Segurança na Internet e Certificação Digital

Olá pessoal,
    Bem, quando criei esse blog, pensei principalmente em postar tópicos relacionados a tecnologia Java e, é claro, a minha própria experiencia utilizando-a, pois bem, sem fugir do cerne do blog, pretendo realizar uma série de posts falando sobre “Certificação Digital”, mas para que eu possa ser entendido por todos, faz-se necessário abordar um pouco sobre Segurança da Informação, afinal, por que utilizar certificados digitais ?  para responder a essa questão, precisamos entender principamente o contexto que estamos inseridos dentro da segurança da informação no mundo atual.
     É fato que  inumeras pessõas já utilizam a internet para realizar operações financeiras, estas que vão desde um simples pagamento de conta, até compras em diversos sites. Mas será que nos todos estamos seguros quando realizamos estas operaçoes na internet ? afinal de contas, quais os riscos que corremos ao  realizar uma simples compra na internet ?
    Sem entrar em detalhes sobre os inúmeros tipos de ataques de Crackers que existem, vamos pensar o seguinte, no geral podemos classificar as ameaçãs que sofremos em quatro tipos básicos: interrupção, interceptação, modificação e fabricação.

Figura1. Ameaçãs de Segurança
    Como mostra a figura1, a intenção das partes que estão se comunicando é simples, desejam apenas que a informação que esta sendo enviada chegue ao seu destino, esse é o fluxo normal.

 

   Interrupção    
   O objetivo deste ataque é prejudicar a comunicação, ou seja, não se pretende capturar nenhuma informação para uso pessoal nem tirar alguma vatagem financeira com essa ação.
   Interceptação
   
   Este é um dos cenários mais perigosos na transação entre dois pontos, a interceptação da comunicação pode ter como intuito apenas a curiosidade ou ainda para beneficiar-se de alguma informação sigilosa.

      

   Modificação
   Neste tipo de ataque, o atacante pode acabar por enviar uma informação irreal ao ponto B, ai que mora o perigo, imagine por exemplo, o ponto B esperando por uma reserva de 200 carros, e ai chega a informação distorcida, por exemplo, 600 carros !
   
   Fabricação
   Este é o cenário onde o atacante se faz passar pelo ponto A e envia uma informação falsa ao ponto B, imagine por exemplo, alguem se passando por você e realizando a compra de uma TV LCD de 50 polegadas no submarino ;-).

    Depois de definirmos estes conceitos básicos, fica mais fácil entender o quão estamos inseguros num ambiente computacional distribuido como é a internet, faz-se necessário então a utilização de mecanismos computacionais que nos auxiliam na identificação( quem é ), autenticação( verificação da credencial ) , garantia de integridade( informação intácta ), não repudio ( impossível negar que é vc ) e por fim, na condidencialidade da informação( ninguem pode ver, apenas os envolvidos ). 
     A identificação e autenticação fazem parte de um processo de dois passos que determina quem pode acessar determinado sistema. Durante a identificação, o usuário diz ao sistema quem ele é (normalmente através de um nome de usuário). Durante a autenticação a identidade é verificada através de uma credencial (uma senha, por exemplo) fornecida pelo usuário.     
       
     Confidencialidade é uma propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
     
      Integridade já diz respeito a propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).    
   
     A certificação digital está atralada ao conceito de  criptografia assimétrica que nada mais é do que um método de criptografia que utiliza um par de chaves: uma chave pública e uma chave privada. A chave pública é distribuída livremente para todos os que desejam se comunicar com o proprietario da informação, enquanto a chave privada deve ser conhecida apenas pelo seu dono.

    Os algoritmos de chave pública podem ser utilizados para autenticidade e confidencialidade. Para confidencialidade, a chave pública é usada para cifrar mensagens, com isso apenas o dono da chave privada pode decifrá-la. Para autenticidade, a chave privada é usada para cifrar mensagens, com isso garante-se que apenas o dono da chave privada poderia ter cifrado a mensagem que foi decifrada com a ‘chave pública’.

Figura 2. Processo de comunicação utilizando par de chaves( Pública e Privada ).

     O certificado digital entra justamente ai, por ser um documento legal, emitido por uma autoridade legal, com fins legais, assim sendo, o certificado digital nada mais é do que um documento eletronico emitido por um terceiro de confiança( Autoridade Certificadora ), que vai associar um proprietário a sua chave pública, ou seja, na figura 2, o Bob poderia ter recebido uma chave pública de outra pessoa se fazendo passar por Alice, mas com a utilização do certificado digital, uma entidade certificadora, AC, garante legalmente que a chave pública que Bob está recebendo, seja realmente de Bob.

    Outro conceito criado com o certificado digital é o de assinatura digital, que nada mais é do que a utilização de duas técnicas: Chave Privada + Remumo Criptográfico, vamos analisar a figura abaixo, que demonstra a utilização dessas técnicas.

Figura 3. Processo de assinatura digital.

 

       Na figura 3, podemos ver o seguinte processo acontecendo:
 
       1. Alice gera o hash do documento e criptografa esse hash com sua chave privada (a esse processo chamamos de assinatura digital) então envia o documento original + documento assinado para Bob.
       2. Bob decriptografa o documento assinado com a chave pública de Alice, obtendo o hash que foi gerado por alice.
       3.Bob então calcula novamente o hash do documento orgial e compara com o hash obtido da decriptografia com a chave pública de alice, dessa forma ele sabe se o documento sofreu alteração no caminho.
       Nessa transação conseguimos:
 
       Autenticação, Autorização      
           -Somente Alice poderia ter cifrado a mensagem com sua chave privada
       Não repúdio
            -Somente Alice conhece sua chave privada
        Integridade dos dados
             -Se Bob comparar as duas versões, elas só irão diferir se tiver ocorrido qualquer modificação não autorizada
         Não conseguimos privacidade
            -Qualquer pessoa pode ler a cópia “autêntica”

       Com essa pequena explicação já dá pra entendermos o porque da existencia de um terceiro de confiança que vai garantir através de um certificado digital que a chave pública de Alice que Bob utliizou é realmente de Alice.

 
       Bem pessoa;, por enquanto é só, espero ter ajudado a esclarecer a dúvida de algumas pessoas com esse Post, pretendo explanar nos proximos o conceito de “chave de sessão” dentro do processso de assinatura digital, bem como, os principais algoritimos computacionais envolvidos para dar garantia a esse processo ( chave simétrica ou de sessão, MD5, RSA).              

Abrcs.
Vamos tomar café certificado digitalmente agora……..;-)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s