Aula 00 Criptografia. Conceitos Basicos e Aplicacoes

Criptografia para o STF - Aula 00

Teoria e Questões

Almeida Júnior

www.tiparaconcursos.net Página 1 de 32

AULA 00: Criptografia. Conceitos básicos e aplicações

Sumário 1. Apresentação. ................................................................................................................................. 3

1.1. Metodologia das aulas. ............................................................................................................... 3

2. Conteúdo programático e planejamento das aulas (Cronograma). ............................................... 3

3. Introdução a Segurança da Informação .......................................................................................... 4

3.1. Quais motivos levam um hacker/cracker invadir seu sistema? .................................................. 6

3.2. Engenharia Social ........................................................................................................................ 7

3.3. Ataques ....................................................................................................................................... 8

3.4. Cavalos de Troia .......................................................................................................................... 9

4. Arquitetura de Segurança OSI ....................................................................................................... 10

5. Criptografia ................................................................................................................................... 11

5.1. Tipos de Ataque ........................................................................................................................ 12

6. Serviços de Segurança ................................................................................................................... 16

6.1. Confidencialidade (Sigilo ou Privacidade) ................................................................................. 16

6.2. Integridade ................................................................................................................................ 16

6.3. Disponibilidade ......................................................................................................................... 17

6.4. Irretratabilidade (Não repúdio) ................................................................................................ 17

6.5. Autenticação (ou Autenticidade) .............................................................................................. 18

6.6. Controle de Acesso ................................................................................................................... 18

7. Mecanismos de Segurança ........................................................................................................... 23

8. Criptografia Simétrica e Assimétrica – Visão Geral ....................................................................... 24

8.1. Criptografia Simétrica ............................................................................................................... 24

8.2. Criptografia Simétrica ............................................................................................................... 24

8.3. Velocidade de Execução............................................................................................................ 25

9. Questões ....................................................................................................................................... 27

10. Gabarito .................................................................................................................................... 31

11. Bibliografia ................................................................................................................................ 32


Teoria e Questões

Almeida Júnior


Olá Concurseiros de Plantão!

Ao iniciar um curso, uma das primeiras perguntas que todo concurseiro faz é “quem é esse

cara para querer me ensinar o assunto XYZ ?” Portanto, meus amigos, antes iniciarmos

nossa aula de demonstração, vou fazer uma breve apresentação.

Quem é o professor Almeida Júnior?

Atualmente sou Analista de Finanças e Controle da Controladoria-Geral da União aprovado

em 5º lugar na área de Infraestrutura de TI em 2012. Também fui aprovado em 4º lugar, em

2012, no concurso para Analista de Comércio Exterior do MDIC na área de TI. Além desses

concursos, fui aprovado nos seguintes certames: AUDITOR FISCAL (FS/BA-2012), MARINHA

(Corpo de Engenheiros/2005), PETROBRAS (Engenheiro Eletrônico/2004), EMBASA

(Engenheiro Eletricista/2004), INFRAERO (Engenheiro Eletrônico/2004) e BANCO DO BRASIL

(Escriturário/2003).

E qual é formação do professor? Minha formação acadêmica segue dois pilares: engenharia

eletrônica e ciência da computação. Sou mestre em sistemas e computação

(UNIFACS/2012), especialista em criptografia (UFF/2009), especialista em automação

industrial pela UERJ (2007) e engenheiro eletricista com ênfase em eletrônica (UFBA/2003).

Além disso, participei do curso de formação de engenheiros de equipamentos

pela Universidade Petrobras e do curso de formação de oficiais da marinha pelo CIAW

(Centro de Instrução Almirante Wandenkolk). Por fim, possuo a certificação PMP (Project

Management Professional).

Antes de trabalhar na CGU, atuei durante 6 anos como engenheiro de equipamentos na

Petrobras. Fui professor universitário das disciplinas de cálculo, álgebra e física. E atuei

como oficial engenheiro na Marinha do Brasil, engenheiro de automação e bancário.

Enfim, meus amigos, a matemática sempre fez parte da minha vida, seja como professor,

profissional, acadêmico ou CONCURSEIRO. Destaco o item concurseiro, pois senti na pele o

que vocês estão sentindo. Eu vou passar a experiência de quem esteve nas trincheiras! Meu

amigo, você terá todas as dicas, macetes e bizus para detonar na sua prova!


Teoria e Questões

Almeida Júnior


1. Apresentação.

1.1. Metodologia das aulas.

Em termos de estrutura, esse curso é de teoria com questões comentadas.

2. Conteúdo programático e planejamento das aulas (Cronograma).

Aula Conteúdo a ser trabalhado

Aula 00 04/11/2013

Criptografia. Conceitos básicos e aplicações.

Aula 01 18/11/2013

Criptografia simétrica. Principais algoritmos.

Aula 03 25/11/2013

Criptografia assimétrica. Principais algoritmos

Aula 04 02/12/2013

Assinatura e certificação digital.


Teoria e Questões

Almeida Júnior


3. Introdução a Segurança da Informação

Olá meus amigos! Bem vindos ao nosso curso de criptografia! Inicialmente, vou passar o

“bizu” de onde você pode complementar os seus estudos. Eu recomendo dois livros:

1) MENEZES, A. J. et al. Handbook of applied cryptography 2) STALLINGS, William, Cryptography and Network Security: Principles and Practice

É claro que estes livros serão apenas para complementação. Nessa reta final, não há mais

tempo para ficar lendo livros! Eu vou trazer tudo “bizurado” para você. Você só deve

recorrer aos livros para tirar alguma dúvida específica.

Bem, vamos lá!

Nessa primeira aula, nosso foco é dar um overview sobre segurança da informação e

criptografia. Nas próximas aulas vamos entrar nos detalhes dos algoritmos. E eu tenho

certeza que você vai se apaixonar pelo tema. Blz?

Meus amigos, hoje fazemos praticamente tudo pela internet, não é mesmo? Compramos,

vendemos, abrimos contas, enviamos mensagens, solicitamos documentos, etc. Todas estas

operações giram em torno de informações. Ora, para evitar fraudes e prejuízos diversos,

precisamos proteger estas informações. É aí que entra a segurança da informação!

Hoje não para onde correr! Toda empresa precisa proteger suas informações. Não só para

proteção individual, mas também para dar credibilidade ao seu negócio. Você daria seus

dados a uma loja virtual qualquer? E se ele fornecesse pagamento pelo pague seguro? Aha!

Ai muda de figura, não é mesmo?

Segurança digital é uma área que abrange muitos temas. Se você falar com um profissional

de segurança da informação e perguntar sobre os quatro itens que vem a mente dele

quando ele pensa em segurança, aposto que ele dirá:

Firewalls (Software ou applience (hardware + software) que protege a sua rede. Ele

filtra o que pode entrar e sair da sua rede. É uma espécie de vigia)

Política de Segurança (Regras que devem ser seguidas pelos funcionários para

garantir a segurança da informação)


Teoria e Questões

Almeida Júnior


Separação entre as redes internas e externas: (É necessário estabelecer limites

claros entre a intranet (rede interna da empresa) e internet)

Criptografia: (Utilizada para fornecer os serviços de confidencialidade, integridade,

autenticação e não repúdio)

Isso mesmo! Criptografia! Qualquer profissional de segurança tem a obrigação de conhecer

criptografia. Nesse curso, vamos desvendar todos os mistérios da criptografia para sua

prova de concurso.

Enfim, quer ter um emprego certo? Aí está a dica: segurança da informação! Ainda mais

com esse “zunzunzum” dos EUA espionando geral.

(CESPE/SERPRO/2008) O desenvolvimento de software seguro é uma funcionalidade

presente em todas as ferramentas e padrões existentes no mercado. Assim, o

programador precisa focar apenas na criatividade e no atendimento aos requisitos do

cliente, pois segurança, hoje, é uma questão secundária.

Comentários:

Item incorreto. Segurança da informação é item de alta relevância para as empresas.

(ANALISTA/2009) Para acessar computadores de uma empresa, os funcionários devem

informar a matrícula e uma senha de acesso para realização de suas atividades. A respeito

desse controle, é correto afirmar que:

I. Visa a segurança da informação.

II. Evita o acesso indevido a documentos confidencias por parte de pessoas

externas.

III. Controla o acesso aos sistemas de informação da empresa.

Comentários:

E ai galera? Tranquilinha essa...

Todos os itens estão corretos. O processo de autenticação no sistema visa a segurança da

informação. Somente pessoas que possuem matrícula e senha podem acessar o sistema.

Esse mecanismo busca evitar que pessoas fora da empresa acessem documentos


Teoria e Questões

Almeida Júnior


confidências. Além disso, a senha fornece um mecanismo de controle, ou seja, saber quem

acessou o sistema.

3.1. Quais motivos levam um hacker/cracker invadir seu sistema?

Primeiro ponto de atenção é diferenciar hacker de cracker. Hacker é o cara “bomzinho”. Ele

é um “NERD” que quer invadir sistemas para testar suas habilidades. Ele busca apenas

conhecimento e não tem intenções maléficas.

Já o cracker é o hacker malvado! (Usa o lado negro da força). Ele quer mexer na sua

máquina com as piores intensões: roubar dados, destruir arquivos, implantar vírus, etc.

Mas esse tópico é para refletimos o seguinte: um cracker quer invadir somente bancos, logo

posso ficar despreocupado! Será!?!!?

Vamos enumerar motivos para o cracker invadir seu computador de casa > : )

a) Fazer bagunça: Eles são maus! Logo, querem apenas destruir. Um cracker vai entrar

no seu computador simplesmente para apagar o seu sistema. Infelizmente existem

pessoas assim.

b) Roubar seus dados: Eles querem seus dados para revender! Isso mesmo! Não se

enganem, seus dados valem ouro no mercado negro! Por exemplo, se um cracker

conseguir uma grande lista de e-mails de concurseiros, isso seria de grande interesse

para cursinhos, não é mesmo!?!? É claro que aqui no Tiparaconcursos.net não

recrutamos crackers (rs..)

c) Utilizar espaço em disco: Eles querem armazenas dados no seu PC. Por dois motivos

básicos. Ou porque eles não têm espaço na máquina deles ou porque o conteúdo

não é legal ou moral.

d) Usar sua Máquina: Poder de processamento! Os crackers vão invadir sua máquina e

fazer com que ela trabalhe para eles.

e) Usar sua Internet (banda): O cracker quer usar sua máquina para disparar ataques

pela rede.


Teoria e Questões

Almeida Júnior


3.2. Engenharia Social

A: - Alô, aqui é Almeida Júnior, sou do departamento de defesa do Brasil. Poderia falar com

seu Francisco.

B: É ele que está falando.

A: Ótimo. Depois dessa confusão dos EUA, nós estamos tomando muitas medidas

preventivas. Nós estamos acompanhando seu provedor de internet. Você usar Net, GVT ou

outro ?

B: Uso GVT.

A: Isso mesmo! Com está aqui no relatório. Seu Francisco, seus e-mails estão sendo

monitorados. Para evitar isso, o governo está distribuindo um programa antivirus. Ele não

terá custo nenhum para senhor e garantirá sua proteção. Podemos marcar uma visita?

B: Sim. Claro. Muito obrigado.

A: Já temos aqui seu usuário aqui, é Chico123, não é mesmo? Só precisamos confirmar sua

senha.

B: Ah , pois não, a senha é .......

E ai galera ? O que isso ? Engenharia social!

A engenharia social consiste no conjunto de técnicas que utilizam as relações humanas para

obter acesso a informações sigilosas. O engenheiro social é capaz de manipular as pessoas e

conseguir acessar os sistemas. Suas técnicas se baseiam na confiança das pessoas. Muitas

vezes o engenheiro social utiliza um disfarce. Ele finge ser um cara importante, um

profissional de determinada área, etc. Lembram-se do filme: “Prenda-me se for capaz”. E do

cara que se passou por filho do dono do GOL? São dois casos de engenheiros sociais!

Recomendo a leitura do livro: A Arte de Enganar - William L. Simon, Kevin Mitnick.

Para evitar um ataque de engenharia social, você tem que ser “paranóico” (não confie em

ninguém), questione tudo, verifique sempre a origem das informações, saiba dizer não e

mais importante treine todos os seus funcionários para fazer o mesmo.


Teoria e Questões

Almeida Júnior


3.3. Ataques

Nesse curso, não estamos preocupados em descrever em detalhes os ataques, mas é

importante conhecer alguns termos para sua prova.

Denial of Service

O Denial of Service (DOS) é a negação de um serviço. O que o cracker faz é sobrecarregar o

servidor. O servidor recebe milhares de pedidos e não consegue responder a mais nenhum.

São técnicas para provocar o DOS: MAC Flooding, Replay Attack e ACK Storm.

Eavesdropping/ Sniffing

Consiste na monitoração do trafego de rede. É um ataque passivo. Mesmo que

comunicação esteja criptografada, o cracker pode obter informações importantes. Por

exemplo, o aumento de tráfego dentro de um certo horário para um determinado destino

pode ser uma informação valiosa.

Exploits

Esse termo é utilizado quando o cracker aproveita alguma vulnerabilidade do sistema. Uma

vulnerabilidade é definida como uma condição que, quando explorada por um atacante,

pode resultar em uma violação de segurança.

Quando uma vulnerabilidade é descoberta, tipicamente, ela é amplamente divulgada para

que os professionais de segurança tomem as medidas necessárias.

Filtering

O hacker muda o payload do pacote e recalcula o checksum para manter o pacote válido.

Hijacking

Consiste no roubo de sessão. O cracker se faz passar pelo cliente e assume a sessão de

comunicação.

Injection

É um ataque de inserção de dados (pacotes) numa comunicação entre duas entidades.

Quando um comando malicioso é inserido chamamos de Command Injection. Quando um

código malicioso é inserido chamamos de Malicius Code Injection.


Teoria e Questões

Almeida Júnior


Spoofing

O spoofing consiste em esconder a identidade do cracker. Um exemplo é o envio de um

email se passando por outra pessoa. Nesse caso temos um e-mail spoofing.

Phising

O termo foi utilizado para descrever fraudes por mensagens não solicitadas. São aqueles

famosos e-mails “Dinheiro fácil”, “Promoção imperdíve”, “Você ganhou um prêmio”, etc. Na

verdade, o cracker quer obter seus dados.

Defacement

Defacement ou pichação consiste em alterar o conteúdo da página Web de um site.

3.4. Cavalos de Troia

Um Trojan Horse (ou simplesmente Trojan) ou Cavalo de Troia é um programa que atua de

forma similar ao cavalo de troia da lenda. Ele é dado de “presente” para você (dentro de um

joguinho, por exemplo) só que é um presente de grego. O cavalo de troia abre uma porta de

comunicação que permite o cracker invadir o seu sistema. Ele pode agir das seguintes

maneiras:

a) Key logger: esse programa captura tudo que você digita e envia o para o cracker.

Isso incluir sua senha do banco. É um tipo de Spyware.

b) Backdoor: “Porta dos fundos”. Permite a invasão da máquina sem que o dono

desconfie de nada! Será que o Windows tem um backdoor implantado pelo governo

do EUA?

c) Ransamware: É um malware que cora resgate! Isso mesmo. O hacker roubar seus

dados e cobrar algo para devolver.

d) Hijacker: Alteram a pagina inicial do navegador ou redirecionam para outro site.

Quem nunca pegou um desses??


Teoria e Questões

Almeida Júnior


4. Arquitetura de Segurança OSI

A recomendação X.800 da ITU-T define a arquitetura de segurança OSI. Ele define um meio

sistemático para os requisitos de segurança e como técnicas para satisfazer estes requisitos.

A arquitetura tratar de três temas principais:

a) Ataques à segurança: Qualquer ação que compromete a segurança da informação

b) Mecanismos de segurança: Processo ou dispositivo capaz de detectar, impedir ou

permitir a recuperação de um ataque.

c) Serviços de Segurança: Servem para frustrar ataques. Para sua implementação

podem ser utilizados uma ou mais mecanismos de segurança.


Teoria e Questões

Almeida Júnior


5. Criptografia

Antes de conversamos sobre criptografia precisamos definir criptologia. A criptologia estuda

as técnicas para garantir o sigilo e/ou autenticidade das informações. Ela se divide em dois

ramos:

Criptografia

Criptoanálise

A criptografia estuda técnicas relacionadas à segurança da informação. Ela tem um papel

fundamental no provimento dos serviços que deve ser oferecidos por um sistema de

segurança (confidencialidade, integridade, autenticação e não-repúdio).

Criptografia significa escrever em códigos. Ou seja, é uma forma de tornar a informação

incompreensível para o atacante. A mensagem original (antes da criptografia) é chamada de

texto claro e após a cifragem (criptografia ou ocultação) é gerado o texto cifrado. O

processo inverso é chamado de decifragem.

Por sua vez, a criptoanálise estuda as técnicas para recuperar as informações que foram

protegidas pela criptografia e também métodos para forjar informações para serem aceitas

como autênticas.

A criptografia também se divide em dois grandes ramos:

Criptografia de simétrica (ou de chave privada)

Criptografia assimétrica (ou de chave pública)

Na criptografia simétrica, a mesma chave é utilizada para cifra e decifrar a mensagem. Já na

criptografia assimétrica (ou de chave pública) temos duas chaves uma pública e uma

privada. Uma delas é usada para cifrar a mensagem e a outra para decifrar a mensagem.


Teoria e Questões

Almeida Júnior


(CESPE/PRODEPA/2004) A criptologia é uma área do conhecimento humano que pode ser

dividida em criptografia, que trata da defesa dos sistemas de informação, e

esteganografia, que se preocupa na identificação de técnicas para o ataque a sistemas de

informação.

Comentários:

Item incorreto. A criptologia estuda as técnicas para garantir o sigilo e/ou autenticidade das

informações. Ela se divide em dois ramos: Criptografia e Criptoanálise.

A esteganografia estuda técnicas para esconder mensagens. Por exemplo, inserir dados

dentro da imagem de uma fotografia. A pessoa vê a fotografia e nem desconfia que ali

dentro existe uma mensagem secreta!

5.1. Tipos de Ataque

Seja qual o for o tipo de criptografia utilizada (simétrica ou assimétrica), o objetivo é a

proteção contra ataques de hackers sedentos por acessar, alterar ou ainda destruir suas

informações. Um ataque é qualquer ação que compromete a segurança da informação. De

uma forma geral, os ataques podem ser divididos em dois tipos:

Ataques ativos

Ataques passivos

Um exemplo de ataque passivo é uma leitura não autorizada. Note que nada acontece com

o conteúdo da informação. O cracker está interessado em monitor a transmissão sem ser

percebido. Outro exemplo de ataque passivo é a análise de tráfego. Como já comentamos,

mesmo que o canal de comunicação seja criptografado, a simples intensidade de tráfego

pode ser uma informação importante. O aumento de tráfego para determinados pontos a

partir de certa origem, podem indicar, por exemplo, um ataque terrorista.

A leitura não autorizada e a analise de tráfego são ataques chamados de interceptação.

Estes ataques violam o princípio da confidencialidade.


Teoria e Questões

Almeida Júnior


Ataque passivo de leitura (Fonte: Stallings, pag 6)

Ataque passivo de análise de tráfego (Fonte: Stallings, pag 6)

Por sua vez, um ataque ativo pode ser divido em 4 tipos:

a) Disfarce (ou fabricação): uma entidade finge ser outra. Viola o princípio da

autenticidade.

b) Repetição: captura passiva de dados seguida de retransmissão para produzir um

efeito não autorizado. Viola o princípio da integridade.

c) Modificação de mensagens: alteração do conteúdo da mensagem. Viola o serviço de

integridade.

d) Negação de serviço (ou interrupção): impede o acesso a informação, por exemplo,

um ataque DOS (Denial of service). Violam o princípio da disponibilidade.


Teoria e Questões

Almeida Júnior


Ataque ativo de disfarce (Fonte: Stallings, pag 7)

Ataque ativo de disfarce (Fonte: Stallings, pag 7)

Ataque ativo de modificação (Fonte: Stallings, pag 7)

Ataque ativo de modificação (Fonte: Stallings, pag 7)

Para sua prova, também é importante conhecer o conceito de ameaça. Segundo Stallings,

uma ameaça é um possível perigo que pode explorar uma vulnerabilidade do sistema. Como

vimos, uma vulnerabilidade é definida como uma condição que, quando explorada por um

atacante, pode resultar em uma violação de segurança.


Teoria e Questões

Almeida Júnior


Seguem alguns alertas para sua prova:

1) Cuidado, alguns autores não diferenciam ataque e ameaça e por vezes são utilizados

como sinônimos.

2) Para norma ISO/IEC 27002. Vulnerabilidade é uma fragilidade e ameaça é causa de

um incidente.

a. Vulnerabilidade: é uma fragilidade de um ativo ou grupo de ativos que pode

ser explorada por uma ou mais ameaças

b. Ameaça: uma causa potencial de incidente um indesejado, que pode resultar

em um dano para um sistema ou organização

(CESPE/TRE-RJ/2012) A respeito de conceitos relacionados a segurança da informação,

julgue o item a seguir.

Na área de segurança da informação, vulnerabilidade representa causa potencial de um

incidente indesejado.

Comentários:

Item incorreto. A causa potencial de um incidente indesejado é a ameaça. A vulnerabilidade

é apenas uma fragilidade que pode ser explorada.


Teoria e Questões

Almeida Júnior


6. Serviços de Segurança

6.1. Confidencialidade (Sigilo ou Privacidade)

A confidencialidade é um serviço que garante acesso à informação somente para quem está

autorizado para isso. Por exemplo, fazendo uma analogia, quando utilizamos um cofre com

senha, essa é uma maneira de prover confidencialidade. Ou seja, somente quem tem possui

a senha (pessoa autorizada) pode ter acesso ao conteúdo do cofre.

A confidencialidade visa proteger contra ataques passivos. Ou seja, procura proteger o

conteúdo de uma transmissão de dados. Ela também fornece proteção contra a análise do

fluxo de tráfego. Isso significa que o atacante não pode ser capaz de retirar informações a

partir da análise do tráfego.

A confidencialidade pode ser aplicada a conexão como um todo, a mensagem, ou somente a

alguns campos da mensagem. Ou seja, a confidencialidade pode ser aplicada em diversos

níveis. Contudo, quanto mais refinado o nível, mais complexo é o algoritmo.

6.2. Integridade

Prover integridade dos dados significa garantir que a informação não foi alterada. Ou seja,

é garantir que informação se manteve íntegra durante o percurso. Utilizando nossa

analogia, talvez o atacante (bandido) não possa abrir o cofre, mas ele pode alterar o seu

conteúdo. Por exemplo, imagine que o conteúdo dentro do cofre seja sensível ao calor. Ora,

se assim for, o atacante pode aquecer o cofre e alterar o seu conteúdo mesmo sem ter

acesso ao interior do cofre! Em relação aos dados, o atacante (hacker) pode não ter acesso

ao conteúdo da informação que trafega na rede, mas pode alterar, inserir, apagar ou

substituir dados, caso não seja garantido o serviço de integridade de dados.

A integridade garante que a mensagem chega da forma que foi enviada. Ou seja, que não

houve duplicação, inserção, modificação, reordenação, destruição ou repetição da

mensagem.


Teoria e Questões

Almeida Júnior


A integridade pode ser aplicada em diversos níveis (no fluxo como um todo, na mensagem

ou em determinados campos). Quanto mais específico o nível mais complexo o algoritmo.

Por isso, recomenda-se a implantação da proteção total do fluxo.

E se integridade for perdida? O que fazer? O primeiro passo do algoritmo é detectar a

violação. A partir deste ponto temos duas opções: simplesmente informar e/ou recuperar o

dado ao seu estado original.

6.3. Disponibilidade

A disponibilidade garante que sistema estará acessível e utilizável, pelas entidades

autorizadas, quando demandado. Preste atenção no detalhe! Pode ser uma pegadinha

prova! A disponibilidade não é garantida para todo mundo, somente para as entidades

autorizadas. Já vimos um tipo de ataque a disponibilidade: o DOS.

6.4. Irretratabilidade (Não repúdio)

O não repúdio (ou irretratabilidade) evita você “dar o migué”, ou seja, você dizer que não

fez (ou fez) alguma coisa quando na verdade foi justamente o contrário. Caso clássico: sua

namorada pega o seu facebook e vê que você mandou uma mensagem “quente” para uma

amiga sua! E agora José? Meu amigo, se o facebook garantir o serviço de não repúdio vocês

estará em maus-lençóis. Você não terá como dizer que não foi você!

Outro caso concreto são as aplicações financeiras online. O banco tem que garantir o não

repúdio, senão todo dia iria escutar um cliente dizer que não fez a transferência XYZ.

Para encerrar, acrescentamos o exemplo do email! De repente sai aquele email da sua caixa,

onde você fala mal do chefe! E ai? Se o serviço de não repúdio estiver implementado, você

estará em apuros!!

Em resumo, o não repúdio, impede que a entidade (emissor ou receptor) negue a autoria de

uma mensagem transmitida. Assim, apesar de exemplificarmos somente a emissão, a

irretratabilidade trata dos dois lados (emissão e recepção). Ou seja, se o serviço estiver

implantado, quando você recebe uma mensagem pode provar que foi fulano que enviou

para você. Do mesmo modo, ao enviar uma mensagem você pode provar que cicrano

recebeu.


Teoria e Questões

Almeida Júnior


6.5. Autenticação (ou Autenticidade)

A autenticação está ligada a saber quem é quem! Ou seja, ela está relacionada com a

identificação. Ela garante que a entidade é quem diz ser.

Qual importância desse serviço? Meu amigo, se ligassem para sua casa dizendo que era da

caixa econômica e que você tinha acabado de ganhar UM MILHÃO DE REAIS! Você

acreditaria? Pois é, em uma comunicação precisamos saber com quem estamos falando

para acreditar nas informações. O serviço de autenticação identifica as entidades que estão

se comunicando. Por exemplo, para fazer alterações na sua conta no banco, o banco precisa

saber que você é você, não é mesmo? Por isso, você precisa fazer uma autenticação no site

do banco antes de poder realizar operações financeiras.

Perceba que na autenticação temos duas etapas: identificação e verificação da identidade.

Primeiro você diz: “Eu sou fulano!”, depois temos que verificar que isso é verdade.

Quando existe uma conexão lógica entre as entidades, a autenticação garante a identidade

das entidades que estão se comunicado. Quando não existe essa conexão, a autenticação

garante que a origem dos dados é a declarada.

6.6. Controle de Acesso

O controle de acesso impede o uso não autorizado de um recurso. Ou seja, determina quem

pode usar o recurso. Caso clássico: controle de acesso a páginas da internet. No seu

trabalho rola facebook? Pois é... Ao tentar acessa uma página, o sistema primeiro vê quem é

você e depois libera ou não o acesso.

Note que de forma intrínseca é necessário algum nível de identificação para que o controle

de acesso seja possível. Tipicamente, os usuários têm que estar autenticados nos sistema, e

partir de suas “credenciais”, eles terão acesso a determinados recursos ou não.

Atenção! Bizu! Apesar de termos chamados os itens anteriores de serviços, é comum em

provas alguns deles serem chamados de princípios de segurança. Em especial, a

confidencialidade, a integridade, a disponibilidade e a autenticação.


Teoria e Questões

Almeida Júnior


Blz! Vamos ver algumas questões do que já estudamos até aqui:

(CESPE/Min. Comunicações/2008) Disponibilidade, integridade e confidencialidade são

princípios de segurança. A fim de garantir integridade, os dados e os recursos devem ser

protegidos, evitando que sejam alterados de modo não-autorizado. Para garantir

confidencialidade, os dados e os recursos devem ser protegidos, a fim de que os mesmos

só sejam disponíveis aos indivíduos, programas ou processos autorizados.

Comentários:

Item correto. A integridade garante que os dados não foram alterados. Já a

confidencialidade garante que só é autorizado pode ter acesso. Note que o CESPE quis fazer

uma pegadinha quando usou a palavra “disponíveis”! Ele queria que você lembrasse da

disponibilidade. Contudo, do jeito que está escrito, disponível tem relação com ter direito

ao acesso.

(CESPE/SERPRO/2008) Confiabilidade é tornar uma informação disponível no momento

em que ela se torna necessária

Comentários:

Item incorreto. O correto seria dizer: “Disponibilidade é torna uma informação disponível, as

entidades autorizada, no momento em que ela se torna necessária”

(CESPE/SERPRO/2008) Uma informação será considerada íntegra quando seu conteúdo

não tiver sido lido por entidade não-autorizada, seja esta um sistema ou uma pessoa.

Comentários:

Item incorreto. A proibição de leitura por entidade não-autorizada é garantida pela

confidencialidade.

(CESPE/SERPRO/2008) Um elemento fundamental a ser considerado no mundoeletrônico

atual é a disponibilidade da informação, ou seja, informação para as pessoas autorizadas

na hora que dela precisarem.

Comentários:

Item correto. Atente para o detalhe “pessoas autorizadas”.


Teoria e Questões

Almeida Júnior


(ESAF/2010) O(A) _____________________ representa um ataque que compromete

diretamente a disponibilidade. Assinale a opção que completa corretamente a frase acima

a) Cavalo de troia

b) Falsificação

c) Negação de serviço

d) Phishing

e) Sniffing

Comentários:

O DOS (Denial of Service – Negação de serviço) é um ataque envia milhares de requisições

ao servidor deixando-o indisponível para anteder outros pedidos. Portanto, gabarito C.

(CESPE/DETRAN/2009) Os problemas de segurança de rede estão relacionados a sigilo,

autenticação, não-repudiação e controle de integridade da rede. Enquanto o sigilo está

relacionado ao fato de manter as informações longe de usuários não-autorizados, a não-

repudiação preocupa-se em certificar que uma mensagem recebida é legítima

Comentários:

Item incorreto. A primeira parte: “Os problemas de segurança de rede estão relacionados a

sigilo, autenticação, não-repudiação e controle de integridade da rede” está ok!

Também está correto a passagem “O sigilo está relacionado ao fato de manter as

informações longe de usuários não-autorizados”. Lembre-se que sigilo e privacidade são

sinônimos para confidencialidade.

O último trecho está errado, pois o não repúdio (ou irretratabilidade) evita você negue a

autoria de uma mensagem.

(CESPE/PF/2004) Nos últimos anos, a segurança da informação vem se tornando área de

importância crescente para entidades tais como empresas, universidades e órgãos

governamentais, levando à necessidade de tais entidades dedicarem atenção aos

processos de definição, implantação e gestão de políticas de segurança da informação.

Acerca de segurança da informação, julgue o item seguinte.


Teoria e Questões

Almeida Júnior


Segurança da informação é caracterizada, basicamente, pelo fornecimento de três

serviços de segurança: a preservação do sigilo ou da confidencialidade das informações, a

garantia da integridade dos dados e a manutenção da disponibilidade.

Comentários:

Item correto. Note que CESPE utiliza sigilo como sinônimo de confidencialidade. Além dos

três citados, poderíamos acrescentar a autenticação, mas isso não invalida a questão.

(CESPE/ABIN/2010) Julgue o próximo item, relativo a vulnerabilidades e ataques a

sistemas computacionais, bem como à proteção oferecida pela criptografia para a

segurança da informação.

As técnicas usadas para verificar a integridade de dados contra dano acidental, tais como

os checksums, podem por si só ser usadas para garantir a integridade dos dados contra

mudanças intencionais.

Comentários:

Item incorreto. O checksum serve para verificar se os dados estão corretos. Por exemplo,

em um donwload. Contudo, tem um detalhe! O hacker pode alterar o conteúdo da

informação e recalcular o checksum! Asism, por si só o checksum não consegue garantir a

integridade das informações, ou seja, que elas não forma modificadas durante o trajeto.

(CESPE/TRE-ES/2011) A respeito do estabelecimento de um sistema de gestão da

segurança, julgue o item seguinte.

Entre as propriedades fundamentais conferidas à informação por meio do gerenciamento

de segurança da informação, incluem-se a confidencialidade, a integridade e a

disponibilidade.

Comentários:

Item correto. Como na prova de 2004, mais uma vez o CESPE elegeu o trio

confidencialidade, integridade e disponibilidade como os entes fundamentais em um

sistema de segurança da informação.

(CESPE/TRE RJ/2012) A respeito de conceitos relacionados a segurança da informação,

julgue o item a seguir. O conceito de segurança da informação, além de implicar a


Teoria e Questões

Almeida Júnior


integridade e a disponibilidade da informação, pode incluir, entre outras propriedades

desta, a autenticidade e a confiabilidade.

Comentários:

Item correto. Veja que banca, como o pokemon, evolui! Agora em 2012, além do trio

(confiabilidade, integridade e disponibilidade), o CESPE acrescentou autenticidade e

confiabilidade.

(CESPE/MPU/2010) Julgue o próximo item, segundo a norma ABNT NBR ISO/IEC

27002:2005.

O termo integridade no escopo da referida norma diz respeito à salvaguarda da exatidão e

integridade das informações e métodos de processamento utilizados para a manipulação

da informação.

Comentários:

Item correto. Apesar da norma não fazer parte do nosso escopo de estudo. Essa questão

tem relação com conceito de integridade e bastava conhece-lo para matar a questão.

(CESPE/TJ/2012) Considere que uma organização mantenha em sua estrutura de

tecnologia da informação um servidor de arquivos em funcionamento. Nesse contexto,

julgue o item subsequente acerca de segurança da informação.

Considere que um usuário armazenou um arquivo nesse servidor e, após dois dias,

verificou que o arquivo está modificado, de forma indevida, uma vez que somente ele

tinha privilégios de gravação na área em que armazenou esse arquivo. Nessa situação,

houve problema de segurança da informação relacionado à disponibilidade do arquivo.

Comentários:

Item incorreto. Ótima questão! Como só ele tinha privilégios para gravação, poderíamos

pensar que alguém se fez passa por ele e alterou o arquivo. Ou seja, houve uma falha no

serviço de autenticação. Também poderíamos pensar em uma falha no sistema de

confidencialidade já que uma pessoa não autorizada alterou o arquivo. Em todo caso, não

há relação com a disponibilidade.


Teoria e Questões

Almeida Júnior


7. Mecanismos de Segurança

Como vimos, os mecanismos de segurança são processos ou dispositivos capazes de

detectar, impedir ou permitir a recuperação de um ataque. Citamos os seguintes:

a) Cifragem: Algoritmos para transformar um texto claro em um texto incompreensível.

São os algoritmos de criptografia

b) Controle de roteamento: Permite selecionar rotas seguras ou desvio de rotas

quando existe suspeita de invasão

c) Certificação: Utilização de um terceiro confiável para garantir certas propriedades

em uma troca de dados.

d) Integridade de dados: Garantem a integridade dos dados

e) Assinatura digital: Permite a comprovação da origem dos dados.

f) Controle de acesso: Restringe o acesso a determinados dispositivos

g) Preenchimento de tráfego: Inserção de bits nas lacunas de fluxo de dados para

frustrar as tentativas de análise de tráfego.

h) Troca de informações de autenticação: Garante a identificação da entendia por

meio da troca de informações.


Teoria e Questões

Almeida Júnior


8. Criptografia Simétrica e Assimétrica – Visão Geral

8.1. Criptografia Simétrica

Como vimos, a criptografia simétrica tem como característica utilizar uma única chave para

cifrar e decifrar a mensagem. É desta forma que vai vir em 99% das vezes em sua prova.

Contudo, em uma prova mais elaborada o examinador pode afirmar que:

“Na criptografia simétrica (ou de chave privada) a chave de cifração pode ser obtida

facilmente a partir da chave de decifração e vice-versa.”

Outro ponto comum de prova é a questão de distribuição de chaves. Na criptografia

simétrica, como a chave é a mesma, ela deve ser compartilhada entre a origem e o destino.

Então, surge o problema: como passar chave entre as entidades que se comunicam sem que

ela seja roubada pelo cracker? Este problema não existe na criptografia assimétrica, já que a

chave é pública (todo mundo pode ver).

8.2. Criptografia Simétrica

Na criptografia assimétrica (ou criptografia de chave pública) são utilizadas duas chaves

diferentes. Uma para cifrar e outra para decifrar. Além disso, você deve levar para prova

que:

“Na criptografia assimétrica (ou de chave pública) a chave privada não pode ser obtida

facilmente através da chave pública”

Por que ? Lembre-se que são geradas duas chaves: uma pública e outra privada. A chave

pública pode ser conhecida por todos e é utilizada para cifrar o texto claro. Já chave privada

deve permanecer secreta e é utilizada para decifrar o texto cifrado. Assim, não deve ser

possível obter a chave privada a partir da pública, senão todo o esquema estaria vulnerável.

Na verdade, cabe uma observação. O exemplo que acabados de dar (cifrando com a pública

e decifrando com a privada) ocorre quando o objetivo é garantir a confidencialidade.

Também é possível utilizar a chave privada para cifrar o texto claro e a respectiva chave

pública para decifrar a mensagem criptografada. Neste caso, busca-se garantir a


Teoria e Questões

Almeida Júnior


autencidade. É caso típico de assinaturas digitais. Em outra aula vamos falar disso em

detalhes.

Vamos ver um caso mais prático!

Suponha que João queira enviar uma mensagem para Maria. Para isso, João deve cifrar a

mensagem com a chave pública de Maria (todo mundo conhece essa chave de Maria, pois é

pública). Ao receber a mensagem cifrada por João, Maria (e somente ela) pode decifrar a

mensagem enviada com a sua chave privada. Note bem! A confidencialidade está garantida,

pois somente a chave privada de Maria (e nenhuma outra do planeta) pode decifrar a

mensagem criptografada. Ou seja, só Maria pode ver a mensagem envaida por João para

ela.

Como afirmamos, a outra função da criptografia de chave pública é garantir a autenticidade.

Neste caso, João cifra a mensagem com sua própria chave privada (só João possui essa

chave) e envia para Maria. Quando Maria recebe a mensagem, ela utiliza a chave pública de

João. Note que somente a chave pública de João é capaz de decifrar a mensagem. Assim,

Maria tem certeza que quem enviou a mensagem foi João. Ou seja, esse esquema garante a

autenticidade.

8.3. Velocidade de Execução

Além destes pontos que tratamos, é comum as provas de concursos surgirem

questionamentos sobre o desempenho dos algoritmos de criptografia. A regra geral é que

os algoritmos de chave simétrica são mais rápidos que os algoritmos assimétricos.

http://api.ning.com/files/SF9aMzAZg0wEqTFqWZ1Y7JfxKBfXaFxJest3Z7*SIX3AX8fZ0s0FztuLQrzO0R6Mn-n*dmN3M95x4hwvr7PzlnXECsoe8rXG/CapturadeTela20120818s18.26.34.png


Teoria e Questões

Almeida Júnior


(CESPE/ABIN/TI/2010) Julgue o item que se segue, relativo a sistemas de criptografia e suas aplicações.

A chave assimétrica é composta por duas chaves criptográficas: uma privada e outra

pública.

Comentários:

Item correto. A criptografia simétrica possui uma única chave para cifragem e decifragem

das mensagens. Já os algoritmos de assimétricos ou de chave pública possuem duas chaves:

uma privada e outra pública. Enquanto uma é utilizada para cifra a outra é utilizada para

decifrar. A ordem (quem será usada pra cifra ou decifrar) dependem do propósito do

esquema: garantia de confidencialidade ou autenticidade.

(CESPE/TI/2007) Com relação a criptografia, julgue o item a seguir. Enquanto a criptografia

simétrica utiliza apenas uma chave para cifração e decifração, a assimétrica usa duas.

Comentários:

Item correto. Conforme explicamos anteriormente.

(CESPE/TI/2007) Com relação a criptografia, julgue o item a seguir.

A criptografia assimétrica requer menor esforço computacional que a simétrica.

Comentários:

Item incorreto. Os algoritmos assimétricos são mais lentos (menor desempenho) e

requerem um maior esforço computacional que os algoritmos simétricos.


Teoria e Questões

Almeida Júnior


9. Questões

01.(CESPE/SERPRO/2008) O desenvolvimento de software seguro é uma funcionalidade

presente em todas as ferramentas e padrões existentes no mercado. Assim, o

programador precisa focar apenas na criatividade e no atendimento aos requisitos do

cliente, pois segurança, hoje, é uma questão secundária.

02. (ANALISTA/2009) Para acessar computadores de uma empresa, os funcionários devem

informar a matrícula e uma senha de acesso para realização de suas atividades. A respeito

desse controle, é correto afirmar que:

IV. Visa a segurança da informação.

V. Evita o acesso indevido a documentos confidencias por parte de pessoas

externas.

VI. Controla o acesso aos sistemas de informação da empresa.

03. (CESPE/PRODEPA/2004) A criptologia é uma área do conhecimento humano que pode

ser dividida em criptografia, que trata da defesa dos sistemas de informação, e

esteganografia, que se preocupa na identificação de técnicas para o ataque a sistemas de

informação.

04. (CESPE/TRE-RJ/2012) A respeito de conceitos relacionados a segurança da informação,

julgue o item a seguir.

Na área de segurança da informação, vulnerabilidade representa causa potencial de um

incidente indesejado.

05. (CESPE/Min. Comunicações/2008) Disponibilidade, integridade e confidencialidade são

princípios de segurança. A fim de garantir integridade, os dados e os recursos devem ser

protegidos, evitando que sejam alterados de modo não-autorizado. Para garantir

confidencialidade, os dados e os recursos devem ser protegidos, a fim de que os mesmos

só sejam disponíveis aos indivíduos, programas ou processos autorizados.


Teoria e Questões

Almeida Júnior


06. (CESPE/SERPRO/2008) Confiabilidade é tornar uma informação disponível no

momento em que ela se torna necessária

07. (CESPE/SERPRO/2008) Uma informação será considerada íntegra quando seu

conteúdo não tiver sido lido por entidade não-autorizada, seja esta um sistema ou uma

pessoa.

08. (CESPE/SERPRO/2008) Um elemento fundamental a ser considerado no mundo

eletrônico atual é a disponibilidade da informação, ou seja, informação para as pessoas

autorizadas na hora que dela precisarem.

09. (ESAF/2010) O(A) _____________________ representa um ataque que compromete

diretamente a disponibilidade. Assinale a opção que completa corretamente a frase acima

f) Cavalo de troia

g) Falsificação

h) Negação de serviço

i) Phishing

j) Sniffing

10. (CESPE/DETRAN/2009) Os problemas de segurança de rede estão relacionados a sigilo,

autenticação, não-repudiação e controle de integridade da rede. Enquanto o sigilo está

relacionado ao fato de manter as informações longe de usuários não-autorizados, a não-

repudiação preocupa-se em certificar que uma mensagem recebida é legítima

11. (CESPE/PF/2004) Nos últimos anos, a segurança da informação vem se tornando área

de importância crescente para entidades tais como empresas, universidades e órgãos

governamentais, levando à necessidade de tais entidades dedicarem atenção aos

processos de definição, implantação e gestão de políticas de segurança da informação.

Acerca de segurança da informação, julgue o item seguinte.

Segurança da informação é caracterizada, basicamente, pelo fornecimento de três

serviços de segurança: a preservação do sigilo ou da confidencialidade das informações, a

garantia da integridade dos dados e a manutenção da disponibilidade.


Teoria e Questões

Almeida Júnior


12. (CESPE/ABIN/2010) Julgue o próximo item, relativo a vulnerabilidades e ataques a

sistemas computacionais, bem como à proteção oferecida pela criptografia para a

segurança da informação.

As técnicas usadas para verificar a integridade de dados contra dano acidental, tais como

os checksums, podem por si só ser usadas para garantir a integridade dos dados contra

mudanças intencionais.

13. (CESPE/TRE-ES/2011) A respeito do estabelecimento de um sistema de gestão da

segurança, julgue o item seguinte.

Entre as propriedades fundamentais conferidas à informação por meio do gerenciamento

de segurança da informação, incluem-se a confidencialidade, a integridade e a

disponibilidade.

14. (CESPE/TRE RJ/2012) A respeito de conceitos relacionados a segurança da informação,

julgue o item a seguir. O conceito de segurança da informação, além de implicar a

integridade e a disponibilidade da informação, pode incluir, entre outras propriedades

desta, a autenticidade e a confiabilidade.

15. (CESPE/MPU/2010) Julgue o próximo item, segundo a norma ABNT NBR ISO/IEC

27002:2005.

O termo integridade no escopo da referida norma diz respeito à salvaguarda da exatidão e

integridade das informações e métodos de processamento utilizados para a manipulação

da informação.

16. (CESPE/TJ/2012) Considere que uma organização mantenha em sua estrutura de

tecnologia da informação um servidor de arquivos em funcionamento. Nesse contexto,

julgue o item subsequente acerca de segurança da informação.

Considere que um usuário armazenou um arquivo nesse servidor e, após dois dias,

verificou que o arquivo está modificado, de forma indevida, uma vez que somente ele

tinha privilégios de gravação na área em que armazenou esse arquivo. Nessa situação,

houve problema de segurança da informação relacionado à disponibilidade do arquivo.

17. (CESPE/ABIN/TI/2010) Julgue o item que se segue, relativo a sistemas de criptografia e suas aplicações.


Teoria e Questões

Almeida Júnior


A chave assimétrica é composta por duas chaves criptográficas: uma privada e outra

pública.

18. (CESPE/TI/2007) Com relação a criptografia, julgue o item a seguir. Enquanto a

criptografia simétrica utiliza apenas uma chave para cifração e decifração, a assimétrica

usa duas.

19. (CESPE/TI/2007) Com relação a criptografia, julgue o item a seguir.

A criptografia assimétrica requer menor esforço computacional que a simétrica.


Teoria e Questões

Almeida Júnior


10. Gabarito

01. E 02. CCC 03. E 04. E 05. E 06. E 07. E 08. C 09. C 10. E 11. C 12. E 13. C 14. C 15. C 16. E 17. C 18. C 19. E


Teoria e Questões

Almeida Júnior


11. Bibliografia

[1] MENEZES, A. J. et al. Handbook of applied cryptography [2] STALLINGS, William, Cryptography and Network Security: Principles and Practice

Documents

Aula 00 Criptografia. Conceitos Basicos e Aplicacoes