Upload
lampyao
View
27
Download
3
Embed Size (px)
Citation preview
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 1 de 32
AULA 00: Criptografia. Conceitos básicos e aplicações
Sumário 1. Apresentação. ................................................................................................................................. 3
1.1. Metodologia das aulas. ............................................................................................................... 3
2. Conteúdo programático e planejamento das aulas (Cronograma). ............................................... 3
3. Introdução a Segurança da Informação .......................................................................................... 4
3.1. Quais motivos levam um hacker/cracker invadir seu sistema? .................................................. 6
3.2. Engenharia Social ........................................................................................................................ 7
3.3. Ataques ....................................................................................................................................... 8
3.4. Cavalos de Troia .......................................................................................................................... 9
4. Arquitetura de Segurança OSI ....................................................................................................... 10
5. Criptografia ................................................................................................................................... 11
5.1. Tipos de Ataque ........................................................................................................................ 12
6. Serviços de Segurança ................................................................................................................... 16
6.1. Confidencialidade (Sigilo ou Privacidade) ................................................................................. 16
6.2. Integridade ................................................................................................................................ 16
6.3. Disponibilidade ......................................................................................................................... 17
6.4. Irretratabilidade (Não repúdio) ................................................................................................ 17
6.5. Autenticação (ou Autenticidade) .............................................................................................. 18
6.6. Controle de Acesso ................................................................................................................... 18
7. Mecanismos de Segurança ........................................................................................................... 23
8. Criptografia Simétrica e Assimétrica – Visão Geral ....................................................................... 24
8.1. Criptografia Simétrica ............................................................................................................... 24
8.2. Criptografia Simétrica ............................................................................................................... 24
8.3. Velocidade de Execução............................................................................................................ 25
9. Questões ....................................................................................................................................... 27
10. Gabarito .................................................................................................................................... 31
11. Bibliografia ................................................................................................................................ 32
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 2 de 32
Olá Concurseiros de Plantão!
Ao iniciar um curso, uma das primeiras perguntas que todo concurseiro faz é “quem é esse
cara para querer me ensinar o assunto XYZ ?” Portanto, meus amigos, antes iniciarmos
nossa aula de demonstração, vou fazer uma breve apresentação.
Quem é o professor Almeida Júnior?
Atualmente sou Analista de Finanças e Controle da Controladoria-Geral da União aprovado
em 5º lugar na área de Infraestrutura de TI em 2012. Também fui aprovado em 4º lugar, em
2012, no concurso para Analista de Comércio Exterior do MDIC na área de TI. Além desses
concursos, fui aprovado nos seguintes certames: AUDITOR FISCAL (FS/BA-2012), MARINHA
(Corpo de Engenheiros/2005), PETROBRAS (Engenheiro Eletrônico/2004), EMBASA
(Engenheiro Eletricista/2004), INFRAERO (Engenheiro Eletrônico/2004) e BANCO DO BRASIL
(Escriturário/2003).
E qual é formação do professor? Minha formação acadêmica segue dois pilares: engenharia
eletrônica e ciência da computação. Sou mestre em sistemas e computação
(UNIFACS/2012), especialista em criptografia (UFF/2009), especialista em automação
industrial pela UERJ (2007) e engenheiro eletricista com ênfase em eletrônica (UFBA/2003).
Além disso, participei do curso de formação de engenheiros de equipamentos
pela Universidade Petrobras e do curso de formação de oficiais da marinha pelo CIAW
(Centro de Instrução Almirante Wandenkolk). Por fim, possuo a certificação PMP (Project
Management Professional).
Antes de trabalhar na CGU, atuei durante 6 anos como engenheiro de equipamentos na
Petrobras. Fui professor universitário das disciplinas de cálculo, álgebra e física. E atuei
como oficial engenheiro na Marinha do Brasil, engenheiro de automação e bancário.
Enfim, meus amigos, a matemática sempre fez parte da minha vida, seja como professor,
profissional, acadêmico ou CONCURSEIRO. Destaco o item concurseiro, pois senti na pele o
que vocês estão sentindo. Eu vou passar a experiência de quem esteve nas trincheiras! Meu
amigo, você terá todas as dicas, macetes e bizus para detonar na sua prova!
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 3 de 32
1. Apresentação.
1.1. Metodologia das aulas.
Em termos de estrutura, esse curso é de teoria com questões comentadas.
2. Conteúdo programático e planejamento das aulas (Cronograma).
Aula Conteúdo a ser trabalhado
Aula 00 04/11/2013
Criptografia. Conceitos básicos e aplicações.
Aula 01 18/11/2013
Criptografia simétrica. Principais algoritmos.
Aula 03 25/11/2013
Criptografia assimétrica. Principais algoritmos
Aula 04 02/12/2013
Assinatura e certificação digital.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 4 de 32
3. Introdução a Segurança da Informação
Olá meus amigos! Bem vindos ao nosso curso de criptografia! Inicialmente, vou passar o
“bizu” de onde você pode complementar os seus estudos. Eu recomendo dois livros:
1) MENEZES, A. J. et al. Handbook of applied cryptography 2) STALLINGS, William, Cryptography and Network Security: Principles and Practice
É claro que estes livros serão apenas para complementação. Nessa reta final, não há mais
tempo para ficar lendo livros! Eu vou trazer tudo “bizurado” para você. Você só deve
recorrer aos livros para tirar alguma dúvida específica.
Bem, vamos lá!
Nessa primeira aula, nosso foco é dar um overview sobre segurança da informação e
criptografia. Nas próximas aulas vamos entrar nos detalhes dos algoritmos. E eu tenho
certeza que você vai se apaixonar pelo tema. Blz?
Meus amigos, hoje fazemos praticamente tudo pela internet, não é mesmo? Compramos,
vendemos, abrimos contas, enviamos mensagens, solicitamos documentos, etc. Todas estas
operações giram em torno de informações. Ora, para evitar fraudes e prejuízos diversos,
precisamos proteger estas informações. É aí que entra a segurança da informação!
Hoje não para onde correr! Toda empresa precisa proteger suas informações. Não só para
proteção individual, mas também para dar credibilidade ao seu negócio. Você daria seus
dados a uma loja virtual qualquer? E se ele fornecesse pagamento pelo pague seguro? Aha!
Ai muda de figura, não é mesmo?
Segurança digital é uma área que abrange muitos temas. Se você falar com um profissional
de segurança da informação e perguntar sobre os quatro itens que vem a mente dele
quando ele pensa em segurança, aposto que ele dirá:
Firewalls (Software ou applience (hardware + software) que protege a sua rede. Ele
filtra o que pode entrar e sair da sua rede. É uma espécie de vigia)
Política de Segurança (Regras que devem ser seguidas pelos funcionários para
garantir a segurança da informação)
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 5 de 32
Separação entre as redes internas e externas: (É necessário estabelecer limites
claros entre a intranet (rede interna da empresa) e internet)
Criptografia: (Utilizada para fornecer os serviços de confidencialidade, integridade,
autenticação e não repúdio)
Isso mesmo! Criptografia! Qualquer profissional de segurança tem a obrigação de conhecer
criptografia. Nesse curso, vamos desvendar todos os mistérios da criptografia para sua
prova de concurso.
Enfim, quer ter um emprego certo? Aí está a dica: segurança da informação! Ainda mais
com esse “zunzunzum” dos EUA espionando geral.
(CESPE/SERPRO/2008) O desenvolvimento de software seguro é uma funcionalidade
presente em todas as ferramentas e padrões existentes no mercado. Assim, o
programador precisa focar apenas na criatividade e no atendimento aos requisitos do
cliente, pois segurança, hoje, é uma questão secundária.
Comentários:
Item incorreto. Segurança da informação é item de alta relevância para as empresas.
(ANALISTA/2009) Para acessar computadores de uma empresa, os funcionários devem
informar a matrícula e uma senha de acesso para realização de suas atividades. A respeito
desse controle, é correto afirmar que:
I. Visa a segurança da informação.
II. Evita o acesso indevido a documentos confidencias por parte de pessoas
externas.
III. Controla o acesso aos sistemas de informação da empresa.
Comentários:
E ai galera? Tranquilinha essa...
Todos os itens estão corretos. O processo de autenticação no sistema visa a segurança da
informação. Somente pessoas que possuem matrícula e senha podem acessar o sistema.
Esse mecanismo busca evitar que pessoas fora da empresa acessem documentos
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 6 de 32
confidências. Além disso, a senha fornece um mecanismo de controle, ou seja, saber quem
acessou o sistema.
3.1. Quais motivos levam um hacker/cracker invadir seu sistema?
Primeiro ponto de atenção é diferenciar hacker de cracker. Hacker é o cara “bomzinho”. Ele
é um “NERD” que quer invadir sistemas para testar suas habilidades. Ele busca apenas
conhecimento e não tem intenções maléficas.
Já o cracker é o hacker malvado! (Usa o lado negro da força). Ele quer mexer na sua
máquina com as piores intensões: roubar dados, destruir arquivos, implantar vírus, etc.
Mas esse tópico é para refletimos o seguinte: um cracker quer invadir somente bancos, logo
posso ficar despreocupado! Será!?!!?
Vamos enumerar motivos para o cracker invadir seu computador de casa > : )
a) Fazer bagunça: Eles são maus! Logo, querem apenas destruir. Um cracker vai entrar
no seu computador simplesmente para apagar o seu sistema. Infelizmente existem
pessoas assim.
b) Roubar seus dados: Eles querem seus dados para revender! Isso mesmo! Não se
enganem, seus dados valem ouro no mercado negro! Por exemplo, se um cracker
conseguir uma grande lista de e-mails de concurseiros, isso seria de grande interesse
para cursinhos, não é mesmo!?!? É claro que aqui no Tiparaconcursos.net não
recrutamos crackers (rs..)
c) Utilizar espaço em disco: Eles querem armazenas dados no seu PC. Por dois motivos
básicos. Ou porque eles não têm espaço na máquina deles ou porque o conteúdo
não é legal ou moral.
d) Usar sua Máquina: Poder de processamento! Os crackers vão invadir sua máquina e
fazer com que ela trabalhe para eles.
e) Usar sua Internet (banda): O cracker quer usar sua máquina para disparar ataques
pela rede.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 7 de 32
3.2. Engenharia Social
A: - Alô, aqui é Almeida Júnior, sou do departamento de defesa do Brasil. Poderia falar com
seu Francisco.
B: É ele que está falando.
A: Ótimo. Depois dessa confusão dos EUA, nós estamos tomando muitas medidas
preventivas. Nós estamos acompanhando seu provedor de internet. Você usar Net, GVT ou
outro ?
B: Uso GVT.
A: Isso mesmo! Com está aqui no relatório. Seu Francisco, seus e-mails estão sendo
monitorados. Para evitar isso, o governo está distribuindo um programa antivirus. Ele não
terá custo nenhum para senhor e garantirá sua proteção. Podemos marcar uma visita?
B: Sim. Claro. Muito obrigado.
A: Já temos aqui seu usuário aqui, é Chico123, não é mesmo? Só precisamos confirmar sua
senha.
B: Ah , pois não, a senha é .......
E ai galera ? O que isso ? Engenharia social!
A engenharia social consiste no conjunto de técnicas que utilizam as relações humanas para
obter acesso a informações sigilosas. O engenheiro social é capaz de manipular as pessoas e
conseguir acessar os sistemas. Suas técnicas se baseiam na confiança das pessoas. Muitas
vezes o engenheiro social utiliza um disfarce. Ele finge ser um cara importante, um
profissional de determinada área, etc. Lembram-se do filme: “Prenda-me se for capaz”. E do
cara que se passou por filho do dono do GOL? São dois casos de engenheiros sociais!
Recomendo a leitura do livro: A Arte de Enganar - William L. Simon, Kevin Mitnick.
Para evitar um ataque de engenharia social, você tem que ser “paranóico” (não confie em
ninguém), questione tudo, verifique sempre a origem das informações, saiba dizer não e
mais importante treine todos os seus funcionários para fazer o mesmo.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 8 de 32
3.3. Ataques
Nesse curso, não estamos preocupados em descrever em detalhes os ataques, mas é
importante conhecer alguns termos para sua prova.
Denial of Service
O Denial of Service (DOS) é a negação de um serviço. O que o cracker faz é sobrecarregar o
servidor. O servidor recebe milhares de pedidos e não consegue responder a mais nenhum.
São técnicas para provocar o DOS: MAC Flooding, Replay Attack e ACK Storm.
Eavesdropping/ Sniffing
Consiste na monitoração do trafego de rede. É um ataque passivo. Mesmo que
comunicação esteja criptografada, o cracker pode obter informações importantes. Por
exemplo, o aumento de tráfego dentro de um certo horário para um determinado destino
pode ser uma informação valiosa.
Exploits
Esse termo é utilizado quando o cracker aproveita alguma vulnerabilidade do sistema. Uma
vulnerabilidade é definida como uma condição que, quando explorada por um atacante,
pode resultar em uma violação de segurança.
Quando uma vulnerabilidade é descoberta, tipicamente, ela é amplamente divulgada para
que os professionais de segurança tomem as medidas necessárias.
Filtering
O hacker muda o payload do pacote e recalcula o checksum para manter o pacote válido.
Hijacking
Consiste no roubo de sessão. O cracker se faz passar pelo cliente e assume a sessão de
comunicação.
Injection
É um ataque de inserção de dados (pacotes) numa comunicação entre duas entidades.
Quando um comando malicioso é inserido chamamos de Command Injection. Quando um
código malicioso é inserido chamamos de Malicius Code Injection.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 9 de 32
Spoofing
O spoofing consiste em esconder a identidade do cracker. Um exemplo é o envio de um
email se passando por outra pessoa. Nesse caso temos um e-mail spoofing.
Phising
O termo foi utilizado para descrever fraudes por mensagens não solicitadas. São aqueles
famosos e-mails “Dinheiro fácil”, “Promoção imperdíve”, “Você ganhou um prêmio”, etc. Na
verdade, o cracker quer obter seus dados.
Defacement
Defacement ou pichação consiste em alterar o conteúdo da página Web de um site.
3.4. Cavalos de Troia
Um Trojan Horse (ou simplesmente Trojan) ou Cavalo de Troia é um programa que atua de
forma similar ao cavalo de troia da lenda. Ele é dado de “presente” para você (dentro de um
joguinho, por exemplo) só que é um presente de grego. O cavalo de troia abre uma porta de
comunicação que permite o cracker invadir o seu sistema. Ele pode agir das seguintes
maneiras:
a) Key logger: esse programa captura tudo que você digita e envia o para o cracker.
Isso incluir sua senha do banco. É um tipo de Spyware.
b) Backdoor: “Porta dos fundos”. Permite a invasão da máquina sem que o dono
desconfie de nada! Será que o Windows tem um backdoor implantado pelo governo
do EUA?
c) Ransamware: É um malware que cora resgate! Isso mesmo. O hacker roubar seus
dados e cobrar algo para devolver.
d) Hijacker: Alteram a pagina inicial do navegador ou redirecionam para outro site.
Quem nunca pegou um desses??
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 10 de 32
4. Arquitetura de Segurança OSI
A recomendação X.800 da ITU-T define a arquitetura de segurança OSI. Ele define um meio
sistemático para os requisitos de segurança e como técnicas para satisfazer estes requisitos.
A arquitetura tratar de três temas principais:
a) Ataques à segurança: Qualquer ação que compromete a segurança da informação
b) Mecanismos de segurança: Processo ou dispositivo capaz de detectar, impedir ou
permitir a recuperação de um ataque.
c) Serviços de Segurança: Servem para frustrar ataques. Para sua implementação
podem ser utilizados uma ou mais mecanismos de segurança.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 11 de 32
5. Criptografia
Antes de conversamos sobre criptografia precisamos definir criptologia. A criptologia estuda
as técnicas para garantir o sigilo e/ou autenticidade das informações. Ela se divide em dois
ramos:
Criptografia
Criptoanálise
A criptografia estuda técnicas relacionadas à segurança da informação. Ela tem um papel
fundamental no provimento dos serviços que deve ser oferecidos por um sistema de
segurança (confidencialidade, integridade, autenticação e não-repúdio).
Criptografia significa escrever em códigos. Ou seja, é uma forma de tornar a informação
incompreensível para o atacante. A mensagem original (antes da criptografia) é chamada de
texto claro e após a cifragem (criptografia ou ocultação) é gerado o texto cifrado. O
processo inverso é chamado de decifragem.
Por sua vez, a criptoanálise estuda as técnicas para recuperar as informações que foram
protegidas pela criptografia e também métodos para forjar informações para serem aceitas
como autênticas.
A criptografia também se divide em dois grandes ramos:
Criptografia de simétrica (ou de chave privada)
Criptografia assimétrica (ou de chave pública)
Na criptografia simétrica, a mesma chave é utilizada para cifra e decifrar a mensagem. Já na
criptografia assimétrica (ou de chave pública) temos duas chaves uma pública e uma
privada. Uma delas é usada para cifrar a mensagem e a outra para decifrar a mensagem.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 12 de 32
(CESPE/PRODEPA/2004) A criptologia é uma área do conhecimento humano que pode ser
dividida em criptografia, que trata da defesa dos sistemas de informação, e
esteganografia, que se preocupa na identificação de técnicas para o ataque a sistemas de
informação.
Comentários:
Item incorreto. A criptologia estuda as técnicas para garantir o sigilo e/ou autenticidade das
informações. Ela se divide em dois ramos: Criptografia e Criptoanálise.
A esteganografia estuda técnicas para esconder mensagens. Por exemplo, inserir dados
dentro da imagem de uma fotografia. A pessoa vê a fotografia e nem desconfia que ali
dentro existe uma mensagem secreta!
5.1. Tipos de Ataque
Seja qual o for o tipo de criptografia utilizada (simétrica ou assimétrica), o objetivo é a
proteção contra ataques de hackers sedentos por acessar, alterar ou ainda destruir suas
informações. Um ataque é qualquer ação que compromete a segurança da informação. De
uma forma geral, os ataques podem ser divididos em dois tipos:
Ataques ativos
Ataques passivos
Um exemplo de ataque passivo é uma leitura não autorizada. Note que nada acontece com
o conteúdo da informação. O cracker está interessado em monitor a transmissão sem ser
percebido. Outro exemplo de ataque passivo é a análise de tráfego. Como já comentamos,
mesmo que o canal de comunicação seja criptografado, a simples intensidade de tráfego
pode ser uma informação importante. O aumento de tráfego para determinados pontos a
partir de certa origem, podem indicar, por exemplo, um ataque terrorista.
A leitura não autorizada e a analise de tráfego são ataques chamados de interceptação.
Estes ataques violam o princípio da confidencialidade.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 13 de 32
Ataque passivo de leitura (Fonte: Stallings, pag 6)
Ataque passivo de análise de tráfego (Fonte: Stallings, pag 6)
Por sua vez, um ataque ativo pode ser divido em 4 tipos:
a) Disfarce (ou fabricação): uma entidade finge ser outra. Viola o princípio da
autenticidade.
b) Repetição: captura passiva de dados seguida de retransmissão para produzir um
efeito não autorizado. Viola o princípio da integridade.
c) Modificação de mensagens: alteração do conteúdo da mensagem. Viola o serviço de
integridade.
d) Negação de serviço (ou interrupção): impede o acesso a informação, por exemplo,
um ataque DOS (Denial of service). Violam o princípio da disponibilidade.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 14 de 32
Ataque ativo de disfarce (Fonte: Stallings, pag 7)
Ataque ativo de disfarce (Fonte: Stallings, pag 7)
Ataque ativo de modificação (Fonte: Stallings, pag 7)
Ataque ativo de modificação (Fonte: Stallings, pag 7)
Para sua prova, também é importante conhecer o conceito de ameaça. Segundo Stallings,
uma ameaça é um possível perigo que pode explorar uma vulnerabilidade do sistema. Como
vimos, uma vulnerabilidade é definida como uma condição que, quando explorada por um
atacante, pode resultar em uma violação de segurança.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 15 de 32
Seguem alguns alertas para sua prova:
1) Cuidado, alguns autores não diferenciam ataque e ameaça e por vezes são utilizados
como sinônimos.
2) Para norma ISO/IEC 27002. Vulnerabilidade é uma fragilidade e ameaça é causa de
um incidente.
a. Vulnerabilidade: é uma fragilidade de um ativo ou grupo de ativos que pode
ser explorada por uma ou mais ameaças
b. Ameaça: uma causa potencial de incidente um indesejado, que pode resultar
em um dano para um sistema ou organização
(CESPE/TRE-RJ/2012) A respeito de conceitos relacionados a segurança da informação,
julgue o item a seguir.
Na área de segurança da informação, vulnerabilidade representa causa potencial de um
incidente indesejado.
Comentários:
Item incorreto. A causa potencial de um incidente indesejado é a ameaça. A vulnerabilidade
é apenas uma fragilidade que pode ser explorada.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 16 de 32
6. Serviços de Segurança
6.1. Confidencialidade (Sigilo ou Privacidade)
A confidencialidade é um serviço que garante acesso à informação somente para quem está
autorizado para isso. Por exemplo, fazendo uma analogia, quando utilizamos um cofre com
senha, essa é uma maneira de prover confidencialidade. Ou seja, somente quem tem possui
a senha (pessoa autorizada) pode ter acesso ao conteúdo do cofre.
A confidencialidade visa proteger contra ataques passivos. Ou seja, procura proteger o
conteúdo de uma transmissão de dados. Ela também fornece proteção contra a análise do
fluxo de tráfego. Isso significa que o atacante não pode ser capaz de retirar informações a
partir da análise do tráfego.
A confidencialidade pode ser aplicada a conexão como um todo, a mensagem, ou somente a
alguns campos da mensagem. Ou seja, a confidencialidade pode ser aplicada em diversos
níveis. Contudo, quanto mais refinado o nível, mais complexo é o algoritmo.
6.2. Integridade
Prover integridade dos dados significa garantir que a informação não foi alterada. Ou seja,
é garantir que informação se manteve íntegra durante o percurso. Utilizando nossa
analogia, talvez o atacante (bandido) não possa abrir o cofre, mas ele pode alterar o seu
conteúdo. Por exemplo, imagine que o conteúdo dentro do cofre seja sensível ao calor. Ora,
se assim for, o atacante pode aquecer o cofre e alterar o seu conteúdo mesmo sem ter
acesso ao interior do cofre! Em relação aos dados, o atacante (hacker) pode não ter acesso
ao conteúdo da informação que trafega na rede, mas pode alterar, inserir, apagar ou
substituir dados, caso não seja garantido o serviço de integridade de dados.
A integridade garante que a mensagem chega da forma que foi enviada. Ou seja, que não
houve duplicação, inserção, modificação, reordenação, destruição ou repetição da
mensagem.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 17 de 32
A integridade pode ser aplicada em diversos níveis (no fluxo como um todo, na mensagem
ou em determinados campos). Quanto mais específico o nível mais complexo o algoritmo.
Por isso, recomenda-se a implantação da proteção total do fluxo.
E se integridade for perdida? O que fazer? O primeiro passo do algoritmo é detectar a
violação. A partir deste ponto temos duas opções: simplesmente informar e/ou recuperar o
dado ao seu estado original.
6.3. Disponibilidade
A disponibilidade garante que sistema estará acessível e utilizável, pelas entidades
autorizadas, quando demandado. Preste atenção no detalhe! Pode ser uma pegadinha
prova! A disponibilidade não é garantida para todo mundo, somente para as entidades
autorizadas. Já vimos um tipo de ataque a disponibilidade: o DOS.
6.4. Irretratabilidade (Não repúdio)
O não repúdio (ou irretratabilidade) evita você “dar o migué”, ou seja, você dizer que não
fez (ou fez) alguma coisa quando na verdade foi justamente o contrário. Caso clássico: sua
namorada pega o seu facebook e vê que você mandou uma mensagem “quente” para uma
amiga sua! E agora José? Meu amigo, se o facebook garantir o serviço de não repúdio vocês
estará em maus-lençóis. Você não terá como dizer que não foi você!
Outro caso concreto são as aplicações financeiras online. O banco tem que garantir o não
repúdio, senão todo dia iria escutar um cliente dizer que não fez a transferência XYZ.
Para encerrar, acrescentamos o exemplo do email! De repente sai aquele email da sua caixa,
onde você fala mal do chefe! E ai? Se o serviço de não repúdio estiver implementado, você
estará em apuros!!
Em resumo, o não repúdio, impede que a entidade (emissor ou receptor) negue a autoria de
uma mensagem transmitida. Assim, apesar de exemplificarmos somente a emissão, a
irretratabilidade trata dos dois lados (emissão e recepção). Ou seja, se o serviço estiver
implantado, quando você recebe uma mensagem pode provar que foi fulano que enviou
para você. Do mesmo modo, ao enviar uma mensagem você pode provar que cicrano
recebeu.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 18 de 32
6.5. Autenticação (ou Autenticidade)
A autenticação está ligada a saber quem é quem! Ou seja, ela está relacionada com a
identificação. Ela garante que a entidade é quem diz ser.
Qual importância desse serviço? Meu amigo, se ligassem para sua casa dizendo que era da
caixa econômica e que você tinha acabado de ganhar UM MILHÃO DE REAIS! Você
acreditaria? Pois é, em uma comunicação precisamos saber com quem estamos falando
para acreditar nas informações. O serviço de autenticação identifica as entidades que estão
se comunicando. Por exemplo, para fazer alterações na sua conta no banco, o banco precisa
saber que você é você, não é mesmo? Por isso, você precisa fazer uma autenticação no site
do banco antes de poder realizar operações financeiras.
Perceba que na autenticação temos duas etapas: identificação e verificação da identidade.
Primeiro você diz: “Eu sou fulano!”, depois temos que verificar que isso é verdade.
Quando existe uma conexão lógica entre as entidades, a autenticação garante a identidade
das entidades que estão se comunicado. Quando não existe essa conexão, a autenticação
garante que a origem dos dados é a declarada.
6.6. Controle de Acesso
O controle de acesso impede o uso não autorizado de um recurso. Ou seja, determina quem
pode usar o recurso. Caso clássico: controle de acesso a páginas da internet. No seu
trabalho rola facebook? Pois é... Ao tentar acessa uma página, o sistema primeiro vê quem é
você e depois libera ou não o acesso.
Note que de forma intrínseca é necessário algum nível de identificação para que o controle
de acesso seja possível. Tipicamente, os usuários têm que estar autenticados nos sistema, e
partir de suas “credenciais”, eles terão acesso a determinados recursos ou não.
Atenção! Bizu! Apesar de termos chamados os itens anteriores de serviços, é comum em
provas alguns deles serem chamados de princípios de segurança. Em especial, a
confidencialidade, a integridade, a disponibilidade e a autenticação.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 19 de 32
Blz! Vamos ver algumas questões do que já estudamos até aqui:
(CESPE/Min. Comunicações/2008) Disponibilidade, integridade e confidencialidade são
princípios de segurança. A fim de garantir integridade, os dados e os recursos devem ser
protegidos, evitando que sejam alterados de modo não-autorizado. Para garantir
confidencialidade, os dados e os recursos devem ser protegidos, a fim de que os mesmos
só sejam disponíveis aos indivíduos, programas ou processos autorizados.
Comentários:
Item correto. A integridade garante que os dados não foram alterados. Já a
confidencialidade garante que só é autorizado pode ter acesso. Note que o CESPE quis fazer
uma pegadinha quando usou a palavra “disponíveis”! Ele queria que você lembrasse da
disponibilidade. Contudo, do jeito que está escrito, disponível tem relação com ter direito
ao acesso.
(CESPE/SERPRO/2008) Confiabilidade é tornar uma informação disponível no momento
em que ela se torna necessária
Comentários:
Item incorreto. O correto seria dizer: “Disponibilidade é torna uma informação disponível, as
entidades autorizada, no momento em que ela se torna necessária”
(CESPE/SERPRO/2008) Uma informação será considerada íntegra quando seu conteúdo
não tiver sido lido por entidade não-autorizada, seja esta um sistema ou uma pessoa.
Comentários:
Item incorreto. A proibição de leitura por entidade não-autorizada é garantida pela
confidencialidade.
(CESPE/SERPRO/2008) Um elemento fundamental a ser considerado no mundoeletrônico
atual é a disponibilidade da informação, ou seja, informação para as pessoas autorizadas
na hora que dela precisarem.
Comentários:
Item correto. Atente para o detalhe “pessoas autorizadas”.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 20 de 32
(ESAF/2010) O(A) _____________________ representa um ataque que compromete
diretamente a disponibilidade. Assinale a opção que completa corretamente a frase acima
a) Cavalo de troia
b) Falsificação
c) Negação de serviço
d) Phishing
e) Sniffing
Comentários:
O DOS (Denial of Service – Negação de serviço) é um ataque envia milhares de requisições
ao servidor deixando-o indisponível para anteder outros pedidos. Portanto, gabarito C.
(CESPE/DETRAN/2009) Os problemas de segurança de rede estão relacionados a sigilo,
autenticação, não-repudiação e controle de integridade da rede. Enquanto o sigilo está
relacionado ao fato de manter as informações longe de usuários não-autorizados, a não-
repudiação preocupa-se em certificar que uma mensagem recebida é legítima
Comentários:
Item incorreto. A primeira parte: “Os problemas de segurança de rede estão relacionados a
sigilo, autenticação, não-repudiação e controle de integridade da rede” está ok!
Também está correto a passagem “O sigilo está relacionado ao fato de manter as
informações longe de usuários não-autorizados”. Lembre-se que sigilo e privacidade são
sinônimos para confidencialidade.
O último trecho está errado, pois o não repúdio (ou irretratabilidade) evita você negue a
autoria de uma mensagem.
(CESPE/PF/2004) Nos últimos anos, a segurança da informação vem se tornando área de
importância crescente para entidades tais como empresas, universidades e órgãos
governamentais, levando à necessidade de tais entidades dedicarem atenção aos
processos de definição, implantação e gestão de políticas de segurança da informação.
Acerca de segurança da informação, julgue o item seguinte.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 21 de 32
Segurança da informação é caracterizada, basicamente, pelo fornecimento de três
serviços de segurança: a preservação do sigilo ou da confidencialidade das informações, a
garantia da integridade dos dados e a manutenção da disponibilidade.
Comentários:
Item correto. Note que CESPE utiliza sigilo como sinônimo de confidencialidade. Além dos
três citados, poderíamos acrescentar a autenticação, mas isso não invalida a questão.
(CESPE/ABIN/2010) Julgue o próximo item, relativo a vulnerabilidades e ataques a
sistemas computacionais, bem como à proteção oferecida pela criptografia para a
segurança da informação.
As técnicas usadas para verificar a integridade de dados contra dano acidental, tais como
os checksums, podem por si só ser usadas para garantir a integridade dos dados contra
mudanças intencionais.
Comentários:
Item incorreto. O checksum serve para verificar se os dados estão corretos. Por exemplo,
em um donwload. Contudo, tem um detalhe! O hacker pode alterar o conteúdo da
informação e recalcular o checksum! Asism, por si só o checksum não consegue garantir a
integridade das informações, ou seja, que elas não forma modificadas durante o trajeto.
(CESPE/TRE-ES/2011) A respeito do estabelecimento de um sistema de gestão da
segurança, julgue o item seguinte.
Entre as propriedades fundamentais conferidas à informação por meio do gerenciamento
de segurança da informação, incluem-se a confidencialidade, a integridade e a
disponibilidade.
Comentários:
Item correto. Como na prova de 2004, mais uma vez o CESPE elegeu o trio
confidencialidade, integridade e disponibilidade como os entes fundamentais em um
sistema de segurança da informação.
(CESPE/TRE RJ/2012) A respeito de conceitos relacionados a segurança da informação,
julgue o item a seguir. O conceito de segurança da informação, além de implicar a
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 22 de 32
integridade e a disponibilidade da informação, pode incluir, entre outras propriedades
desta, a autenticidade e a confiabilidade.
Comentários:
Item correto. Veja que banca, como o pokemon, evolui! Agora em 2012, além do trio
(confiabilidade, integridade e disponibilidade), o CESPE acrescentou autenticidade e
confiabilidade.
(CESPE/MPU/2010) Julgue o próximo item, segundo a norma ABNT NBR ISO/IEC
27002:2005.
O termo integridade no escopo da referida norma diz respeito à salvaguarda da exatidão e
integridade das informações e métodos de processamento utilizados para a manipulação
da informação.
Comentários:
Item correto. Apesar da norma não fazer parte do nosso escopo de estudo. Essa questão
tem relação com conceito de integridade e bastava conhece-lo para matar a questão.
(CESPE/TJ/2012) Considere que uma organização mantenha em sua estrutura de
tecnologia da informação um servidor de arquivos em funcionamento. Nesse contexto,
julgue o item subsequente acerca de segurança da informação.
Considere que um usuário armazenou um arquivo nesse servidor e, após dois dias,
verificou que o arquivo está modificado, de forma indevida, uma vez que somente ele
tinha privilégios de gravação na área em que armazenou esse arquivo. Nessa situação,
houve problema de segurança da informação relacionado à disponibilidade do arquivo.
Comentários:
Item incorreto. Ótima questão! Como só ele tinha privilégios para gravação, poderíamos
pensar que alguém se fez passa por ele e alterou o arquivo. Ou seja, houve uma falha no
serviço de autenticação. Também poderíamos pensar em uma falha no sistema de
confidencialidade já que uma pessoa não autorizada alterou o arquivo. Em todo caso, não
há relação com a disponibilidade.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 23 de 32
7. Mecanismos de Segurança
Como vimos, os mecanismos de segurança são processos ou dispositivos capazes de
detectar, impedir ou permitir a recuperação de um ataque. Citamos os seguintes:
a) Cifragem: Algoritmos para transformar um texto claro em um texto incompreensível.
São os algoritmos de criptografia
b) Controle de roteamento: Permite selecionar rotas seguras ou desvio de rotas
quando existe suspeita de invasão
c) Certificação: Utilização de um terceiro confiável para garantir certas propriedades
em uma troca de dados.
d) Integridade de dados: Garantem a integridade dos dados
e) Assinatura digital: Permite a comprovação da origem dos dados.
f) Controle de acesso: Restringe o acesso a determinados dispositivos
g) Preenchimento de tráfego: Inserção de bits nas lacunas de fluxo de dados para
frustrar as tentativas de análise de tráfego.
h) Troca de informações de autenticação: Garante a identificação da entendia por
meio da troca de informações.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 24 de 32
8. Criptografia Simétrica e Assimétrica – Visão Geral
8.1. Criptografia Simétrica
Como vimos, a criptografia simétrica tem como característica utilizar uma única chave para
cifrar e decifrar a mensagem. É desta forma que vai vir em 99% das vezes em sua prova.
Contudo, em uma prova mais elaborada o examinador pode afirmar que:
“Na criptografia simétrica (ou de chave privada) a chave de cifração pode ser obtida
facilmente a partir da chave de decifração e vice-versa.”
Outro ponto comum de prova é a questão de distribuição de chaves. Na criptografia
simétrica, como a chave é a mesma, ela deve ser compartilhada entre a origem e o destino.
Então, surge o problema: como passar chave entre as entidades que se comunicam sem que
ela seja roubada pelo cracker? Este problema não existe na criptografia assimétrica, já que a
chave é pública (todo mundo pode ver).
8.2. Criptografia Simétrica
Na criptografia assimétrica (ou criptografia de chave pública) são utilizadas duas chaves
diferentes. Uma para cifrar e outra para decifrar. Além disso, você deve levar para prova
que:
“Na criptografia assimétrica (ou de chave pública) a chave privada não pode ser obtida
facilmente através da chave pública”
Por que ? Lembre-se que são geradas duas chaves: uma pública e outra privada. A chave
pública pode ser conhecida por todos e é utilizada para cifrar o texto claro. Já chave privada
deve permanecer secreta e é utilizada para decifrar o texto cifrado. Assim, não deve ser
possível obter a chave privada a partir da pública, senão todo o esquema estaria vulnerável.
Na verdade, cabe uma observação. O exemplo que acabados de dar (cifrando com a pública
e decifrando com a privada) ocorre quando o objetivo é garantir a confidencialidade.
Também é possível utilizar a chave privada para cifrar o texto claro e a respectiva chave
pública para decifrar a mensagem criptografada. Neste caso, busca-se garantir a
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 25 de 32
autencidade. É caso típico de assinaturas digitais. Em outra aula vamos falar disso em
detalhes.
Vamos ver um caso mais prático!
Suponha que João queira enviar uma mensagem para Maria. Para isso, João deve cifrar a
mensagem com a chave pública de Maria (todo mundo conhece essa chave de Maria, pois é
pública). Ao receber a mensagem cifrada por João, Maria (e somente ela) pode decifrar a
mensagem enviada com a sua chave privada. Note bem! A confidencialidade está garantida,
pois somente a chave privada de Maria (e nenhuma outra do planeta) pode decifrar a
mensagem criptografada. Ou seja, só Maria pode ver a mensagem envaida por João para
ela.
Como afirmamos, a outra função da criptografia de chave pública é garantir a autenticidade.
Neste caso, João cifra a mensagem com sua própria chave privada (só João possui essa
chave) e envia para Maria. Quando Maria recebe a mensagem, ela utiliza a chave pública de
João. Note que somente a chave pública de João é capaz de decifrar a mensagem. Assim,
Maria tem certeza que quem enviou a mensagem foi João. Ou seja, esse esquema garante a
autenticidade.
8.3. Velocidade de Execução
Além destes pontos que tratamos, é comum as provas de concursos surgirem
questionamentos sobre o desempenho dos algoritmos de criptografia. A regra geral é que
os algoritmos de chave simétrica são mais rápidos que os algoritmos assimétricos.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 26 de 32
(CESPE/ABIN/TI/2010) Julgue o item que se segue, relativo a sistemas de criptografia e suas aplicações.
A chave assimétrica é composta por duas chaves criptográficas: uma privada e outra
pública.
Comentários:
Item correto. A criptografia simétrica possui uma única chave para cifragem e decifragem
das mensagens. Já os algoritmos de assimétricos ou de chave pública possuem duas chaves:
uma privada e outra pública. Enquanto uma é utilizada para cifra a outra é utilizada para
decifrar. A ordem (quem será usada pra cifra ou decifrar) dependem do propósito do
esquema: garantia de confidencialidade ou autenticidade.
(CESPE/TI/2007) Com relação a criptografia, julgue o item a seguir. Enquanto a criptografia
simétrica utiliza apenas uma chave para cifração e decifração, a assimétrica usa duas.
Comentários:
Item correto. Conforme explicamos anteriormente.
(CESPE/TI/2007) Com relação a criptografia, julgue o item a seguir.
A criptografia assimétrica requer menor esforço computacional que a simétrica.
Comentários:
Item incorreto. Os algoritmos assimétricos são mais lentos (menor desempenho) e
requerem um maior esforço computacional que os algoritmos simétricos.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 27 de 32
9. Questões
01.(CESPE/SERPRO/2008) O desenvolvimento de software seguro é uma funcionalidade
presente em todas as ferramentas e padrões existentes no mercado. Assim, o
programador precisa focar apenas na criatividade e no atendimento aos requisitos do
cliente, pois segurança, hoje, é uma questão secundária.
02. (ANALISTA/2009) Para acessar computadores de uma empresa, os funcionários devem
informar a matrícula e uma senha de acesso para realização de suas atividades. A respeito
desse controle, é correto afirmar que:
IV. Visa a segurança da informação.
V. Evita o acesso indevido a documentos confidencias por parte de pessoas
externas.
VI. Controla o acesso aos sistemas de informação da empresa.
03. (CESPE/PRODEPA/2004) A criptologia é uma área do conhecimento humano que pode
ser dividida em criptografia, que trata da defesa dos sistemas de informação, e
esteganografia, que se preocupa na identificação de técnicas para o ataque a sistemas de
informação.
04. (CESPE/TRE-RJ/2012) A respeito de conceitos relacionados a segurança da informação,
julgue o item a seguir.
Na área de segurança da informação, vulnerabilidade representa causa potencial de um
incidente indesejado.
05. (CESPE/Min. Comunicações/2008) Disponibilidade, integridade e confidencialidade são
princípios de segurança. A fim de garantir integridade, os dados e os recursos devem ser
protegidos, evitando que sejam alterados de modo não-autorizado. Para garantir
confidencialidade, os dados e os recursos devem ser protegidos, a fim de que os mesmos
só sejam disponíveis aos indivíduos, programas ou processos autorizados.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 28 de 32
06. (CESPE/SERPRO/2008) Confiabilidade é tornar uma informação disponível no
momento em que ela se torna necessária
07. (CESPE/SERPRO/2008) Uma informação será considerada íntegra quando seu
conteúdo não tiver sido lido por entidade não-autorizada, seja esta um sistema ou uma
pessoa.
08. (CESPE/SERPRO/2008) Um elemento fundamental a ser considerado no mundo
eletrônico atual é a disponibilidade da informação, ou seja, informação para as pessoas
autorizadas na hora que dela precisarem.
09. (ESAF/2010) O(A) _____________________ representa um ataque que compromete
diretamente a disponibilidade. Assinale a opção que completa corretamente a frase acima
f) Cavalo de troia
g) Falsificação
h) Negação de serviço
i) Phishing
j) Sniffing
10. (CESPE/DETRAN/2009) Os problemas de segurança de rede estão relacionados a sigilo,
autenticação, não-repudiação e controle de integridade da rede. Enquanto o sigilo está
relacionado ao fato de manter as informações longe de usuários não-autorizados, a não-
repudiação preocupa-se em certificar que uma mensagem recebida é legítima
11. (CESPE/PF/2004) Nos últimos anos, a segurança da informação vem se tornando área
de importância crescente para entidades tais como empresas, universidades e órgãos
governamentais, levando à necessidade de tais entidades dedicarem atenção aos
processos de definição, implantação e gestão de políticas de segurança da informação.
Acerca de segurança da informação, julgue o item seguinte.
Segurança da informação é caracterizada, basicamente, pelo fornecimento de três
serviços de segurança: a preservação do sigilo ou da confidencialidade das informações, a
garantia da integridade dos dados e a manutenção da disponibilidade.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 29 de 32
12. (CESPE/ABIN/2010) Julgue o próximo item, relativo a vulnerabilidades e ataques a
sistemas computacionais, bem como à proteção oferecida pela criptografia para a
segurança da informação.
As técnicas usadas para verificar a integridade de dados contra dano acidental, tais como
os checksums, podem por si só ser usadas para garantir a integridade dos dados contra
mudanças intencionais.
13. (CESPE/TRE-ES/2011) A respeito do estabelecimento de um sistema de gestão da
segurança, julgue o item seguinte.
Entre as propriedades fundamentais conferidas à informação por meio do gerenciamento
de segurança da informação, incluem-se a confidencialidade, a integridade e a
disponibilidade.
14. (CESPE/TRE RJ/2012) A respeito de conceitos relacionados a segurança da informação,
julgue o item a seguir. O conceito de segurança da informação, além de implicar a
integridade e a disponibilidade da informação, pode incluir, entre outras propriedades
desta, a autenticidade e a confiabilidade.
15. (CESPE/MPU/2010) Julgue o próximo item, segundo a norma ABNT NBR ISO/IEC
27002:2005.
O termo integridade no escopo da referida norma diz respeito à salvaguarda da exatidão e
integridade das informações e métodos de processamento utilizados para a manipulação
da informação.
16. (CESPE/TJ/2012) Considere que uma organização mantenha em sua estrutura de
tecnologia da informação um servidor de arquivos em funcionamento. Nesse contexto,
julgue o item subsequente acerca de segurança da informação.
Considere que um usuário armazenou um arquivo nesse servidor e, após dois dias,
verificou que o arquivo está modificado, de forma indevida, uma vez que somente ele
tinha privilégios de gravação na área em que armazenou esse arquivo. Nessa situação,
houve problema de segurança da informação relacionado à disponibilidade do arquivo.
17. (CESPE/ABIN/TI/2010) Julgue o item que se segue, relativo a sistemas de criptografia e suas aplicações.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 30 de 32
A chave assimétrica é composta por duas chaves criptográficas: uma privada e outra
pública.
18. (CESPE/TI/2007) Com relação a criptografia, julgue o item a seguir. Enquanto a
criptografia simétrica utiliza apenas uma chave para cifração e decifração, a assimétrica
usa duas.
19. (CESPE/TI/2007) Com relação a criptografia, julgue o item a seguir.
A criptografia assimétrica requer menor esforço computacional que a simétrica.
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 31 de 32
10. Gabarito
01. E 02. CCC 03. E 04. E 05. E 06. E 07. E 08. C 09. C 10. E 11. C 12. E 13. C 14. C 15. C 16. E 17. C 18. C 19. E
Criptografia para o STF - Aula 00
Teoria e Questões
Almeida Júnior
www.tiparaconcursos.net Página 32 de 32
11. Bibliografia
[1] MENEZES, A. J. et al. Handbook of applied cryptography [2] STALLINGS, William, Cryptography and Network Security: Principles and Practice