Segurança da Informação (SI)

Transcrição

Um Panorama Geral Sobre
Segurança da Informação
[email protected]
www.facebook.com/rafampsilva
Princípios da Segurança da
Informação
Ameaças aos Sistemas de
Informação
Backup
Criptografia
Certificado Digital
Segurança é a condição de se estar
protegido contra perdas ou danos.
Risco é o evento possível, que pode
causar perdas ou danos.
Ameaça é aquilo que dá início a um
evento de risco.
Contramedida ou controle: forma
de impedir que uma ameaça inicie
um evento de risco.
Manutenção da segurança é uma tarefa de
esforços assimétricos: quem defende deve
defender todos os pontos – enquanto que
para o agressor é suficiente identificar e
focar em um ponto fraco.
“uma corrente não é mais forte do que o seu
elo mais fraco”.
Conceito
“É a proteção da informação contra
vários tipos de ameaças para garantir
a continuidade do negócio, minimizar
riscos, maximizar o retorno sobre os
investimentos e as oportunidades de
negócios” [ISO 27002].
O que visa a segurança de informações?
A segurança da
informação visa garantir a
integridade,
confidencialidade,
autenticidade, não
repúdio, confiabilidade e
disponibilidade das
informações processadas
por uma organização.
O que é confidencialidade de informações?
Consiste na garantia de que somente pessoas
autorizadas tenham acesso às informações
armazenadas ou transmitidas por meio de redes
de comunicação. Manter a confidencialidade
pressupõe assegurar que as pessoas não tomem
conhecimento de informações, de forma
proposital ou acidental, sem que possuam
autorização para tal procedimento.
O que é autenticidade de informações?
Consiste na garantia de veracidade da
fonte das informações. Por meio da
autenticação é possível confirmar a
identidade da pessoa ou entidade que
presta as informações. (Ser autêntico,
garantir ser ele mesmo).
O que é integridade de informações?
Consiste na fidedignidade de informações. Sinaliza a
conformidade de dados armazenados em relação às
inserções, alterações e processamentos autorizados
efetuados. Sinaliza, ainda, a conformidade dos dados
transmitidos pelo emissor com os dados recebidos
pelo destinatário. A manutenção da integridade
pressupõe a garantia da não-violação dos dados com
o intuito de alteração, gravação ou exclusão, seja ela
acidental ou proposital.
O que é disponibilidade de informações?
Consiste na garantia de que as informações estejam
acessíveis às pessoas e aos processos autorizados, a
qualquer momento requerido, durante o período
acordado entre os gestores da informação e a área
de informática. Manter a disponibilidade de
informações pressupõe garantir a prestação
contínua do serviço, sem interrupções no
fornecimento de informações para quem de direito.
O que é não-repúdio de informações?
Este serviço previne tanto o emissor contra o
receptor, quanto previne contra a negação de uma
mensagem transmitida. Desta forma, quando uma
mensagem é enviada, o receptor pode provar que de
fato a mensagem foi enviada pelo emissor em
questão. De forma similar, quando uma mensagem é
recebida, o emissor pode provar que a mensagem foi
realmente recebida pelo receptor em questão.
Autenticação de usuários por senha não garante o
não-repúdio, pois não prova a autoria da operação,
não é possível sabermos quem digitou a senha.
O que é a confiabilidade de informações?
Garantir que um sistema de informação
funcionará de forma eficiente e eficaz, de
acordo com suas atribuições e
funcionalidades, ou seja, o sistema vai
funcionar conforme foi projetado.
AMEAÇAS AOS SISTEMAS DE INFORMAÇÃO
Problemas de
Hardware
Impossíveis de
prever, são
grandes
causadores de
perdas
definitivas de
informação.
Engenharia Social
 É um método utilizado para obter acesso às
informações importantes ou sigilosas em
organizações ou sistemas por meio da
enganação ou exploração da confiança ou
ingenuidade das pessoas.
 Um ataque de engenharia social pode se dar
através de qualquer meio de comunicação.
Tendo-se destaque para telefonemas, conversas
diretas com a vítima, e-mail etc.
MALWARE – Malicious software
É o termo usado para referenciar qualquer tipo de software destinado a
infiltrar em computador alheio de forma ilícita, com o intuito de causar
algum dano ou roubo de informações.
MALWARE:
Vírus;
Trojan;
Worms
Hijacker;
Backdoors;
Keyloggers;
Spyware;
Ransonware
SINTOMAS DE UM COMPUTADOR INFECTADO:
 Arquivos e programas são alterados ou destruídos;
 Alteração da pagina inicial do browser;
 programas anti-vírus deixam de funcionar, fechando
automaticamente, quando o usuário tenta executá-lo;
 Computador e acesso à internet extremamente lentos;
 Sistema Operacional não responde aos comandos e se
torna mais lento do que o normal;
 Janelas do Internet Explorer abrindo sozinhas;
 Alteração do nível de segurança, no browser, zona de
internet para baixo;
 etc.
O que é um vírus?
Um vírus é um código de computador que se
“anexa” a um programa ou arquivo hospedeiro
para poder se espalhar entre os computadores,
infectando-os à medida que se desloca. Tem a
intenção de se autoduplicar. Os vírus podem
danificar seu software, e arquivos.

O vírus depende da execução do programa ou arquivo
hospedeiro para que possa se tornar ativo e dar continuidade
ao processo de infecção.
Como ocorre a infecção?
abrir arquivos anexados aos emails
abrir arquivos do Office e BrOffice.org
executar arquivos locais ou através de redes
instalar programas de procedência duvidosa ou
desconhecida
acessar mídia removível infectada  pendrives,
cartões de memória, disquetes, cd/dvd, etc.
Macro: são funções automáticas e repetitivas que já
vem nos programas.Os vírus de macro danificam
funções automáticas. Normalmente pacote Microsoft
Office.
 Para que o vírus de macro,
existente no arquivo, seja
executado é necessário que o
usuário abra o arquivo.
Mitos: É importante desmentir alguns mitos: eventos
que não executam o vírus “anexado” não irão acioná-lo.
Então, se um programa contaminado for salvo em um HD
ou unidade removível, isto não vai dar início ao ataque do
vírus. Portanto, se o arquivo infectado não for executado
nunca pelo usuário, o vírus ficará inativo até o dia que for
executado.
Vírus danificam a parte lógica do sistema!!!!!! Vírus
não estragam o computador, não queimam hd´s, placas,
não engolem o usuário, etc...
O que é um Cavalo de Tróia/trojan horse?
São programas de
computador que parecem ser
úteis, mas na verdade
comprometem a sua segurança
e causam muitos danos.
Além de executar funções
para as quais foi projetado,
também executa outras funções,
normalmente maliciosas e sem
o conhecimento do usuário.
Os cavalos de Tróia se alastram quando as
pessoas são seduzidas a abrir o programa por
pensar que vem de uma fonte legítima, e também
podem ser incluídos em software que você baixa
gratuitamente.
Os cavalos de tróia aparentam certa ingenuidade
e abrem as portas de comunicação do
computador para os invasores.
Instalação de keyloggers (monitoram o teclado)
ou screenloggers (armazenam a posição do
cursor e a tela do monitor)
Objetivo: furto de senhas, números de cartões de crédito, obter
conversas e informações pessoais, etc.
Inclusão de backdoors (abre uma
porta de comunicação e aguarda
uma requisição especial nesta
porta) para permitir que um
atacante tenha total controle
sobre o computador.
Geralmente
não infecta outros arquivos ou programas e nem
propagam cópias de si mesmo automaticamente. Normalmente
um cavalo de tróia consiste em um único arquivo que necessita
ser explicitamente executado.
O que são Worms?
Um worm, assim como um vírus, cria cópias de si
mesmo de um computador para outro, mas faz isso
automaticamente. Primeiro, ele controla recursos
no computador que permitem o transporte de
arquivos ou informações. Depois que o worm
contamina o sistema, ele se desloca sozinho. O
grande perigo dos worms é a sua capacidade de
se replicar em grande volume!
Port Scanner: Portas abertas
podem significar uma falha de
segurança em servidores da sua
empresa e até mesmo em seu
computador pessoal. Os invasores
estão sempre de olho em serviços
com alguma falha que possa ser
explorada por eles. O Port
Scanner verifica o status das
portas de computadores da uma
rede ou da Internet, permitindo
que se descubra portas que estão
abertas sem necessidade.
Spyware e outros
softwares indesejados
refere-se a um
software que realiza
certas tarefas no seu
computador,
geralmente sem o seu
consentimento. O
software pode exibir
anúncios ou tentar
coletar informações
pessoais sobre você.
Adware (ADVERTISING SOFTWARE) é qualquer programa
que automaticamente executa, mostra ou baixa publicidade
para o computador depois de instalado ou enquanto a
aplicação é executada.
Em muitos casos, os adwares
têm sido incorporados a
softwares
e
serviços,
constituindo uma forma legítima
de patrocínio ou retorno
financeiro para aqueles que
desenvolvem software free ou
prestam serviços gratuitos.
Um exemplo de uso legítimo de
adwares pode ser observado no
MSN Messenger.
Os Ransomwares são
softwares maliciosos que, ao
infectarem um computador,
criptografam todo ou parte
do conteúdo do disco rígido.
Os responsáveis pelo
software exigem da vítima,
um pagamento pelo
“resgate” dos dados.
Ransonwares são
ferramentas para crimes de
extorsão e são
extremamente ilegais.
Hijackers são programas ou scripts que
“sequestram” navegadores de Internet,
principalmente o Internet Explorer. Quando
isso ocorre, o hijacker altera a página
principal do browser e impede o usuário de
mudá-la, exibe propagandas em pop-ups ou
janelas novas,
instala
barras
de
ferramentas no navegador e podem impedir
acesso a determinados sites (como sites de
antivírus, por exemplo).
Proteja-se contra vírus, worms e cavalos de tróia e
ameaças em geral
Nunca abra um anexo de email de um estranho
Nunca abra um anexo de email de alguém que você
conhece, a menos que saiba exatamente o que
contém o anexo
Mantenha sempre o seu software antivírus
atualizado e utilize-o sempre que baixar e/ou receber
arquivos
Mantenha os seus programas atualizados.
Ferramentas Antivírus
Os antivírus são softwares projetados para detectar e
eliminar vírus de computador
Os antivírus ficam instalados no computador ou em
unidades removíveis e residentes na memória RAM.
Os programas antivírus devem ter acesso a todos os
discos e a todos os arquivos do computador.
Antivírus devem ser atualizados periodicamente para
aumentar sua segurança
Atualização do antivírus
Novos vírus surgem todos os dias
Email, conexões permanentes, e computação móvel
contribuem para a rápida proliferação
É importante que o antivírus esteja sempre atualizado
para que possa identificar novos vírus
Os vírus recentes são mais perigosos:
Em geral são tecnologicamente superiores,
pelo fato de serem recentes, passam despercebidos
por antivírus desatualizados
Firewall
Firewall é o nome dado ao dispositivo de uma rede de
computadores que tem por objetivo aplicar uma
política de segurança a um determinado ponto de
controle da rede. Sua função consiste em regular o
tráfego de dados entre redes distintas e impedir a
transmissão e/ou recepção de acessos nocivos ou não
autorizados de uma rede para outra.
Políticas de segurança
Propósitos da política de segurança
descreve o que está sendo protegido e porquê,
define prioridades sobre o que precisa ser
protegido em primeiro lugar,
fornece ao setor de segurança motivos concretos
para dizer “não” quando necessário, e
motiva o setor de segurança no desempenho efetivo
de seu papel.
Controle de senhas
Educação do usuário
Orientações sobre a importância de senhas seguras e
diretivas para uma boa definição/escolha de senhas.
Senhas gerados por computador
senhas aleatórias geradas por computador são em geral
seguras, mas de difícil memorização.
Verificação reativa
Execução periódica do sistema interno de quebra de
senhas para descobrir senhas fáceis.
Verificação proativa
Validação de regras no momento da escolha.
Exercício 1
Leia o enunciado abaixo, e em seguida, assinale a opção que
completa corretamente as lacunas:
é um programa ou parte de um programa de
computador, normalmente malicioso, que se propaga
infectando, isto é, inserindo cópias de si mesmo e se tornando
parte de outros programas e arquivos. O
depende
da execução do programa ou arquivo hospedeiro, para que
possa se tornar ativo e dar continuidade ao processo de
infecção.
a) Vírus/vírus
b) trojan/vírus
d) ransonware/adware
c) worm/trojan
e) hijacker/port scanner
Exercício 2
Pedro utiliza o sistema operacional Windows XP e, ao verificar seus
emails pela manhã, identificou que um deles, cujo destinatário era
desconhecido, tratava de uma promoção de seu interesse. Para
participar desta promoção, Pedro teria de clicar em um hyperlink que
efetuaria seu cadastro. Pedro, desatento, não conferiu o destino do
hyperlink e clicou sobre ele. Com isso, seu computador foi infectado
por um vírus que pode se propagar via rede.
Assinale a opção que representa o nome do software que Pedro deverá
executar para detectar, anular e eliminar o vírus
a) Internet Explorer
c) port scanner
b) firewall
d) antivirus
Exercício 3
Ao utilizar o computador onde trabalha, Ana precisou acessar um
endereço eletrônico. Não obtendo êxito, solicitou suporte técnico
e informou que a seguinte mensagem estava aparecendo na tela:
“O Internet Explorer não pode exibir a página da Web”. Assinale
a opção que não está entre os possíveis motivos para o ocorrido.
a) O firewall instalado na rede de seu trabalho está bloqueando o
endereço eletrônico em questão.
b) O computador de Ana está sem conexão de rede.
c) Ana está ditando uma url inexistente
d) O firewall do Windows XP está desativado.
Exercício 4
Programas do tipo malware que buscam se esconder
dos programas de segurança e assegurar a sua
presença em um computador comprometido são os...
a) hoax
b) Spam
c) Cavalo de troia
d) worm
Exercício 5
É um segmento de rede parcialmente protegido para
possibilitar maior segurança na Internet deve estar
associado ao mecanismo de proteção
a) Plano de contingência
b) Controle de senhas
c) Criptografia
d) Firewall
e) Sistema de detecção de invasão
Exercício 6
Os investimentos na área de segurança da informação tem
crescido em paralelo com o crescimento do comércio eletrônico
na Internet. Com relação aos conceitos de segurança da
informação, é correto afirmar que a:
a) Confiabilidade é a habilidade de cada usuário saber que os
outros são quem dizem ser;
b) Integridade de mensagens é a habilidade de se ter certeza que
a mensagem remetida chegará ao destino sem ser modificada;
c) Autenticidade é a garantia que os sistemas estarão
disponíveis quando necessário;
d) Confiabilidade é a capacidade de não se poder negar a autoria
de um fato.
Exercício 7
Considere a segurança da informação nas três formas principais:
criptografia, firewall e autenticação pelo uso de senhas. É correto
afirmar que:
a) Os firewalls são dispositivos de segurança ultrapassados que
atualmente estão sendo substituídos pelos filtros anti-spam,
garantindo assim, de forma mais eficiente, a segurança de uma rede
corporativa interna quanto conectada à internet
b) O uso de criptografia na transmissão de dados entre uma rede
interna e a internet, dispensa o uso de firewall
c) A função mais comum de um firewall é impedir que usuários de
internet tenham acesso à rede interna
d) A utilização de um antivírus dispensa o uso do firewall e de
autenticação de senhas, além do uso de criptografia.
Exercício 8
Durante a navegação na Internet, que procedimento
pode comprometer a segurança das informações?
a) Fazer backup dos arquivos com regularidade
b) Nunca enviar dados pessoais por e-mail
c) Manter antivírus e spywares atualizados
d) Evitar utilizar recursos de memorização de
senhas
Exercício 9
Considerando a segurança da informação, assinale a opção correta
a) A instalação de antivírus garante a qualidade da segurança do
computador
b) Toda intranet consiste em um ambiente totalmente seguro
porque este tipo de rede é restrito ao ambiente interno da
empresa que implementou a rede
c) O upload dos arquivos de atualização é suficiente para a
atualização dos antivírus pela internet
d) Os antivírus atuais permitem a atualização de assinaturas de
vírus de forma automática, sempre que o computador for
conectado à Internet.
Exercício 10
Não é considerado um programa malicioso:
a) Keylogger
b) Worm
c) Firewall
d) Trojan
e) spyware
Exercício 11
Observe as seguintes afirmativas sobre segurança em
senhas de acesso.
I - Todo vírus com extensão EXE instala um programa
espião para roubo de senhas.
II - Quanto menor o tamanho de uma senha, maior sua
segurança.
III - Quanto maior a aleatoriedade de uma senha, maior
sua segurança.
Está(ão) correta(s), somente, a(s) afirmativa(s):
(A) I
(B) II
(C) III
(D) I eIII
(E) II e III
Exercício 12
Vírus de computador é um programa escrito por programadores mal
intencionados. É como um vírus biológico, vive para se reproduzir.
Para proteger seu micro, é necessário saber como eles agem,
possibilitando sua detecção e eliminação com um programa anti-vírus.
Sobre vírus de computador, é incorreto afirmar que:
a) infectam arquivos executáveis, como processadores de texto,
planilhas, jogos ou programas do sistema operacional.
b) alguns são programados para apagar arquivos, deteriorar programas
e reformatar o disco rígido.
c) alguns não têm a finalidade de fazer estragos no computador, apenas
duplicam-se ou exibem mensagens.
d) infectam ou danificam o teclado, o monitor, o disco rígido e todos
os demais periféricos.
Exercício 13
Nos sistemas de Segurança da Informação, existe um
método que _________________. Este método visa
garantir a integridade da informação. Escolha a
opção que preenche corretamente a lacuna acima.
a) valida a autoria da mensagem
b) verifica se uma mensagem em trânsito foi alterada
c) verifica se uma mensagem em trânsito foi lida por
pessoas não autorizadas
d) passa um antivírus na mensagem a ser transmitida
Exercício 14
A segurança da informação tem como objetivo a
preservação da:
a) confidencialidade, interatividade, acessibilidade das
informações, não repúdio
b) complexidade, integridade e disponibilidade das
informações, não-repúdio
c) confidencialidade, integridade, acessibilidade das
informações e autenticidade.
d) universalidade, autenticidade interatividade e
disponibilidade das informações.
e) confidencialidade, integridade, disponibilidade, nãorepúdio, autenticidade, confiabilidade.
Exercício 15
É comum as pessoas receberem arquivos anexados às
mensagens de seu correio eletrônico.
Marque a opção de tipo de arquivo que oferece, se
aberto, o menor risco de contaminação do computador
por vírus:
a)
b)
c)
d)
e)
Vírus.tiff
Game.exe
Curriculo.doc
Worm.bat
Imagem.com
Exercício 16
Não é um mecanismo de proteção e
segurança de um computador conectado a
uma rede de computadores:
a) antivírus
b) spyware
c) uso de senhas
d) firewall
Gabarito
1A
2D
3D
4C
5D
6B
7D
8C
9D
10 C
11 C
12 D
13 B
14 E
15 A
16 B
BACKUP – CÓPIA DE SEGURANÇA
Backup
Existem muitas maneiras de se perder informações em
um computador involuntariamente. Uma criança
usando o teclado como se fosse piano, uma queda de
energia, um relâmpago, inundações, roubos, vírus,
acidentes, etc. E algumas vezes por falha do próprio
equipamento. O Backup é justamente uma forma de se
prevenir contra as possíveis perdas de informação.
Se você fizer cópias de backup de seus arquivos
regularmente e os manter em local separado e
apropriado, você pode obter uma parte ou até todas as
informações de volta caso aconteça algo aos originais
do computador.
As cópias de segurança devem obedecer vários
parâmetros, tais como, o tempo de execução, a
periodicidade, a quantidade de exemplares das cópias
armazenadas, o tempo que as cópias devem ser mantidas,
a capacidade de armazenamento, o método de
rotatividade entre os dispositivos, a compressão e
encriptação dos dados. A periodicidade deve ser
analisada em função da quantidade de dados alterados
na organização, no entanto se o volume de dados for
elevado, as cópias devem ser diárias. Deve-se estabelecer
um horário para realização da cópia, conforme o horário
de trabalho da organização, devendo ser
preferencialmente noturno. Para uma fácil localização, a
cópia deve ser guardada por data e categoria, em local
seguro e distinto do ponto onde foi gerada a informação.
Cuidados com o backup
Qual o prejuízo se perder?
Se for furtado?
Manutenção
Mídia adequada
CRIPTOGRAFIA
Criptografar
Significa transformar uma mensagem em
outra, escondendo a mensagem original
com a:
Elaboração de um algoritmo com funções
matemáticas, e
Código secreto especial, chamado chave
O uso de técnicas criptográficas tem
como propósito prevenir algumas
faltas de segurança em um sistema de
computadores
Criptografia vem das palavras gregas
Kryptus = “esconder”, e
Graphia = “escrever”
Criptografia = “escrita escondida”
Cifrar
Alguém que queira enviar uma informação confidencial
aplica técnicas criptográficas para poder “esconder,
embaralhar, misturar, cifrar, codificar, encriptar” a
mensagem.
Envia a mensagem por um canal de comunicação que
se supõe insegura e, depois, somente o receptor
autorizado pode ler a mensagem “escondida”.
Por que Criptografia?
O fato é que todos nós temos informações
que queremos manter em sigilo:
Desejo de privacidade
Autoproteção
Empresas também tem segredos
Informações estratégicas
Detalhes técnicos de produtos
Resultados de pesquisas, investimentos
Inovações tecnológicas, fórmulas químicas, etc...
Objetivos / conceitos da Criptografia
Objetivo
Garantir que uma mensagem ou
informação será lida e
compreendida pelo destinatário
autorizado para isso
Qual algoritmo usar?
A escolha do algoritmo deve levar em
conta a importância dos dados, e o
quanto se pode gastar
computacionalmente com eles, não
adianta ter um sistema super seguro que
leva 2 dias para executar qualquer
tarefa.
Tamanho das chaves
é a medida em bits do tamanho do
número usado como chave. Quanto maior
a chave, maior a complexidade.
Uma chave criptográfica de 40 bits,
sorteada aleatoriamente por um
programa resulta em 240 possibilidades.
As chaves são elementos importantes que interagem
com os algoritmos para a cifragem e decifragem das
mensagens.
As chaves de criptografia podem possuir diferentes
tamanhos, sendo que quanto maior for a senha de um
utilizador, mais segurança ela oferece.
Na criptografia moderna, as chaves são longas
sequências de bits. E dado que um bit pode ter apenas
dois valores, 0 ou 1, uma chave de três dígitos
oferecerá 23 = 8 possíveis valores para a chave .
A criptografia garante os princípios
Integridade: Garantia de que os dados não foram
alterados desde sua criação
Autenticidade:Garantia da origem da informação
Não-repúdio/irrefutabilidade/irretratabilidade: Previne
que alguém negue o envio e/ou recebimento de uma
mensagem
Confidencialidade: garantir que o acesso à informação
seja feito somente por pessoas autorizadas
Mas de modo algum a criptografia é a única
ferramenta para assegurar a segurança da
informação. A criptografia não é a prova de
falhas.
Toda criptografia pode ser quebrada e,
sobretudo, se for implementada incorretamente,
não agrega nenhuma segurança real.
O que vemos até então? Uma visão da
criptografia, focalizando a sua utilização de
forma adequada.
Brute Force (Força Bruta): Se tratando de
algoritmos simétricos consiste em se tentar todo o
espectro possível de chaves que certo algoritmo
suporta; por exemplo o algoritmo DES usa chaves
de 56 bits sendo 256 (72.057.594.037.927.936
chaves possíveis). Já com algoritmos assimétricos
varia entre problemas como fatorisação de
números inteiros ou no cálculo de um logaritmo
discreto; por exemplo o algoritmo RSA que usa o
produto de 2 números primos, sendo o brute force
se fatorar esse produto em seus 2 termos originais
(o numero de chaves possíveis aumenta
exponencialmente quanto maior (mais dígitos) os
primos tiverem.
Vantagens da Criptografia:
Proteger a informação armazenada em trânsito;
Deter alterações de dados;
Identificar pessoas.
Desvantagens da Criptografia:
Não há forma de impedir que um intruso apague todos
os seus dados, estando eles criptografados ou não;
Um intruso pode modificar o programa para modificar
a chave.
Desse modo, o receptor não conseguirá
descriptografar com a sua chave.
Criptografia Simétrica ou criptografia de Chave
Privada
Quando um sistema de criptografia utiliza chave única
quer dizer que a mesma chave que cifra a mensagem serve
para decifrá-la.
Isto quer dizer que para poder trocar mensagens cifradas
com os seus amigos todos deverão utilizar a mesma chave.
Para que a criptografia simétrica funcione, ambas as
partes envolvidas na comunicação devem possuir a mesma
chave, e essa chave deve ser desconhecida de terceiras
partes.
Criptografia Assimétrica ou de Chave Pública
São utilizadas duas chaves
Uma Secreta ou Privada
Outra Não secreta ou Pública
Uma para operações de codificação outra para
operações de descodificação.
O algoritmo mais conhecido para chave pública
é o RSA
Uma mensagem cifrada como uma
chave pública só pode ser decifrada
através da chave secreta (privada) com
a qual está relacionada.
A chave usada para cifrar recebe o nome
de chave pública porque ela deve ser
publicada e divulgada pelo seu
possuidor, assim qualquer pessoa
poderá enviar-lhe mensagens cifradas.
Por outro lado a chave usada para
decifrar as mensagens deve ser mantida
em sigilo.
Passo 1: Alice envia
sua chave pública
para Zé
Passo 2: Zé cifra a
mensagem com a
chave pública de Alice
e a envia de volta, que
recebe e decifra o texto
utilizando sua chave
privada
Criptografia
Simétrica
Criptografia
Assimétrica
Rápida.
Lenta.
Gerência e distribuição das
chaves é complexa.
Gerência e distribuição
simples
Não oferece assinatura digital
Oferece assinatura digital.
Certificado Digital
Objetivo maior: conferir ao documento eletrônico
eficácia probante equivalente ou superior a um
documento em papel.
Resistência a adulteração cientificamente
periciável;
Identifica o signatário;
Viabiliza realizar seguramente por meios
totalmente eletrônicos uma série de trâmites
formais que antes só eram concebíveis em papel.
Celeridade nos processos, conveniência e ação
à distância (onde apropriado).
Identificar os signatários, estabelecendo a
correspondência entre as chaves públicas
(suas “identidades virtuais”) e suas
identidades institucionais/civis/etc no “mundo
real”.
Não apenas diz o nome do titular,...
...mas também demonstra (pericialmente, se
necessário)
Benefícios
Segurança na troca de informações;
Agilidade no fechamento dos contratos;
Vantagem competitiva nas relações de negócios;
Identificação positiva junto aos seu parceiros (log in)
Diferenciação no relacionamento (e-mails com valor de contrato)
Menores custos (Com impressão e em Cartórios)
Mais agilidade no fechamento de negócios
Sigilo do conteúdo pelo uso da criptografia;
Redução de fraude nas informações transmitidas
eletronicamente e na guarda de documentos;
A cada dia, acesso a mais serviços na internet ;
ROI, Retorno Sobre o Investimento – maior utilização do
canal web (baixo custo), potencializando retorno da ações.

Segurança da Informação (SI)

Transcrição

Documentos relacionados

Informática - Cloudfront.net

Criptografia – Noções Alan Alves Santana Amad Alan_amad

Diferenças entre antivírus gratuito e pago.

AS AMEAÇAS VIRTUAIS: Uma abordagem relevante

Aula 6 - SEGURANÇA E INTEGRIDADE

Aula 3 - rafaeldiasribeiro.com.br

Cinco Passos para Ficar Seguro - Securing The Human

Módulo III – Aula 2 Hacker, Vírus, Senhas e Backups

um novo e caro hobby da internet

eTrust™ EZ Armor Security Suite