Segurança da Informação

...

X AUTORIZAÇÃO:

i. AUTENTIFICAÇÃO: É o processo de se validar um indivíduo ou dispositivo baseado na combinação correta de nome de usuário e senha. A autenticação não determina o que um indivíduo pode acessar, mas apenas que ele é quem diz ser. Exemplo: biometria, token.

ii. AUTORIZAÇÃO: é ação do proprietário, por exemplo controlando que usuários que podem acessar sistema. A autorização define o que um indivíduo está autorizado a fazer supondo, é claro, que ele tenha sido autenticado!

j. CRIPTOGRAFIA:

i. Conceito de ADVERSÁRIO, que designa o potencial interceptador das mensagens, que impedirá que ela vá de um remetente a um destinatário de forma íntegra, confidencial e autêntica.

ii. Cryptonium Pipe: criptografia entre remetente e destinatários para garantir segurança do dado

iii. Cryptosistem: as diferentes partes necessárias para comunicar uma mensagem segura:

1. Envolve, sempre: um PROGRAMA DE ENCRIPTAÇÃO - que transforma uma mensagem em uma mensagem encriptada - e um PROGRAMA DE DESINCRIPTAÇÃO - que transforma uma mensagem encriptada em desincriptada ou em um erro, caso a mensagem encriptada tenha sido motificada durante seu tráfego (o erro é fundamental, pois se ele ocorre, o destinatário saberá que a mensagem foi violada!).

2. Há uma CHAVE DE ENCRIPTAÇÃO e uma CHAVE DE DESINCRIPTAÇÃO

a. É FUNDAMENTAL manter o segredo das chaves, uma vez que os programas de encriptação e desincriptação são PÚBLICOS

iv. Formas de Criptografia:

1. Simétrica: remetente e destinatário tem a mesma chave, que é privada. Menos seguro, pois caso um dos dois elementos revele a chave, toda segurança é destruída.

a. Um exemplo de algoritmo de chave privada é o AES;

2. Assimétrica: Remetente e destinatário tem chaves distintas, uma privada e uma pública, que não são apenas senhas, mas arquivos associados. A chave pública destina-se à encriptação; enquanto a chave privada destina-se à desencriptação;

a. Um exemplo de algoritmo assimétrico é o RSA;

3. EXEMPLO: HTTPS, que usa combinação de criptografia simétrica e assimétrica.

v. Certificado Digital: Com um sistema de chave pública, o gerenciamento de chaves passa a ter dois novos aspectos: primeiro, deve-se previamente localizar a chave pública de qualquer pessoa com quem se deseja comunicar e, segundo, deve-se obter uma garantia de que a chave pública encontrada seja proveniente daquela pessoa. Sem esta garantia, um intruso pode convencer os interlocutores de que chaves públicas falsas pertencem a eles. Estabelecendo um processo de confiança entre os interlocutores, o intruso pode fazer-se passar por ambos. Deste modo, quando um emissor enviar uma mensagem ao receptor solicitando sua chave pública, o intruso poderá interceptá-la e devolver-lhe uma chave pública forjada por ele. Ele também pode fazer o mesmo com o receptor, fazendo com que cada lado pense que está se comunicando com o outro, quando na verdade estão sendo interceptados pelo intruso, então este pode decifrar todas as mensagens, cifrá-las novamente ou, se preferir, até substituí-las por outras mensagens. Através deste ataque, um intruso pode causar tantos danos ou até mais do que causaria se conseguisse quebrar o algoritmo de ciframento empregado pelos interlocutores. A garantia para evitar este tipo de ataque é representada pelos certificados de chave pública, comumente chamados de certificado digital, tais certificados consistem em chaves públicas assinadas por uma pessoa de confiança - há, portanto, um terceiro, diferente da assinatura digital, onde o próprio remetente que assina o ativo, garantindo sua autenticidade. Servem para evitar tentativas de substituição de uma chave pública por outra. O certificado contém algo mais do que sua chave pública, ele apresenta informações sobre o nome, endereço e outros dados pessoais, e é assinado por um terceiro em quem o proprietário deposita sua confiança, chamado de autoridade de certificação (certification authority - CA). Assim, um certificado digital pode ser definido como um documento eletrônico, assinado digitalmente por uma terceira parte confiável. No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil (AC-Raiz).Para adquirir um certificado digital, o interessado deve dirigir-se a uma Autoridade de Registro, onde será identificado mediante a apresentação de documentos pessoais (dentre outros: cédula de identidade ou passaporte, se estrangeiro; CPF; título de eleitor; comprovante de residência e PIS/PASEP, se for o caso). É importante salientar que é indispensável a presença física do futuro titular do certificado, uma vez que este documento eletrônico será a sua “carteira de identidade” no mundo virtual. A emissão de certificado para pessoa jurídica requer a apresentação dos seguintes documentos: registro comercial, no caso de empresa individual; ato constitutivo, estatuto ou contrato social; CNPJ e documentos pessoais da pessoa física responsável.

1. Assim, Certificado Digital = Chave Pública + a identificação do proprietário, emitida por um terceiro

vi. ASSINATURA DIGITAL: Normalmente, usa três algoritmos: um para gerar a chave pública e a privada; um segundo, para assinar o arquivo; por fim, um algoritimo para verificar a veracidade da assinatura

k. Um "Carimbo de data e hora" é uma certificação emitida por terceiros confiáveis, especificando que determinada mensagem existia em uma hora e data específica. Em um contexto digital, os terceiros confiáveis geram um carimbo de hora confiável para uma mensagem, fazendo com que um serviço de carimbo de hora passe o valor do tempo para uma mensagem e, em seguida, assine digitalmente o resultado.Carimbo de Tempo, no Brasil, foi simplificado pela ICP-Brasil como:

i. Documento eletrônico emitido por uma Autoridade Certificadora de Tempo (ACT) e que serve como evidência de que uma informação digital existia numa determinada data e hora no passado; ou variáveis decorrentes da acepção anterior como:

ii. É um selo que atesta a data e a hora exata em que um documento eletrônico recebeu a assinatura digital, garantindo a veracidade das informações e que o documento não sofreu adulteração no intervalo de tempo entre a assinatura e a consulta ao documento. Sendo que, somente tem validade legal incontestável se emitido por uma ACT credenciada