Entendendo a criptografia - Parte 16

Par de chaves

Como comentado no texto anterior, os algoritmos de criptografia assimétrica utilizam um par de chaves. Vimos também que cada pessoa gera seu par de chaves, e que essas chaves são diferentes e matematicamente relacionadas.

Vamos ver agora mais algumas características desse modelo de criptografia.

As chaves são chamadas de Chave Pública e Chave Privada por um motivo óbvio. Uma das chaves vai ser disponibilizada publicamente e a outra será mantida privada.

Como a chave pública é disponível a qualquer pessoa, esta pessoa que deseja se comunicar com você usa sua chave pública para cifrar a mensagem, e apenas você com sua chave privada pode decifrar a mensagem.

Veremos logo abaixo os usos da criptografia assimétrica e como este modo de par de chaves tem menos chances de ser comprometido do que o modo simétrico.

Pode-se usar a criptografia assimétrica de várias maneiras, para os mais variados usos, veremos alguns.

Criptografia (Confidencialidade)

Podemos utilizar a criptografia assimétrica para criptografar dados, do mesmo modo que poderíamos utilizar a criptografia simétrica, com o mesmo nível de segurança, nem mais nem menos. Esta é uma associação errada que normalmente se faz, que um modelo é melhor que o outro. Sem levar em consideração o algoritmo de criptografia, os dois modelos tem o mesmo potencial.

Caso nosso objetivo seja criptografar uma mensagem, podemos fazer isso utilizando a chave pública do destino, e assim que receber, o próprio pode utilizar sua chave privada para decifrar a mensagem.

Por exemplo, A deseja enviar uma mensagem para B de forma confidencial:

A cifra a mensagem com a chave pública de B e a envia. Quando B receber a mensagem ele a decifra com sua chave privada.

Sempre que nos referirmos a criptografia ou confidencialidade estamos falando em criptografar texto ou arquivos, ou seja, usamos a chave pública do destinatário para a cifragem e o destinatário usa sua chave privada para decifrar.

No exemplo acima, se B deseja responder para A o processo é o mesmo, mas usando as chaves de A.

Um dos problemas da criptografia assimétrica na cifragem de arquivos grandes é a demora para a decifragem. Por se tratar de algoritmos mais complexos que os algoritmos simétricos, não é viável cifrar grandes quantidades de dados com este modelo.

Assinatura (Autenticação)

Outro uso para a criptografia assimétrica é a assinatura, ou garantir autenticação.

Garantir autenticação, basicamente quer dizer, garantir que uma parte seja realmente quem alega ser.

No caso de assinatura, trabalharemos com as chaves na ordem contrária, a chave privada irá "cifrar" a mensagem e a chave pública irá "decifrar"a mensagem. Para esse tipo de operação é mais comum trocar o termo Cifrar/Decifrar por Assinar.

Este modo não garante confidencialidade, já que a chave que "decifra" a mensagem é pública e qualquer pessoa teria acesso a ela. Este modo é utilizado para garantir a identidade do autor da mensagem. Se a mensagem só pode ser "decifrada" com a chave pública de B, isso quer dizer que somente B pode ter "cifrado" a mensagem com sua chave privada.

Vamos a um exemplo:

A deseja enviar uma mensagem assinada para B, garantindo que foi A quem enviou a mensagem:

A assina o texto claro com sua chave privada, gerando a mensagem assinada, e envia esta para B. B recebe a mensagem assinada e passa pelo algoritmo criptográfico com a chave pública de A para verificar sua autenticidade.


No próximo texto veremos outros métodos de uso de criptografia assimétrica.

Read More

Entendendo a criptografia - parte 15

Criptografia Assimétrica

Vamos começar hoje a segunda parte do assunto de criptografia. Tudo que vimos até agora era criptografia simétrica, ou seja, usava a mesma chave para a criptografia do texto claro e para a decriptografia do texto cifrado.

A partir de agora vamos ver um pouco sobre criptografia assimétrica, que não usa a mesma chave na cifragem e decifragem, normalmente usa um par de chaves, diretamente relacionadas, uma sendo usada para cifrar e outra para decifrar.

Até agora foi mencionado que existem algoritmos antigos (clássicos), algoritmos atuais mas não mais utilizados e algoritmos atuais sendo utilizados. Agora estamos mencionando outro tipo de criptografia e a primeira pergunta que vem a mente é, "qual é melhor" ou "porque dois tipos"? A resposta é simples, depende (praticamente todas as perguntas da área podem ser respondidas com esta palavra :D). Depende do seu objetivo, cada modelo de criptografia é o melhor para sua função. Vimos que com algoritmos simétricos como o AES podemos criptografar e decriptografar grandes quantidades de dados de uma forma rápida, então uma finalidade boa para este algoritmo é a criptografia de arquivos e de disco.

Já no caso da criptografia assimétrica vamos ver no decorrer de nossos estudos.

Pontos negativos da criptografia simétrica

Antes de iniciarmos de fato com a assimétrica vamos entender alguns pontos onde a simétrica não é muito boa:

- Necessidade de canal seguro: A criptografia simétrica necessita obrigatoriamente de um canal seguro, onde será trafegada a chave, como já vimos anteriormente. Neste caso, se o canal seguro for comprometido, toda a criptografia vai por água abaixo, já que portando a chave uma parte mal intencionada pode lançar qualquer tipo de ataque, incluindo decifrar conteúdos cifrados.

- Gerenciamento complexo: Como tudo depende de apenas uma chave e com ela tanto cifragem quanto decifragem são realizadas acabamos gerando outros problemas. Por exemplo, você vai precisar de uma cópia da chave de cada uma das pessoas com quem você se relaciona e troca informação sensível. Este armazenamento e gerência tem de ser seguro, caso você ou alguém que tenha sua senha seja comprometido, todas as mensagens cifradas que você e outras pessoas que tenham suas chaves armazenadas trocaram podem ser decifradas por esse atacante.

Ok, para resolver esses problemas você poderia pensar em criar uma nova chave para cada comunicação ou para cada pessoa que você conversa, mas essa não seria uma boa idéia, além de ter que gerenciar as chaves de todos, vai ter o trabalho de gerencias várias chaves próprias diferentes, sem falar em comunicar sempre que mudar de chave.



Imagine que um grupo de 4 pessoas está trabalhando em um projeto altamente sigiloso, e essas 4 pessoas se reportam a uma outra pessoa. Todas as suas mensagens tem de ser trocadas de forma sigilosa. Usando a criptografia simétrica isso não seria uma tarefa fácil, cada um dos membros deveria ter uma cópia armazenada da chave dos outros membros, o que geraria muita confusão já que cada mensagem deveria ter uma chave diferente, de acordo com o destino dela. Outra possibilidade para simplificar seria o uso de uma chave única, o que resolveria boa parte da confusão, mas ainda seriam muitos pontos de falha, se qualquer um dos cinco integrantes tiver sua máquina comprometida, a chave pode vazar, resultando em exposição de tudo o que já foi criptografado com esta chave.

Para resolver esse tipo de questão e algumas outras foi inventada a criptografia assimétrica em 1976, quando Whitfield Diffie e Martin Hellman apresentaram um algoritmo para troca de chaves, no ano seguinte Ron Rivest, Adi Shamir e Len Adleman criaram um algoritmo de fato que era de criptografia assimétrica, e em 1978 é publicado o algoritmo RSA, que é o algoritmo assimétrico mais usado até hoje.

Funcionamento básico das chaves

Como já foi comentado antes, os algoritmos assimétricos usam 2 chaves, diferentes, mas matematicamente relacionadas. As chaves são comumente chamadas de Chave Pública e Chave Privada. Pelos seus nomes já da para ter uma idéia de suas funções :)

Diferentes, mas matematicamente relacionadas quer dizer que as chaves são de fato diferentes, onde o que uma chave cifrar apenas a outra poderá decifrar. A mesma chave não pode decifrar o que cifrou e o algoritmo funciona independente de ordem, qualquer uma das duas pode ser usada na criptografia.

Veremos em outros textos os usos de criptografia com a chave pública e com a chave privada e seus objetivos.

Mesmo as chaves sendo matematicamente interligadas é (ou espera-se que seja) impossível de recriar uma chave a partir da outra.

Veja um exemplo simples da criptografia assimétrica:

No próximo texto veremos mais informações sobre as chaves, funcionamento e possíveis uso deste tipo de criptografia.

Read More

FBI e RSA investigam fraude no Brasil

Pesquisadores da RSA, divisão de segurança da EMC, descobriram o que acreditam ser uma operação de significativa de crime ciberético que afetou principalmente o Brasil. As ações criminosas focaram transações que somam US$ 3,75 bilhões.

Os pesquisadores estão trabalhando em colaboração com o FBI em uma investigação internacional de fraude bancária.

A operação conduzida por hackers, que podem estar envolvidos com crime organizado no Brasil, afetou 192.227 vítimas e 495.793 transações de pagamentos via boletos bancários, entre fevereiro e maio.

Não está claro, no entanto, a porcentagem do valor que foi realmente roubada pelos hackers, segundo o New York Times.

De acordo com os pesquisadores, por meio de um vírus denominado Bolware (união das palavras boleto e malware), enviado por e-mail às vítimas usuárias de Windows, os hackers se conectavam aos computadores infectados e interceptavam pagamentos por boletos, redirecionando-os, por meio do código digitado, para suas contas.

O Bolware foi detectado pela primeira vez em 2012, mas esta foi a primeira vez em que os pesquisadores conseguiram associar a fraudo a um um único círculo criminosa e determinar o escopo de operações compromissadas.

Durante três meses, pesquisadores da RSA no Brasil, Israel e nos Estados Unidos estudaram 19 variantes do vírus.

Segundo a Federação Brasileira de Bancos (Febraban), o cibercrime responde hoje por 95% das perdas sofridas pelos bancos brasileiros. Em 2012, cerca de US$ 1,4 bilhão foi perdido com fraudes eletrônicas no país.

Procurados pelo NYT, funcionários da Febraban afirmaram que não poderiam comentar sobre a investigação policial em vigência, declarando apenas que os bancos brasileiros gastaram, no ano passado, US$ 2 bilhões em segurança digital.

Além disso, a entidade destacou que está incentivando os consumidores a migrar o pagamento por boletos para um sistema mais seguro totalmente eletrônico, o Débito Direto de Autorização (DDA), sistema que permite o recebimento em meio eletrônico de boletos de cobrança, atualmente emitidos em papel.

Fonte: Baguete

Read More