Últimas notícias

Fique informado

Certificação digital. De onde surgiu e por que ela me interessaria?

04/07/2017

Alguma vez você já teve contato com o assunto certificação digital ou sabe do que se trata?

Por Viviane Bertol

Viviane Bertol | CEO PKI Consulting e Colunista do Crypto ID

A Certificação Digital, sem dúvida, vem se tornando um assunto cada vez mais recorrente na segurança da informação e a diversificação de aplicações em que está envolvida vem expandindo o mercado brasileiro de certificação digital de forma consistente ao longo dos últimos anos.

É preciso, antes de mais nada, compreendermos a relevância dos certificados digitais, e para isso devemos falar sobre a segurança na Internet.

Como sabemos, na rede mundial a informação flui livremente e nem sempre podemos garantir a segurança e integridade dos dados que enviamos ou recebemos, pois neste fluxo ininterrupto as informações podem ser violadas, interceptadas e até adulteradas. Juntamente a estes fatores, temos o risco de não sabermos se a pessoa na outra ponta do fluxo de informação é quem realmente diz ser.

Visando solucionar estas questões de integridade da informação e comunicação nos meios de internet, surgiram diversos mecanismos de segurança, sendo um deles os Certificados Digitais, que são uma tecnologia de segurança.

Baseada em criptografia, a Certificação Digital utiliza algoritmos capazes de embaralhar mensagens e dados, assim protegendo a sua confidencialidade.

Para tanto, são utilizadas chaves criptográficas, que contêm o “segredo” utilizado para embaralhar e desembaralhar os dados, permitindo a recuperação das informações somente para quem devidamente são destinadas.

O Certificado Digital é um arquivo eletrônico armazenado em uma mídia digital – podendo ser em um arquivo, um cartão inteligente ou um token (dispositivo semelhante a um pendrive, mas apenas na aparência). Tanto o cartão inteligente como o token possuem capacidade interna de processamento criptográfico, o que não ocorre com o pendrive, que apenas armazena dados.

Na Certificação Digital utiliza-se um tipo de criptografia conhecido por Criptografia de Chaves Públicas. Nele, cada pessoa recebe duas chaves criptográficas, conhecidas como chave pública e privada. Uma delas é usada para cifrar e outra para decifrar as mensagens.

A chave privada fica sempre com o dono original e a chave pública pode ser enviada para qualquer pessoa. A distribuição dessas chaves está submetida a uma série de entidades, padrões normativos e regulamentos, que juntos compõem a infraestrutura conhecida como ICP-Brasil (maiores informações sobre este conceito podem ser encontradas no artigo: Você conhece a ICP-Brasil e o que ela representa?).

A seguir temos uma representação visual de como usar criptografia assimétrica para diversas finalidades.

Garantindo o sigilo da comunicação

Na nossa representação, a criptografia assimétrica será usada por Alice, para enviar uma mensagem sigilosa para Beto.

Para isso, precisará obter uma cópia da chave pública de Beto (o que em geral é feito obtendo o certificado digital de Beto, emitido por uma Autoridade certificadora confiável, o qual contém sua chave pública).

A seguir, Alice cifra o texto usando a chave pública de Beto, e o envia para que ele possa decifrar usando sua chave privada. Se alguém interceptar a mensagem, não conseguirá decifrar o texto pois não possui a chave correta.

Um ponto importante aqui é que se a mensagem for enviada por email, é possível cifrar o texto do email, propriamente dito, cifrar um arquivo anexo ao email ou cifrar ambos.

Garantindo a autoria de uma mensagem

Outra utilização da criptografia assimétrica é para garantir a autenticidade ou autoria de uma mensagem.

Neste caso, Alice irá enviar para Beto uma mensagem, e cifrar com sua chave privada.

Beto obterá a chave pública de Alice (o que em geral é feito obtendo o certificado digital de Alice, emitido por uma Autoridade certificadora confiável, o qual contém sua chave pública).

Ao receber o documento cifrado, Beto o decifrará com a chave pública de Alice, obtendo assim a certeza de que foi ela a autora.

Note que outras pessoas que interceptem a mensagem poderão ter acesso ao conteúdo, se tiverem acesso à chave pública de Alice, mas o objetivo aqui é a garantia da autoria, não o sigilo.

Garantindo a Integridade de um arquivo

Para garantir a integridade de uma mensagem, ou seja, garantir que ela chegue íntegra e completa ao destinatário, utiliza-se outra tecnologia, chamada resumo criptográfico (ou hash), que é uma função que gera um código de tamanho fixo de saída, a partir de uma mensagem de entrada.

A função usada para cálculo do resumo criptográfico deve ter as seguintes propriedades:

dada uma mensagem, deve ser fácil calcular o resumo criptográfico;
dado o resumo criptográfico, deve ser muito difícil determinar a mensagem que o originou;
mensagens diferentes devem produzir resumos criptográficos diferentes;
o resumo criptográfico deverá parecer aleatório, para evitar que forneça pistas sobre a mensagem original.

Utilizando Assinatura Digital

A criptografia de chaves públicas, aliada a tecnologia de hash permite a realização das assinaturas digitais.

A assinatura digital é uma sequência de bits que representa a assinatura do indivíduo vinculada a um documento eletrônico. Resultante de uma operação matemática, utiliza algoritmos de criptografia assimétrica e de resumo criptográfico, permitindo aferir, com segurança, a origem e a integridade do documento.

A seguir podemos ver uma representação de como funcionam essas assinaturas:

O processo de assinatura digital funciona então da seguinte forma:

–  Alice possui uma chave privada, que é de seu conhecimento exclusivo;
– Beto possui cópia da chave pública de Alice (normalmente, recebida em um certificado digital emitido para Alice por uma entidade confiável, chamada de Autoridade Certificadora);
– Alice usa um aplicativo de assinatura digital, que gera o resumo criptográfico da mensagem e cifra esse resumo com sua chave privada;
– Alice envia para Beto o resumo assinado e a mensagem original;
– Beto recebe esses dados e utiliza também um aplicativo de assinatura digital para conferir a validade da assinatura recebdida e a integridada do documento assinado.

O aplicativo decifra o resumo criptográfico, usando a chave pública de Alice. Ele também calcula o resumo do texto original e compara os dois resultados. Se forem idênticos, significa que a mensagem veio mesmo de Alice e que não foi adulterada no percurso.

Conclusão

Vimos que a certificação digital utiliza mecanismos robustos para prover segurança à comunicação que trafega na Internet.

A robustez desses mecanismos é tamanha, que o Governo Brasileiro atribui a uma assinatura digital realizada com certificado digital ICP-Brasil a mesma validade jurídica de uma assinatura feita em papel pelo próprio punho do autor, e reconhecida em cartório.

Com todas estas informações, podemos vislumbrar o quão atraente o mercado de Certificação Digital está se tornando a novos investidores, e até mesmo para os players atuais do mercado, que buscam expandir a abrangência de suas atividades.

A versatilidade de seu uso, aliada a regulamentações e obrigatoriedades estabelecidas pelos fiscos federal, estadual e municipal, fazem esta emergente tecnologia de segurança cada vez mais atraente, gerando inúmeras oportunidades de novos negócios.

  Leia aqui outros artigos de Viviane Bertol

Artigo originalmente publicado pela PKI Consulting

 

Sobre: Viviane Bertol

Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília.

Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.

Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.

Participou da elaboração de diversos normativos da ICP-Brasil.

Colunista e membro do conselho editorial do Instituto CryptoID.

 

Contato de Viviane Bertol viviane@pkiconsulting.com

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

Apenas usuários registrados podem comentar.