Por Viviane Bertol
Viviane Bertol | CEO PKI Consulting e Colunista do Crypto ID
Certamente, o advento no segmento das tecnologias de segurança da informação operaram significativas mudanças no mercado tecnológico, e um dos grandes agentes responsáveis por isto foi a Certificação Digital e todas as implicações trazidas por ela.
E como a certificação digital pode ser utilizada no contexto da segurança da informação?
O grande segredo está no fato de que a Certificação Digital trabalha com o conceito de criptografia de chaves públicas.
Isso significa que cada pessoa ou empresa que adquire um certificado digital recebe duas chaves: uma chave pública, que é inserida no certificado e pode ser distribuída livremente, e uma chave privada, que deve ficar apenas no poder do titular do certificado.
Essas chaves são geradas simultaneamente e possuem algumas caraterísticas interessantes: elas estão intimamente associadas, de maneira que uma mensagem cifrada com a chave pública pode ser decifrada apenas com a chave privada, e vice-versa. Além disso, não deve ser possível deduzir uma chave a partir da outra, ou a partir da análise de um texto cifrado.
Outra tecnologia importante utilizada na Certificação digital é o resumo criptográfico (ou hash), que é uma função que gera um código de tamanho fixo de saída, a partir de uma mensagem de entrada.
A função usada para cálculo do resumo criptográfico deve ter as seguintes propriedades
– dada uma mensagem, deve ser fácil calcular o resumo
– dado o resumo, deve ser muito difícil determinar a mensagem que o originou;
– mensagens diferentes devem produzir resumos diferentes;
– o resumo deverá parecer aleatório, para evitar que forneça pistas sobre a mensagem original.
A utilização dessas poderosas tecnologias permite agregar aos processos informatizados as seguintes características de segurança:
Confidencialidade – significa que os recursos do sistema devem estar protegidos contra acesso por parte de qualquer pessoa que não seja explicitamente autorizada pelo dono do recurso. Não apenas o recurso deve estar protegido, mas também suas partes, pois um atacante pode usá-las para inferir a informação como um todo. Manter a confidencialidade inclui proteger a informação contra leitura, impressão ou mesmo contra o simples conhecimento da sua existência.
Integridade – significa que os recursos podem ser modificados apenas por usuários autorizados ou apenas de uma maneira autorizada. A informação deve ser protegida contra escrita, alteração, alteração de seu status, criação e destruição.
Autenticidade – os certificados identificam o proprietário da chave privada. Os processos de identificação e registro do titular obedecem regras rigorosas, que buscam garantir que a empresa ou pessoa que está assinado um documento ou enviando uma mensagem é realmente quem diz ser.
Não repúdio – ao realizar uma transação ou assinar um documento utilizando certificação digital, a empresa ou pessoa fica, em teoria, impossibilita de negar que praticou o ato, visto que somente a chave privada que pertence a ela pode ter sido utilizada para tal.
Podemos então observar como na prática a certificação digital pode ser aplicada para três importantes finalidades, que são: as assinaturas digitais, a cifração de mensagens e a autenticação em sistemas:
Assinaturas digitais: representam a assinatura do indivíduo vinculada a um documento eletrônico, utilizando criptografia assimétrica e resumos criptográfico. Isso confere integridade e autenticidade aos dados e informações transmitidos (para uma representação visual deste processo e informações adicionais, confira o artigo: “ Certificação Digital. De onde surgiu e por que ela me interessaria? ”
Cifração de mensagens: através do uso da criptografia, são utilizados algoritmos específicos, contendo complexas estruturas matemáticas capazes de embaralhar dados e mensagens, que somente podem ser recuperados fazendo uso da chave adequada para esse fim.
Autenticação em sistemas: existem inúmeros mecanismos de autenticação em sistemas, sendo o mais conhecido o login/senha, que todavia possui uma fraqueza intrínseca, já que o administrador do sistema também possui acesso à senha do usuário, além dele próprio. Isso permitiria ao usuário negar a autoria de procedimentos realizados, como uma transferência bancária, por exemplo. Assim, a certificação digital surge como uma alternativa mais robusta, que retira essa possibilidade, visto que os processos devem ser realizados com a chave privada do usuário, e apenas são conferidos com a chave pública, que estaria disponível ao administrador do sistema ou a qualquer pessoa, sem riscos. Além da autenticação de usuários, essa tecnologia é bastante usada para autenticação de equipamentos em grandes redes (roteadores, servidores, etc.) , onde cada um deles recebe um certificado digital. Com isso, é possível evitar que um equipamento espúrio ingresse na rede sem o consentimento do administrador.
Considerando o que vimos até aqui, é certo dizer que os Certificados Digitais ganharão cada vez mais espaço no mercado tecnológico e seus efeitos e benefícios, na medida que sua utilização se solidifique, serão indispensáveis para toda e qualquer empresa que deseje prover segurança aos seus fluxos de dados e informações.
Sobre: Viviane Bertol
- Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília.
- Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.
- Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.
- Participou da elaboração de diversos normativos da ICP-Brasil.
- Colunista e membro do conselho editorial do Instituto CryptoID.
Leia outros artigos escritos pela Colunista Viviane Bertol
Contato:Viviane Bertol | viviane@pkiconsulting.com
