De acordo com o conjunto de regras utilizadas para criptografar e descriptografar um texto, pode-se classificar os sistemas criptográficos em duas categorias: os simétricos e os assimétricos.
Em criptosistemas simétricos, o mesmo segredo (chave) utilizado para criptografar o texto plano, é utilizado para descriptografar o texto cifrado correspondente. As chaves desta categoria são comumente denominadas de chave secretas.
Em criptosistemas assimétricos, utiliza-se um par de chaves - uma para criptografar e outra para descriptografar. Neste caso, uma das chaves é mantida em segredo, dita chave privada, e a outra livremente divulgada é denominada de chave pública.
Criptosistemas assimétricos, também conhecidos como criptografia de chave pública, estão baseados na dinâmica de que, A (emissor) e B (receptor) trocam mensagens entre si, utilizando um par de chaves (segredos). A noção básica da relação criptográfica entre uma Chave Privada e uma Chave Pública é simples:
O que uma criptografa, SÓ a outra descriptografa. Ou seja :
# Qualquer informação criptografada pela chave privada só é descriptografada pela chave pública correspondente (do par).
# Qualquer informação criptografada pela chave pública só é descriptografada pela chave privada correspondente (do par).
A utilização destes conceitos, em uma arquitetura conhecida como infra estrutura de chave pública, permitiu implementar os mecanismos fundamentais e necessários para garantir a segurança das informações veiculadas na internet, esses serviços são: Confidencialidade, Integridade, Autenticação e Não-Repúdio.
Confidencialidade
A confidencialidade, ou sigilo, é garantida criptografando-se a informação com a chave pública da pessoa a quem a informação é dirigida. Deste modo, somente esta pessoa de posse da chave privada correspondente (o destinatário correto) é que consegue descriptografar a informação.
Por exemplo: Imagine que A (emissor) deseja enviar uma informação (mensagem, texto, dados, etc) secreta para B (receptor). A deve criptografar a informação utilizando a chave pública de B. Deste modo quando B recebe a informação, o mesmo pode descriptografar essa informação com a sua chave privada, e assim obter acesso à informação original em formato legível.
Integridade e Autenticação
A credibilidade de um documento tradicional (documento papel) está ligada essencialmente à sua originalidade. Dois aspectos devem ser observados; autoria e integridade. O conceito de assinatura digital abrange estes dois aspectos, garante de forma indubitável a autoria do documento e nos dá a certeza de que o documento eletrônico não foi alterado, nem mesmo em uma vírgula.
Técnicamente, uma assinatura digital é uma versão reduzida de um documento eletrônico, criptografada com a chave privada do autor e anexada ao próprio documento eletrônico.
A versão reduzida, conhecida como código do documento ou código Hash, é o resultado de uma análise matemática realizada sobre o documento, única para cada conteúdo original e gerada de forma que qualquer alteração efetuada sobre o documento produzirá um código completamente diferente.
A assinatura digital é gerada pelo autor ao assinar (criptografar), o código do documento com a sua chave privada. Deste modo, pode-se verificar a integridade do documento assinado digitalmente, utilizando-se a chave pública do emissor e tendo-se a certeza de quem foi que gerou o documento, visto que somente uma chave privada específica poderia gerar aquela assinatura.
Se o objetivo é ainda garantir que ninguém tenha acesso ao conteúdo do documento, a não ser o receptor desejado, deve-se aplicar também o procedimento para obter a confidencialidade descrito anteriormente.
Não-Repúdio
Não-Repúdio, ou não recusa, é a garantia que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrônica, não poderá posteriormente negar sua autoria, visto que somente aquela chave privada poderia ter gerado aquela assinatura digital. Deste modo, a menos de um uso indevido do certificado digital, fato que não exime de responsabilidade, o autor não pode negar a autoria da transação.
O mecanismo criado para usufruir dos avanços da tecnologia de criptografia, em particular da criptografia assimétrica, e capaz de transferir para a internet seus benefícios de segurança e confiabilidade, foi o Certificado Digital .
O Certificado Digital é emitido por uma entidade confiável, denominada Autoridade Certificadora , que utilizando-se de processos e critérios bem definidos e públicos, regula a gestão do certificado através da emissão, revogação e renovação dos mesmos por aprovação individual. Ao emitir um certificado digital, a autoridade certificadora assina digitalmente o certificado tornando-o inviolável e ao mesmo tempo factível de verificação quanto a sua integridade, validade, aplicabilidade e identificação do portador.
O uso do certificado digital no desenvolvimento de sistemas voltados à rede mundial de computadores, permite incorporar a estes sistemas todas as características -como: confidencialidade, integridade, autenticidade e não-repúdio-, necessárias e fundamentais a segurança e confiabilidade dos mesmos.
Programas de correio eletrônico e navegadores para internet, como o Microsoft Internet Explorer, o Netscape Communicator e outros, já incorporam funcionalidades para uso de criptografia e certificado digital, realizando de forma transparente ao usuário uma série de facilidades como verificação de integridade e validação de certificados, encriptação e desencriptação de dados, entre outras.
O que é um certificado digital ?
Um certificado digital, ou identidade digital, pode ser visto como uma carteira de identidade para uso na internet. Com ele é possível comprovar a identidade tanto do internauta como do site. Por exemplo, ao acessar uma conta bancária o certificado de servidor do banco assegura que você está realmente acessando o site do banco, da mesma forma que o certificado de cliente garante ao banco que o internauta que está acessando os dados de uma determinada conta é realmente o titular da conta.
O certificado digital pode também ser utilizado para atribuir integridade e autenticidade aos documentos eletrônicos -mensagens, textos, dados, etc-. Por exemplo: quando você envia uma mensagem de e-mail para alguém, o programa de e-mail pode utilizar seu certificado para "assinar" digitalmente sua mensagem. Deste modo, a pessoa que receber a mensagem tem certeza que a mesma foi realmente enviada por você, além de ter a garantia de que o conteúdo da mensagem não foi alterado entre o envio e o recebimento.
Tecnicamente, um certificado digital é um conjunto de dados (um arquivo), assinado digitalmente pela autoridade certificadora e contento tipicamente informações como:
# chave pública do certificado,
# nome e endereço de e-mail do dono do certificado,
# nome e assinatura digital da autoridade certificadora,
# privilégios de acesso a sites seguros,
# outras,
O que são assinaturas digitais?
A assinatura digital é um mecanismo criado para atribuir confiabilidade a um documemto eletrônico, da mesma forma que uma assinatura de punho (ou firma) atribui confiabilidade a um documemto papel.
A assinatura digital soluciona aspectos fundamentais à confiabilidade dos documentos eletrônicos:
# Permite autenticar a identidade da assinatura, desta forma pode-se confirmar quem participou de uma determinada transação eletrônica.
# Proteger a integridade do documento, pode-se saber se o documento recebido sofreu alterações, quer acidental, quer maliciosamente.
# Provar quem participou da transação (não-repúdio), eliminando a possibilidade de que o autor venha a negar sua assinatura.
Uma assinatura digital, é criada utilizando-se a chave privada do certificado do autor da assinatura, deste modo, a mesma pode ser conferida através da chave pública que encontra-se no seu certificado digital do autor.
Para assinar digitalmente qualquer tipo de informação eletrônica, a fim de comprovar inequivocamente a autoria, o autor deverá possuir um certificado digital, único e pessoal, que comprove indubitavelmente a sua identidade no mundo eletrônico e que tenha sido emitido por uma autoridade certificadora de confiança.
O que é uma Autoridade Certificadora ?
Uma Autoridade Certificadora é uma entidade de confiança que administra a gestão de certificados digitais através da emissão, revogação e renovação dos mesmos por aprovação individual.
Uma Autoridade Certificadora pode emitir diferentes tipos de certificados, atribuindo diferentes níveis de confiança a cada tipo. Para cada tipo de certificado é utilizado um processo diferente para realizar a verificação da identidade do solicitante. Por exemplo: para certificados de e-mail é feita simplesmente uma validação do endereço eletrônico, enquanto que para certificados que identificam o portador é necessário a verificação de documentos pessoais para comprovar a identidade do requerente.
Assinando digitalmente os certificados que emite, a Autoridade Certificadora cria um relacionamento entre ela e o certificado emitido, este relacionamento fica explícito no próprio certificado pela cadeia de certificação. Deste modo ao confiar em um certificado digital estamos confinado na Autoridade Certificadora que emitiu o certificado.
Nenhum comentário:
Postar um comentário