Segurança da Informação (SI)
Transcrição
Segurança da Informação (SI)
Um Panorama Geral Sobre Segurança da Informação [email protected] www.facebook.com/rafampsilva Princípios da Segurança da Informação Ameaças aos Sistemas de Informação Backup Criptografia Certificado Digital Segurança da Informação (SI) Segurança é a condição de se estar protegido contra perdas ou danos. Risco é o evento possível, que pode causar perdas ou danos. Ameaça é aquilo que dá início a um evento de risco. Contramedida ou controle: forma de impedir que uma ameaça inicie um evento de risco. Segurança da Informação (SI) Manutenção da segurança é uma tarefa de esforços assimétricos: quem defende deve defender todos os pontos – enquanto que para o agressor é suficiente identificar e focar em um ponto fraco. “uma corrente não é mais forte do que o seu elo mais fraco”. Segurança da Informação (SI) Conceito “É a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócios” [ISO 27002]. Segurança da Informação (SI) O que visa a segurança de informações? A segurança da informação visa garantir a integridade, confidencialidade, autenticidade, não repúdio, confiabilidade e disponibilidade das informações processadas por uma organização. Segurança da Informação (SI) O que é confidencialidade de informações? Consiste na garantia de que somente pessoas autorizadas tenham acesso às informações armazenadas ou transmitidas por meio de redes de comunicação. Manter a confidencialidade pressupõe assegurar que as pessoas não tomem conhecimento de informações, de forma proposital ou acidental, sem que possuam autorização para tal procedimento. Segurança da Informação (SI) O que é autenticidade de informações? Consiste na garantia de veracidade da fonte das informações. Por meio da autenticação é possível confirmar a identidade da pessoa ou entidade que presta as informações. (Ser autêntico, garantir ser ele mesmo). Segurança da Informação (SI) O que é integridade de informações? Consiste na fidedignidade de informações. Sinaliza a conformidade de dados armazenados em relação às inserções, alterações e processamentos autorizados efetuados. Sinaliza, ainda, a conformidade dos dados transmitidos pelo emissor com os dados recebidos pelo destinatário. A manutenção da integridade pressupõe a garantia da não-violação dos dados com o intuito de alteração, gravação ou exclusão, seja ela acidental ou proposital. Segurança da Informação (SI) O que é disponibilidade de informações? Consiste na garantia de que as informações estejam acessíveis às pessoas e aos processos autorizados, a qualquer momento requerido, durante o período acordado entre os gestores da informação e a área de informática. Manter a disponibilidade de informações pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações para quem de direito. Segurança da Informação (SI) O que é não-repúdio de informações? Este serviço previne tanto o emissor contra o receptor, quanto previne contra a negação de uma mensagem transmitida. Desta forma, quando uma mensagem é enviada, o receptor pode provar que de fato a mensagem foi enviada pelo emissor em questão. De forma similar, quando uma mensagem é recebida, o emissor pode provar que a mensagem foi realmente recebida pelo receptor em questão. Autenticação de usuários por senha não garante o não-repúdio, pois não prova a autoria da operação, não é possível sabermos quem digitou a senha. Segurança da Informação (SI) O que é a confiabilidade de informações? Garantir que um sistema de informação funcionará de forma eficiente e eficaz, de acordo com suas atribuições e funcionalidades, ou seja, o sistema vai funcionar conforme foi projetado. Segurança da Informação (SI) AMEAÇAS AOS SISTEMAS DE INFORMAÇÃO Problemas de Hardware Impossíveis de prever, são grandes causadores de perdas definitivas de informação. Segurança da Informação (SI) Engenharia Social É um método utilizado para obter acesso às informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança ou ingenuidade das pessoas. Um ataque de engenharia social pode se dar através de qualquer meio de comunicação. Tendo-se destaque para telefonemas, conversas diretas com a vítima, e-mail etc. Segurança da Informação (SI) MALWARE – Malicious software É o termo usado para referenciar qualquer tipo de software destinado a infiltrar em computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações. MALWARE: Vírus; Trojan; Worms Hijacker; Backdoors; Keyloggers; Spyware; Ransonware SINTOMAS DE UM COMPUTADOR INFECTADO: Arquivos e programas são alterados ou destruídos; Alteração da pagina inicial do browser; programas anti-vírus deixam de funcionar, fechando automaticamente, quando o usuário tenta executá-lo; Computador e acesso à internet extremamente lentos; Sistema Operacional não responde aos comandos e se torna mais lento do que o normal; Janelas do Internet Explorer abrindo sozinhas; Alteração do nível de segurança, no browser, zona de internet para baixo; etc. Segurança da Informação (SI) O que é um vírus? Um vírus é um código de computador que se “anexa” a um programa ou arquivo hospedeiro para poder se espalhar entre os computadores, infectando-os à medida que se desloca. Tem a intenção de se autoduplicar. Os vírus podem danificar seu software, e arquivos. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. Segurança da Informação (SI) Como ocorre a infecção? abrir arquivos anexados aos emails abrir arquivos do Office e BrOffice.org executar arquivos locais ou através de redes instalar programas de procedência duvidosa ou desconhecida acessar mídia removível infectada pendrives, cartões de memória, disquetes, cd/dvd, etc. Segurança da Informação (SI) Macro: são funções automáticas e repetitivas que já vem nos programas.Os vírus de macro danificam funções automáticas. Normalmente pacote Microsoft Office. Para que o vírus de macro, existente no arquivo, seja executado é necessário que o usuário abra o arquivo. Segurança da Informação (SI) Mitos: É importante desmentir alguns mitos: eventos que não executam o vírus “anexado” não irão acioná-lo. Então, se um programa contaminado for salvo em um HD ou unidade removível, isto não vai dar início ao ataque do vírus. Portanto, se o arquivo infectado não for executado nunca pelo usuário, o vírus ficará inativo até o dia que for executado. Vírus danificam a parte lógica do sistema!!!!!! Vírus não estragam o computador, não queimam hd´s, placas, não engolem o usuário, etc... Segurança da Informação (SI) O que é um Cavalo de Tróia/trojan horse? São programas de computador que parecem ser úteis, mas na verdade comprometem a sua segurança e causam muitos danos. Além de executar funções para as quais foi projetado, também executa outras funções, normalmente maliciosas e sem o conhecimento do usuário. Segurança da Informação (SI) Os cavalos de Tróia se alastram quando as pessoas são seduzidas a abrir o programa por pensar que vem de uma fonte legítima, e também podem ser incluídos em software que você baixa gratuitamente. Os cavalos de tróia aparentam certa ingenuidade e abrem as portas de comunicação do computador para os invasores. Segurança da Informação (SI) Instalação de keyloggers (monitoram o teclado) ou screenloggers (armazenam a posição do cursor e a tela do monitor) Objetivo: furto de senhas, números de cartões de crédito, obter conversas e informações pessoais, etc. Segurança da Informação (SI) Inclusão de backdoors (abre uma porta de comunicação e aguarda uma requisição especial nesta porta) para permitir que um atacante tenha total controle sobre o computador. Geralmente não infecta outros arquivos ou programas e nem propagam cópias de si mesmo automaticamente. Normalmente um cavalo de tróia consiste em um único arquivo que necessita ser explicitamente executado. Segurança da Informação (SI) O que são Worms? Um worm, assim como um vírus, cria cópias de si mesmo de um computador para outro, mas faz isso automaticamente. Primeiro, ele controla recursos no computador que permitem o transporte de arquivos ou informações. Depois que o worm contamina o sistema, ele se desloca sozinho. O grande perigo dos worms é a sua capacidade de se replicar em grande volume! Segurança da Informação (SI) Port Scanner: Portas abertas podem significar uma falha de segurança em servidores da sua empresa e até mesmo em seu computador pessoal. Os invasores estão sempre de olho em serviços com alguma falha que possa ser explorada por eles. O Port Scanner verifica o status das portas de computadores da uma rede ou da Internet, permitindo que se descubra portas que estão abertas sem necessidade. Segurança da Informação (SI) Spyware e outros softwares indesejados refere-se a um software que realiza certas tarefas no seu computador, geralmente sem o seu consentimento. O software pode exibir anúncios ou tentar coletar informações pessoais sobre você. Segurança da Informação (SI) Adware (ADVERTISING SOFTWARE) é qualquer programa que automaticamente executa, mostra ou baixa publicidade para o computador depois de instalado ou enquanto a aplicação é executada. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou retorno financeiro para aqueles que desenvolvem software free ou prestam serviços gratuitos. Um exemplo de uso legítimo de adwares pode ser observado no MSN Messenger. Segurança da Informação (SI) Segurança da Informação (SI) Os Ransomwares são softwares maliciosos que, ao infectarem um computador, criptografam todo ou parte do conteúdo do disco rígido. Os responsáveis pelo software exigem da vítima, um pagamento pelo “resgate” dos dados. Ransonwares são ferramentas para crimes de extorsão e são extremamente ilegais. Segurança da Informação (SI) Hijackers são programas ou scripts que “sequestram” navegadores de Internet, principalmente o Internet Explorer. Quando isso ocorre, o hijacker altera a página principal do browser e impede o usuário de mudá-la, exibe propagandas em pop-ups ou janelas novas, instala barras de ferramentas no navegador e podem impedir acesso a determinados sites (como sites de antivírus, por exemplo). Segurança da Informação (SI) Proteja-se contra vírus, worms e cavalos de tróia e ameaças em geral Nunca abra um anexo de email de um estranho Nunca abra um anexo de email de alguém que você conhece, a menos que saiba exatamente o que contém o anexo Mantenha sempre o seu software antivírus atualizado e utilize-o sempre que baixar e/ou receber arquivos Mantenha os seus programas atualizados. Segurança da Informação (SI) Ferramentas Antivírus Os antivírus são softwares projetados para detectar e eliminar vírus de computador Os antivírus ficam instalados no computador ou em unidades removíveis e residentes na memória RAM. Os programas antivírus devem ter acesso a todos os discos e a todos os arquivos do computador. Antivírus devem ser atualizados periodicamente para aumentar sua segurança Segurança da Informação (SI) Atualização do antivírus Novos vírus surgem todos os dias Email, conexões permanentes, e computação móvel contribuem para a rápida proliferação É importante que o antivírus esteja sempre atualizado para que possa identificar novos vírus Os vírus recentes são mais perigosos: Em geral são tecnologicamente superiores, pelo fato de serem recentes, passam despercebidos por antivírus desatualizados Segurança da Informação (SI) Firewall Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Segurança da Informação (SI) Políticas de segurança Propósitos da política de segurança descreve o que está sendo protegido e porquê, define prioridades sobre o que precisa ser protegido em primeiro lugar, fornece ao setor de segurança motivos concretos para dizer “não” quando necessário, e motiva o setor de segurança no desempenho efetivo de seu papel. Segurança da Informação (SI) Controle de senhas Educação do usuário Orientações sobre a importância de senhas seguras e diretivas para uma boa definição/escolha de senhas. Senhas gerados por computador senhas aleatórias geradas por computador são em geral seguras, mas de difícil memorização. Verificação reativa Execução periódica do sistema interno de quebra de senhas para descobrir senhas fáceis. Verificação proativa Validação de regras no momento da escolha. Exercício 1 Leia o enunciado abaixo, e em seguida, assinale a opção que completa corretamente as lacunas: é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. O depende da execução do programa ou arquivo hospedeiro, para que possa se tornar ativo e dar continuidade ao processo de infecção. a) Vírus/vírus b) trojan/vírus d) ransonware/adware c) worm/trojan e) hijacker/port scanner Exercício 2 Pedro utiliza o sistema operacional Windows XP e, ao verificar seus emails pela manhã, identificou que um deles, cujo destinatário era desconhecido, tratava de uma promoção de seu interesse. Para participar desta promoção, Pedro teria de clicar em um hyperlink que efetuaria seu cadastro. Pedro, desatento, não conferiu o destino do hyperlink e clicou sobre ele. Com isso, seu computador foi infectado por um vírus que pode se propagar via rede. Assinale a opção que representa o nome do software que Pedro deverá executar para detectar, anular e eliminar o vírus a) Internet Explorer c) port scanner b) firewall d) antivirus Exercício 3 Ao utilizar o computador onde trabalha, Ana precisou acessar um endereço eletrônico. Não obtendo êxito, solicitou suporte técnico e informou que a seguinte mensagem estava aparecendo na tela: “O Internet Explorer não pode exibir a página da Web”. Assinale a opção que não está entre os possíveis motivos para o ocorrido. a) O firewall instalado na rede de seu trabalho está bloqueando o endereço eletrônico em questão. b) O computador de Ana está sem conexão de rede. c) Ana está ditando uma url inexistente d) O firewall do Windows XP está desativado. Exercício 4 Programas do tipo malware que buscam se esconder dos programas de segurança e assegurar a sua presença em um computador comprometido são os... a) hoax b) Spam c) Cavalo de troia d) worm Exercício 5 É um segmento de rede parcialmente protegido para possibilitar maior segurança na Internet deve estar associado ao mecanismo de proteção a) Plano de contingência b) Controle de senhas c) Criptografia d) Firewall e) Sistema de detecção de invasão Exercício 6 Os investimentos na área de segurança da informação tem crescido em paralelo com o crescimento do comércio eletrônico na Internet. Com relação aos conceitos de segurança da informação, é correto afirmar que a: a) Confiabilidade é a habilidade de cada usuário saber que os outros são quem dizem ser; b) Integridade de mensagens é a habilidade de se ter certeza que a mensagem remetida chegará ao destino sem ser modificada; c) Autenticidade é a garantia que os sistemas estarão disponíveis quando necessário; d) Confiabilidade é a capacidade de não se poder negar a autoria de um fato. Exercício 7 Considere a segurança da informação nas três formas principais: criptografia, firewall e autenticação pelo uso de senhas. É correto afirmar que: a) Os firewalls são dispositivos de segurança ultrapassados que atualmente estão sendo substituídos pelos filtros anti-spam, garantindo assim, de forma mais eficiente, a segurança de uma rede corporativa interna quanto conectada à internet b) O uso de criptografia na transmissão de dados entre uma rede interna e a internet, dispensa o uso de firewall c) A função mais comum de um firewall é impedir que usuários de internet tenham acesso à rede interna d) A utilização de um antivírus dispensa o uso do firewall e de autenticação de senhas, além do uso de criptografia. Exercício 8 Durante a navegação na Internet, que procedimento pode comprometer a segurança das informações? a) Fazer backup dos arquivos com regularidade b) Nunca enviar dados pessoais por e-mail c) Manter antivírus e spywares atualizados d) Evitar utilizar recursos de memorização de senhas Exercício 9 Considerando a segurança da informação, assinale a opção correta a) A instalação de antivírus garante a qualidade da segurança do computador b) Toda intranet consiste em um ambiente totalmente seguro porque este tipo de rede é restrito ao ambiente interno da empresa que implementou a rede c) O upload dos arquivos de atualização é suficiente para a atualização dos antivírus pela internet d) Os antivírus atuais permitem a atualização de assinaturas de vírus de forma automática, sempre que o computador for conectado à Internet. Exercício 10 Não é considerado um programa malicioso: a) Keylogger b) Worm c) Firewall d) Trojan e) spyware Exercício 11 Observe as seguintes afirmativas sobre segurança em senhas de acesso. I - Todo vírus com extensão EXE instala um programa espião para roubo de senhas. II - Quanto menor o tamanho de uma senha, maior sua segurança. III - Quanto maior a aleatoriedade de uma senha, maior sua segurança. Está(ão) correta(s), somente, a(s) afirmativa(s): (A) I (B) II (C) III (D) I eIII (E) II e III Exercício 12 Vírus de computador é um programa escrito por programadores mal intencionados. É como um vírus biológico, vive para se reproduzir. Para proteger seu micro, é necessário saber como eles agem, possibilitando sua detecção e eliminação com um programa anti-vírus. Sobre vírus de computador, é incorreto afirmar que: a) infectam arquivos executáveis, como processadores de texto, planilhas, jogos ou programas do sistema operacional. b) alguns são programados para apagar arquivos, deteriorar programas e reformatar o disco rígido. c) alguns não têm a finalidade de fazer estragos no computador, apenas duplicam-se ou exibem mensagens. d) infectam ou danificam o teclado, o monitor, o disco rígido e todos os demais periféricos. Exercício 13 Nos sistemas de Segurança da Informação, existe um método que _________________. Este método visa garantir a integridade da informação. Escolha a opção que preenche corretamente a lacuna acima. a) valida a autoria da mensagem b) verifica se uma mensagem em trânsito foi alterada c) verifica se uma mensagem em trânsito foi lida por pessoas não autorizadas d) passa um antivírus na mensagem a ser transmitida Exercício 14 A segurança da informação tem como objetivo a preservação da: a) confidencialidade, interatividade, acessibilidade das informações, não repúdio b) complexidade, integridade e disponibilidade das informações, não-repúdio c) confidencialidade, integridade, acessibilidade das informações e autenticidade. d) universalidade, autenticidade interatividade e disponibilidade das informações. e) confidencialidade, integridade, disponibilidade, nãorepúdio, autenticidade, confiabilidade. Exercício 15 É comum as pessoas receberem arquivos anexados às mensagens de seu correio eletrônico. Marque a opção de tipo de arquivo que oferece, se aberto, o menor risco de contaminação do computador por vírus: a) b) c) d) e) Vírus.tiff Game.exe Curriculo.doc Worm.bat Imagem.com Exercício 16 Não é um mecanismo de proteção e segurança de um computador conectado a uma rede de computadores: a) antivírus b) spyware c) uso de senhas d) firewall Gabarito 1A 2D 3D 4C 5D 6B 7D 8C 9D 10 C 11 C 12 D 13 B 14 E 15 A 16 B Segurança da Informação (SI) BACKUP – CÓPIA DE SEGURANÇA Segurança da Informação (SI) Backup Existem muitas maneiras de se perder informações em um computador involuntariamente. Uma criança usando o teclado como se fosse piano, uma queda de energia, um relâmpago, inundações, roubos, vírus, acidentes, etc. E algumas vezes por falha do próprio equipamento. O Backup é justamente uma forma de se prevenir contra as possíveis perdas de informação. Se você fizer cópias de backup de seus arquivos regularmente e os manter em local separado e apropriado, você pode obter uma parte ou até todas as informações de volta caso aconteça algo aos originais do computador. Segurança da Informação (SI) As cópias de segurança devem obedecer vários parâmetros, tais como, o tempo de execução, a periodicidade, a quantidade de exemplares das cópias armazenadas, o tempo que as cópias devem ser mantidas, a capacidade de armazenamento, o método de rotatividade entre os dispositivos, a compressão e encriptação dos dados. A periodicidade deve ser analisada em função da quantidade de dados alterados na organização, no entanto se o volume de dados for elevado, as cópias devem ser diárias. Deve-se estabelecer um horário para realização da cópia, conforme o horário de trabalho da organização, devendo ser preferencialmente noturno. Para uma fácil localização, a cópia deve ser guardada por data e categoria, em local seguro e distinto do ponto onde foi gerada a informação. Segurança da Informação (SI) Cuidados com o backup Qual o prejuízo se perder? Se for furtado? Manutenção Mídia adequada Segurança da Informação (SI) CRIPTOGRAFIA Segurança da Informação (SI) Criptografar Significa transformar uma mensagem em outra, escondendo a mensagem original com a: Elaboração de um algoritmo com funções matemáticas, e Código secreto especial, chamado chave Segurança da Informação (SI) O uso de técnicas criptográficas tem como propósito prevenir algumas faltas de segurança em um sistema de computadores Criptografia vem das palavras gregas Kryptus = “esconder”, e Graphia = “escrever” Criptografia = “escrita escondida” Segurança da Informação (SI) Cifrar Alguém que queira enviar uma informação confidencial aplica técnicas criptográficas para poder “esconder, embaralhar, misturar, cifrar, codificar, encriptar” a mensagem. Envia a mensagem por um canal de comunicação que se supõe insegura e, depois, somente o receptor autorizado pode ler a mensagem “escondida”. Segurança da Informação (SI) Por que Criptografia? O fato é que todos nós temos informações que queremos manter em sigilo: Desejo de privacidade Autoproteção Empresas também tem segredos Informações estratégicas Detalhes técnicos de produtos Resultados de pesquisas, investimentos Inovações tecnológicas, fórmulas químicas, etc... Segurança da Informação (SI) Objetivos / conceitos da Criptografia Segurança da Informação (SI) Objetivo Garantir que uma mensagem ou informação será lida e compreendida pelo destinatário autorizado para isso Segurança da Informação (SI) Qual algoritmo usar? A escolha do algoritmo deve levar em conta a importância dos dados, e o quanto se pode gastar computacionalmente com eles, não adianta ter um sistema super seguro que leva 2 dias para executar qualquer tarefa. Segurança da Informação (SI) Tamanho das chaves é a medida em bits do tamanho do número usado como chave. Quanto maior a chave, maior a complexidade. Uma chave criptográfica de 40 bits, sorteada aleatoriamente por um programa resulta em 240 possibilidades. Segurança da Informação (SI) As chaves são elementos importantes que interagem com os algoritmos para a cifragem e decifragem das mensagens. As chaves de criptografia podem possuir diferentes tamanhos, sendo que quanto maior for a senha de um utilizador, mais segurança ela oferece. Na criptografia moderna, as chaves são longas sequências de bits. E dado que um bit pode ter apenas dois valores, 0 ou 1, uma chave de três dígitos oferecerá 23 = 8 possíveis valores para a chave . Segurança da Informação (SI) A criptografia garante os princípios Integridade: Garantia de que os dados não foram alterados desde sua criação Autenticidade:Garantia da origem da informação Não-repúdio/irrefutabilidade/irretratabilidade: Previne que alguém negue o envio e/ou recebimento de uma mensagem Confidencialidade: garantir que o acesso à informação seja feito somente por pessoas autorizadas Segurança da Informação (SI) Mas de modo algum a criptografia é a única ferramenta para assegurar a segurança da informação. A criptografia não é a prova de falhas. Toda criptografia pode ser quebrada e, sobretudo, se for implementada incorretamente, não agrega nenhuma segurança real. O que vemos até então? Uma visão da criptografia, focalizando a sua utilização de forma adequada. Segurança da Informação (SI) Brute Force (Força Bruta): Se tratando de algoritmos simétricos consiste em se tentar todo o espectro possível de chaves que certo algoritmo suporta; por exemplo o algoritmo DES usa chaves de 56 bits sendo 256 (72.057.594.037.927.936 chaves possíveis). Já com algoritmos assimétricos varia entre problemas como fatorisação de números inteiros ou no cálculo de um logaritmo discreto; por exemplo o algoritmo RSA que usa o produto de 2 números primos, sendo o brute force se fatorar esse produto em seus 2 termos originais (o numero de chaves possíveis aumenta exponencialmente quanto maior (mais dígitos) os primos tiverem. Segurança da Informação (SI) Vantagens da Criptografia: Proteger a informação armazenada em trânsito; Deter alterações de dados; Identificar pessoas. Desvantagens da Criptografia: Não há forma de impedir que um intruso apague todos os seus dados, estando eles criptografados ou não; Um intruso pode modificar o programa para modificar a chave. Desse modo, o receptor não conseguirá descriptografar com a sua chave. Segurança da Informação (SI) Criptografia Simétrica ou criptografia de Chave Privada Quando um sistema de criptografia utiliza chave única quer dizer que a mesma chave que cifra a mensagem serve para decifrá-la. Isto quer dizer que para poder trocar mensagens cifradas com os seus amigos todos deverão utilizar a mesma chave. Para que a criptografia simétrica funcione, ambas as partes envolvidas na comunicação devem possuir a mesma chave, e essa chave deve ser desconhecida de terceiras partes. Segurança da Informação (SI) Criptografia Assimétrica ou de Chave Pública São utilizadas duas chaves Uma Secreta ou Privada Outra Não secreta ou Pública Uma para operações de codificação outra para operações de descodificação. O algoritmo mais conhecido para chave pública é o RSA Segurança da Informação (SI) Uma mensagem cifrada como uma chave pública só pode ser decifrada através da chave secreta (privada) com a qual está relacionada. A chave usada para cifrar recebe o nome de chave pública porque ela deve ser publicada e divulgada pelo seu possuidor, assim qualquer pessoa poderá enviar-lhe mensagens cifradas. Por outro lado a chave usada para decifrar as mensagens deve ser mantida em sigilo. Segurança da Informação (SI) Passo 1: Alice envia sua chave pública para Zé Passo 2: Zé cifra a mensagem com a chave pública de Alice e a envia de volta, que recebe e decifra o texto utilizando sua chave privada Segurança da Informação (SI) Criptografia Simétrica Criptografia Assimétrica Rápida. Lenta. Gerência e distribuição das chaves é complexa. Gerência e distribuição simples Não oferece assinatura digital Oferece assinatura digital. Segurança da Informação (SI) Certificado Digital Segurança da Informação (SI) Objetivo maior: conferir ao documento eletrônico eficácia probante equivalente ou superior a um documento em papel. Resistência a adulteração cientificamente periciável; Identifica o signatário; Viabiliza realizar seguramente por meios totalmente eletrônicos uma série de trâmites formais que antes só eram concebíveis em papel. Celeridade nos processos, conveniência e ação à distância (onde apropriado). Segurança da Informação (SI) Identificar os signatários, estabelecendo a correspondência entre as chaves públicas (suas “identidades virtuais”) e suas identidades institucionais/civis/etc no “mundo real”. Não apenas diz o nome do titular,... ...mas também demonstra (pericialmente, se necessário) Segurança da Informação (SI) Benefícios Segurança na troca de informações; Agilidade no fechamento dos contratos; Vantagem competitiva nas relações de negócios; Identificação positiva junto aos seu parceiros (log in) Diferenciação no relacionamento (e-mails com valor de contrato) Menores custos (Com impressão e em Cartórios) Mais agilidade no fechamento de negócios Sigilo do conteúdo pelo uso da criptografia; Redução de fraude nas informações transmitidas eletronicamente e na guarda de documentos; A cada dia, acesso a mais serviços na internet ; ROI, Retorno Sobre o Investimento – maior utilização do canal web (baixo custo), potencializando retorno da ações. Segurança da Informação (SI)