Tipos de Sistemas de Criptografia

criptotiposPara ser capaz de fazer uso de um sistema criptográfico, o remetente e o destinatário devem ter um algoritmo. Uma característica de um bom sistema de criptografia é que o algoritmo em si é público. De uma forma geral, existem três formas de algoritmos de criptografia: simétrico, assimétrico e o caminho único, ou mais conhecido no meio da segurança da informação, como o One-Way.

Um algoritmo tem que ser capaz de resistir aos testes e estarem abertos. Quanto mais as pessoas tentam examinar o algoritmo, mais difícil será de penetrá-lo. As chaves são os componentes secreto da criptografia. O Serviço Público de Transporte na Holanda utiliza um cartão com chip contendo um algoritmo secreto, mas para certo número de cartões: Isso é uma ameaça à segurança e, se o desenho do chip tivesse sido controlado pelos especialistas, ela nunca teria ido ao público de tal forma.

Simétrica
Todo mundo sabe provavelmente alguma forma de sistema de criptografia simétrica. Uma característica desse sistema é que existe um algoritmo e uma chave secreta compartilhado entre o remetente e o destinatário.

Na prática
Uma maneira simples de criptografar uma mensagem é mudar a letra ao longo do alfabeto usando o “X”. Se X = 5 então ‘A‘ torna-se ‘F‘. Qualquer um que conheça a chave secreta será capaz de decodificar a mensagem, deslocando as letras por X = – 5 ao longo do alfabeto.

Com a ilustração deste exemplo, a chave secreta pode ser usada tanto para criptografar e descriptografar uma mensagem.

A força deste sistema criptográfico depende diretamente da capacidade do remetente e do destinatário em manter a chave compartilhada em segredo.

Assimétrica
Um sistema assimétrico resolve a vulnerabilidade envolvida no compartilhamento de uma única chave secreta. A característica de um sistema assimétrico é que as chaves para criptografar são diferentes das usadas para descriptografar.

Este sistema foi concebido em 1970 com base nos números primos e em módulos matemáticos. O aspecto mais marcante desse algoritmo é que o remetente e o destinatário não precisam ter a mesma chave.

O algoritmo funciona com a chamada “chaves pares”. Usando este método, a chave privada é responsável pela criptografia e somente a chave pública deste par de chaves pode descriptografar a mensagem.

O que torna este sistema tão especial é que a chave pública pode ser conhecida pelo mundo inteiro.

Este sistema pode ser usado de duas maneiras: 

  • A primeira forma é para assinar a mensagem com a chave privada. Usando a chave pública do destinatário pode verificar se a mensagem foi originada a partir do proprietário da chave privada em questão.
  • A segunda maneira é criptografar as mensagens destinadas a uma pessoa com as suas próprias chaves públicas. Somente o titular da chave privada associada com esta chave pública será capaz de decifrar esta mensagem. Note aqui que o uso da chave privada é restrito ao detentor da chave privada, enquanto a chave pública, todos fazem uso.

Desta forma, algoritmos assimétricos podem ser empregados para garantir tanto a integridade e confidencialidade das mensagens.

A assinatura digital
As assinaturas digitais são criadas usando criptografia assimétrica. Uma assinatura digital é um método para confirmar se a informação digital foi produzida ou enviada por quem afirma ser, é comparável com a assinatura escrita em documentos. A assinatura digital consiste de dois algoritmos: um para confirmar que a informação não tenha sido alterada por terceiros, e os outros confirmarem a identidade da pessoa que tem a “assinatura” da informação.

Na Europa, graças a uma Diretiva, a assinatura digital é agora considerada igualmente a uma assinatura em “papel”. Na maioria dos casos, tem que ser possível verificar se essa assinatura digital está usando um certificado de atestado que deve ser feito através de meios seguros, por exemplo, um cartão inteligente ou smartcard.

Exemplo de Criptografia Assimétrica
Um médico deseja fazer uma declaração eletrônica de seus tratamentos com a sua companhia de seguro saúde. As companhias de seguros têm um contrato com uma Autoridade de Certificação (CA).

O  médico solicita um certificado da CA. O CA é responsável por confirmar se o médico é quem ele diz ser, por exemplo, pedindo-lhe credenciais e uma assinatura. O médico recebe o acesso ao site para fazer o download do certificado.

Este arquivo é baixado para o computador. Se o médico quiser fazer uma declaração, ele vai até o site da CA, que ao entrar, o certificado em seu PC é verificado, o nome de usuário e senha associada com o certificado são solicitados, então, ele pode fazer o upload de sua declaração, nas quais são assinados digitalmente como sendo verdadeiro.

Ele também pode, por exemplo, verificar se um determinado paciente é segurado e através de qual companhia de seguros ele pertence.

Leia Também:

Dica: Como alterar a senha de um volume criptografado no Mac OS X

Google reforça criptografia para dificultar espionagem

Pra quem ainda não viu: Video sobre a Petrobrás e a espionagem americana + Artigo: ‘Criptografia pode servir de mapa da mina’

Fonte: Portal ITSM

Biblioteca – Artigos Cientificos de Segurança da Informação

artigosPessoal, continuando com as publicações de artigos, resenhas e pesquisas, vejam abaixo alguns excelentes artigos científicos relacionados a Segurança da Informação.

Lembrando sobre algumas características para utilização das mesmas:

Acordo de Licença

Tem o direito de Partilhar — copiar, distribuir e transmitir a obra.

De acordo com as seguintes condições: Atribuição — Tem de fazer a atribuição da obra, da maneira estabelecida pelo autor ou licenciante (mas sem sugerir que este o apoia, ou que subscreve o seu uso da obra).

O que significa “Fazer a atribuição desta obra”? A página de onde vem continha informações de licenciamento incorporados, que incluem a forma como o criador pretende que seja feita a atribuição da sua autoria original, quando a obra é reutilizada. Pode usar o HTML nesta página para citar a obra.

No entendimento de que:

  • Renúncia — Qualquer uma das condições acima pode ser renunciada pelo titular dos direitos de autor, se obtiver deste uma autorização para usar a obra sem essa condição.
  • Aviso — Em todas as reutilizações ou distribuições, tem de deixar claro quais são os termos da licença desta obra. A melhor forma de fazê-lo, é colocando um link para esta página.

————————————————————————————————————————————————————————–

Título: Artigo – Segurança da Informação nos Tempos das Redes Sociais

Autores(as): Daniel Rozendo de Moraes

Instituição:  Não Divulgado.

Resumo: Segurança da Informação nos tempos das redes sociais. É possível estarmos seguros? As pessoas estão cientes do perigo?

————————————————————————————————————————————————————————–

Título: A importância do tratamento no descarte das mídias digitais de armazenamento no âmbito corporativo

Autores(as): Fabio Neves de Oliveira

Instituição:  Faculdade Impacta Tecnologia

Resumo: Um dos maiores desafios no âmbito corporativo a fim de atender normas e regulamentações internacionais é o descarte de seus eletroeletrônicos de forma a minimizar os impactos ao meio ambiente.

————————————————————————————————————————————————————————–

Título: Segurança da informação e a natureza humana

Autores(as): Jefferson de Oliveira Bazana

Instituição:  Faculdade Impacta Tecnologia

Resumo: A importância do fator humano na segurança da informação existe em qualquer sentido que ela ocorra, seja na implementação de um procedimento como o controle de acesso, uma norma de classificação da informação ou até na implementação inteira de uma política de segurança.

————————————————————————————————————————————————————————–

Título: Segurança Através de Controles Biométricos

Autores(as): Carlos Henrique Martins da Silva

Instituição:  Estácio de Sá

Resumo: Conceitos de biometria, tais como a origem da biometria e a sua história.

————————————————————————————————————————————————————————–

Título: BYOD_Riscos_x_Oportunidades

Autores(as): André Koiti Morita Hagio

Instituição:  Faculdade Impacta Tecnologia

Resumo: Este artigo tem como objetivo estudar e analisar uma nova tendência do mercado, o Bring Your Own Device (BYOD) e discutir os riscos e oportunidades na adoção desse novo conceito.

————————————————————————————————————————————————————————–

Título: Perspectivas das empresas em relação à segurança da informação

Autores(as): André Nogueira Rodrigues

Instituição:  Faculdade Impacta Tecnologia

Resumo: Este artigo descreve as perspectivas das empresas em relação à segurança da informação.

————————————————————————————————————————————————————————–

Leia Também:

Artigo: Falha de Segurança IOS 7 – Saudade de Steve Jobs

Artigo: Como manter-se seguro sem abrir mão da simplicidade?

Artigo: Como se proteger de Edward Snowden

Biblioteca – Resenha de Segurança da Informação (Como proteger uma URA em ambiente Mainframe)

resenhaPessoal, continuando com as publicações de artigos, resenhas e pesquisas, vejam abaixo uma ótima resenha relacionada a Segurança da Informação.

Lembrando sobre algumas características para utilização das mesmas:

Acordo de Licença

Tem o direito de:Partilhar — copiar, distribuir e transmitir a obra.

De acordo com as seguintes condições: Atribuição — Tem de fazer a atribuição da obra, da maneira estabelecida pelo autor ou licenciante (mas sem sugerir que este o apoia, ou que subscreve o seu uso da obra).

O que significa “Fazer a atribuição desta obra”? A página de onde vem continha informações de licenciamento incorporados, que incluem a forma como o criador pretende que seja feita a atribuição da sua autoria original, quando a obra é reutilizada. Pode usar o HTML nesta página para citar a obra.

No entendimento de que:

  • Renúncia — Qualquer uma das condições acima pode ser renunciada pelo titular dos direitos de autor, se obtiver deste uma autorização para usar a obra sem essa condição.
  • Aviso — Em todas as reutilizações ou distribuições, tem de deixar claro quais são os termos da licença desta obra. A melhor forma de fazê-lo, é colocando um link para esta página.

————————————————————————————————————————————————————————–

Título: Como proteger uma URA em ambiente Mainframe

Autores(as) / Orientadores(as): Waldir Antonio da Silva

Instituição:  Não-Divulgada

Resumo: O objetivo deste artigo é apresentar uma forma de proteção de URA (Unidade de Resposta Audível) em ambiente mainframe, neste contexto pode-se obter importantes resultados tais como redução de recursos utilizados no ambiente, minimizar fraudes internas, definição e rastreamento das ações feitas pelo usuário da URA. O sucesso deste processo deve-se a reunião de áreas distintas que tiveram como objetivo melhorar a proteção do ambiente corporativo

————————————————————————————————————————————————————————–

Leia Também:

Artigo: Incidentes de segurança

Artigo: Posso usar a sua senha de rede?

Fonte: Data Security

Biblioteca – Artigos Cientificos de Segurança da Informação

artigosPessoal, continuando com as publicações de artigos, resenhas e pesquisas, vejam abaixo dois excelentes artigos científicos relacionados a Segurança da Informação.

Lembrando sobre algumas características para utilização das mesmas:

Acordo de Licença

Tem o direito de:Partilhar — copiar, distribuir e transmitir a obra.

De acordo com as seguintes condições: Atribuição — Tem de fazer a atribuição da obra, da maneira estabelecida pelo autor ou licenciante (mas sem sugerir que este o apoia, ou que subscreve o seu uso da obra).

O que significa “Fazer a atribuição desta obra”? A página de onde vem continha informações de licenciamento incorporados, que incluem a forma como o criador pretende que seja feita a atribuição da sua autoria original, quando a obra é reutilizada. Pode usar o HTML nesta página para citar a obra.

No entendimento de que:

  • Renúncia — Qualquer uma das condições acima pode ser renunciada pelo titular dos direitos de autor, se obtiver deste uma autorização para usar a obra sem essa condição.
  • Aviso — Em todas as reutilizações ou distribuições, tem de deixar claro quais são os termos da licença desta obra. A melhor forma de fazê-lo, é colocando um link para esta página.

————————————————————————————————————————————————————————–

Título: Técnicas Utilizadas para efetivação e contenção das fraudes sobre internet banking no Brasil e no Mundo

Autores(as) / Orientadores(as): Marcelo Lau / Prof. Pedro Luís Próspero Sanchez

Instituição:  USP-SP

Resumo: Este artigo apresenta as técnicas utilizadas para a efetivação de fraude sobre o ambiente Internet Banking no Brasil no passado recente que hoje são utilizadas para a prática deste crime no mundo. Algumas propostas de contenção utilizadas no Brasil e no mundo são apresentadas, permitindo uma avaliação de segurança sobre o cenário atual

————————————————————————————————————————————————————————–

Título: Aplicabilidades e Segurança do RFID

Autores(as) / Orientadores(as): Flávia Ramalho, Lilian Cardoso, Mônica Costa e Rosane Coffers / Prof. Msc. Marcelo Lau

Instituição:  FIAP-SP

Resumo: Esse artigo apresenta algumas definições do sistema RFID, bem como o período que o originou e o funcionamento da tecnologia e suas aplicações. No artigo também podem ser encontradas as vulnerabilidades desta tecnologia podendo estas comprometer serviços importantes e também as principais medidas de segurança para o uso adequado desta solução que quando bem aplicada contribui de forma positiva para as empresas de diversos segmentos.

————————————————————————————————————————————————————————–

Leia Também:

Artigo: Incidentes de segurança

Artigo: Posso usar a sua senha de rede?

Fonte: Data Security

Biblioteca – Monografias de Segurança da Informação – Parte 2/2

monografia1Pessoal, segunda parte de algumas Monografias de Segurança da Informação, dando continuidade a publicação anterior: Biblioteca – Monografias de Segurança da Informação – Parte 1/2. Lembrando que a utilização dessas monografias devem ser feitas para estudos, consultas e pesquisas. Logo mais também publicarei mais alguns artigos, resenhas e pesquisas científicas.

Lembrando sobre algumas características para utilização das mesmas:

Acordo de Licença

Tem o direito de:Partilhar — copiar, distribuir e transmitir a obra.

De acordo com as seguintes condições: Atribuição — Tem de fazer a atribuição da obra, da maneira estabelecida pelo autor ou licenciante (mas sem sugerir que este o apoia, ou que subscreve o seu uso da obra).

O que significa “Fazer a atribuição desta obra”? A página de onde vem continha informações de licenciamento incorporados, que incluem a forma como o criador pretende que seja feita a atribuição da sua autoria original, quando a obra é reutilizada. Pode usar o HTML nesta página para citar a obra.

No entendimento de que:

  • Renúncia — Qualquer uma das condições acima pode ser renunciada pelo titular dos direitos de autor, se obtiver deste uma autorização para usar a obra sem essa condição.
  • Aviso — Em todas as reutilizações ou distribuições, tem de deixar claro quais são os termos da licença desta obra. A melhor forma de fazê-lo, é colocando um link para esta página.

Espero que gostem dessa primeira parte, a segunda parte será publicada logo em breve!!! Aguardem!!

————————————————————————————————————————————————————————–

Título: Perícia forense computacional baseada em sistema operacional Windows XP Professional 

Autores(as) / Orientadores(as): Flávio Aparecido Pimenta / Profº Msc. Marcelo Lau

Instituição:  SENAC-SOR

Resumo: São apresentados neste trabalho os conceitos de identificação, preservação, análise e apresentação de evidências, encontradas em uma investigação Computacional sobre um ambiente Windows XP.

————————————————————————————————————————————————————————–

Título: Lack of Information Technology Laws in Angola 

Autores(as) / Orientadores(as): Yonne L. de Q. de Castro / Profº Chris Cummins

Instituição:  WESTMINSTER

Resumo: Dissertação de mestrado apresentada na Universidade de Westminster com o objetivo de estudar a legislação penal angolana na área de tecnologia da informação comparando-a com a legislação de outros países (Brasil, Portugal e Cabo-Verde) visando evidenciar a conscientização das empresas angolanas a respeito do assunto tratado.

————————————————————————————————————————————————————————–

Título: A aceitação da prova eletrônica no âmbito criminal

Autores(as) / Orientadores(as): Adriano Yamazawa / Profº Antônio Frederico Ozanan C. Souto Corrêa.

Instituição:  UNIVERSIDADE CATÓLICA DE SANTOS

Resumo: O presente trabalho buscou analisar a aceitação da prova obtida através de meios eletrônicos junto ao direito processual penal brasileiro, assim como os métodos de obtenção e utilização de provas eletrônicas no âmbito criminal. Por ser um tema extremamente atual, de grande relevância à vida moderna, pois a comunicação ocorre em tempo real e a conectividade é ininterrupta, a importância deste estudo vem elucidar a existência de maneiras práticas de se provar ou evidenciar um delito junto ao ambiente eletrônico.

————————————————————————————————————————————————————————–

Título: Segurança em Dispositivos de Armazenamento Portáteis: um estudo dos riscos envolvendo os pendrives.

Autores(as) / Orientadores(as): Heros Beltrame / Prof.Me. Maria Campos Lage

Instituição:  CEETEPS-SP

Resumo: Este trabalho trata da questão dos riscos para o ambiente corporativo de cópias de dados e perda de informações por vezes sigilosas envolvidos no transporte de dados com o uso de dispositivos de armazenamento portáteis, o que pode colocar em perigo os negócios das empresa.

————————————————————————————————————————————————————————–

Título: Segurança em sistemas VOIP

Autores(as) / Orientadores(as): Rodrigo Morim Martins / Profº Msc. Marcelo Lau

Instituição:  SENAC-SP

Resumo: O presente trabalho propicia o estudo da segurança em redes Voz sobre IP, onde é apresentada a infraestrutura da rede de dados para trafegar voz, a comparação de diferentes tipos de protocolos utilizados para sinalização e troca de informações, as principais ameaças dentro de um ambiente coorporativo e os tipos de ataques que afetam a segurança em Voz sobre IP.

————————————————————————————————————————————————————————–

Título: Análise Forense em Dispositivos Móveis com Sistema Operacional Android

Autores(as) / Orientadores(as): Alexsandro Menezes, Eric Baitz, Jhonatas Rocha, Rogério Cappatti / Profº Msc. Marcelo Lau

Instituição:  FIAP-SP

Resumo: Neste artigo, foram utilizados os métodos de pericia hoje já existentes para extrair arquivos e informações de Smartphones, com a finalidade de demonstrar, assim, que a metodologia utilizada serviu para a aquisição correta e integra de dados em dispositivos móveis com o sistema operacional Android.

————————————————————————————————————————————————————————–

Título: Perícia Forense Digital – A Tecnologia da Informação como Ferramenta Estratégica no Combate ao Crime

Autores(as) / Orientadores(as): Thiago Gaspar Caixeta / Profº Patrick Tracanelli

Instituição:  FUMEC

Resumo: Este trabalho apresenta uma visão sobre a Forense Computacional e sua importância nos dias atuais, as etapas do processo pericial e seus aspectos mais relevantes bem como os fatores difficultadores na realização da perícia. É abordada também a base legal em que está envolta a forense computacional e os cuidados necessários para que se constitua uma prova jurídica válida perante um processo, demonstrando a responsabilidade do perito e a atenção requerida para está área de atuação.

————————————————————————————————————————————————————————–

Título: Requisitos Técnicos e Investigativos para Identificação de Fraudes em Banco de Dados Microsoft SQL Server

Autores(as) / Orientadores(as): Alcione Rocha Campos e Lívia Regina Polydoro / Profº Msc. Marcelo Lau

Instituição:  FIAP-SP

Resumo: Este artigo tem o intuito de apresentar algumas boas práticas que podem ser utilizadas para armazenar e preservar as evidências identificadas e técnicas que auxiliem na proteção dos dados contidos em um ambiente de banco de dados, possibilitando melhor identificação de fraudes e ataques, de forma a mitigar os efeitos causados em caso de sua ocorrência..

————————————————————————————————————————————————————————–

Leia Também:

EUA podem quebrar maior parte dos padrões de criptografia da Web

Facebook reforça privacidade de usuários que usam aplicativos de terceiros

O mundo Web é seguro?

Fonte: Data Security