Essays.club - TCC, Modelos de monografias, Trabalhos de universidades, Ensaios, Bibliografias
Pesquisar

Segurança da Informação

Por:   •  26/3/2018  •  1.775 Palavras (8 Páginas)  •  298 Visualizações

Página 1 de 8

...

X AUTORIZAÇÃO:

i. AUTENTIFICAÇÃO: É o processo de se validar um indivíduo ou dispositivo baseado na combinação correta de nome de usuário e senha. A autenticação não determina o que um indivíduo pode acessar, mas apenas que ele é quem diz ser. Exemplo: biometria, token.

ii. AUTORIZAÇÃO: é ação do proprietário, por exemplo controlando que usuários que podem acessar sistema. A autorização define o que um indivíduo está autorizado a fazer supondo, é claro, que ele tenha sido autenticado!

j. CRIPTOGRAFIA:

i. Conceito de ADVERSÁRIO, que designa o potencial interceptador das mensagens, que impedirá que ela vá de um remetente a um destinatário de forma íntegra, confidencial e autêntica.

ii. Cryptonium Pipe: criptografia entre remetente e destinatários para garantir segurança do dado

iii. Cryptosistem: as diferentes partes necessárias para comunicar uma mensagem segura:

1. Envolve, sempre: um PROGRAMA DE ENCRIPTAÇÃO - que transforma uma mensagem em uma mensagem encriptada - e um PROGRAMA DE DESINCRIPTAÇÃO - que transforma uma mensagem encriptada em desincriptada ou em um erro, caso a mensagem encriptada tenha sido motificada durante seu tráfego (o erro é fundamental, pois se ele ocorre, o destinatário saberá que a mensagem foi violada!).

2. Há uma CHAVE DE ENCRIPTAÇÃO e uma CHAVE DE DESINCRIPTAÇÃO

a. É FUNDAMENTAL manter o segredo das chaves, uma vez que os programas de encriptação e desincriptação são PÚBLICOS

iv. Formas de Criptografia:

1. Simétrica: remetente e destinatário tem a mesma chave, que é privada. Menos seguro, pois caso um dos dois elementos revele a chave, toda segurança é destruída.

a. Um exemplo de algoritmo de chave privada é o AES;

2. Assimétrica: Remetente e destinatário tem chaves distintas, uma privada e uma pública, que não são apenas senhas, mas arquivos associados. A chave pública destina-se à encriptação; enquanto a chave privada destina-se à desencriptação;

a. Um exemplo de algoritmo assimétrico é o RSA;

3. EXEMPLO: HTTPS, que usa combinação de criptografia simétrica e assimétrica.

v. Certificado Digital: Com um sistema de chave pública, o gerenciamento de chaves passa a ter dois novos aspectos: primeiro, deve-se previamente localizar a chave pública de qualquer pessoa com quem se deseja comunicar e, segundo, deve-se obter uma garantia de que a chave pública encontrada seja proveniente daquela pessoa. Sem esta garantia, um intruso pode convencer os interlocutores de que chaves públicas falsas pertencem a eles. Estabelecendo um processo de confiança entre os interlocutores, o intruso pode fazer-se passar por ambos. Deste modo, quando um emissor enviar uma mensagem ao receptor solicitando sua chave pública, o intruso poderá interceptá-la e devolver-lhe uma chave pública forjada por ele. Ele também pode fazer o mesmo com o receptor, fazendo com que cada lado pense que está se comunicando com o outro, quando na verdade estão sendo interceptados pelo intruso, então este pode decifrar todas as mensagens, cifrá-las novamente ou, se preferir, até substituí-las por outras mensagens. Através deste ataque, um intruso pode causar tantos danos ou até mais do que causaria se conseguisse quebrar o algoritmo de ciframento empregado pelos interlocutores. A garantia para evitar este tipo de ataque é representada pelos certificados de chave pública, comumente chamados de certificado digital, tais certificados consistem em chaves públicas assinadas por uma pessoa de confiança - há, portanto, um terceiro, diferente da assinatura digital, onde o próprio remetente que assina o ativo, garantindo sua autenticidade. Servem para evitar tentativas de substituição de uma chave pública por outra. O certificado contém algo mais do que sua chave pública, ele apresenta informações sobre o nome, endereço e outros dados pessoais, e é assinado por um terceiro em quem o proprietário deposita sua confiança, chamado de autoridade de certificação (certification authority - CA). Assim, um certificado digital pode ser definido como um documento eletrônico, assinado digitalmente por uma terceira parte confiável. No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil (AC-Raiz).Para adquirir um certificado digital, o interessado deve dirigir-se a uma Autoridade de Registro, onde será identificado mediante a apresentação de documentos pessoais (dentre outros: cédula de identidade ou passaporte, se estrangeiro; CPF; título de eleitor; comprovante de residência e PIS/PASEP, se for o caso). É importante salientar que é indispensável a presença física do futuro titular do certificado, uma vez que este documento eletrônico será a sua “carteira de identidade” no mundo virtual. A emissão de certificado para pessoa jurídica requer a apresentação dos seguintes documentos: registro comercial, no caso de empresa individual; ato constitutivo, estatuto ou contrato social; CNPJ e documentos pessoais da pessoa física responsável.

1. Assim, Certificado Digital = Chave Pública + a identificação do proprietário, emitida por um terceiro

vi. ASSINATURA DIGITAL: Normalmente, usa três algoritmos: um para gerar a chave pública e a privada; um segundo, para assinar o arquivo; por fim, um algoritimo para verificar a veracidade da assinatura

k. Um "Carimbo de data e hora" é uma certificação emitida por terceiros confiáveis, especificando que determinada mensagem existia em uma hora e data específica. Em um contexto digital, os terceiros confiáveis geram um carimbo de hora confiável para uma mensagem, fazendo com que um serviço de carimbo de hora passe o valor do tempo para uma mensagem e, em seguida, assine digitalmente o resultado.Carimbo de Tempo, no Brasil, foi simplificado pela ICP-Brasil como:

i. Documento eletrônico emitido por uma Autoridade Certificadora de Tempo (ACT) e que serve como evidência de que uma informação digital existia numa determinada data e hora no passado; ou variáveis decorrentes da acepção anterior como:

ii. É um selo que atesta a data e a hora exata em que um documento eletrônico recebeu a assinatura digital, garantindo a veracidade das informações e que o documento não sofreu adulteração no intervalo de tempo entre a assinatura e a consulta ao documento. Sendo que, somente tem validade legal incontestável se emitido por uma ACT credenciada

...

Baixar como  txt (12.3 Kb)   pdf (56.7 Kb)   docx (16.2 Kb)  
Continuar por mais 7 páginas »
Disponível apenas no Essays.club