Últimas notícias

Fique informado
As mudanças trazidas pela certificação digital ao mercado de tecnologia

As mudanças trazidas pela certificação digital ao mercado de tecnologia

13 de dezembro de 2016
Por Viviane Bertol
Viviane Bertol | CEO PKI Consulting

Viviane Bertol | CEO PKI Consulting e Colunista do Crypto ID

Certamente, o advento no segmento das tecnologias de segurança da informação operaram significativas mudanças no mercado tecnológico, e um dos grandes agentes responsáveis por isto foi a Certificação Digital e todas as implicações trazidas por ela.

E como a certificação digital pode ser utilizada no contexto da segurança da informação?

O grande segredo está no fato de que a Certificação Digital trabalha com o conceito de criptografia de chaves públicas.

Isso significa que cada pessoa ou empresa que adquire um certificado digital recebe duas chaves: uma chave pública, que é inserida no certificado e pode ser distribuída livremente, e uma chave privada, que deve ficar apenas no poder do titular do certificado.

Essas chaves são geradas simultaneamente e possuem algumas caraterísticas interessantes: elas estão intimamente associadas, de maneira que uma mensagem cifrada com a chave pública pode ser decifrada apenas com a chave privada, e vice-versa.  Além disso, não deve ser possível deduzir uma chave a partir da outra, ou a partir da análise de um texto cifrado.

Outra tecnologia importante utilizada na Certificação digital é o resumo criptográfico (ou hash), que é uma função que gera um código de tamanho fixo de saída, a partir de uma mensagem de entrada.

A função usada para cálculo do resumo criptográfico deve ter as seguintes propriedades

–  dada uma mensagem, deve ser fácil calcular o resumo

–  dado o resumo, deve ser muito difícil determinar a mensagem que o originou;

–  mensagens diferentes devem produzir resumos diferentes;

–  o resumo deverá parecer aleatório, para evitar que forneça pistas sobre a mensagem original.

A utilização dessas poderosas tecnologias permite agregar aos processos informatizados as seguintes características de segurança:

Confidencialidade – significa que os recursos do sistema devem estar protegidos contra acesso por parte de qualquer pessoa que não seja explicitamente autorizada pelo dono do recurso. Não apenas o recurso deve estar protegido, mas também suas partes, pois um atacante pode usá-las para inferir a informação como um todo. Manter a confidencialidade inclui proteger a informação contra leitura, impressão ou mesmo contra o simples conhecimento da sua existência.

Integridade – significa que os recursos podem ser modificados apenas por usuários autorizados ou apenas de uma maneira autorizada. A informação deve ser protegida contra escrita, alteração, alteração de seu status, criação e destruição.

Autenticidade – os certificados identificam o proprietário da chave privada. Os processos de identificação e registro do titular obedecem regras rigorosas, que buscam garantir que a empresa ou pessoa que está assinado um documento ou enviando uma mensagem é realmente quem diz ser.

Não repúdio – ao realizar uma transação ou assinar um documento utilizando certificação digital, a empresa ou pessoa fica, em teoria, impossibilita de negar que praticou o ato, visto que somente a chave privada que pertence a ela pode ter sido utilizada para tal.

Podemos então observar como na prática a certificação digital pode ser aplicada para três importantes finalidades, que são: as assinaturas digitais, a cifração de mensagens e a autenticação em sistemas:

Assinaturas digitais: representam a assinatura do indivíduo vinculada a um documento eletrônico, utilizando criptografia assimétrica e resumos criptográfico. Isso confere integridade e autenticidade aos dados e informações transmitidos (para uma representação visual deste processo e informações adicionais, confira o artigo: “ Certificação Digital. De onde surgiu e por que ela me interessaria? ”

Cifração de mensagens: através do uso da criptografia, são utilizados algoritmos específicos, contendo complexas estruturas matemáticas capazes de embaralhar dados e mensagens, que somente podem ser recuperados fazendo uso da chave adequada para esse fim.

Autenticação em sistemas: existem inúmeros mecanismos de autenticação em sistemas, sendo o mais conhecido o login/senha, que todavia possui uma fraqueza intrínseca, já que o administrador do sistema também possui acesso à senha do usuário, além dele próprio. Isso permitiria ao usuário negar a autoria de procedimentos realizados, como uma transferência bancária, por exemplo. Assim, a certificação digital surge como uma alternativa mais robusta, que retira essa possibilidade, visto que os processos devem ser realizados com a chave privada do usuário, e apenas são conferidos com a chave pública, que estaria disponível ao administrador do sistema ou a qualquer pessoa, sem riscos. Além da autenticação de usuários, essa tecnologia é bastante usada para autenticação de equipamentos em grandes redes (roteadores, servidores, etc.) , onde cada um deles recebe um certificado digital. Com isso, é possível evitar que um equipamento espúrio ingresse na rede sem o consentimento do administrador.

Considerando o que vimos até aqui, é certo dizer que os Certificados Digitais ganharão cada vez mais espaço no mercado tecnológico e seus efeitos e benefícios, na medida que sua utilização se solidifique, serão indispensáveis para toda e qualquer empresa que deseje prover segurança aos seus fluxos de dados e informações.

Sobre: Viviane Bertol

  • Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília.
  • Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.
  • Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.
  • Participou da elaboração de diversos normativos da ICP-Brasil.
  • Colunista e membro do conselho editorial do Instituto CryptoID.

Leia outros artigos escritos pela Colunista Viviane Bertol

Contato:Viviane Bertol |  viviane@pkiconsulting.com

pki-mantwww.pkiconsulting.com