Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

AULA 00: Criptografia. Conceitos bsicos e aplicaes

Sumrio
1. 1.1. 2. 3. 3.1. 3.2. 3.3. 3.4. 4. 5. 5.1. 6. 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 7. 8. 8.1. 8.2. 8.3. 9. 10. 11. Apresentao. ................................................................................................................................. 3 Metodologia das aulas. ............................................................................................................... 3 Contedo programtico e planejamento das aulas (Cronograma). ............................................... 3 Introduo a Segurana da Informao .......................................................................................... 4 Quais motivos levam um hacker/cracker invadir seu sistema? .................................................. 6 Engenharia Social ........................................................................................................................ 7 Ataques ....................................................................................................................................... 8 Cavalos de Troia .......................................................................................................................... 9 Arquitetura de Segurana OSI....................................................................................................... 10 Criptografia ................................................................................................................................... 11 Tipos de Ataque ........................................................................................................................ 12 Servios de Segurana................................................................................................................... 16 Confidencialidade (Sigilo ou Privacidade) ................................................................................. 16 Integridade ................................................................................................................................ 16 Disponibilidade ......................................................................................................................... 17 Irretratabilidade (No repdio) ................................................................................................ 17 Autenticao (ou Autenticidade) .............................................................................................. 18 Controle de Acesso ................................................................................................................... 18 Mecanismos de Segurana ........................................................................................................... 23 Criptografia Simtrica e Assimtrica Viso Geral....................................................................... 24 Criptografia Simtrica ............................................................................................................... 24 Criptografia Simtrica ............................................................................................................... 24 Velocidade de Execuo............................................................................................................ 25 Questes ....................................................................................................................................... 27 Gabarito .................................................................................................................................... 31 Bibliografia ................................................................................................................................ 32

www.tiparaconcursos.net

Pgina 1 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

Ol Concurseiros de Planto! Ao iniciar um curso, uma das primeiras perguntas que todo concurseiro faz quem esse cara para querer me ensinar o assunto XYZ ? Portanto, meus amigos, antes iniciarmos nossa aula de demonstrao, vou fazer uma breve apresentao. Quem o professor Almeida Jnior? Atualmente sou Analista de Finanas e Controle da Controladoria-Geral da Unio aprovado em 5 lugar na rea de Infraestrutura de TI em 2012. Tambm fui aprovado em 4 lugar, em 2012, no concurso para Analista de Comrcio Exterior do MDIC na rea de TI. Alm desses concursos, fui aprovado nos seguintes certames: AUDITOR FISCAL (FS/BA-2012), MARINHA (Corpo de Engenheiros/2005), PETROBRAS (Engenheiro Eletrnico/2004), EMBASA (Engenheiro Eletricista/2004), INFRAERO (Engenheiro Eletrnico/2004) e BANCO DO BRASIL (Escriturrio/2003). E qual formao do professor? Minha formao acadmica segue dois pilares: engenharia eletrnica e cincia da computao. Sou mestre em sistemas e computao (UNIFACS/2012), especialista em criptografia (UFF/2009), especialista em automao industrial pela UERJ (2007) e engenheiro eletricista com nfase em eletrnica (UFBA/2003). Alm disso, participei do curso de formao de engenheiros de equipamentos pela Universidade Petrobras e do curso de formao de oficiais da marinha pelo CIAW (Centro de Instruo Almirante Wandenkolk). Por fim, possuo a certificao PMP (Project Management Professional). Antes de trabalhar na CGU, atuei durante 6 anos como engenheiro de equipamentos na Petrobras. Fui professor universitrio das disciplinas de clculo, lgebra e fsica. E atuei como oficial engenheiro na Marinha do Brasil, engenheiro de automao e bancrio. Enfim, meus amigos, a matemtica sempre fez parte da minha vida, seja como professor, profissional, acadmico ou CONCURSEIRO. Destaco o item concurseiro, pois senti na pele o que vocs esto sentindo. Eu vou passar a experincia de quem esteve nas trincheiras! Meu amigo, voc ter todas as dicas, macetes e bizus para detonar na sua prova!

www.tiparaconcursos.net

Pgina 2 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

1. Apresentao. 1.1. Metodologia das aulas.

Em termos de estrutura, esse curso de teoria com questes comentadas.

2. Contedo programtico e planejamento das aulas (Cronograma).

Aula
Aula 00 04/11/2013 Aula 01 18/11/2013 Aula 03 25/11/2013 Aula 04 02/12/2013

Contedo a ser trabalhado

Criptografia. Conceitos bsicos e aplicaes. Criptografia simtrica. Principais algoritmos. Criptografia assimtrica. Principais algoritmos Assinatura e certificao digital.

www.tiparaconcursos.net

Pgina 3 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

3. Introduo a Segurana da Informao

Ol meus amigos! Bem vindos ao nosso curso de criptografia! Inicialmente, vou passar o bizu de onde voc pode complementar os seus estudos. Eu recomendo dois livros: 1) MENEZES, A. J. et al. Handbook of applied cryptography 2) STALLINGS, William, Cryptography and Network Security: Principles and Practice claro que estes livros sero apenas para complementao. Nessa reta final, no h mais tempo para ficar lendo livros! Eu vou trazer tudo bizurado para voc. Voc s deve recorrer aos livros para tirar alguma dvida especfica. Bem, vamos l! Nessa primeira aula, nosso foco dar um overview sobre segurana da informao e criptografia. Nas prximas aulas vamos entrar nos detalhes dos algoritmos. E eu tenho certeza que voc vai se apaixonar pelo tema. Blz? Meus amigos, hoje fazemos praticamente tudo pela internet, no mesmo? Compramos, vendemos, abrimos contas, enviamos mensagens, solicitamos documentos, etc. Todas estas operaes giram em torno de informaes. Ora, para evitar fraudes e prejuzos diversos, precisamos proteger estas informaes. a que entra a segurana da informao! Hoje no para onde correr! Toda empresa precisa proteger suas informaes. No s para proteo individual, mas tambm para dar credibilidade ao seu negcio. Voc daria seus dados a uma loja virtual qualquer? E se ele fornecesse pagamento pelo pague seguro? Aha! Ai muda de figura, no mesmo? Segurana digital uma rea que abrange muitos temas. Se voc falar com um profissional de segurana da informao e perguntar sobre os quatro itens que vem a mente dele quando ele pensa em segurana, aposto que ele dir: Firewalls (Software ou applience (hardware + software) que protege a sua rede. Ele filtra o que pode entrar e sair da sua rede. uma espcie de vigia) Poltica de Segurana (Regras que devem ser seguidas pelos funcionrios para garantir a segurana da informao)

www.tiparaconcursos.net

Pgina 4 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

Separao entre as redes internas e externas: ( necessrio estabelecer limites claros entre a intranet (rede interna da empresa) e internet) Criptografia: (Utilizada para fornecer os servios de confidencialidade, integridade, autenticao e no repdio) Isso mesmo! Criptografia! Qualquer profissional de segurana tem a obrigao de conhecer criptografia. Nesse curso, vamos desvendar todos os mistrios da criptografia para sua prova de concurso. Enfim, quer ter um emprego certo? A est a dica: segurana da informao! Ainda mais com esse zunzunzum dos EUA espionando geral. (CESPE/SERPRO/2008) O desenvolvimento de software seguro uma funcionalidade presente em todas as ferramentas e padres existentes no mercado. Assim, o programador precisa focar apenas na criatividade e no atendimento aos requisitos do cliente, pois segurana, hoje, uma questo secundria. Comentrios: Item incorreto. Segurana da informao item de alta relevncia para as empresas. (ANALISTA/2009) Para acessar computadores de uma empresa, os funcionrios devem informar a matrcula e uma senha de acesso para realizao de suas atividades. A respeito desse controle, correto afirmar que: I. II. Visa a segurana da informao. Evita o acesso indevido a documentos confidencias por parte de pessoas externas. III. Controla o acesso aos sistemas de informao da empresa.

Comentrios: E ai galera? Tranquilinha essa... Todos os itens esto corretos. O processo de autenticao no sistema visa a segurana da informao. Somente pessoas que possuem matrcula e senha podem acessar o sistema. Esse mecanismo busca evitar que pessoas fora da empresa acessem documentos

www.tiparaconcursos.net

Pgina 5 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

confidncias. Alm disso, a senha fornece um mecanismo de controle, ou seja, saber quem acessou o sistema.

3.1.

Quais motivos levam um hacker/cracker invadir seu sistema?

Primeiro ponto de ateno diferenciar hacker de cracker. Hacker o cara bomzinho. Ele um NERD que quer invadir sistemas para testar suas habilidades. Ele busca apenas conhecimento e no tem intenes malficas. J o cracker o hacker malvado! (Usa o lado negro da fora). Ele quer mexer na sua mquina com as piores intenses: roubar dados, destruir arquivos, implantar vrus, etc. Mas esse tpico para refletimos o seguinte: um cracker quer invadir somente bancos, logo posso ficar despreocupado! Ser!?!!? Vamos enumerar motivos para o cracker invadir seu computador de casa > : ) a) Fazer baguna: Eles so maus! Logo, querem apenas destruir. Um cracker vai entrar no seu computador simplesmente para apagar o seu sistema. Infelizmente existem pessoas assim. b) Roubar seus dados: Eles querem seus dados para revender! Isso mesmo! No se enganem, seus dados valem ouro no mercado negro! Por exemplo, se um cracker conseguir uma grande lista de e-mails de concurseiros, isso seria de grande interesse para cursinhos, no mesmo!?!? claro que aqui no Tiparaconcursos.net no recrutamos crackers (rs..) c) Utilizar espao em disco: Eles querem armazenas dados no seu PC. Por dois motivos bsicos. Ou porque eles no tm espao na mquina deles ou porque o contedo no legal ou moral. d) Usar sua Mquina: Poder de processamento! Os crackers vo invadir sua mquina e fazer com que ela trabalhe para eles. e) Usar sua Internet (banda): O cracker quer usar sua mquina para disparar ataques pela rede.

www.tiparaconcursos.net

Pgina 6 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

3.2.

Engenharia Social

A: - Al, aqui Almeida Jnior, sou do departamento de defesa do Brasil. Poderia falar com seu Francisco. B: ele que est falando. A: timo. Depois dessa confuso dos EUA, ns estamos tomando muitas medidas preventivas. Ns estamos acompanhando seu provedor de internet. Voc usar Net, GVT ou outro ? B: Uso GVT. A: Isso mesmo! Com est aqui no relatrio. Seu Francisco, seus e-mails esto sendo monitorados. Para evitar isso, o governo est distribuindo um programa antivirus. Ele no ter custo nenhum para senhor e garantir sua proteo. Podemos marcar uma visita? B: Sim. Claro. Muito obrigado. A: J temos aqui seu usurio aqui, Chico123, no mesmo? S precisamos confirmar sua senha. B: Ah , pois no, a senha ....... E ai galera ? O que isso ? Engenharia social! A engenharia social consiste no conjunto de tcnicas que utilizam as relaes humanas para obter acesso a informaes sigilosas. O engenheiro social capaz de manipular as pessoas e conseguir acessar os sistemas. Suas tcnicas se baseiam na confiana das pessoas. Muitas vezes o engenheiro social utiliza um disfarce. Ele finge ser um cara importante, um profissional de determinada rea, etc. Lembram-se do filme: Prenda-me se for capaz. E do cara que se passou por filho do dono do GOL? So dois casos de engenheiros sociais! Recomendo a leitura do livro: A Arte de Enganar - William L. Simon, Kevin Mitnick. Para evitar um ataque de engenharia social, voc tem que ser paranico (no confie em ningum), questione tudo, verifique sempre a origem das informaes, saiba dizer no e mais importante treine todos os seus funcionrios para fazer o mesmo.

www.tiparaconcursos.net

Pgina 7 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

3.3.

Ataques

Nesse curso, no estamos preocupados em descrever em detalhes os ataques, mas importante conhecer alguns termos para sua prova. Denial of Service O Denial of Service (DOS) a negao de um servio. O que o cracker faz sobrecarregar o servidor. O servidor recebe milhares de pedidos e no consegue responder a mais nenhum. So tcnicas para provocar o DOS: MAC Flooding, Replay Attack e ACK Storm. Eavesdropping/ Sniffing Consiste na monitorao do trafego de rede. um ataque passivo. Mesmo que comunicao esteja criptografada, o cracker pode obter informaes importantes. Por exemplo, o aumento de trfego dentro de um certo horrio para um determinado destino pode ser uma informao valiosa. Exploits Esse termo utilizado quando o cracker aproveita alguma vulnerabilidade do sistema. Uma vulnerabilidade definida como uma condio que, quando explorada por um atacante, pode resultar em uma violao de segurana. Quando uma vulnerabilidade descoberta, tipicamente, ela amplamente divulgada para que os professionais de segurana tomem as medidas necessrias. Filtering O hacker muda o payload do pacote e recalcula o checksum para manter o pacote vlido. Hijacking Consiste no roubo de sesso. O cracker se faz passar pelo cliente e assume a sesso de comunicao. Injection um ataque de insero de dados (pacotes) numa comunicao entre duas entidades. Quando um comando malicioso inserido chamamos de Command Injection. Quando um cdigo malicioso inserido chamamos de Malicius Code Injection. www.tiparaconcursos.net Pgina 8 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

Spoofing O spoofing consiste em esconder a identidade do cracker. Um exemplo o envio de um email se passando por outra pessoa. Nesse caso temos um e-mail spoofing. Phising O termo foi utilizado para descrever fraudes por mensagens no solicitadas. So aqueles famosos e-mails Dinheiro fcil, Promoo imperdve, Voc ganhou um prmio, etc. Na verdade, o cracker quer obter seus dados. Defacement Defacement ou pichao consiste em alterar o contedo da pgina Web de um site.

3.4.

Cavalos de Troia

Um Trojan Horse (ou simplesmente Trojan) ou Cavalo de Troia um programa que atua de forma similar ao cavalo de troia da lenda. Ele dado de presente para voc (dentro de um joguinho, por exemplo) s que um presente de grego. O cavalo de troia abre uma porta de comunicao que permite o cracker invadir o seu sistema. Ele pode agir das seguintes maneiras: a) Key logger: esse programa captura tudo que voc digita e envia o para o cracker. Isso incluir sua senha do banco. um tipo de Spyware. b) Backdoor: Porta dos fundos. Permite a invaso da mquina sem que o dono desconfie de nada! Ser que o Windows tem um backdoor implantado pelo governo do EUA? c) Ransamware: um malware que cora resgate! Isso mesmo. O hacker roubar seus dados e cobrar algo para devolver. d) Hijacker: Alteram a pagina inicial do navegador ou redirecionam para outro site. Quem nunca pegou um desses??

www.tiparaconcursos.net

Pgina 9 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

4. Arquitetura de Segurana OSI

A recomendao X.800 da ITU-T define a arquitetura de segurana OSI. Ele define um meio sistemtico para os requisitos de segurana e como tcnicas para satisfazer estes requisitos. A arquitetura tratar de trs temas principais: a) Ataques segurana: Qualquer ao que compromete a segurana da informao b) Mecanismos de segurana: Processo ou dispositivo capaz de detectar, impedir ou permitir a recuperao de um ataque. c) Servios de Segurana: Servem para frustrar ataques. Para sua implementao podem ser utilizados uma ou mais mecanismos de segurana.

www.tiparaconcursos.net

Pgina 10 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

5. Criptografia
Antes de conversamos sobre criptografia precisamos definir criptologia. A criptologia estuda as tcnicas para garantir o sigilo e/ou autenticidade das informaes. Ela se divide em dois ramos: Criptografia Criptoanlise

A criptografia estuda tcnicas relacionadas segurana da informao. Ela tem um papel fundamental no provimento dos servios que deve ser oferecidos por um sistema de segurana (confidencialidade, integridade, autenticao e no-repdio). Criptografia significa escrever em cdigos. Ou seja, uma forma de tornar a informao incompreensvel para o atacante. A mensagem original (antes da criptografia) chamada de texto claro e aps a cifragem (criptografia ou ocultao) gerado o texto cifrado. O processo inverso chamado de decifragem. Por sua vez, a criptoanlise estuda as tcnicas para recuperar as informaes que foram protegidas pela criptografia e tambm mtodos para forjar informaes para serem aceitas como autnticas. A criptografia tambm se divide em dois grandes ramos: Criptografia de simtrica (ou de chave privada) Criptografia assimtrica (ou de chave pblica)

Na criptografia simtrica, a mesma chave utilizada para cifra e decifrar a mensagem. J na criptografia assimtrica (ou de chave pblica) temos duas chaves uma pblica e uma privada. Uma delas usada para cifrar a mensagem e a outra para decifrar a mensagem.

www.tiparaconcursos.net

Pgina 11 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

(CESPE/PRODEPA/2004) A criptologia uma rea do conhecimento humano que pode ser dividida em criptografia, que trata da defesa dos sistemas de informao, e esteganografia, que se preocupa na identificao de tcnicas para o ataque a sistemas de informao. Comentrios: Item incorreto. A criptologia estuda as tcnicas para garantir o sigilo e/ou autenticidade das informaes. Ela se divide em dois ramos: Criptografia e Criptoanlise. A esteganografia estuda tcnicas para esconder mensagens. Por exemplo, inserir dados dentro da imagem de uma fotografia. A pessoa v a fotografia e nem desconfia que ali dentro existe uma mensagem secreta!

5.1.

Tipos de Ataque

Seja qual o for o tipo de criptografia utilizada (simtrica ou assimtrica), o objetivo a proteo contra ataques de hackers sedentos por acessar, alterar ou ainda destruir suas informaes. Um ataque qualquer ao que compromete a segurana da informao. De uma forma geral, os ataques podem ser divididos em dois tipos: Ataques ativos Ataques passivos

Um exemplo de ataque passivo uma leitura no autorizada. Note que nada acontece com o contedo da informao. O cracker est interessado em monitor a transmisso sem ser percebido. Outro exemplo de ataque passivo a anlise de trfego. Como j comentamos, mesmo que o canal de comunicao seja criptografado, a simples intensidade de trfego pode ser uma informao importante. O aumento de trfego para determinados pontos a partir de certa origem, podem indicar, por exemplo, um ataque terrorista. A leitura no autorizada e a analise de trfego so ataques chamados de interceptao. Estes ataques violam o princpio da confidencialidade.

www.tiparaconcursos.net

Pgina 12 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

Ataque passivo de leitura (Fonte: Stallings, pag 6)

Ataque passivo de anlise de trfego (Fonte: Stallings, pag 6)

Por sua vez, um ataque ativo pode ser divido em 4 tipos: a) Disfarce (ou fabricao): uma entidade finge ser outra. Viola o princpio da autenticidade. b) Repetio: captura passiva de dados seguida de retransmisso para produzir um efeito no autorizado. Viola o princpio da integridade. c) Modificao de mensagens: alterao do contedo da mensagem. Viola o servio de integridade. d) Negao de servio (ou interrupo): impede o acesso a informao, por exemplo, um ataque DOS (Denial of service). Violam o princpio da disponibilidade.

www.tiparaconcursos.net

Pgina 13 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

Ataque ativo de disfarce (Fonte: Stallings, pag 7)

Ataque ativo de disfarce (Fonte: Stallings, pag 7)

Ataque ativo de modificao (Fonte: Stallings, pag 7)

Ataque ativo de modificao (Fonte: Stallings, pag 7) Para sua prova, tambm importante conhecer o conceito de ameaa. Segundo Stallings, uma ameaa um possvel perigo que pode explorar uma vulnerabilidade do sistema. Como vimos, uma vulnerabilidade definida como uma condio que, quando explorada por um atacante, pode resultar em uma violao de segurana.

www.tiparaconcursos.net

Pgina 14 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

Seguem alguns alertas para sua prova: 1) Cuidado, alguns autores no diferenciam ataque e ameaa e por vezes so utilizados como sinnimos. 2) Para norma ISO/IEC 27002. Vulnerabilidade uma fragilidade e ameaa causa de um incidente. a. Vulnerabilidade: uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas b. Ameaa: uma causa potencial de incidente um indesejado, que pode resultar em um dano para um sistema ou organizao

(CESPE/TRE-RJ/2012) A respeito de conceitos relacionados a segurana da informao, julgue o item a seguir. Na rea de segurana da informao, vulnerabilidade representa causa potencial de um incidente indesejado. Comentrios: Item incorreto. A causa potencial de um incidente indesejado a ameaa. A vulnerabilidade apenas uma fragilidade que pode ser explorada.

www.tiparaconcursos.net

Pgina 15 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

6. Servios de Segurana

6.1.

Confidencialidade (Sigilo ou Privacidade)

A confidencialidade um servio que garante acesso informao somente para quem est autorizado para isso. Por exemplo, fazendo uma analogia, quando utilizamos um cofre com senha, essa uma maneira de prover confidencialidade. Ou seja, somente quem tem possui a senha (pessoa autorizada) pode ter acesso ao contedo do cofre. A confidencialidade visa proteger contra ataques passivos. Ou seja, procura proteger o contedo de uma transmisso de dados. Ela tambm fornece proteo contra a anlise do fluxo de trfego. Isso significa que o atacante no pode ser capaz de retirar informaes a partir da anlise do trfego. A confidencialidade pode ser aplicada a conexo como um todo, a mensagem, ou somente a alguns campos da mensagem. Ou seja, a confidencialidade pode ser aplicada em diversos nveis. Contudo, quanto mais refinado o nvel, mais complexo o algoritmo.

6.2.

Integridade

Prover integridade dos dados significa garantir que a informao no foi alterada. Ou seja, garantir que informao se manteve ntegra durante o percurso. Utilizando nossa analogia, talvez o atacante (bandido) no possa abrir o cofre, mas ele pode alterar o seu contedo. Por exemplo, imagine que o contedo dentro do cofre seja sensvel ao calor. Ora, se assim for, o atacante pode aquecer o cofre e alterar o seu contedo mesmo sem ter acesso ao interior do cofre! Em relao aos dados, o atacante (hacker) pode no ter acesso ao contedo da informao que trafega na rede, mas pode alterar, inserir, apagar ou substituir dados, caso no seja garantido o servio de integridade de dados. A integridade garante que a mensagem chega da forma que foi enviada. Ou seja, que no houve duplicao, insero, modificao, reordenao, destruio ou repetio da mensagem.

www.tiparaconcursos.net

Pgina 16 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

A integridade pode ser aplicada em diversos nveis (no fluxo como um todo, na mensagem ou em determinados campos). Quanto mais especfico o nvel mais complexo o algoritmo. Por isso, recomenda-se a implantao da proteo total do fluxo. E se integridade for perdida? O que fazer? O primeiro passo do algoritmo detectar a violao. A partir deste ponto temos duas opes: simplesmente informar e/ou recuperar o dado ao seu estado original.

6.3.

Disponibilidade

A disponibilidade garante que sistema estar acessvel e utilizvel, pelas entidades autorizadas, quando demandado. Preste ateno no detalhe! Pode ser uma pegadinha prova! A disponibilidade no garantida para todo mundo, somente para as entidades autorizadas. J vimos um tipo de ataque a disponibilidade: o DOS.

6.4.

Irretratabilidade (No repdio)

O no repdio (ou irretratabilidade) evita voc dar o migu, ou seja, voc dizer que no fez (ou fez) alguma coisa quando na verdade foi justamente o contrrio. Caso clssico: sua namorada pega o seu facebook e v que voc mandou uma mensagem quente para uma amiga sua! E agora Jos? Meu amigo, se o facebook garantir o servio de no repdio vocs estar em maus-lenis. Voc no ter como dizer que no foi voc! Outro caso concreto so as aplicaes financeiras online. O banco tem que garantir o no repdio, seno todo dia iria escutar um cliente dizer que no fez a transferncia XYZ. Para encerrar, acrescentamos o exemplo do email! De repente sai aquele email da sua caixa, onde voc fala mal do chefe! E ai? Se o servio de no repdio estiver implementado, voc estar em apuros!! Em resumo, o no repdio, impede que a entidade (emissor ou receptor) negue a autoria de uma mensagem transmitida. Assim, apesar de exemplificarmos somente a emisso, a irretratabilidade trata dos dois lados (emisso e recepo). Ou seja, se o servio estiver implantado, quando voc recebe uma mensagem pode provar que foi fulano que enviou para voc. Do mesmo modo, ao enviar uma mensagem voc pode provar que cicrano recebeu.

www.tiparaconcursos.net

Pgina 17 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

6.5.

Autenticao (ou Autenticidade)

A autenticao est ligada a saber quem quem! Ou seja, ela est relacionada com a identificao. Ela garante que a entidade quem diz ser. Qual importncia desse servio? Meu amigo, se ligassem para sua casa dizendo que era da caixa econmica e que voc tinha acabado de ganhar UM MILHO DE REAIS! Voc acreditaria? Pois , em uma comunicao precisamos saber com quem estamos falando para acreditar nas informaes. O servio de autenticao identifica as entidades que esto se comunicando. Por exemplo, para fazer alteraes na sua conta no banco, o banco precisa saber que voc voc, no mesmo? Por isso, voc precisa fazer uma autenticao no site do banco antes de poder realizar operaes financeiras. Perceba que na autenticao temos duas etapas: identificao e verificao da identidade. Primeiro voc diz: Eu sou fulano!, depois temos que verificar que isso verdade. Quando existe uma conexo lgica entre as entidades, a autenticao garante a identidade das entidades que esto se comunicado. Quando no existe essa conexo, a autenticao garante que a origem dos dados a declarada.

6.6.

Controle de Acesso

O controle de acesso impede o uso no autorizado de um recurso. Ou seja, determina quem pode usar o recurso. Caso clssico: controle de acesso a pginas da internet. No seu trabalho rola facebook? Pois ... Ao tentar acessa uma pgina, o sistema primeiro v quem voc e depois libera ou no o acesso. Note que de forma intrnseca necessrio algum nvel de identificao para que o controle de acesso seja possvel. Tipicamente, os usurios tm que estar autenticados nos sistema, e partir de suas credenciais, eles tero acesso a determinados recursos ou no. Ateno! Bizu! Apesar de termos chamados os itens anteriores de servios, comum em provas alguns deles serem chamados de princpios de segurana. Em especial, a confidencialidade, a integridade, a disponibilidade e a autenticao.

www.tiparaconcursos.net

Pgina 18 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

Blz! Vamos ver algumas questes do que j estudamos at aqui: (CESPE/Min. Comunicaes/2008) Disponibilidade, integridade e confidencialidade so princpios de segurana. A fim de garantir integridade, os dados e os recursos devem ser protegidos, evitando que sejam alterados de modo no-autorizado. Para garantir confidencialidade, os dados e os recursos devem ser protegidos, a fim de que os mesmos s sejam disponveis aos indivduos, programas ou processos autorizados. Comentrios: Item correto. A integridade garante que os dados no foram alterados. J a confidencialidade garante que s autorizado pode ter acesso. Note que o CESPE quis fazer uma pegadinha quando usou a palavra disponveis! Ele queria que voc lembrasse da disponibilidade. Contudo, do jeito que est escrito, disponvel tem relao com ter direito ao acesso. (CESPE/SERPRO/2008) Confiabilidade tornar uma informao disponvel no momento em que ela se torna necessria Comentrios: Item incorreto. O correto seria dizer: Disponibilidade torna uma informao disponvel, as entidades autorizada, no momento em que ela se torna necessria (CESPE/SERPRO/2008) Uma informao ser considerada ntegra quando seu contedo no tiver sido lido por entidade no-autorizada, seja esta um sistema ou uma pessoa. Comentrios: Item incorreto. A proibio de leitura por entidade no-autorizada garantida pela confidencialidade. (CESPE/SERPRO/2008) Um elemento fundamental a ser considerado no mundoeletrnico atual a disponibilidade da informao, ou seja, informao para as pessoas autorizadas na hora que dela precisarem. Comentrios: Item correto. Atente para o detalhe pessoas autorizadas.

www.tiparaconcursos.net

Pgina 19 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

(ESAF/2010) O(A) _____________________ representa um ataque que compromete diretamente a disponibilidade. Assinale a opo que completa corretamente a frase acima a) Cavalo de troia b) Falsificao c) Negao de servio d) Phishing e) Sniffing Comentrios: O DOS (Denial of Service Negao de servio) um ataque envia milhares de requisies ao servidor deixando-o indisponvel para anteder outros pedidos. Portanto, gabarito C. (CESPE/DETRAN/2009) Os problemas de segurana de rede esto relacionados a sigilo, autenticao, no-repudiao e controle de integridade da rede. Enquanto o sigilo est relacionado ao fato de manter as informaes longe de usurios no-autorizados, a norepudiao preocupa-se em certificar que uma mensagem recebida legtima Comentrios: Item incorreto. A primeira parte: Os problemas de segurana de rede esto relacionados a sigilo, autenticao, no-repudiao e controle de integridade da rede est ok! Tambm est correto a passagem O sigilo est relacionado ao fato de manter as informaes longe de usurios no-autorizados. Lembre-se que sigilo e privacidade so sinnimos para confidencialidade. O ltimo trecho est errado, pois o no repdio (ou irretratabilidade) evita voc negue a autoria de uma mensagem. (CESPE/PF/2004) Nos ltimos anos, a segurana da informao vem se tornando rea de importncia crescente para entidades tais como empresas, universidades e rgos governamentais, levando necessidade de tais entidades dedicarem ateno aos processos de definio, implantao e gesto de polticas de segurana da informao. Acerca de segurana da informao, julgue o item seguinte.

www.tiparaconcursos.net

Pgina 20 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

Segurana da informao caracterizada, basicamente, pelo fornecimento de trs servios de segurana: a preservao do sigilo ou da confidencialidade das informaes, a garantia da integridade dos dados e a manuteno da disponibilidade. Comentrios: Item correto. Note que CESPE utiliza sigilo como sinnimo de confidencialidade. Alm dos trs citados, poderamos acrescentar a autenticao, mas isso no invalida a questo. (CESPE/ABIN/2010) Julgue o prximo item, relativo a vulnerabilidades e ataques a sistemas computacionais, bem como proteo oferecida pela criptografia para a segurana da informao. As tcnicas usadas para verificar a integridade de dados contra dano acidental, tais como os checksums, podem por si s ser usadas para garantir a integridade dos dados contra mudanas intencionais. Comentrios: Item incorreto. O checksum serve para verificar se os dados esto corretos. Por exemplo, em um donwload. Contudo, tem um detalhe! O hacker pode alterar o contedo da informao e recalcular o checksum! Asism, por si s o checksum no consegue garantir a integridade das informaes, ou seja, que elas no forma modificadas durante o trajeto. (CESPE/TRE-ES/2011) A respeito do estabelecimento de um sistema de gesto da segurana, julgue o item seguinte. Entre as propriedades fundamentais conferidas informao por meio do gerenciamento de segurana da informao, incluem-se a confidencialidade, a integridade e a disponibilidade. Comentrios: Item correto. Como na prova de 2004, mais uma vez o CESPE elegeu o trio confidencialidade, integridade e disponibilidade como os entes fundamentais em um sistema de segurana da informao. (CESPE/TRE RJ/2012) A respeito de conceitos relacionados a segurana da informao, julgue o item a seguir. O conceito de segurana da informao, alm de implicar a www.tiparaconcursos.net Pgina 21 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

integridade e a disponibilidade da informao, pode incluir, entre outras propriedades desta, a autenticidade e a confiabilidade. Comentrios: Item correto. Veja que banca, como o pokemon, evolui! Agora em 2012, alm do trio (confiabilidade, integridade e disponibilidade), o CESPE acrescentou autenticidade e confiabilidade. (CESPE/MPU/2010) Julgue o prximo item, segundo a norma ABNT NBR ISO/IEC 27002:2005. O termo integridade no escopo da referida norma diz respeito salvaguarda da exatido e integridade das informaes e mtodos de processamento utilizados para a manipulao da informao. Comentrios: Item correto. Apesar da norma no fazer parte do nosso escopo de estudo. Essa questo tem relao com conceito de integridade e bastava conhece-lo para matar a questo. (CESPE/TJ/2012) Considere que uma organizao mantenha em sua estrutura de tecnologia da informao um servidor de arquivos em funcionamento. Nesse contexto, julgue o item subsequente acerca de segurana da informao. Considere que um usurio armazenou um arquivo nesse servidor e, aps dois dias, verificou que o arquivo est modificado, de forma indevida, uma vez que somente ele tinha privilgios de gravao na rea em que armazenou esse arquivo. Nessa situao, houve problema de segurana da informao relacionado disponibilidade do arquivo. Comentrios: Item incorreto. tima questo! Como s ele tinha privilgios para gravao, poderamos pensar que algum se fez passa por ele e alterou o arquivo. Ou seja, houve uma falha no servio de autenticao. Tambm poderamos pensar em uma falha no sistema de confidencialidade j que uma pessoa no autorizada alterou o arquivo. Em todo caso, no h relao com a disponibilidade.

www.tiparaconcursos.net

Pgina 22 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

7.

Mecanismos de Segurana

Como vimos, os mecanismos de segurana so processos ou dispositivos capazes de

detectar, impedir ou permitir a recuperao de um ataque. Citamos os seguintes: a) Cifragem: Algoritmos para transformar um texto claro em um texto incompreensvel. So os algoritmos de criptografia b) Controle de roteamento: Permite selecionar rotas seguras ou desvio de rotas quando existe suspeita de invaso c) Certificao: Utilizao de um terceiro confivel para garantir certas propriedades em uma troca de dados. d) Integridade de dados: Garantem a integridade dos dados e) Assinatura digital: Permite a comprovao da origem dos dados. f) Controle de acesso: Restringe o acesso a determinados dispositivos g) Preenchimento de trfego: Insero de bits nas lacunas de fluxo de dados para frustrar as tentativas de anlise de trfego. h) Troca de informaes de autenticao: Garante a identificao da entendia por meio da troca de informaes.

www.tiparaconcursos.net

Pgina 23 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

8.

Criptografia Simtrica e Assimtrica Viso Geral 8.1. Criptografia Simtrica

Como vimos, a criptografia simtrica tem como caracterstica utilizar uma nica chave para cifrar e decifrar a mensagem. desta forma que vai vir em 99% das vezes em sua prova. Contudo, em uma prova mais elaborada o examinador pode afirmar que: Na criptografia simtrica (ou de chave privada) a chave de cifrao pode ser obtida facilmente a partir da chave de decifrao e vice-versa. Outro ponto comum de prova a questo de distribuio de chaves. Na criptografia simtrica, como a chave a mesma, ela deve ser compartilhada entre a origem e o destino. Ento, surge o problema: como passar chave entre as entidades que se comunicam sem que ela seja roubada pelo cracker? Este problema no existe na criptografia assimtrica, j que a chave pblica (todo mundo pode ver).

8.2.

Criptografia Simtrica

Na criptografia assimtrica (ou criptografia de chave pblica) so utilizadas duas chaves diferentes. Uma para cifrar e outra para decifrar. Alm disso, voc deve levar para prova que: Na criptografia assimtrica (ou de chave pblica) a chave privada no pode ser obtida facilmente atravs da chave pblica Por que ? Lembre-se que so geradas duas chaves: uma pblica e outra privada. A chave pblica pode ser conhecida por todos e utilizada para cifrar o texto claro. J chave privada deve permanecer secreta e utilizada para decifrar o texto cifrado. Assim, no deve ser possvel obter a chave privada a partir da pblica, seno todo o esquema estaria vulnervel. Na verdade, cabe uma observao. O exemplo que acabados de dar (cifrando com a pblica e decifrando com a privada) ocorre quando o objetivo garantir a confidencialidade. Tambm possvel utilizar a chave privada para cifrar o texto claro e a respectiva chave pblica para decifrar a mensagem criptografada. Neste caso, busca-se garantir a

www.tiparaconcursos.net

Pgina 24 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

autencidade. caso tpico de assinaturas digitais. Em outra aula vamos falar disso em detalhes. Vamos ver um caso mais prtico! Suponha que Joo queira enviar uma mensagem para Maria. Para isso, Joo deve cifrar a mensagem com a chave pblica de Maria (todo mundo conhece essa chave de Maria, pois pblica). Ao receber a mensagem cifrada por Joo, Maria (e somente ela) pode decifrar a mensagem enviada com a sua chave privada. Note bem! A confidencialidade est garantida, pois somente a chave privada de Maria (e nenhuma outra do planeta) pode decifrar a mensagem criptografada. Ou seja, s Maria pode ver a mensagem envaida por Joo para ela.

Como afirmamos, a outra funo da criptografia de chave pblica garantir a autenticidade. Neste caso, Joo cifra a mensagem com sua prpria chave privada (s Joo possui essa chave) e envia para Maria. Quando Maria recebe a mensagem, ela utiliza a chave pblica de Joo. Note que somente a chave pblica de Joo capaz de decifrar a mensagem. Assim, Maria tem certeza que quem enviou a mensagem foi Joo. Ou seja, esse esquema garante a autenticidade.

8.3.

Velocidade de Execuo

Alm destes pontos que tratamos, comum as provas de concursos surgirem questionamentos sobre o desempenho dos algoritmos de criptografia. A regra geral que os algoritmos de chave simtrica so mais rpidos que os algoritmos assimtricos.

www.tiparaconcursos.net

Pgina 25 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

(CESPE/ABIN/TI/2010) Julgue o item que se segue, relativo a sistemas de criptografia e suas aplicaes. A chave assimtrica composta por duas chaves criptogrficas: uma privada e outra pblica. Comentrios: Item correto. A criptografia simtrica possui uma nica chave para cifragem e decifragem das mensagens. J os algoritmos de assimtricos ou de chave pblica possuem duas chaves: uma privada e outra pblica. Enquanto uma utilizada para cifra a outra utilizada para decifrar. A ordem (quem ser usada pra cifra ou decifrar) dependem do propsito do esquema: garantia de confidencialidade ou autenticidade. (CESPE/TI/2007) Com relao a criptografia, julgue o item a seguir. Enquanto a criptografia simtrica utiliza apenas uma chave para cifrao e decifrao, a assimtrica usa duas. Comentrios: Item correto. Conforme explicamos anteriormente. (CESPE/TI/2007) Com relao a criptografia, julgue o item a seguir. A criptografia assimtrica requer menor esforo computacional que a simtrica. Comentrios: Item incorreto. Os algoritmos assimtricos so mais lentos (menor desempenho) e requerem um maior esforo computacional que os algoritmos simtricos.

www.tiparaconcursos.net

Pgina 26 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

9. Questes
01.(CESPE/SERPRO/2008) O desenvolvimento de software seguro uma funcionalidade presente em todas as ferramentas e padres existentes no mercado. Assim, o programador precisa focar apenas na criatividade e no atendimento aos requisitos do cliente, pois segurana, hoje, uma questo secundria.

02. (ANALISTA/2009) Para acessar computadores de uma empresa, os funcionrios devem informar a matrcula e uma senha de acesso para realizao de suas atividades. A respeito desse controle, correto afirmar que: IV. V. Visa a segurana da informao. Evita o acesso indevido a documentos confidencias por parte de pessoas externas. VI. Controla o acesso aos sistemas de informao da empresa.

03. (CESPE/PRODEPA/2004) A criptologia uma rea do conhecimento humano que pode ser dividida em criptografia, que trata da defesa dos sistemas de informao, e esteganografia, que se preocupa na identificao de tcnicas para o ataque a sistemas de informao.

04. (CESPE/TRE-RJ/2012) A respeito de conceitos relacionados a segurana da informao, julgue o item a seguir. Na rea de segurana da informao, vulnerabilidade representa causa potencial de um incidente indesejado. 05. (CESPE/Min. Comunicaes/2008) Disponibilidade, integridade e confidencialidade so princpios de segurana. A fim de garantir integridade, os dados e os recursos devem ser protegidos, evitando que sejam alterados de modo no-autorizado. Para garantir confidencialidade, os dados e os recursos devem ser protegidos, a fim de que os mesmos s sejam disponveis aos indivduos, programas ou processos autorizados.

www.tiparaconcursos.net

Pgina 27 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

06. (CESPE/SERPRO/2008) Confiabilidade tornar uma informao disponvel no momento em que ela se torna necessria 07. (CESPE/SERPRO/2008) Uma informao ser considerada ntegra quando seu contedo no tiver sido lido por entidade no-autorizada, seja esta um sistema ou uma pessoa. 08. (CESPE/SERPRO/2008) Um elemento fundamental a ser considerado no mundo eletrnico atual a disponibilidade da informao, ou seja, informao para as pessoas autorizadas na hora que dela precisarem. 09. (ESAF/2010) O(A) _____________________ representa um ataque que compromete diretamente a disponibilidade. Assinale a opo que completa corretamente a frase acima f) Cavalo de troia g) Falsificao h) Negao de servio i) Phishing j) Sniffing 10. (CESPE/DETRAN/2009) Os problemas de segurana de rede esto relacionados a sigilo, autenticao, no-repudiao e controle de integridade da rede. Enquanto o sigilo est relacionado ao fato de manter as informaes longe de usurios no-autorizados, a norepudiao preocupa-se em certificar que uma mensagem recebida legtima 11. (CESPE/PF/2004) Nos ltimos anos, a segurana da informao vem se tornando rea de importncia crescente para entidades tais como empresas, universidades e rgos governamentais, levando necessidade de tais entidades dedicarem ateno aos processos de definio, implantao e gesto de polticas de segurana da informao. Acerca de segurana da informao, julgue o item seguinte. Segurana da informao caracterizada, basicamente, pelo fornecimento de trs servios de segurana: a preservao do sigilo ou da confidencialidade das informaes, a garantia da integridade dos dados e a manuteno da disponibilidade.

www.tiparaconcursos.net

Pgina 28 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

12. (CESPE/ABIN/2010) Julgue o prximo item, relativo a vulnerabilidades e ataques a sistemas computacionais, bem como proteo oferecida pela criptografia para a segurana da informao. As tcnicas usadas para verificar a integridade de dados contra dano acidental, tais como os checksums, podem por si s ser usadas para garantir a integridade dos dados contra mudanas intencionais. 13. (CESPE/TRE-ES/2011) A respeito do estabelecimento de um sistema de gesto da segurana, julgue o item seguinte. Entre as propriedades fundamentais conferidas informao por meio do gerenciamento de segurana da informao, incluem-se a confidencialidade, a integridade e a disponibilidade. 14. (CESPE/TRE RJ/2012) A respeito de conceitos relacionados a segurana da informao, julgue o item a seguir. O conceito de segurana da informao, alm de implicar a integridade e a disponibilidade da informao, pode incluir, entre outras propriedades desta, a autenticidade e a confiabilidade. 15. (CESPE/MPU/2010) Julgue o prximo item, segundo a norma ABNT NBR ISO/IEC 27002:2005. O termo integridade no escopo da referida norma diz respeito salvaguarda da exatido e integridade das informaes e mtodos de processamento utilizados para a manipulao da informao. 16. (CESPE/TJ/2012) Considere que uma organizao mantenha em sua estrutura de tecnologia da informao um servidor de arquivos em funcionamento. Nesse contexto, julgue o item subsequente acerca de segurana da informao. Considere que um usurio armazenou um arquivo nesse servidor e, aps dois dias, verificou que o arquivo est modificado, de forma indevida, uma vez que somente ele tinha privilgios de gravao na rea em que armazenou esse arquivo. Nessa situao, houve problema de segurana da informao relacionado disponibilidade do arquivo. 17. (CESPE/ABIN/TI/2010) Julgue o item que se segue, relativo a sistemas de criptografia e suas aplicaes. www.tiparaconcursos.net Pgina 29 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

A chave assimtrica composta por duas chaves criptogrficas: uma privada e outra pblica. 18. (CESPE/TI/2007) Com relao a criptografia, julgue o item a seguir. Enquanto a criptografia simtrica utiliza apenas uma chave para cifrao e decifrao, a assimtrica usa duas. 19. (CESPE/TI/2007) Com relao a criptografia, julgue o item a seguir. A criptografia assimtrica requer menor esforo computacional que a simtrica.

www.tiparaconcursos.net

Pgina 30 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

10.

Gabarito
01. E 02. CCC 03. E 04. E 05. E 06. E 07. E 08. C 09. C 10. E 11. C 12. E 13. C 14. C 15. C 16. E 17. C 18. C 19. E

www.tiparaconcursos.net

Pgina 31 de 32

Criptografia para o STF - Aula 00 Teoria e Questes Almeida Jnior

11.

Bibliografia

[1] MENEZES, A. J. et al. Handbook of applied cryptography [2] STALLINGS, William, Cryptography and Network Security: Principles and Practice

www.tiparaconcursos.net

Pgina 32 de 32