Últimas notícias

Fique informado
As mudanças trazidas pela certificação digital ao mercado de tecnologia

As mudanças trazidas pela certificação digital ao mercado de tecnologia

13/12/2016
Por Viviane Bertol
Viviane Bertol | CEO PKI Consulting

Viviane Bertol | CEO PKI Consulting e Colunista do Crypto ID

Certamente, o advento no segmento das tecnologias de segurança da informação operaram significativas mudanças no mercado tecnológico, e um dos grandes agentes responsáveis por isto foi a Certificação Digital e todas as implicações trazidas por ela.

E como a certificação digital pode ser utilizada no contexto da segurança da informação?

O grande segredo está no fato de que a Certificação Digital trabalha com o conceito de criptografia de chaves públicas.

Isso significa que cada pessoa ou empresa que adquire um certificado digital recebe duas chaves: uma chave pública, que é inserida no certificado e pode ser distribuída livremente, e uma chave privada, que deve ficar apenas no poder do titular do certificado.

Essas chaves são geradas simultaneamente e possuem algumas caraterísticas interessantes: elas estão intimamente associadas, de maneira que uma mensagem cifrada com a chave pública pode ser decifrada apenas com a chave privada, e vice-versa.  Além disso, não deve ser possível deduzir uma chave a partir da outra, ou a partir da análise de um texto cifrado.

Outra tecnologia importante utilizada na Certificação digital é o resumo criptográfico (ou hash), que é uma função que gera um código de tamanho fixo de saída, a partir de uma mensagem de entrada.

A função usada para cálculo do resumo criptográfico deve ter as seguintes propriedades

–  dada uma mensagem, deve ser fácil calcular o resumo

–  dado o resumo, deve ser muito difícil determinar a mensagem que o originou;

–  mensagens diferentes devem produzir resumos diferentes;

–  o resumo deverá parecer aleatório, para evitar que forneça pistas sobre a mensagem original.

A utilização dessas poderosas tecnologias permite agregar aos processos informatizados as seguintes características de segurança:

Confidencialidade – significa que os recursos do sistema devem estar protegidos contra acesso por parte de qualquer pessoa que não seja explicitamente autorizada pelo dono do recurso. Não apenas o recurso deve estar protegido, mas também suas partes, pois um atacante pode usá-las para inferir a informação como um todo. Manter a confidencialidade inclui proteger a informação contra leitura, impressão ou mesmo contra o simples conhecimento da sua existência.

Integridade – significa que os recursos podem ser modificados apenas por usuários autorizados ou apenas de uma maneira autorizada. A informação deve ser protegida contra escrita, alteração, alteração de seu status, criação e destruição.

Autenticidade – os certificados identificam o proprietário da chave privada. Os processos de identificação e registro do titular obedecem regras rigorosas, que buscam garantir que a empresa ou pessoa que está assinado um documento ou enviando uma mensagem é realmente quem diz ser.

Não repúdio – ao realizar uma transação ou assinar um documento utilizando certificação digital, a empresa ou pessoa fica, em teoria, impossibilita de negar que praticou o ato, visto que somente a chave privada que pertence a ela pode ter sido utilizada para tal.

Podemos então observar como na prática a certificação digital pode ser aplicada para três importantes finalidades, que são: as assinaturas digitais, a cifração de mensagens e a autenticação em sistemas:

Assinaturas digitais: representam a assinatura do indivíduo vinculada a um documento eletrônico, utilizando criptografia assimétrica e resumos criptográfico. Isso confere integridade e autenticidade aos dados e informações transmitidos (para uma representação visual deste processo e informações adicionais, confira o artigo: “ Certificação Digital. De onde surgiu e por que ela me interessaria? ”

Cifração de mensagens: através do uso da criptografia, são utilizados algoritmos específicos, contendo complexas estruturas matemáticas capazes de embaralhar dados e mensagens, que somente podem ser recuperados fazendo uso da chave adequada para esse fim.

Autenticação em sistemas: existem inúmeros mecanismos de autenticação em sistemas, sendo o mais conhecido o login/senha, que todavia possui uma fraqueza intrínseca, já que o administrador do sistema também possui acesso à senha do usuário, além dele próprio. Isso permitiria ao usuário negar a autoria de procedimentos realizados, como uma transferência bancária, por exemplo. Assim, a certificação digital surge como uma alternativa mais robusta, que retira essa possibilidade, visto que os processos devem ser realizados com a chave privada do usuário, e apenas são conferidos com a chave pública, que estaria disponível ao administrador do sistema ou a qualquer pessoa, sem riscos. Além da autenticação de usuários, essa tecnologia é bastante usada para autenticação de equipamentos em grandes redes (roteadores, servidores, etc.) , onde cada um deles recebe um certificado digital. Com isso, é possível evitar que um equipamento espúrio ingresse na rede sem o consentimento do administrador.

Considerando o que vimos até aqui, é certo dizer que os Certificados Digitais ganharão cada vez mais espaço no mercado tecnológico e seus efeitos e benefícios, na medida que sua utilização se solidifique, serão indispensáveis para toda e qualquer empresa que deseje prover segurança aos seus fluxos de dados e informações.

Sobre: Viviane Bertol

  • Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília.
  • Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.
  • Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.
  • Participou da elaboração de diversos normativos da ICP-Brasil.
  • Colunista e membro do conselho editorial do Instituto CryptoID.

Leia outros artigos escritos pela Colunista Viviane Bertol

Contato:Viviane Bertol |  viviane@pkiconsulting.com

pki-mantwww.pkiconsulting.com

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<