Entendendo a criptografia - Parte 16

Par de chaves

Como comentado no texto anterior, os algoritmos de criptografia assimétrica utilizam um par de chaves. Vimos também que cada pessoa gera seu par de chaves, e que essas chaves são diferentes e matematicamente relacionadas.

Vamos ver agora mais algumas características desse modelo de criptografia.

As chaves são chamadas de Chave Pública e Chave Privada por um motivo óbvio. Uma das chaves vai ser disponibilizada publicamente e a outra será mantida privada.

Como a chave pública é disponível a qualquer pessoa, esta pessoa que deseja se comunicar com você usa sua chave pública para cifrar a mensagem, e apenas você com sua chave privada pode decifrar a mensagem.

Veremos logo abaixo os usos da criptografia assimétrica e como este modo de par de chaves tem menos chances de ser comprometido do que o modo simétrico.

Pode-se usar a criptografia assimétrica de várias maneiras, para os mais variados usos, veremos alguns.

Criptografia (Confidencialidade)

Podemos utilizar a criptografia assimétrica para criptografar dados, do mesmo modo que poderíamos utilizar a criptografia simétrica, com o mesmo nível de segurança, nem mais nem menos. Esta é uma associação errada que normalmente se faz, que um modelo é melhor que o outro. Sem levar em consideração o algoritmo de criptografia, os dois modelos tem o mesmo potencial.

Caso nosso objetivo seja criptografar uma mensagem, podemos fazer isso utilizando a chave pública do destino, e assim que receber, o próprio pode utilizar sua chave privada para decifrar a mensagem.

Por exemplo, A deseja enviar uma mensagem para B de forma confidencial:

A cifra a mensagem com a chave pública de B e a envia. Quando B receber a mensagem ele a decifra com sua chave privada.

Sempre que nos referirmos a criptografia ou confidencialidade estamos falando em criptografar texto ou arquivos, ou seja, usamos a chave pública do destinatário para a cifragem e o destinatário usa sua chave privada para decifrar.

No exemplo acima, se B deseja responder para A o processo é o mesmo, mas usando as chaves de A.

Um dos problemas da criptografia assimétrica na cifragem de arquivos grandes é a demora para a decifragem. Por se tratar de algoritmos mais complexos que os algoritmos simétricos, não é viável cifrar grandes quantidades de dados com este modelo.

Assinatura (Autenticação)

Outro uso para a criptografia assimétrica é a assinatura, ou garantir autenticação.

Garantir autenticação, basicamente quer dizer, garantir que uma parte seja realmente quem alega ser.

No caso de assinatura, trabalharemos com as chaves na ordem contrária, a chave privada irá "cifrar" a mensagem e a chave pública irá "decifrar"a mensagem. Para esse tipo de operação é mais comum trocar o termo Cifrar/Decifrar por Assinar.

Este modo não garante confidencialidade, já que a chave que "decifra" a mensagem é pública e qualquer pessoa teria acesso a ela. Este modo é utilizado para garantir a identidade do autor da mensagem. Se a mensagem só pode ser "decifrada" com a chave pública de B, isso quer dizer que somente B pode ter "cifrado" a mensagem com sua chave privada.

Vamos a um exemplo:

A deseja enviar uma mensagem assinada para B, garantindo que foi A quem enviou a mensagem:

A assina o texto claro com sua chave privada, gerando a mensagem assinada, e envia esta para B. B recebe a mensagem assinada e passa pelo algoritmo criptográfico com a chave pública de A para verificar sua autenticidade.


No próximo texto veremos outros métodos de uso de criptografia assimétrica.

Read More

Entendendo a criptografia - parte 15

Criptografia Assimétrica

Vamos começar hoje a segunda parte do assunto de criptografia. Tudo que vimos até agora era criptografia simétrica, ou seja, usava a mesma chave para a criptografia do texto claro e para a decriptografia do texto cifrado.

A partir de agora vamos ver um pouco sobre criptografia assimétrica, que não usa a mesma chave na cifragem e decifragem, normalmente usa um par de chaves, diretamente relacionadas, uma sendo usada para cifrar e outra para decifrar.

Até agora foi mencionado que existem algoritmos antigos (clássicos), algoritmos atuais mas não mais utilizados e algoritmos atuais sendo utilizados. Agora estamos mencionando outro tipo de criptografia e a primeira pergunta que vem a mente é, "qual é melhor" ou "porque dois tipos"? A resposta é simples, depende (praticamente todas as perguntas da área podem ser respondidas com esta palavra :D). Depende do seu objetivo, cada modelo de criptografia é o melhor para sua função. Vimos que com algoritmos simétricos como o AES podemos criptografar e decriptografar grandes quantidades de dados de uma forma rápida, então uma finalidade boa para este algoritmo é a criptografia de arquivos e de disco.

Já no caso da criptografia assimétrica vamos ver no decorrer de nossos estudos.

Pontos negativos da criptografia simétrica

Antes de iniciarmos de fato com a assimétrica vamos entender alguns pontos onde a simétrica não é muito boa:

- Necessidade de canal seguro: A criptografia simétrica necessita obrigatoriamente de um canal seguro, onde será trafegada a chave, como já vimos anteriormente. Neste caso, se o canal seguro for comprometido, toda a criptografia vai por água abaixo, já que portando a chave uma parte mal intencionada pode lançar qualquer tipo de ataque, incluindo decifrar conteúdos cifrados.

- Gerenciamento complexo: Como tudo depende de apenas uma chave e com ela tanto cifragem quanto decifragem são realizadas acabamos gerando outros problemas. Por exemplo, você vai precisar de uma cópia da chave de cada uma das pessoas com quem você se relaciona e troca informação sensível. Este armazenamento e gerência tem de ser seguro, caso você ou alguém que tenha sua senha seja comprometido, todas as mensagens cifradas que você e outras pessoas que tenham suas chaves armazenadas trocaram podem ser decifradas por esse atacante.

Ok, para resolver esses problemas você poderia pensar em criar uma nova chave para cada comunicação ou para cada pessoa que você conversa, mas essa não seria uma boa idéia, além de ter que gerenciar as chaves de todos, vai ter o trabalho de gerencias várias chaves próprias diferentes, sem falar em comunicar sempre que mudar de chave.



Imagine que um grupo de 4 pessoas está trabalhando em um projeto altamente sigiloso, e essas 4 pessoas se reportam a uma outra pessoa. Todas as suas mensagens tem de ser trocadas de forma sigilosa. Usando a criptografia simétrica isso não seria uma tarefa fácil, cada um dos membros deveria ter uma cópia armazenada da chave dos outros membros, o que geraria muita confusão já que cada mensagem deveria ter uma chave diferente, de acordo com o destino dela. Outra possibilidade para simplificar seria o uso de uma chave única, o que resolveria boa parte da confusão, mas ainda seriam muitos pontos de falha, se qualquer um dos cinco integrantes tiver sua máquina comprometida, a chave pode vazar, resultando em exposição de tudo o que já foi criptografado com esta chave.

Para resolver esse tipo de questão e algumas outras foi inventada a criptografia assimétrica em 1976, quando Whitfield Diffie e Martin Hellman apresentaram um algoritmo para troca de chaves, no ano seguinte Ron Rivest, Adi Shamir e Len Adleman criaram um algoritmo de fato que era de criptografia assimétrica, e em 1978 é publicado o algoritmo RSA, que é o algoritmo assimétrico mais usado até hoje.

Funcionamento básico das chaves

Como já foi comentado antes, os algoritmos assimétricos usam 2 chaves, diferentes, mas matematicamente relacionadas. As chaves são comumente chamadas de Chave Pública e Chave Privada. Pelos seus nomes já da para ter uma idéia de suas funções :)

Diferentes, mas matematicamente relacionadas quer dizer que as chaves são de fato diferentes, onde o que uma chave cifrar apenas a outra poderá decifrar. A mesma chave não pode decifrar o que cifrou e o algoritmo funciona independente de ordem, qualquer uma das duas pode ser usada na criptografia.

Veremos em outros textos os usos de criptografia com a chave pública e com a chave privada e seus objetivos.

Mesmo as chaves sendo matematicamente interligadas é (ou espera-se que seja) impossível de recriar uma chave a partir da outra.

Veja um exemplo simples da criptografia assimétrica:

No próximo texto veremos mais informações sobre as chaves, funcionamento e possíveis uso deste tipo de criptografia.

Read More

Entendendo a criptografia - Parte 8

Esteganografia

A esteganografia é a técnica de comunicação secreta obtida através da ocultação da mensagem dentro de um outro arquivo.

Esta técnica não altera de forma nenhuma a mensagem original, apenas a "disfarça" no conteúdo de outra mensagem ou arquivo.

Para usar a esteganografia precisamos de 2 itens, a mensagem a ser escondida e o objeto que carregará a mensagem. Este objeto pode ser uma outra mensagem, uma imagem, um arquivo de audio, vídeo, etc.

Veja abaixo alguns exemplos:

Mensagem dentro de outra mensagem (conhecido como Null ciphers), exemplificado aqui neste texto de forma magestosa e inteligente. Se você não pegou a piada clique aqui. :D

Tinta invisível.



Estes exemplos são apenas 2 dos mais famosos modelos de esteganografia que vemos por ai em filmes, mas esses modelos também foram usados em grandes conflitos militares e ainda são bastante empregados hoje em dia em certos casos.

Quando usar esteganografia?

Esteganografia pode ser usada em casos onde a troca de mensagens necessita ser sigilosa e por algum motivo o uso de criptografia convencional pode ser percebido e impedido.

Por exemplo, se sua conexão está sendo interceptada por algum motivo, em busca de conteúdo suspeito, e sua mensagem passa em um bloco de texto sem sentido o que pode levantar alguma suspeita se o objetivo é encontrar algo anômalo na rede. Já no caso da esteganografia a mensagem sairia dentro de uma imagem, por exemplo, sem alterar a imagem. A pessoa que está analisando em busca de algo estranho não vai ver nada de diferente em uma imagem normal.

Outro exemplo abordado por muitos livros é o caso do prisioneiro que precisa enviar informações confidenciais a seu advogado mas a mensagem passa por diversas pessoas até chegar a seu objetivo. Neste caso uma mensagem sem sentido pode não ser entregue, mas uma mensagem escondida dentro de outra mensagem, com a técnica de null ciphers pode funcionar.


Amanhã, Sexta-Feira, vou fazer um post bônus, isso mesmo, um post extra sobre criptografia. Neste post vou demonstrar na prática como funciona a esteganografia com base nos bits menos significativos de arquivos de imagens para escondermos nossa mensagem lá!

Fique ligado no post de sexta-feira também! :)

Até lá!

Read More

Conheça a FREAK, a mais nova falha séria de criptografia na web

Especialistas em segurança estão alertando os usuários uma falha séria que aparentemente passou anos sem ser detectada e pode enfraquecer as conexões criptografadas entre computadores e sites, potencialmente debilitar a segurança na web.

A vulnerabilidade, que foi apelidada de FREAK (de “Factoring attack on RSA-EXPORT Keys”), afeta o protocolo amplamente usado SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security), e pode permitir que um invasor intercepte tráfego supostamente criptografado à medida que ele se move entre clientes e servidores.

A falha foi descoberta por Karthikeyan Bhargavan, do INRIA, um instituto francês de pesquisas em ciência e tecnologia, e pela Microsoft Research. Um documento técnico descrevendo o FREAK deve ser apresentado na conferência de Segurança e Privacidade, da IEEE, em San Jose, na Califórnia.

A falha afeta muitos sites conhecidos, assim como programas, incluindo o navegador Safari, da Apple, e o sistema Android, Google, segundo os especialistas em segurança. Os aplicativos que usam uma versão do OpenSSL anterior a 1.0.1k também estão vulneráveis ao bug.

Um porta-voz da Apple anunciou nesta terça-feira, 3/3, que atualizações de sistema para o iOS e o OS X serão lançadas na próxima semana. O Google afirmou que distribuiu um patch para seus parceiros que protegerá a conexão do Android com sites vulneráveis.

O problema tem origem nas restrições de exportação impostas pelo governo dos EUA no começo dos anos 1990, que proibiam os fabricantes de software de enviar produtos com uma forte criptografia para fora do país, afirmou o professor de ciência da computação da Universidade de Princeton, Ed Felten.

Isso significa que algumas empresas enviavam uma versão dos seus produtos com chaves de criptografia mais fracas para uso em outros países. Quando a lei foi alterada e tornou-se legal exportar a criptografia mais forte, “o recurso do modo de exportação não foi removido do protocolo porque alguns softwares ainda dependiam disso”, disse Felten.

A vulnerabilidade que ficou conhecida agora essencialmente permite aos invasores fazer downgrade da segurança das conexões da criptografia forte para aquela mais fraca, “para exportação”.

Servidores e aparelhos que usam o OpenSSL, um programa de criptografia open-source, estão vulneráveis, incluindo muitos aparelhos do Google e Apple, sistemas embutidos e outros produtos, segundo um aviso. Servidores ou clientes que aceitam os pacotes RSA_EXPORT também estão em risco.

É possível fazer o downgrade das chaves ao realizar um ataque man-in-the-middle que interfere com o processo de configuração de uma conexão criptografada. Apesar de existirem defesas no protocolo SSL/TLS para evitar isso, elas podem ser burladas. A chave mais fraca de 512-bit pode ser revelada usando os computadores poderosos de hoje em dia, e o tráfego de dados pode então ser “descriptografado”.

Os protocolos atuais usam chaves de criptografia maiores, e o padrão é RSA 2048-bit. As chaves de 512-bit eram consideradas seguras há 20 anos, mas um invasor poderia recuperar a chave que precisava muito facilmente hoje em dia usando um serviço de nuvem público.

“Nos anos 1990, isso teria exigido uma computação pesada, mas hoje leva cerca de sete horas no Amazon EC2 e custa cerca de 100 dólares”, afirmou Felten.

Por tudo isso, as empresas estão se mexendo para resolver o problema o mais rápido possível.

Fonte: IDG Now!

Read More

Mega NET - nova rede descentralizada e criptografada

O famoso Empresário e ex-hacker Kim Dotcom, que introduziu lendário o Megaupload e os serviços de compartilhamento de arquivos MEGA para o Mundo, veio com outra ideia maluca - Para iniciar a sua internet própria que usa a "blockchain".

Apenas no mês passado, Kim Dotcom, um milionário alemão conhecido anteriormente como Kim Schmitz, lançou a versão beta do seu chat de vídeo criptografado end-to-end e um serviço de bate-papo de áudio chamado "MegaChat", que ele diz que dá uma melhor proteção do que alternativas como o Skype e Google Hangouts.

Agora, em sua mais recente série de tweets que se refere à suposta "MegaNet" de Kim Dotcom, que, segundo ele, seria imune à vigilância cibernética, conduzida por governos ou empresas e que e a nova tecnologia não seria baseada em endereços IP.

A MegaNet, seria uma rede descentralizada, não-IP com base no qual o blockchain, usado por Bitcoins, irá desempenhar um "papel importante". Descentralizar a Internet significa tomar o poder da Web, longe de mãos poderosas de governos e corporações e colocá-la de volta nas mãos de usuários online.
Esta medida vai oferecer aos usuários um espaço verdadeiramente livre, onde podem se comunicar de forma privada com qualquer outra pessoa, sem censura.

Sr. Dotcom continuou a informar a seus seguidores que "se surpreenderiam" sobre "a quantidade de armazenamento ociosa e a capacidade de banda que as redes telemóveis têm", acrescentando que a "MegaNet vai transformar essa capacidade ociosa em uma nova rede".

O Empreendedor também assegurou a seus seguidores, que o consumo da bateria, não será um problema para um grande número de telefones transportando a rede  MegaNet.

"MegaNet não vai depender apenas de redes móveis no início. Mas quanto mais potentes os smartphones se tornam, mais dados e tráfego eles podem carregar"

Há um grande número de projetos semelhantes que levam à mudança no sentido da descentralização.

MAIDSAFE - OUTRA REDE DESCENTRALIZADA

Uma delas é de David Irvine, apelidado MaidSafe - enorme variedade de discos de Internet - Secure Access For Everyone. Maidsafe é um programa de código aberto (hospedado no GitHub) que permite a utilização de uma plataforma de Internet descentralizada.

A parte fundamental do MaidSafe, é a sua rede SAFE, alimentado por computadores de seus participantes, o que significa, em vez de servidores especializados, os dados são armazenados e distribuídos por uma rede de computadores conectados à Internet.

Qualquer um que executar o programa do MaidSafe, passará a fazer parte da Rede SAFE. O sistema MaidSafe transforma todos os dispositivos conectados em nós da rede SAFE que armazenam coletivamente dados para todos os usuários MaidSafe.

O armazenamento de dados é automaticamente descentralizado, o que significa uma aplicação web utilizando MaidSafe, não armazena dados do seu usuário em qualquer servidor central - e os dados são distribuídos por diversos discos e dispositivos próprios e administrados por muitos usuários diferentes. Portanto, ninguém, seja pessoa ou corporação, tem uma cópia intacta do arquivo de um usuário

Projeto Maelstrom - rede P2P para hospedar sites.

No final do ano passado, A BitTorrent anunciou o Projeto Maelstrom, que é "o primeiro passo para uma web verdadeiramente distribuída, e que não depende de servidores centralizados."

"Verdadeiramente uma internet mantida pelas pessoas, para diminuir barreiras e negar a liderança da tecnologia para as operadoras" - Disse a BitTorrent
"Se formos bem sucedidos, acreditamos que este projeto tem o potencial para ajudar a resolver alguns dos problemas mais inquietantes que enfrentamos na Internet hoje em dia."

De acordo com o BitTorrent, o navegador distribuído poderia ajudar a manter uma Internet mais neutra. Se um ISP não poder identificar de onde o tráfego é proveniente, então ele não pode suprimir determinados sites acessados a partir de um navegador como o Maelstrom.

ZeroNet - HOSPEDAGEM DE WEBSITES DESCENTRALIZADOS usando a rede Bit Torrent

No início do novo ano, um novo projeto de código aberto conhecido como ZeroNet FOI lançado e tem como objetivo oferecer uma plataforma web descentralizada usando criptografia de Bitcoin e da rede BitTorrent.

ZeroNet usa uma combinação de BitTorrent, um servidor de arquivos de costume e uma interface de usuário baseada na web para fazê-lo, e que consegue proporcionar uma experiência bastante utilizável. O principal objetivo deste projeto é hospedar sites e fornecer anonimato para o proprietário de cada site.

Fonte: The Hacker News

Read More

Megachat: O serviço de chat e vídeo criptografado e gratuito

Preocupado com privacidade? É bem possível que se um hacker do governo quiser obter acesso a seus emails e outras comunicações ele vai ter.

O famoso empresário Kim Dotcom, que criou os famosos serviços de compartilhamento Megaupload e Mega, liberou dessa vez um serviço de comunicação criptografado.

O serviço chamado MegaChat tem suporte a chamadas de áudio e vídeo criptografadas ponto-a-ponto. O serviço garante que tem uma proteção muito melhor que seus concorrentes Skype e Google Hangouts.

O MegaChat é gratuito e está disponível no momento apenas direto no navegador.

Para usar o MegaChat basta apenas criar uma conta no Mega, logar no serviço e ir no botão "Conversations", adicionar seus amigos através da conta Mega e sair falando.

Read More