmite ento esta informao a uma entidade externa sem o conhecimento ou o consentimento informado do usurio.
Buffer Overflow
a tcnica de tentar armazenar mais dados do que a memria suporta, causando erros e possibilitado a entrada do invasor. Geralmente em um ataque de buffer overflow o atacante consegue o domnio do programa atacado e privilgio de administrador na mquina hospedeira.
Exploits
So pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente so escritos pelos verdadeiros hackers e so utilizados por pessoas sem conhecimento da vulnerabilidade. Estes tipos de programas atraem o pblico por que geralmente so muito pequenos, fceis de usar e o benefcio que ele proporciona imediato e satisfatrio.
Password Crackers
So programas utilizados para descobrir as senhas dos usurios. Estes programas geralmente so muito lentos, pois usam enormes dicionrios com o mximo de combinaes possveis de senhas e ficam testando uma a uma at achar a senha armazenada no sistema. Este tipo de descoberta de senha chamado de Ataque de fora bruta. Estes programas tambm podem ser utilizados pelos administradores de sistema para descobrir senhas fracas dos seus usurios.
Denial Of Services
A principal funo desse ataque impedir que os usurios faam acesso a um determinado servio. Consiste em derrubar conexes e/ou servios pelo excesso de dados enviados simultaneamente a uma determinada mquina e/ou rede. Estes tipos de ataques tambm so conhecidos como flood (inundao). H alguns variantes como por exemplo o DDoS, onde vrios computadores com softwares instalados por um atacante servem como zubis e quando recebem ordem para iniciar o ataque bombardeiam o servidor-alvo.
Spoofing
uma tcnica que consiste em mascarar (spoof) pacotes IP com endereos remetentes falsificados. O atacante para no ser identificado falsifica o seu nmero de IP ao atacar para que nenhuma tcnica de rastre-lo tenha sucesso. Geralmente os nmeros utilizados so de redes locais, como 192.168.x.x, 10.x.x.x ou 172.16.x.x. Estes nmeros no so roteveis e fica quase impossvel o rastreamento. Porm fcil impedir um ataque com o IP Spooffado.
Mail Bomb
a tcnica de inundar um computador com mensagens eletrnicas. Em geral, o agressor usa um script para gerar um fluxo contnuo de mensagens e abarrotar a caixa postal de algum. A
o uso indevido de linhas telefnicas, fixas ou celulares. No passado, os phreakers empregavam gravadores de fita e outros dispositivos para produzir sinais de controle e enganar o sistema de telefonia. Conforme as companhias telefnicas foram reforando a segurana, as tcnicas tornaramse mais complexas. Hoje, o phreaking uma atividade elaborada, que poucos hackers dominam.
Smurf
Consiste em mandar sucessivos Pings para um endereo de broadcast fingindo-se passar por outra mquina, utilizando a tcnica de Spoofing. Quando estas solicitaes comearem a ser respondidas, o sistema alvo ser inundado (flood) pelas respostas do servidor. Geralmente se escolhe para estes tipos de ataques, servidores em backbones de altssima velocidade e banda, para que o efeito seja eficaz.
Sniffing
a tcnica de capturar as informaes de uma determinada mquina ou o trfego de uma rede sem autorizao para coletar dados, senhas, nomes e comportamento dos usurios. Os programas geralmente capturam tudo que passa e depois utilizam filtros para que possa facilitar a vida do sniffador. Existem sniffers especficos de protocolos como o imsniffer que captura apenas as conversas via MSN Messenger em uma rede.
Scamming
Tcnica que visa roubar senhas e nmeros de contas de clientes bancrios enviando um e-mail falso oferecendo um servio na pgina do banco. A maioria dos bancos no envia e-mails oferecendo nada, portanto qualquer e-mail desta espcie falso.
Teclado virtual falso
Software malicioso que abre uma tela de teclado virtual clonado exatamente sobre o teclado virtual legtimo do banco, para que o usurio informe os seus dados nele.
Keyloggers
Software que captura os dados digitados no teclado do computador, como senhas e nmeros de cartes de crdito.
Screenloggers
Software que captura os movimentos do mouse e cliques de botes, com o objetivo de contornar os teclados virtuais dos bancos. Os mais recentes capturam, inclusive, uma pequena imagem da rea onde o clique do mouse ocorreu, para driblar teclados virtuais que embaralham suas teclas.
DNS Poisoning
Um atacante compromete um servidor DNS para, quando este receber a solicitao de resoluo de uma URL de interesse (por exemplo, www.bb.com.br), devolver o endereo IP de um site clonado ou malicioso, desviando o usurio sem que este perceba. Este tipo de ataque tambm conhecido como Envenenamento de DNS.
BHOs
Browser Helper Objects so DLLs que funcionam como plugins do Internet Explorer, podendo ver (e alterar) todos os dados que trafegam entre o computador e um servidor web. Nem todos so, necessariamente, maliciosos, mas so muito usados para construir em cavalos-de-tria e spyware.
Clonagem de URLs
URLs podem ser clonadas por semelhana (wwwbancobrasil.com.br, www.bbrasil.com.br, www.bbrazil.com.br, www.bancodobrasil.com.br, www.bbrasill.com.br) ou por falhas de segurana de browsers (por exemplo, falhas de interpretao de nomes de site em unicode).
Scanning de memria/DLL Injection
Tcnicas usadas por um programa para acessar a memria ocupada por outro programa, podendo assim ler dados sensveis como a senha informada pelo usurio e chaves criptogrficas.
SQL Injection
Trata-se da manipulao de uma instruo SQL atravs das variveis que compem os parmetros recebidos por um script, tal como PHP, ASP, JSP, entre outros. Este tipo de ataque consiste em passar parmetros a mais via barra de navegao do navegador, inserindo instrues no esperadas pelo banco de dados. Geralmente o atacante utiliza destas ferramentas para roubar dados ou danificar a base de dados que est no servidor.
Spam e Phishing
o envio de mensagens no solicitadas, em grande nmero, a destinatrios desconhecidos. O Spam propriamente dito no um ataque. Mas o problema que muitas vezes vem com links maliciosos onde geralmente instalam vrus na mquina, spyware ou at um keylogger. Cerca de 60% do trfego da Internet hoje somente de Spam.
Engenharia Social
Na verdade este no propriamente dito um tipo de ataque a redes de computadores, porm um ataque ao ser humano. Usar de tcnicas como: passar por outra pessoa no telefone pedir informaes sigilosas da empresa ou at recompensar um funcionrio por dados importantes fazem parte da Engenharia Social.
Bots
Como um worm, o bot um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de softwares instalados em um computador. Adicionalmente ao worm, dispe de mecanismos de comunicao com o invasor, permitindo que o bot seja controlado remotamente. Normalmente, o bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala) determinado. Ento, ele aguarda por instrues do invasor, monitorando as mensagens que esto sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por seqncias especiais de caracteres, que so interpretadas pelo bot. Estas seqncias de caracteres correspondem a instrues que devem ser executadas pelo bot.
Ataque Fsico
Verificar o lixo em busca de informaes que sejam de alguma forma relevante para contribuir para um ataque bem sucedido.
Man-in-the-middle
uma forma de ataque em que os dados trocados entre duas partes, por exemplo vo e o seu banco, so de alguma forma interceptados, registados e possivelmente alterados pelo atacante sem
Proteo
Autenticao e autorizao
A autorizao o processo de conceder ou negar direitos a usurios ou sistemas, por meio das chamadas listas de controle de acessos (Acess Control Lists ACL), definindo quais atividades podero ser realizadas, desta forma gerando os chamados perfis de acesso. A autenticao o meio para obter a certeza de que o usurio ou o objeto remoto realmente quem est afirmando ser. um servio essencial de segurana, pois uma autenticao confivel assegura o controle de acesso, determina que est autorizado a ter acesso informao, permite trilhas de auditoria e assegura a legitimidade do acesso.
Firewall
Um firewall um sistema (ou grupo de sistemas) que reforam a norma de segurana entre uma rede interna segura e uma rede no-confivel como a Internet. Os firewalls tendem a serem vistos como uma proteo entre a Internet e a rede privada. Mas em geral, um firewall deveria ser considerado como um meio de dividir o mundo em duas ou mais redes: uma ou mais redes seguras e uma ou mais redes no-seguras. Um firewall pode ser um PC, um roteador, um computador de tamanho intermedirio, um mainframe, uma estao de trabalho UNIX ou a combinao destes que determine qual informao ou servios podem ser acessados de fora e a quem permitido usar a informao e os servios de fora. Geralmente, um firewall instalado no ponto onde a rede interne segura e a rede externa noconfivel se encontram, ponto que tambm conhecido como ponto de estrangulamento.
Um firewall projetado para proteger as fontes de informao de uma organizao, controlando o acesso entre a rede interna segura e a rede externa no-confivel. importante notar que mesmo se o firewall tiver sido projetado para permitir que dados confiveis passem, negar servios vulnerveis e proteger a rede interna contra ataques externos, um ataque recm-criado pode penetrar o firewall a qualquer hora. O administrador da rede deve examinar regularmente os registros de eventos e alarmes gerados pelo firewall. Os firewalls podem ser divididos em duas grandes classes: Filtros de pacote e servidores proxy.
Filtros de Pacotes
A filtragem de pacotes um dos principais mecanismos que, mediante regras definidas pelo administrador em um firewall, permite ou no a passagem de datagramas IP em uma rede. Poderamos filtrar pacotes para impedir o acesso a um servio de Telnet, um chat ou mesmo um site na Internet. O modelo mais simples de firewall conhecido como o dual homed system, ou seja, um sistema que interliga duas redes distintas. Este sistema possui um servidor com duas placas de rede que faz com que os usurios possam falar entre si.
Servidores Proxy
Permite executar a conexo ou no a servios em uma rede modo indireto. Normalmente os proxies so utilizados como caches de conexo para servios Web. Um proxy utilizado em muitos casos como elemento de acelerao de conexo em links lentos.
Detector de Intrusos
A maneira mais comum para descobrir intruses a utilizao dos dados das auditorias gerados pelos sistemas operacionais e ordenados em ordem cronolgica de acontecimento, sendo possvel inspeo manual destes registros, o que no uma prtica vivel, pois estes arquivos de logs apresentam tamanhos considerveis. Nos ltimos anos, a tecnologia de deteco de intruso (Intrusion Detection System IDS) tem se mostrado uma grande aliada dos administradores de segurana. Basicamente, o que tais sistemas fazem tentar reconhecer um comportamento ou uma ao intrusiva, atravs da anlise das informaes disponveis em um sistema de computao ou rede, para alertar um administrador e / ou automaticamente disparar contra-medidas. Para realizar a deteco, vrias tecnologias esto sendo empregadas em produtos comerciais ou em projetos de pesquisas, as tecnologias utilizadas incluem anlise estatstica, inferncia, inteligncia artificial, data mining, redes neurais e diversas outras. Um IDS automatiza a tarefa de analisar dados da auditoria. Estes dados so extremamente teis, pois podem ser usados para estabelecer a culpabilidade do atacante e na maioria das vezes o nico modo de descobrir uma atividade sem autorizao, detectar a extenso dos danos e prevenir tal ataque no futuro, tornando desta forma o IDS uma ferramenta extremamente valiosa para anlises em tempo real e tambm aps a ocorrncia de um ataque.
Criptografia
A palavra criptografia tem origem grega (kriptos = escondido, oculto e grifo = grafia,escrita) e define a arte ou cincia de escrever em cifras ou em cdigos, utilizando um conjunto de tcnicas que torna uma mensagem incompreensvel, chamada comumente de texto cifrado, atravs de um processo chamado cifragem, permitindo que apenas o destinatrio desejado consiga decodificar e ler a mensagem com clareza, no processo inverso, a decifragem.Criptografia a cincia de escrever ocultamente e hoje, sem dvida, a maneira mais segura de se enviar informaes atravs de um canal de comunicao inseguro como, por exemplo, a Internet.
A criptografia representa um conjunto de tcnicas que so usadas para manter a informao segura. Estas tcnicas consistem na utilizao de chaves e algoritmos de criptografia. Tendo conhecimento da chave e do algoritmo usado possvel desembaralhar a mensagem recebida.
Cifram os dados a partir de blocos, ou seja, se o dado a ser cifrado um texto, esse texto ser dividido em blocos e a criptografia ser aplicada em cima de cada bloco. Um problema com essa cifragem que se o mesmo bloco de texto simples aparecer em dois lugares, ele encriptar o mesmo texto, gerando assim, um padro de repetio.
Algoritmos de Fluxo
Cifram os dados byte a byte. O dado a ser criptografado no cifrado por blocos, como o anterior e sim, serialmente. A informao vai sendo criptografada do inicio ao fim, sem separaes.
chave pblica, sem colocar em risco o segredo da outra, denominada chave secreta ou privada.
Assinatura Digital
Outra grande vantagem dos algoritmos assimtricos, particularmente o RSA, que o mais conhecido e utilizado atualmente, que o processo funciona tambm na criptografia no outro sentido, da chave secreta para a chave pblica, o que possibilita implementar o que se denomina assinatura digital. O conceito de assinatura o de um processo que apenas o signatrio possa realizar, garantindo dessa maneira sua participao pessoal no processo. Como a chave secreta de posse e uso exclusivo de seu detentor, um processo de cifragem usando a chave privada do signatrio se encaixa nesse conceito, permitindo, assim, a gerao de uma assinatura por um processo digital. No caso da assinatura digital, inadequado cifrar toda a mensagem ou documento a ser assinado digitalmente devido ao tempo gasto na criptografia de um documento utilizando chaves assimtricas. A criptografia aplicada apenas sobre um identificador unvoco do mesmo. Normalmente utilizado como identificador o resultado da aplicao de uma funo tipo HASH, que mapeia um documento digital de tamanho qualquer num conjunto de bits de tamanho fixo. Ao valor do HASH podem ainda ser anexados a data/hora, nmero de seqncia e outros dados identificadores, e este conjunto ento cifrado com a chave secreta do signatrio constituindo a assinatura digital do documento. A funo de HASH ser explicada em seguida. Qualquer participante pode verificar a autenticidade de uma assinatura digital, bastando decifr-la com a chave pblica do signatrio, o qual todos podem ter acesso. Se o resultado significativo, est garantido o uso da chave secreta correspondente na assinatura, e portanto sua autenticidade. Resta ainda comprovar a associao da assinatura ao documento, o que feito recalculando o HASH do documento recebido e comparando-o com o valor includo na assinatura. Se forem iguais, prova-se ainda a ligao com o documento, assim como a integridade (no alterao) do mesmo. Uma vez que a verificao realizada utilizando a chave pblica, sua validao pode ser realizada por terceiros, tais como rbitros e auditores.