Criptografia

Prévia do material em texto

Disciplina
Criptografia
Unidade 1
Introdução à criptogra�a
Aula 1
De�nição de criptogra�a
Introdução
Olá, estudante!
Você já deve ter ouvido o termo criptogra�a e, com certeza, já utilizou diversas tecnologias que
empregam este conceito, inclusive no momento em que está lendo este material, seja pelo
celular, tablet ou pelo computador. A�nal, todos os dispositivos modernos possuem diversas
camadas de segurança que utilizam técnicas de criptogra�a para a proteção dos dados e das
informações. 
Nesta aula, você terá acesso às primeiras de�nições e conceitos de criptogra�a, além de
conhecer um pouco da história deste campo da tecnologia. A partir dessa abordagem inicial,
você será capaz de compreender as razões pelas quais a criptogra�a é empregada, algumas das
principais técnicas utilizadas no passado e como elas evoluíram até o século XXI. 
Disciplina
Criptografia
Portanto, ao conhecer os primeiros conceitos desta importante área, você estará aprofundando
seus conhecimentos em uma temática muito relevante e considerada pelo mercado. Por último,
é fundamental que você acompanhe os materiais em texto, os vídeos e as questões para que
absorva de modo adequado e completo as informações disponibilizadas.
Bons estudos!
A necessidade de esconder e cifrar informações
É cada vez mais comum, em portais de notícia, blogs e redes sociais, nos depararmos com
artigos sobre o vazamento de dados de milhões de usuários de alguma empresa de tecnologia,
ou então ataques a instituições �nanceiras que perdem milhões de dólares de uma só vez,
órgãos governamentais que permitem que dados privados de cidadãos sejam expostos
indevidamente e até celulares e contas de e-mails pessoais alvos de invasões e uso para golpes
e outros �ns criminosos. 
A difusão desse tipo de notícias pode nos causar uma sensação geral de insegurança e
vulnerabilidade em relação a nossos dados pessoais, contas bancárias e informações
con�denciais, pois, ao mesmo tempo que a exposição pessoal tende a aumentar por meio das
redes sociais e pelo compartilhamento de informações em cadastros em sites de venda on-line,
por exemplo, não temos a certeza de que esses dados estarão devidamente seguros. 
A�nal, como o acesso à internet é considerado pela Organização das Nações Unidas (ONU) um
direito fundamental desde 2011 (G1, 2011), é preciso que também haja garantias de que este
acesso se dará de maneira segura e que o usuário não �que exposto a crimes e ameaças.
Assim, um tema que aparece cada vez mais nos debates empresariais, públicos e acadêmicos
relacionado a esses tópicos é a segurança da informação. Ela engloba diversos aspectos éticos,
�losó�cos, jurídicos, políticos, econômicos e técnicos e deve ser levado em consideração nas
Disciplina
Criptografia
grades dos cursos de formação de pro�ssionais de tecnologia para o mercado, pois saber os
fundamentos e princípios da segurança se torna cada vez mais uma exigência no currículo.
Ataques de invasores e hackers são responsáveis por furar sistemas de segurança e ameaçar a estabilidade e a con�ança em
grandes empresas de tecnologia. Fonte: Pixabay.
Desse modo, um dos tópicos mais presentes e relevantes no estudo da segurança da informação
é a criptogra�a, conceito presente em praticamente tudo o que aborda tecnologia e informação.
Há uma grande familiaridade com este termo entre as novas gerações de usuários de
tecnologias, pois são sujeitos que manipulam estes artefatos desde cedo.
Além disso, a criptogra�a também alcança outras faixas etárias, pois os debates abrangem o uso
de aparelhos celulares, por exemplo, que é muito difundido entre todas as idades. Assim, é
possível a�rmar que o estudo da área da segurança, e especi�camente da criptogra�a, é
fundamental e imprescindível para a compreensão das tecnologia que utilizamos, seja como
usuários, seja como pro�ssionais de tecnologia da informação. 
Portanto, uma pergunta que podemos nos fazer é se a criptogra�a surge no século XXI devido à
demanda das aplicações atuais ou se essas técnicas já existiam anteriormente. E para responder
a essa questão, abordaremos nos próximos blocos a origem da palavra criptogra�a, a de�nição,
as razões de sua criação e de que modo ela evoluiu ao longo da história a partir do avanço das
tecnologias.
O desenvolvimento da criptogra�a ao longo da históri
Disciplina
Criptografia
Conforme abordamos no bloco anterior, a preocupação com a segurança dos dados permeia a
nossa relação com a tecnologia no século XXI. Portanto, é importante entender quando e onde
surgem os primeiros métodos e técnicas para a proteção da informação, e como se deu a sua
evolução no decorrer da história.
A palavra criptogra�a tem origem grega e signi�ca escrita oculta: kryptós (oculto) e gráphein
(escrita) (SILVA et al., 2019). Os primeiros relatos de uso de técnicas para alterar mensagens são
divergentes, pois há historiadores que atribuem a artistas, de modo a enriquecer as obras com
técnicas distintas, utilizavam em alguns casos símbolos e letras diferentes do alfabeto original
em poesias, textos e pinturas. Ou então que o uso em textos religiosos, trocando nomes e termos
por outros símbolos (COSTA, 2014). Contudo, é consenso que, dos usos primitivos da cifragem
de mensagens, o que possui maior relevância histórica é a ciência de ocultar mensagens em
tempos de guerra.
Imagine o cenário de con�itos militares na Antiguidade, em que exércitos se deslocavam
enormes distâncias sem orientação por GPS, em que generais de�niam estratégias de combate
sem o auxílio de mapas interativos e localização em tempo real, e que a comunicação entre
batalhões em posições distantes era feita pelo envio de mensageiros que podiam levar dias,
semanas ou até meses para realizar o deslocamento. Neste caso, cada mensagem enviada se
mostrava de vital importância, pois seu conteúdo poderia de�nir a vitória de uma civilização e,
caso fosse interceptada pelo inimigo, entregar toda a estratégia e enfraquecer para a derrota. 
E é no meio desses contextos que são criadas técnicas para proteger as mensagens para que,
caso o mensageiro fosse capturado pelo exército opositor, elas não pudessem ser acessadas e
compreendidas. Para que isso fosse possível, eram utilizadas técnicas tanto para ocultar a
mensagem para �car inacessível quanto para modi�cá-la de modo a �car ilegível. Às técnicas de
ocultação de mensagens damos o nome de esteganogra�a e aos métodos de modi�car
a mensagem o nome de criptogra�a.
Disciplina
Criptografia
Dentre as técnicas de esteganogra�a registradas constam a ocultação de mensagens na roupa
do mensageiro, por exemplo, ou então a escrita na mensagem na cabeça raspada do mensageiro
para que, quando chegasse ao destino, tivesse o cabelo cortado e assim revelasse a mensagem,
ou o uso de tintas que pareciam invisíveis ao olho nu, mas que apareciam quando expostas ao
fogo, por exemplo. E entre as técnicas de criptogra�a destes períodos, a que mais se destaca é a
substituição de letras por outras do alfabeto, seguindo um padrão preestabelecido que deveria
ser conhecido pelo receptor da mensagem, que é conhecida como Cifra de César (SILVA et al.,
2019).
Exemplo de cifra que utiliza letras do próprio alfabeto. No caso, há um deslocamento de duas letras. Fonte: Wikimedia
Commons.
Durante o período conhecido como Idade Média, não são muito signi�cativos os avanços
cientí�cos no Ocidente. Contudo, o uso de técnicas de criptogra�a e esteganogra�a estão
presentes neste período, principalmente com o objetivo de esconder textos religiosos ou
materiais considerados criminosos, gerando-se padrões de cifras que eram compreensíveis
apenas para um número restrito de indivíduos autorizados.
Neste mesmo período, entretanto, o mundo árabe forneceu diversas contribuições nesta área,
como o cientista Al-Kindi, que no século IX apresentou um método para quebrar a Cifra de Cesar
utilizando análise de frequência, que consiste em "uma contagem de símbolos da mensagem e
associa a quantidade deles com a frequência de cada letra nos textos escritos na língua em que
amensagem foi, supostamente, escrita" (COSTA, 2014, p. 5). À área que estuda e desenvolve
técnicas para decifrar e quebrar códigos criptografados dá-se o nome de criptoanálise.
Finalmente, ressalta-se que, desde o período da Antiguidade até o �nal da Idade Média, foram
várias as técnicas inventadas, quebradas e que evoluíram para métodos mais re�nados,
passando pelos períodos da Revolução Industrial (em que segredos industriais e econômicos
Disciplina
Criptografia
passaram a ter muita relevância) e chegando até o século XX, período em que uma revolução
tecnológica sem precedentes afeta em muito o desenvolvimento da criptogra�a, conforme
abordaremos no bloco seguinte.
As principais aplicações e evoluções da criptogra�a nos séculos XX e XXI
Alguns fatos transformaram e aceleraram o desenvolvimento das tecnologias de informação no
século XX. As intensas revoluções no início dos anos de 1900 e a Primeira Guerra Mundial já
apontavam que o século seria de rápidas mudanças e de um mundo mais integrado.
Foi, contudo, com a explosão da Segunda Guerra Mundial que o boom das tecnologias –
principalmente de telecomunicações – passou a receber maiores investimentos por parte de
empresas e governos em todo o globo. As comunicações via cabo corriam o risco de ser
grampeadas, e técnicas de envio de mensagens cifradas por estes canais passaram evoluir
rapidamente. 
O caso mais emblemático durante a Segunda Guerra envolve as máquinas de transmissão de
mensagens criptografadas utilizadas pelos Alemães e que lhes garantiram por anos vantagem de
comunicação. A partir dos esforços de criptoanálise de cientistas e matemáticos ingleses –
entre os quais se destaca o pai da computação, Alan Turing – o padrão de cifragem da principal
máquina de transmissão dos nazistas, a Enigma, foi descoberto. A partir de então, os ingleses
conseguiam decifrar as mensagens estratégicas do exército alemão e antecipar ataques e
movimentações inimigas.
Disciplina
Criptografia
Exemplar da máquina Enigma utilizada durante a Segunda Guerra Mundial. Fonte: Wikimedia Commons.
No período conhecido como Guera Fria, marcado pela polarização entre Estados Unidos e União
Soviética, diversas inovações em tecnologias de telecomunicação foram criadas, e a
preocupação com a segurança das informações transmitidas passou à centralidade dos
processos cientí�cos e tecnológicos.
Dessa maneira, e somado à popularização da internet, métodos avançados de criptogra�a foram
desenvolvidos baseados, sobretudo, na utilização da matemática e das características dos
números inteiros e de números primos.
Com o rápido avanço da capacidade de processamento dos computadores, tornou-se necessária
a criação de métodos que garantissem a integridade das informações de maneira mais robusta e
estável. E, para isso, a utilização de números primos como base para a geração de chaves
mostrou-se interessante, pois realizar a decomposição destes números muito grandes pode ser
muito custoso e praticamente impossível.
Nesse sentido, foi desenvolvido o método RSA, considerado um dos métodos mais seguros de
todos os tempos, utilizado em diversas aplicações, instituições e órgãos governamentais.
A novidade trazida pelo método RSA é que ele con�gura um sistema de chave pública,
ou seja, opera como uma porta de duas chaves diferentes: a chave A tranca a porta,
mas uma chave diferente (B) a destranca. Então, a chave A não precisa ser secreta, e
a distribuição de cópias dela não compromete a segurança. (COSTA, 2014, p. 46)
A criptogra�a no século XXI
O século XXI é marcado por intensas transformações tecnológicas que envolvem em seu centro
a capacidade e velocidade de transmissão de dados, como a tecnologia 5G, por exemplo, e a
indústria 4.0. 
Disciplina
Criptografia
Além disso, o desenvolvimento da computação e da física faz com que a área da computação
quântica esteja no horizonte e que formas antes impensadas de processar e armazenar estejam
próximas de se tornarem realidade. E, concomitante à computação quântica, vislumbra-se
também a chamada criptogra�a quântica, que, uma vez implementada, fornecerá métodos de
segurança cada vez mais re�nados.
A grande vantagem de se utilizar o sistema de distribuição de chaves quânticas é a
possibilidade de descobrir se a transmissão está sendo interceptada ou não por meio
da comparação de bits, pois se um terceiro interceptar um fóton antes dele chegar ao
destinatário é detectá-lo usando uma base diferente, a polarização do fóton é
alterada, dando resultados diferente quando comparado ao remetente, mostrando que
a comunicação está sendo interceptada. (SILVA et al., 2019, p. 24)
Por �m, com o aumento do tráfego de dados e com os avanços tecnológicos aguardados,
aumentará a necessidade de proteção e segurança da informação, o que insere a criptogra�a e
as técnicas correlatas como áreas prioritárias e que abrirão diversas oportunidades de emprego
e pesquisa para pro�ssionais bem capacitados.
Videoaula: De�nição de criptogra�a
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
A área da criptogra�a é responsável por muitos receios que temos em relação à segurança da
informação, mas também garante que nossas comunicações possam ser realizadas de maneira
a garantir a privacidade e con�dencialidade. Desse modo, abordaremos o surgimento das
primeiras técnicas para criptografar mensagens e sua evolução ao longo da história e
buscaremos compreender por que é uma área que ganha cada vez mais relevância.
Saiba mais
Disciplina
Criptografia
A máquina Enigma foi muito importante para que a Alemanha Nazista se comunicasse de
maneira segura durante a Segunda Guerra. Uma das maiores vitórias da Inglaterra foi a
descoberta do código utilizado pela Enigma e assim a capacidade de interceptar as mensagens e
antecipar suas estratégias. A ferramenta Cryptool-Online permite simular códigos da máquina
Enigma e gerar mensagens a partir dela.
Referências
https://www.cryptool.org/en/cto/enigma-step-by-step
Disciplina
Criptografia
COSTA, D. D. A matemática e os códigos secretos: uma introdução à criptogra�a. 2014.
Dissertação (Mestrado Pro�ssional em Matemática) – PROFMAT do Departamento de
Matemática, Centro de Ciências Exatas da Universidade Estadual de Maringá, Maringá, 2014.
Disponível em: http://repositorio.uem.br:8080/jspui/handle/1/5536. Acesso em: 24 maio. 2022.
CRYPTOOL-ONLINE. c1998-2022. Disponível em: https://www.cryptool.org/en/cto/enigma-step-
by-step. Acesso em: 8 jun. 2022.
G1. ONU a�rma que acesso à internet é um direito humano. 3 jun. 2011. Disponível em:
https://g1.globo.com/tecnologia/noticia/2011/06/onu-a�rma-que-acesso-internet-e-um-direito-
humano.html. Acesso em: 1 abr. 2022.
SILVA, W. et al. A evolução da criptogra�a e suas técnicas ao longo da história. IFGO. 2019.
Aula 2
Métodos primitivos de cifragem
Introdução
http://repositorio.uem.br:8080/jspui/handle/1/5536
https://g1.globo.com/tecnologia/noticia/2011/06/onu-afirma-que-acesso-internet-e-um-direito-humano.html
https://g1.globo.com/tecnologia/noticia/2011/06/onu-afirma-que-acesso-internet-e-um-direito-humano.html
Disciplina
Criptografia
Olá, estudante!
O conhecimento das bases da criptogra�a é fundamental para formar a estrutura e os pilares
para o contato com as técnicas mais modernas. Desse modo, nesta aula você terá contato com
os métodos de substituição e de transposição, que são técnicas para cifrar mensagens utilizando
a substituição e a troca de letras, e por isso são considerados métodos simples e de fácil
entendimento.
Você verá também que, pela simplicidade desses métodos, são técnicas simples de serem
quebradas e decifradas, principalmente pela capacidade de processamento dos computadores
atuais. 
Desse modo, é importante que acompanhe atentamente o material e os vídeos para que seja
possível replicar e compreender os detalhes destes métodos primitivos.
Bons estudos!
Os métodos primitivosde cifragem e suas principais características
Disciplina
Criptografia
Quando acompanhamos noticiários sobre as recentes atualizações nos métodos de segurança,
nos deparamos com termos especí�cos, novos algoritmos, dispositivos modernos, invasões
devastadoras de sistemas, e siglas como RSA, SSL, SSH, HTTPS, entre outras.
Disciplina
Criptografia
Termos e palavras (que geralmente estão em inglês) associados à segurança da informação. Fonte: Pixahive.
A evolução nos métodos criptográ�cos muitas vezes não permite a compreensão de uma técnica
especí�ca sem o estudo aprofundado e a prática constante. Desse modo, estudar os primeiros
métodos de criptogra�a primitivos nos possibilita compreender alguns elementos introdutórios
importantes para que a jornada até o entendimento e a aplicação da criptogra�a moderna seja
mais tranquila e contextualizada.
Desse modo, nesta aula introduziremos os dois tipos de cifras mais utilizados na Antiguidade (e
utilizados até hoje em alguns casos): as cifras de substituição e de transposição.
Cifras de substituição
Uma cifra de substituição é o modelo mais simples, em que parte da mensagem é substituída
por algum outro elemento. No caso mais básico, também chamado de monoalfabético, cada
letra do alfabeto é trocada por outra letra, formando um alfabeto auxiliar que, a partir deste, é
formada a mensagem. É o caso da Cifra de Cesar, o caso mais famoso das cifras de
substituição, como abordaremos em detalhes no Bloco 2. 
Há ainda as técnicas homófonas, em que cada letra pode ser substituída por mais de uma letra
(o que aumenta consideravelmente a segurança); a polialfabética, em que vários alfabetos
podem ser usados para compor alfabetos auxiliares, aumentando o número de combinações e
assim a segurança; entre outros, como a poligrâmica e a poligrá�cas (COSTA, 2014).
Cifras de transposição
Já nas cifras de transposição não há a substituição de uma letra por outra de um alfabeto
auxiliar, mas sim sua troca de posição na mensagem. Neste método há um reordenamento das
letras por meio de um padrão (que deve ser conhecido pelo receptor) e as letras são
embaralhadas. 
A principal técnica de transposição é o uso de colunas, conforme abordamos em detalhes no
Bloco 3, em que a mensagem é escrita em colunas verticais e a escrita criptografada é realizada
Disciplina
Criptografia
concatenando as linhas horizontais.
Um outro método famoso que utiliza a cifra de transposição é o chamado Rail Fence. Esta
técnica foi muito utilizada durante a Guerra Civil Americana pelos confederados e federalistas
para a comunicação secreta, e consiste em reordenar a mensagem em diagonais de duas ou
mais linhas de modo similar ao das colunas, conforme abordamos no Bloco 3.
Vantagens e desvantagens da substituição e da transposição
Em relação aos conceitos das duas cifras apresentadas, é importante observar que entre suas
vantagens podemos destacar que são métodos simples, de grande facilidade de compreensão e
implementação, podendo ser utilizados de modo manual e por transmissões via cabo, por
exemplo. 
Já em relação às desvantagens, por serem cifras baseadas em substituições e rotações simples,
e dada a grande capacidade de processamento dos computadores modernos, torna-se fácil
realizar a quebra dos segredos e acessar a mensagem original. Nesse sentido, a cifra de
substituição é ainda mais frágil que a de transposição, pois métodos de análise de frequência
podem ser utilizados para descobrir o alfabeto auxiliar.
Neste bloco introduzimos os primeiros conceitos de cifras que utilizam métodos primitivos de
cifragem e que, apesar de não serem utilizados ostensivamente nas aplicações modernas, são
de fundamental importância didática para a compreensão do funcionamento e das
características da ciência da criptogra�a.
A cifra de substituição e a Cifra de Cesar
Disciplina
Criptografia
Apesar de não serem mais utilizados em sistemas modernos, os métodos de cifragem primitivos
como os de substituição têm funções didáticas relevantes – ao indicarem o funcionamento
básico da criptogra�a – e as funções de envio de mensagens em situações extremas,
principalmente em organizações criminosas ou em envio de mensagens escondidas em
presídios. Dessa maneira, para que possamos melhorar nossa capacidade de interpretação sobre
esses conceitos, vamos visualizar alguns exemplos de cifras de substituição.
Exemplos de cifras de substituição
O caso mais simples de cifragem utilizando uma técnica de substituição é o uso da rotação das
letras do alfabeto, em que cada letra original corresponde a uma outra letra que a substitui, como
é o caso da Cifra de Cesar. A seguir, observa-se a substituição de cada letra pela segunda letra a
sua esquerda:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
Desse modo, o texto CRIPTOGRAFIA seria escrito, substituindo cada letra, como: 
YNELPKCNWBEW
Exemplo da Cifra de Cesar, em que a rotação da roda cria um novo alfabeto para cifrar a mensagem original. Fonte: Wikimedia
Commons.
O resultado obtido realmente impossibilita a compreensão de seu signi�cado original quando
analisado a olho nu, como de fato ocorria na Antiguidade. Contudo, o uso de algoritmos
modernos somado à alta capacidade de processamento dos dispositivos atuais faz com que
esse tipo de cifra seja um dos mais fáceis a serem quebrados e a mensagem revelada em
poucos segundos. É possível aumentar ou diminuir a rotação do alfabeto de modo a buscar
melhorar a segurança da cifra. Por exemplo, ao utilizar cinco letras à direita, a letra A se tornaria a
Disciplina
Criptografia
letra F e assim por diante. Contudo, mesmo com esta pequena melhoria, a fragilidade deste
método ainda é muito grande pelo potencial tecnológico que possuímos atualmente.
Uma variação desta técnica que também visa à melhora da segurança da cifra é por meio de uma
palavra-chave pré-de�nida, que serve para substituir as primeiras letras diretamente por cada
letra da chave e restante pelo alfabeto completo, excluindo as letras já utilizadas.
Como exemplo, utilizando a palavra-chave SORTE, a substituição das letras �caria no seguinte
formato:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
S O R T E A B C D V F G H I J K L M N W P Q Z S Y U 
Como realizar a criptoanálise
Conforme abordamos, esse tipo de cifragem já não possui segurança atualmente. Uma das
maneiras de descobrir qual o alfabeto utilizado para cifrar as mensagens é por meio de técnicas
de análise de frequência. Desse modo, utiliza-se uma parte considerável do texto para de�nir qual
a frequência de cada letra no alfabeto cifrado e assim comparar com a frequência de cada letra
no alfabeto original de cada língua. Na língua portuguesa, por exemplo, as letras mais frequentes
são a, e, i, o, r, s. Basta comparar a frequência para adivinhar qual letra foi substituída e ter
acesso a qual padrão foi utilizado para a cifragem.
Detalhes e aplicação das cifras de transposição
Disciplina
Criptografia
Para exempli�car os conceitos abordados anteriormente, neste bloco vamos demonstrar alguns
exemplos das técnicas de cifragem de substituição e de transposição. Assim, será possível
praticar e conhecer em maior profundidade os métodos mais primitivos de criptogra�a que, se
não são utilizados extensivamente na contemporaneidade, ainda são úteis para a compreensão
das bases dessa ciência e para a introdução a técnicas mais avançadas.
Exemplos de cifras de transposição
Coluna
No primeiro bloco introduzimos os conceitos das técnicas de substituição e de transposição, e é
possível observar que a cifra de transposição segue uma lógica simples e relativamente similar à
de substituição em sua facilidade de implementação e compreensão. Contudo, seu uso
Disciplina
Criptografia
representou um grande avanço na segurança, e inclusive foi utilizada e inspirou métodos
empregados durante a Primeira Guerra Mundial (COSTA, 2014).
O exemplo mais simples de aplicação do método de transposição é por meio do uso de colunas
(ou matriz), em que a mensagemoriginal é escrita em colunas de mesmo tamanho.
Exemplo de coluna: ESTUDO DE CRIPTOGRAFIA 
E  S  T   U
D  O  D  E
C  R   I   P
T  O  G  R
A  F   I   A 
Assim, a palavra cifrada �caria EDCTA SOROF TDIGI UEPRA.
Uma maneira de re�nar o método das colunas é utilizar uma palavra-chave sem letras repetidas.
Neste caso, a ordem das colunas é determinada pela ordem alfabética das letras. No caso a
seguir, utiliza-se a chave PANO, em que P é a última letra entre P, A, N e O, e por isso a quarta
coluna é deslocada para a primeira posição, e assim por diante. 
A ordem �nal das colunas seria: 4 1 2 3, e a mesma mensagem anterior ESTUDO DE
CRIPTOGRAFIA, �caria UEPRA EDCTA SOROF TDIGI.
U  E  S  T   
E  D  O  D  
P  C  R   I   
R  T  O  G  
A  A  F   I    
Rail Fence
Ainda em relação às cifras de transposição, há um método que foi usado pelos federalistas e
confederados na Guerra Civil Americana e conhecido como Rail Fence, que é uma variação dos
métodos de colunas. Nesta técnica, a mensagem é dividida em linhas, em que as letras são
alternadas e formam diagonais a depender do número de linhas escolhidas, como no exemplo a
seguir.
ESTUDO DE CRIPTOGRAFIA
E     T      D      D     C     I     T      G      A     I
   S     U      O      E     R    P     O     R      F     A
Assim, a mensagem cifrada é formada pela junção de cada linha, neste caso é: ETDDCITGAI
SUOERPORFA.
Para decifrar, basta escrevê-las novamente, uma por linha, e realizar o cruzamento na diagonal
para obter o texto original. Note que esta técnica pode utilizar quantas linhas forem necessárias
para melhorar a segurança do método. O importante é que o receptor saiba quantas linhas foram
utilizadas para poder decifrar a mensagem.
Assim, nesta aula você conheceu os princípios da criptogra�a, os conceitos e as aplicações dos
principais métodos primitivos e como funcionam.
Bons estudos!
Videoaula: Métodos primitivos de cifragem
Disciplina
Criptografia
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Neste vídeo abordaremos algumas características dos métodos de substituição e transposição,
descobrindo um pouco de sua história, sua origem e seus exemplos, como é o caso da famosa
Cifra de Cesar. Você aprenderá a criptografar uma mensagem utilizando essas técnicas e quais
as principais maneiras de re�nar e melhorar a segurança dessa criptogra�a.
Saiba mais
O conhecimento dos métodos primitivos de cifras é muito útil para que a aprendizagem sobre
alguns aspectos matemáticos seja aprofundada. Nesse sentido, há alguns jogos didáticos para
utilizar e prática o uso de criptogra�a, como o jogo Discover Crypt. O jogo é gratuito e possui
diversos tipos de criptogra�a e testes.
Referências
https://highschool.spsd.org/crypt/about.html
Disciplina
Criptografia
BIANCHETTI, T.; SAÚGO, C.; ORO, N. T. Criptogra�a: da história até a aplicação do método RSA. IV
Jornada Nacional de Educação Matemática, Universidade de Passo Fundo. Disponível em:
http://anaisjem.upf.br/download/op-34-bianchetti.pdf. Acesso em: 6 abr. 2022.
COSTA, D. D. A matemática e os códigos secretos: uma introdução à criptogra�a. 2014.
Dissertação (Mestrado Pro�ssional em Matemática) – PROFMAT do Departamento de
Matemática, Centro de Ciências Exatas da Universidade Estadual de Maringá, Maringá, 2014.
Disponível em: http://repositorio.uem.br:8080/jspui/handle/1/5536. Acesso em: 24 maio. 2022.
COUTINHO, S. C. Números inteiros e criptogra�a. Disponível em:
https://dcc.ufrj.br/~collier/CursosGrad/cripto.html. Acesso em: 7 abr. 2022. 
DISCOVER CRYPT. [s.d.]. Disponível em: https://highschool.spsd.org/crypt/about.html. Acesso
em: 8 jun. 2022.
Aula 3
Algoritmos de chave simétrica
Introdução
http://anaisjem.upf.br/download/op-34-bianchetti.pdf
http://repositorio.uem.br:8080/jspui/handle/1/5536
https://dcc.ufrj.br/~collier/CursosGrad/cripto.html
https://highschool.spsd.org/crypt/about.html
Disciplina
Criptografia
Olá, estudante!
As técnicas de criptogra�a atuais são baseadas, em sua maioria, no uso de chaves simétricas e
assimétricas. Dessa maneira é de grande importância estar a par do que se trata cada um desses
tipos de chave e de que maneira os principais algoritmos criptográ�cos operam e as utilizam. 
Portanto, nesta aula você aprenderá o que é uma chave criptográ�ca, os conceitos e os princípios
por trás de sua lógica, além de conhecer alguns dos principais algoritmos baseados em chave
simétrica como o RC4 e o padrão AES. Esses conhecimentos compõem uma base importante
para um pro�ssional capacitado na área de segurança da informação que busca melhorar
constantemente suas habilidades e competências.
Bons estudos!
As bases da chave simétrica
Disciplina
Criptografia
Grande parte das técnicas para ocultar mensagens e seus signi�cados utilizadas desde a
Antiguidade até o século XVIII estavam baseadas em métodos simples de cifragem. Neles, os
caracteres da mensagem eram substituídos por outros do mesmo alfabeto – cifra de
substituição –, ou eram rotacionados na própria mensagem, alterando sua ordem para tornar
ilegível a mensagem transmitida – cifra de transposição. Contudo, mesmo em técnicas
primitivas, já era possível observar a importância de um elemento que auxilia a incrementar a
segurança da cifragem: a chave criptográ�ca.
No método de transposição por colunas, por exemplo, é possível adicionar uma chave com o
mesmo número de letras que a quantidade de colunas de modo a reordenar as colunas e
aumentar assim a di�culdade em descobrir o padrão da cifra. Assim, o receptor da mensagem
deve estar de posse da chave utilizada na etapa de criptogra�a para então poder descriptografar
a mensagem corretamente. 
No caso descrito anteriormente, a chave criptográ�ca é uma palavra da língua corrente. Mas a
chave pode ser de outros tipos. Pela de�nição, chave é um dos elementos principais da
criptogra�a: algo, um pedaço de informação, dados, e é responsável pelo controle e segurança de
um algoritmo de criptogra�a e, por isso, as boas chaves devem ser geradas de forma aleatória
(ou pseudo-aleatória).
Ao garantir a geração de uma chave forte o su�ciente e um bom algoritmo que a utilize, o
sistema criptográ�co será difícil de ser descoberto e quebrado.
Disciplina
Criptografia
Esquema de criptogra�a utilizando chaves secretas. Fonte: adaptada de Nunes (2007, [s. p.]).
Princípio de Kerckhoffs
Auguste Kerckhoffs, um criptógrafo holandês, descreveu, em 1883, alguns princípios a respeito
da segurança de dados (seu foco então era militar), em que o conceito mais fundamental é o de
que
a segurança dos dados encriptados deve depender do conhecimento da chave usada,
podendo o método ou algoritmo usado ser de conhecimento público. Esse princípio
denuncia a falácia da segurança através da obscuridade, mostrando que se a
segurança dos dados encriptados através de algum método depende do segredo
desse método, esse método é falho. (MATHIAS, 2022)
Nesse sentido, é importante observar que os métodos considerados mais seguros são
amplamente conhecidos e publicizados, como o AES e o RSA, pois a segurança dessas técnicas
reside no potencial numérico das chaves geradas, que impedem a quebra por métodos como o
de força bruta. 
Em resumo, o resultado prático desse princípio é que um bom algoritmo pode ser público ao
invés de ter que ser mantido em segredo (SERAFIM, 2014, p. 3).
Além do princípio mais famoso, há outros direcionamentos apontados por Kerckhoff como
fundamentais na segurança dos dados: 
O sistema deve ser praticamente ou completamente indecifrável.
A comunicação das chaves não deve depender de notas escritas.
Deve ser portátil.
Deve ser fácil de usar e com poucas regras (STRINGFIXER, 2022).
Disciplina
Criptografia
Nos próximos blocos ampliaremos o conceito de chave e abordaremos as chaves simétricas,
assim como dois dos principais algoritmos que utilizam, o RC4 e o padrão AES.
A chave simétrica e a garantia de métodos maisseguros
As chaves criptográ�cas podem ser divididas em simétricas e assimétricas. 
As chaves simétricas são únicas e devem estar de posse tanto pelo transmissor quanto pelo
receptor da mensagem, e se forem interceptadas permitem o acesso ao conteúdo. 
Já as chaves assimétricas são separadas entre pública e privada, sendo que a chave pública
pode ser disponibilizada a qualquer pessoa e a chave privada deve ser secreta, única e
intransferível.
Neste bloco abordaremos as principais características das chaves simétricas e dois algoritmos
muito utilizados que as utilizam, o RC4 e o AES.
Exempli�cando
Para melhor compreendermos o uso de uma chave criptográ�ca, podemos pensar em uma chave
real para abrir portas. Nesse cenário, a porta pode ser comparada à criptogra�a, e a parte interna
da casa, ao conteúdo da mensagem. Isto é, para acessar a casa, é preciso passar pela porta
Disciplina
Criptografia
utilizando uma chave que apenas o dono da casa possui. O mesmo ocorre com as chaves
simétricas: elas são responsáveis tanto por trancar quanto para destrancar a porta e nos
fornecer acesso à mensagem. Caso essa chave seja perdida, torna-se impossível o acesso à
mensagem, assim como, caso um ladrão consiga a chave, terá acesso total ao conteúdo da
mensagem.
Uma chave criptográ�ca simétrica se assemelha conceitualmente à chave de uma porta. Fonte: Pixabay.
Outra desvantagem em utilizar uma chave simétrica é que não é possível reconhecer a identidade
de quem está acessando a mensagem, tampouco armazenar a chave com total segurança. A�nal
– e aqui reside o maior problema – se a chave for divulgada ou acessada, o esquema está
comprometido, e é necessário gerar uma nova chave que deverá ser compartilhada com todos os
transmissores e receptores.
Das principais vantagens em utilizar uma chave simétrica podemos destacar a relativamente alta
velocidade com que a mensagem é cifrada e a segurança da cifra em si. 
Ademais, é um tipo de chave muito utilizado em diversas aplicações corporativas e de
telecomunicações, como em redes e protocolos de wi-�. Seus principais algoritmos são o AES,
DES, RC4, Blow�sh, IDEA, entre outros. Destacaremos a seguir o RC4 e o AES.
RC4
O RC4 é um algoritmo de criptogra�a de �uxo, o que implica que criptografa cada caractere da
mensagem, ao invés de blocos, e é muito e�ciente para o uso em tempo real. A técnica prevê o
uso de chaves de 1 a 2048 bits de comprimento, o que indica uma boa segurança. Ainda sobre
seu surgimento: 
O RC4 foi projetado por Ronald Rivest e se manteve secreto até vazar e ser publicado
na Internet em 1994. (...) é quase impossível manter os algoritmos secretos, mesmo
Disciplina
Criptografia
quando o objetivo é proteger a propriedade intelectual (como nesse caso), em vez da
segurança pela obscuridade (que não era o objetivo no caso do RC4). (TANENBAUM,
2003, p. 586)
AES
Um segundo algoritmo e por muitos considerados o padrão mais seguro de algoritmos
simétricos é o AES, Advanced Encryption Standard (Padrão de Criptogra�a Avançada, em
português). O AES, diferentemente do RC4, utiliza cifragem por blocos, com chaves de até 256
bits.
No bloco seguinte, veremos alguns detalhes da implementação e aplicações do RC4 e do AES.
As aplicações e usos dos algoritmos RC4 e AES
Neste bloco veremos alguns aspectos dos algoritmos de chave simétrica RC4 e AES, buscando
compreender suas características gerais e seu funcionamento básico. 
RC4
Um elemento curioso a respeito do RC4 é que seu código é proprietário, mas foi descoberto e
disponibilizado em 1994 em um fórum pela internet (PALMA; PEREIRA, 2011). A partir deste
momento foram conhecidas algumas fragilidades neste método. Porém, mesmo assim, seu uso
pode ser considerado seguro se bem implementado e adaptado ao tipo de sistema que se
destina, pois a chave garante a segurança necessária. 
Disciplina
Criptografia
O método RC4 utiliza uma chave simétrica que pode ter até 2048 bits gerados de maneira
pseudoaleatória. Na área da criptogra�a é correto utilizar o termo pseudoaleatório e não
aleatório, pois não há, de fato, uma geração completamente aleatória, dado que as chaves
necessitam de alguma informação inicial para serem criadas, e essa informação, em teoria, é
predeterminada e poderia ser descoberta, apesar de ser quase impossível.
A partir da obtenção da chave, a mensagem é cifrada caractere por caractere por meio de
permutações e mesclagens com a chave por meio de operações de OU Exclusivo, ou XOR. O XOR,
inclusive, por ser uma operação inversível, é utilizada pelo algoritmo do receptor para decifrar a
mensagem. 
Em relação ao seu funcionamento, são duas as etapas principais do RC4: o KSA e o PRGA.
O KSA (Key Scheduling Algorithm)
Nesta etapa, um vetor de 256 bytes (ou 2048 bits) é inicializado com uma permutação de todos
os números de 0 a 255. "Essa permutação é condicionada a chave K utilizada no algoritmo. O
tamanho da chave pode variar de 1 a 256 bytes [13], porém os valores de 40 a 256 são os mais
comumente utilizados" (PALMA; PEREIRA, 2011, p. 3).
A seguir, é possível conferir o pseudocódigo do algoritmo desta etapa:
KSA(K)
for i = 0 ... N − 1 do
  S[i] = i
  T [i] = K[i mod keylen]
end for
j=0
for i = 0 ... N − 1 do
  j = (j + S[i] + T [i]) mod 256
  swap(S[i], S[j])
end for
O PRGA (Pseudo-Random Generation Algorithm)
A seguir, é realizada a etapa PRGA, que consiste em "gerar um �uxo de bytes contendo números
pseudoaleatório, que será utilizado para fazer a operação XOR com o �uxo de bytes do texto
claro para produzir o texto cifrado" (PALMA; PEREIRA, 2011, p. 3), A seguir, podemos conferir o
pseudocódigo do algoritmo PRGA observando a geração do número pseudoaleatório:
PRGA(K)
i=0
j=0
while true do
    i = (i + 1) mod 256
    j = (j + S[i]) mod 256
    swap(S[i], S[j])
    t = (S[i] + S[j]) mod 256
    k = S[t]
end while
 
Por �m, é possível observar que se trata de um algoritmo simples e de fácil implementação. Suas
aplicações estão baseadas principalmente em telecomunicações, como os protocolos WEP, WPA
e as versões anteriores do SSL/TLS.
AES
Disciplina
Criptografia
O padrão AES utiliza cifragem por bloco, em que cada bloco da mensagem possui tamanho de
128 bits, que serão manipulados, combinados e embaralhados à chave durante o processo de
cifragem. As chaves podem variar e ter 128, 192 ou 256 bits.
O algoritmo é dividido em quatro etapas principais (que podem ser repetidas de acordo com o
resultado obtido na execução anterior e a depender do tamanho da chave utilizada), que são
brevemente descritas a seguir:
AddRoundKey: esta operação utiliza a operação XOR para para a expansão da chave a
partir de dados da mensagem e da própria chave.
SubBytes: esta operação pegará um valor do bloco de 16 bytes obtido na fase anterior
e substituirá por outros para embaralhá-lhos.
Shift Rows: as operações de Shift Rows deslocam linhas do bloco por meio de
distintas movimentações.
Mix Columns: as operações de Mix Columns transpõem e transformam as colunas
dos blocos por meio de operações de multiplicações.
É importante observar que alguns detalhes do algoritmo não são fáceis de serem compreendidos
imediatamente, por isso você não precisa se preocupar neste momento. O mais relevante é que
consiga compreender o funcionamento geral dos algoritmos e as razões que os fazem seguros.
Ademais, é possível implementar o AES em linguagens como Java, utilizando alguns pacotes
especí�cos como o SecretKey, Cipher e SecretKeySpec.
Por �m, destacamos que o AES é amplamente utilizado em aplicações de rede e comunicações
no geral e ainda em criptogra�a de armazenamento, como nos cartões SSD e em HDs.
Desse modo, nesta aula você conheceu os conceitos de chave simétrica e alguns dos principais
algoritmos utilizados e suas principais características.
Videoaula: Algoritmos de chave simétrica
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Nesta videoaula abordaremosa de�nição de chave para a criptogra�a e entenderemos em
maiores detalhes as chaves simétricas. Além disso, estudaremos alguns algoritmos muito
utilizados em telecomunicações, como o RC4 e o AES. apresentando características de seus
funcionamentos e as principais aplicações atuais, em que são muito disseminados em empresas
e sistemas de todos os tipos.
Saiba mais
Disciplina
Criptografia
A compreensão completa dos algoritmos mais avançados de chave simétrica pode ser
complicada e por vezes demanda um maior aprofundamento nos estudos e exemplos. Nesse
sentido, há alguns cursos e tutoriais disponíveis, como um curso com materiais de Criptogra�a
ofertado pela UFRJ.
Referências
https://www.gta.ufrj.br/grad/05_2/aes/
Disciplina
Criptografia
MATHIAS, L. A. P. Algoritmo de criptogra�a AES. c2005. Disponível em:
https://www.gta.ufrj.br/grad/05_2/aes/. Acesso em: 8 jun. 2022.
NUNES, D. S. Criptogra�a simétrica. 4 nov. 2007. Disponível em:
https://www.gta.ufrj.br/grad/07_2/delio/Criptogra�asimtrica.html. Acesso em: 8 jun. 2022.
PALMA, S. M.; PEREIRA, A. Análise crítica da implementação da cifra RC4 no Protocolo WEP.
2011. Disponível em:
https://www.researchgate.net/publication/224981600_Analise_Critica_da_Implementacao_da_Cif
ra_RC4_no_Protocolo_WEP. Acesso em: 11 abr. 2022.
SERAFIM, V. Introdução à criptogra�a: criptogra�a e criptoanálise. 2014
STRINGFIXER. Princípio de Kerckhoffs. Disponível em:
https://string�xer.com/pt/Kerckhoffs%27s_principle. Acesso em: 11 abr. 2022.
TANENBAUM, A. S. Redes de computadores. 4. ed. Editora Campus, 2003.
Aula 4
Algoritmos de chaves assimétricas
Introdução
https://www.gta.ufrj.br/grad/05_2/aes/
https://www.gta.ufrj.br/grad/07_2/delio/Criptografiasimtrica.html
https://www.researchgate.net/publication/224981600_Analise_Critica_da_Implementacao_da_Cifra_RC4_no_Protocolo_WEP
https://www.researchgate.net/publication/224981600_Analise_Critica_da_Implementacao_da_Cifra_RC4_no_Protocolo_WEP
https://stringfixer.com/pt/Kerckhoffs%27s_principle
Disciplina
Criptografia
Olá, estudante!
Você já deve ter ouvido falar e até mesmo utilizado uma assinatura digital ou então um
certi�cado digital, assim como ao fazer um download de algum programa já deve ter recebido a
chave pública do site em questão. Todas as técnicas envolvem o que chamamos de criptogra�a
de chaves assimétricas, que estudaremos nesta aula.
A criptogra�a de chave assimétrica está presente em diversas aplicações e diversos sistemas,
principalmente quando envolve comunicação de informações sigilosas entre as partes. Dessa
maneira, é fundamental compreender seu funcionamento, seus conceitos e um de seus
algoritmos mais utilizados, o RSA. Desse modo, o conteúdo desta aula lhe permitirá um contato
com este tema e lhe permitirá diferenciar criptogra�a simétrica de criptogra�a assimétrica.
Bons estudos!
Chaves públicas e privadas, a base da criptogra�a assimétrica
Disciplina
Criptografia
Relembrando criptogra�a simétrica
Os dois principais modelos utilizados nos sistemas atuais para garantir a segurança da
informação são a criptogra�a simétrica e a criptogra�a assimétrica. O modelo simétrico está
baseado na utilização de uma única chave criptográ�ca para codi�car a mensagem a ser
enviada, sendo que a mesma chave deve ser utilizada para decodi�car a mensagem. Este tipo de
criptogra�a é o tipo mais veloz e, portanto, é a melhor escolha para a troca de informações.
Os protocolos SSL e TLS, por exemplo, utilizam esta técnica, em conjunto com a troca de chaves
assimétricas, para a troca constante de mensagens entre o servidor o cliente, dentro do
protocolo HTTPS. 
Contudo, o uso de uma única chave para cifrar e decifrar a mensagem implica também em uma
grande desvantagem na maior parte das comunicações: é preciso que ambas as partes
envolvidas tenham a chave e que ela permaneça secreta, isto é, não pode ser interceptada ou
furtada. 
Como exemplo, podemos supor o seguinte cenário: para realizar compras em um website, é
preciso que as informações cadastrais, como CPF e código do cartão de crédito, sejam
criptografadas ao trafegar na rede e apenas o servidor do site de vendas consiga acessá-las para
realizar a transação. Assim, quando preenchemos um formulário com nossos dados e enviamos
ao site – supondo que utilizamos uma chave simétrica –, a informação pode ser submetida com
segurança.
O servidor então irá receber a mensagem cifrada e deverá decriptá-la para poder con�rmar a
compra. Porém, como utilizamos uma chave simétrica para criptografar, o servidor deve possuir
Disciplina
Criptografia
a mesma chave para decifrar. Logo, junto com a mensagem, deveria ser enviada a chave
utilizada. 
Neste caso, contudo, é possível observar uma grave falha de segurança. Caso o tráfego de
informações esteja sendo monitorado, o atacante terá acesso à mensagem criptografada e
também à chave utilizada, podendo assim decriptar as informações e ter acesso aos dados
con�denciais. 
Para contornar situações como essas, é possível utilizar um sistema com mais de uma chave, e
assim fortalecendo a segurança da chave simétrica. Trata-se do sistema de chaves pública e
privada.
Chaves pública e privada
Conforme o nome denota, esse modelo possui uma chave que pode ser divulgada (pública) e
uma chave que deve ser mantida guardada e em segredo (privada). Assim, agora possuímos
duas chaves diferentes para manipular a criptogra�a de uma mensagem, e por isso dá-se o nome
de chaves assimétricas a esse método. 
Podemos retornar ao cenário anterior de troca de mensagens entre um site de vendas e um
cliente para compreender o funcionamento desse modelo. Antes de preencher o formulário de
cadastro com as informações da compra, o seu computador faz uma solicitação ao servidor do
site para que lhe envie sua chave pública. Com a chave pública do servidor recebida, você
preenche seus dados e utiliza a chave pública que recebeu para criptografar as informações.
Com isso a mensagem está cifrada pela chave pública do servidor e, caso ela seja interceptada, o
atacante não conseguirá decifrá-la, pois apenas com a chave privada que o servidor do site
mantém armazenada é possível decriptar a mensagem. Em resumo, antes de enviar a chave
pública, o servidor gera um par de chaves, a pública e a privada, que são complementares. A
pública pode ser enviada para quantas pessoas forem necessárias e a privada (que não pode ser
divulgada) servirá para decifrar as mensagens recebidas utilizando a chave pública. Na imagem a
seguir é possível visualizar esse esquema de troca de mensagens.
Disciplina
Criptografia
Representação de troca de mensagens utilizando chaves pública e privada. Fonte: Maziero (2019, p. 14).
A geração de chaves criptográ�cas a partir da aritmética de números primos
Para melhor compreender o conceito de chaves assimétricas, neste bloco iremos abordar como
elas são geradas utilizando conceitos da teoria dos números inteiros, mais especi�camente
algumas características dos números primos.
Antes de abordarmos o uso dos números primos na criptogra�a assimétrica, é preciso relembrar
algumas características da fatoração de números inteiros. 
Fatoração de números inteiros
Um número inteiro positivo pode ter vários divisores, como o 15, que pode ser dividido por 1, 3, 5
e 15. Um número primo, por exemplo, possui apenas dois divisores, o número 1 e o próprio
número, como o número 11, por exemplo, divisível apenas por 1 e por 11. Assim, podemos
chamar os números que possuem mais de dois divisores de números compostos, em
contraposição aos primos. E uma propriedade interessante de um número composto é que ele
pode ser fatorado apenas pela multiplicação de números primos e cada número composto
possui uma única fatoração por primos possível. O número 20, por exemplo, pode ter a seguinte
fatoração: 2 x 2 x 5. Note que 2 e 5 são números primos e que não há outra maneira de fatorá-lo
com outros números primos.
No ensino médio, por exemplo, aprendemos a fatorar um número composto buscando dividi-lo
sucessivamente por números primos em ordem crescente. Observeque este método funciona
Disciplina
Criptografia
bem se os números são pequenos, como o 20, porém demandaria muito tempo para números
grandes. Conforme Tanenbaum (2003), a fatoração de um número grande, de 500 dígitos, por
exemplo, leva em torno de 10²⁵ anos para ser realizada por um computador. E mesmo que a
capacidade de processamento avance consideravelmente, ainda seriam necessários muitos
séculos para que o processo �nalizasse. Desse modo, é possível inferir que o uso da fatoração
de números inteiros grandes pode ser muito útil à elaboração de chaves criptográ�ca pois um
dos princípios de Kerckhoffs é que a chave utilizada seja inquebrável ou que o processo de
quebra seja praticamente impossível.
Os números primos e as chaves públicas e privadas
Em 1978, os cientistas Rivest, Shamir e Adleman desenvolveram a criptogra�a RSA (que
abordaremos em detalhes no Bloco 3), que utiliza do modelo de chaves públicas e privadas
aliado à fatoração com números primos. A aplicação da teoria dos números à criptogra�a era
desconhecida até então, o que representou um grande avanço nas técnicas de segurança.
Conforme abordamos, a fatoração de números grandes pode levar muitos anos para ser
realizada e, dessa forma, é utilizada por algoritmos assimétricos, sobretudo para a comunicação
entre partes interessadas.
Em termos gerais, são gerados dois números primos grandes que comporão a chave privada e a
multiplicação desses números formará a chave pública. Desse modo, as chaves são
complementares, já que, para conhecer as chaves privadas a partir da chave pública, seria
necessário decompor um número grande, que o resultado apenas o detentor da chave privada
possui. Assim, quando uma mensagem é criptografada utilizando a chave pública, não há
problemas para a segurança se a chave pública for interceptada, pois apenas o detentor da chave
privada será capaz de decriptar a mensagem, pois possui os dois números primos que,
multiplicados, geraram a chave pública.
Exemplo de chave pública gerada pelo software GPG. Fonte: elaborada pelo autor.
Disciplina
Criptografia
Neste bloco você aprendeu a respeito do uso da teoria dos números e das características dos
números primos para gerar chaves públicas e privadas, o que garante a comunicação segura
entre duas partes interessadas sem a necessidade de transmitir uma chave secreta sob o risco
de ser interceptada, como ocorre no modelo simétrico.
Exemplo de uso da criptogra�a assimétrica com o algoritmo RSA
Existem diversos algoritmos de criptogra�a baseados em chaves assimétricas, contudo, o
principal e mais utilizado é o RSA, cuja sigla é referência aos sobrenomes de seus
desenvolvedores, Ron Rivest, Adi Shamir, e Leonard Adleman, pesquisadores do MIT que, em
1978, apresentaram este método considerado altamente seguro, pois ainda não houve nenhuma
tentativa bem-sucedida de sua quebra. 
O método é baseado na fatoração de um grande número composto (chave pública) que é o
produto de dois números primos, que formam a chave privada. Dessa maneira, pelo problema da
fatoração abordado no Bloco 2, quanto maiores os números envolvidos, maior a di�culdade e o
custo computacional para descobrir os fatores primos e, consequentemente, a chave privada
para assim ter acesso ao conteúdo da mensagem.
O método RSA é extensamente utilizado em navegadores de internet, em servidores de e-mail,
redes VPN, aplicativos mensageiros, protocolos de rede, e boa parte das tecnologias que
envolvem comunicação segura.
Em resumo, o método RSA pode ser descrito pelos seguintes passos: 
Disciplina
Criptografia
1. Escolha dois números primos extensos, p e q (geralmente, de 1024 bits).
2. Calcule n = p q e z = (p - 1) (q - 1).
3. Escolha um número d tal que z e d sejam primos entre si.
4. Encontre e de forma que e d = 1 mod z.
A partir de então,
divida o texto simples (considerado um string de bits) em blocos, de modo que cada
mensagem de texto simples P �que no intervalo 0≤ P < n. Isso pode ser feito
agrupando-se o texto simples em blocos de k bits, onde k é o maior inteiro para o qual
a desigualdade 2 k < n é verdadeira. Para criptografar a mensagem P, calcule C = P^e
(mod n). Para descriptografar C, calcule P = C^d (mod n). (TANEMBAUM, 2003, p. 566)
Ademais, o padrão RSA recomendado é de chaves de 2048 bits (números de 617 dígitos), mas
também pode operar, como no software GPG, com chaves de até 4096 bits. Nestes casos,
quanto maior a chave, maior a garantia de segurança, porém maior o custo computacional e
tempo gasto para o processo de cifrar e de decifrar.
Apesar de alguns detalhes técnicos referentes à aritmética modular não serem do escopo desta
aula, é possível observar que o algoritmo utiliza os passos que descrevemos anteriormente de
de�nição de números primos e multiplicação entre si para gerar a chave. A compreensão
pormenorizada do algoritmo pode ser feita pelo estudo de exemplos e leitura de materiais mais
aprofundados. 
Por �m, destacamos a importância de que as linhas gerais deste método sejam compreendidas.
A�nal, a lógica da criptogra�a assimétrica é utilizada em diversas situações de comunicação,
além de certi�cação digital e assinaturas, que são instrumentos fundamentais e utilizados em
empresas, sistemas de uso geral, órgãos governamentais, entre outros. Por isso, seja para o
pro�ssional da área de segurança da informação ou seja para pro�ssionais de tecnologia no
geral, o tema da criptogra�a assimétrica é atual e compõe um tópico essencial para ampliar o
desenvolvimento de sua carreira.
Videoaula: Algoritmos de chaves assimétricas
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Nesta videoaula abordaremos a de�nição de criptogra�a assimétrica e buscaremos
compreender como operam as chaves pública e privada, o par de chaves criptográ�cas utilizado
nesse modelo. Veremos também parte da matemática por trás desse processo, principalmente
Disciplina
Criptografia
como a utilização de números primos fortalece a segurança das chaves e do sistema. Por último,
abordaremos algumas características e uso do famoso algoritmo RSA.
Saiba mais
A compreensão em detalhes do algoritmo RSA pode levar algum tempo maior de estudos.
Porém, seu uso é muito simples, bastando gerar o par de chaves pública e privada utilizar em
alguma aplicação. Como forma de testar, praticar e utilizar esse tipo de criptogra�a, há o
software GnuPG, ou apenas GPG, que está disponível para sistemas operacionais como Linux e
Windows. É um programa de fácil utilização e com poucos comandos é possível gerar o par de
chaves assimétricas de tamanhos diferentes e praticar.
Referências
https://gnupg.org/index.html
Disciplina
Criptografia
GNUPG. c1998-2020. Disponível em: https://gnupg.org/index.html. Acesso em: 9 jun. 2022.
MAZIERO, C. Segurança computacional: criptogra�a assimétrica. 2019. Dinf, UFPR. Curitiba.
2019.
SERAFIM, V. Introdução à criptogra�a: criptogra�a e criptoanálise. 2014
TANENBAUM, A. S. Redes de computadores. 4. ed. Editora Campus, 2003.
Aula 5
Revisão da unidade
A compreensão inicial da criptogra�a por meio de sua história
https://gnupg.org/index.html
Disciplina
Criptografia
Desde a Antiguidade, grande parte das civilizações tinham a necessidade de trocar informações
secretas, seja para �ns políticos, religiosos ou, principalmente, militares. É neste período que
surgem as primeiras técnicas para esconder conteúdos de mensagens enviadas que deram
origem ao campo conhecido como criptogra�a. O próprio termo criptogra�a possui origem grega,
representando técnicas para uma escrita oculta (SILVA et al., 2019).
Desse modo, as cifras de substituição (como a Cifra de César) e de transposição foram utilizadas
durante séculos, já que, apesar de sua simplicidade matemática, eram muito difíceis de serem
decifradas com as tecnologias da época. 
A partir do século XX, sobretudo com os eventos e as tecnologias advindas da SegundaGuerra
Mundial, há uma grande expansão e aceleração nas técnicas de criptoanálise (a área que estuda
a quebra de criptogra�a) e da própria criptogra�a e as técnicas primitivas passam a ser
abandonadas. E é na segunda metade do século XX que uma maior modernização no campo da
segurança da informação passa a ocorrer, principalmente devido ao aumento da capacidade dos
computadores aliado ao crescimento da conectividade pela internet no mundo todo. A�nal,
tornava-se necessário garantir a comunicação segura de milhões de usuários.
Assim, a comunicação torna-se o principal propulsionador na corrida por métodos cada vez mais
robustos de criptogra�a. Nesse contexto, consolidam-se duas modalidades para criptografar os
dados: a criptogra�a simétrica e a criptogra�a assimétrica, que persistem na atualidade e são
utilizadas em diversos ambientes e sistemas.
A criptogra�a simétrica baseia-se no uso de uma única chave criptográ�ca, que deve ser secreta,
e que é responsável por criptografar e decriptar a mensagem. Alguns dos algoritmos que seguem
a lógica simétrica são o RC4 e o AES, empregados em protocolos de rede e criptogra�a de disco,
Disciplina
Criptografia
por exemplo. Contudo, apesar da criptogra�a simétrica ser considerada mais ágil, seu uso para a
troca de mensagens pode apresentar desvantagens, pois é preciso que a chave secreta seja
enviada para a parte receptora, o que pode incorrer em graves ameaças à segurança. 
Desse modo, a partir da década de 1970 começam a surgir algoritmos de chave assimétrica,
uma metodologia que possibilita o envio de uma chave pela rede sem representar riscos (COSTA,
2014). Trata-se da geração de um par de chaves complementares, a chave pública e a chave
privada. Em suma, a parte receptora da mensagem envia sua chave pública para a parte
transmissora, que deve cifrar o conteúdo da mensagem utilizando esta chave recebida.
Em seguida, envia a mensagem cifrada novamente pela rede, que agora só pode ser decriptada
utilizando a chave privada que está em posses da parte receptora. Dessa maneira, garante-se que
a comunicação possa ser interceptada sem o risco de ter a mensagem original acessada.
Além disso, é possível combinar as vantagens das abordagens simétricas e assimétricas para o
desenvolvimento de um sistema seguro e rápido, a partir do envio da chave simétrica utilizando a
chave pública de uma das partes para estabelecer o contato inicial. A partir deste momento, com
as duas partes de posse da mesma chave secreta e simétrica, é possível prosseguir a
comunicação utilizando os algoritmos de criptogra�a simétrica, que são mais ágeis.
Por �m, é importante ressaltar que o conhecimento das técnicas e da origem da criptogra�a
visam auxiliar na compreensão deste vasto campo que está presente em diversas situações e
em diversos componentes do cotidiano e, muito provavelmente, no dispositivo que você está
utilizando para ler este material.
Videoaula: Revisão da unidade
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
No vídeo serão abordados os principais conceitos vinculados à criptogra�a, um pouco de sua
origem e evolução histórica. Além disso, serão descritos os principais métodos utilizados
atualmente, conhecidos como criptogra�a simétrica e assimétrica, buscando elencar suas
características e alguns de seus usos.
Estudo de Caso
Disciplina
Criptografia
Para contextualizar sua aprendizagem, imagine que você trabalha para uma empresa que
desenvolve softwares de comunicação para outras empresas utilizarem internamente entre seus
funcionários. Desta vez, sua equipe será responsável por desenvolver um aplicativo de troca de
mensagens instantâneas para ser utilizado em uma grande companhia de segurança privada. 
O aplicativo estará em celulares distribuídos pelos seguranças e vigias, que poderão se
comunicar utilizando mensagens de texto e de áudio, a �m de substituir a comunicação via rádio,
que pode ser facilmente interceptada por possíveis criminosos.
Assim, a aplicação deve garantir que a troca de mensagens seja segura, isto é, que mesmo que
seja interceptada não possa ter seu conteúdo revelado, além de ser e�ciente e de envio rápido
das mensagens. Você está responsável por de�nir quais métodos de segurança devem ser
implementados para que a troca das mensagens seja segura e de acordo com as especi�cações
e, portanto, deve sugerir métodos criptográ�cos condizentes com o cenário.
______
Re�ita
Quais os dois principais métodos de criptogra�a utilizados atualmente?
Quais são as principais características de cada um?
É possível combinar suas vantagens?
Videoaula: Resolução do Estudo de Caso
Este conteúdo é um vídeo!
Disciplina
Criptografia
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Para iniciar a resolução da situação-problema, é preciso considerar que haverá troca de
mensagens entre as partes, isto é, será estabelecida uma comunicação e que, além disso, deve
ser sigilosa, por se tratar de uma empresa de segurança.
Para tanto, utilizando os conceitos de criptogra�a simétrica e assimétrica, é possível planejar
uma solução que envolva os princípios da segurança necessária aliados à velocidade no envio
das mensagens.
Caso a solução opte pelo uso apenas de criptogra�a simétrica, o problema estará em
compartilhar a mesma chave para todos os membros do chat, uma vez que deve ser utilizada a
mesma chave secreta. Dessa maneira, a melhor solução para garantir a segurança é por meio do
uso de chaves assimétricas. Neste modelo, a chave pública do usuário é disponibilizada para que
aqueles que queiram enviar uma mensagem a cifrem com a chave pública do receptor. 
Contudo, apesar de garantir a segurança do sistema, o uso de chaves assimétricas para toda a
troca de mensagens pode implicar em maior lentidão. Portanto, uma estratégia que pode ser
adotada é a combinação dos métodos simétricos e assimétricos, em que a chave simétrica será
enviada utilizando uma chave pública e, a partir deste momento, toda a comunicação pode ser
feita via criptogra�a simétrica, garantindo assim a segurança e rapidez do processo, o que foi
demandado pela empresa contratante.
Saiba mais
Disciplina
Criptografia
Criptogra�a simétrica. Fonte: elaborada pelo autor.
Criptogra�a assimétrica. Fonte: elaborada pelo autor.
Referências
Disciplina
Criptografia
COSTA, D. D. A matemática e os códigos secretos: uma introdução à criptogra�a. 2014.
Dissertação (Mestrado Pro�ssional em Matemática) – PROFMAT do Departamento de
Matemática, Centro de Ciências Exatas da Universidade Estadual de Maringá, Maringá, 2014.
Disponível em: http://repositorio.uem.br:8080/jspui/handle/1/5536. Acesso em: 24 maio. 2022.
SILVA, W. et al. A evolução da criptogra�a e suas técnicas ao longo da história. IFGO, 2019
,
Unidade 2
Técnicas de encriptação de dados
Aula 1
Princípios da segurança de dados
Introdução
http://repositorio.uem.br:8080/jspui/handle/1/5536
Disciplina
Criptografia
Iniciaremos nossos estudos abordando um pouco da importância da criptogra�a para a
segurança da informação. Porém, é importante destacar os desa�os que a segurança da
informação enfrentará diante do que conhecemos a respeito da computação quântica, que
tornará mais fácil quebrar certos tipos de criptogra�a, embora esses sistemas ainda sejam
experimentais hoje e ainda não sejam poderosos o su�ciente para a maioria das aplicações
práticas. 
Em seguida abordaremos a respeito da autenticidade, con�dencialidade, integridade e não
repúdio. Autenticidade é o ato de provar a própria identidade. E como o nome sugere, a
con�dencialidade trata de manter as informações que estão sendo trocadas pelo cliente e pelo
servidor, ocultas de outros agentes mal-intencionados na rede. Já a integridade trata de impedir
que os dados sejam modi�cados,e o não repúdio tem como objetivo impedir que uma
entidade/indivíduo negue a participação em uma comunicação.
Não existe método de segurança infalível
Disciplina
Criptografia
Criptogra�a é o estudo e a prática de técnicas para comunicação segura, trata-se de desenvolver
e analisar protocolos que impeçam que terceiros ou “mal-intencionados” recuperem informações
compartilhadas entre duas entidades, seguindo os diversos aspectos da segurança da
informação (SINGH, 2020). 
A criptogra�a em si é uma excelente proteção, porém é importante destacar que ela sozinha não
será su�ciente para defender caso ocorra alguma tentativa de violação. Isso pode acabar
induzindo a uma falsa ideia de plena segurança entre aqueles que necessitem dela, ou a ideia de
que não há com o que se preocupar já que está tudo “criptografado”. 
Logo, um conceito importante quando iniciamos nossos estudos em criptogra�a é conseguir
de�nir o que a palavra "seguro" signi�ca dentro deste contexto. 
 Segurança em criptogra�a 
Como regra geral, possivelmente toda mensagem protegida por criptogra�a pode ser quebrada,
dada uma quantidade su�ciente de poder de computação e tempo. O objetivo de usar
criptogra�a é garantir que o esforço (poder de computação multiplicado pelo tempo) seja muito
grande para que um invasor tente quebrar sua criptogra�a. Supondo que os algoritmos que você
usa não tenham falhas em seu design ou backdoors (porta de acesso não documentada que
permite ao administrador entrar no sistema) que possam ser explorados, uma maneira de os
invasores quebrarem sua criptogra�a é fazendo um ataque de força bruta (SEGALA, 2022). 
 Ataque de força bruta 
Disciplina
Criptografia
Um ataque de força bruta funciona tentando todas as combinações possíveis de chaves até que
seja encontrado o caminho que possibilite o acesso. Por exemplo, se você estivesse tentando
quebrar um cadeado de 3 dígitos, cada um de 0 a 9, você teria 1.000 combinações diferentes
(000, 001, 002… até 999), e logicamente o acesso correto seria uma dessas combinações. Em
média, você levaria 500 tentativas antes de encontrar a correta (o número de permutações
possíveis dividido por 2). Se cada tentativa levar três segundos para tentar, você pode esperar
que seja feito em 1.500 segundos em média, ou 25 minutos (SEGALA, 2022). 
Em teoria, a força bruta pode quebrar qualquer chave criptográ�ca. O objetivo é usar criptogra�a
forte o su�ciente para torná-la impraticável para quebrá-lo usando um ataque de força bruta.
Assim, uma mensagem deve ser considerada "quebrada" quando é possível decifrá-lo de forma
signi�cativamente mais rápida do que usar um ataque de força bruta. Obviamente que o poder de
computação aumenta constantemente, então o tempo que levará para quebrar a criptogra�a no
futuro será menor (SEGALA, 2022). 
A computação quântica também tornará mais fácil quebrar certos tipos de criptogra�a, embora
esses sistemas ainda sejam experimentais hoje e ainda não sejam poderosos o su�ciente para a
maioria das aplicações práticas (no entanto, os criptógrafos já estão se preparando para esse
futuro hoje, projetando sistemas "pós-quânticos" mais fortes algoritmos) (SEGALA, 2022). 
Dito isso, é importante sempre escolher algoritmos que garantam a proteção de nossos dados
pelo menos pelo tempo que for necessário. Com a crescente complexidade dos algoritmos
criptográ�cos e os avanços criptológicos, os dados estão �cando mais seguros a cada dia.
Porém, a criptogra�a sozinha não é capaz de proteger que os hackers roubem dados, logo é
importante que as empresas consigam ir além quanto as suas defesas e melhorar a postura em
segurança com ferramentas e�cientes de inteligência (MARQUES, 2016). 
Autenticidade e con�dencialidade
Disciplina
Criptografia
Autenticidade 
Autenticidade no contexto da criptogra�a, seria garantir que a origem da mensagem é verdadeira.
Há sistemas criptográ�cos que garantem essa autenticidade das mensagens, gerando os
Message Authentication Code (MAC).  
Mas, para entrarmos de fato no tema autenticação, é preciso entender a respeito de criptogra�a
de chave assimétrica, na qual teremos duas chaves: uma chave pública e uma chave privada.
Também conheceremos as duas propriedades importantes que acompanham o uso da
criptogra�a de chave assimétrica, no qual qualquer texto/mensagem criptografada usando uma
chave só pode ser descriptografada usando seu par oposto. Por exemplo, um texto criptografado
com uma chave pública só pode ser descriptografado com a chave privada correspondente e
vice-versa (MARISETTI, 2021). 
 Exempli�cando a descriptogra�a 
Digamos que Marina e João desejam se comunicar. Para isso, ambas as partes geram seu
próprio par de chaves pública e privada. A maneira como eles se comunicariam �caria assim: 
Disciplina
Criptografia
Marina envia uma mensagem para João criptografando-a usando a chave pública de
João. 
Marina anexa uma assinatura digital usando sua própria chave privada. 
João, ao receber a mensagem, pode usar sua própria chave privada para
descriptografar a mensagem enviada por Marina e visualizar seu conteúdo (isso é
possível devido à propriedade especial do par de chaves pública-privada que
discutimos anteriormente). 
Agora a parte interessante desse processo é: como João sabe que esta mensagem foi enviada
realmente por Marina, e não por algum invasor malicioso? É aqui que entram em cena a
assinatura digital e a propriedade especial das chaves público-privadas. Já que a assinatura
digital foi gerada pela própria chave privada da Marina, qualquer pessoa na rede, incluindo João,
pode obter sua chave pública e veri�car se consegue descriptografar a assinatura. Se eles
conseguirem descriptografar a assinatura, isso signi�ca que a assinatura digital foi realmente
gerada por Marina, por isso que ela pode se autenticar (provar sua identidade) para João.  
 Con�dencialidade 
Mas você pode se perguntar, como obter con�dencialidade para os dados que são trocados entre
o remetente e o destinatário?  
Como o nome sugere, a con�dencialidade trata de manter as informações que estão sendo
trocadas pelo cliente e pelo servidor (aplicativo) ocultas de outros agentes mal-intencionados na
rede. Isso é importante porque os pacotes de rede que trafegam pela rede podem ser
interceptados por algum invasor e visualizar quais informações estão sendo trocadas entre o
cliente e o servidor (MARISETTI, 2021). 
_______ 
Exempli�cando 
Consideremos um cenário em que você vai realizar o log in em uma determinada conta sua de
rede social. Você não deseja que algum invasor rastreie os dados e obtenha as credenciais da
sua conta. Por esta razão, é crucial criptografar a comunicação entre as duas partes durante a
troca de informações.  
_______ 
Dentro do contexto do estudo de con�dencialidade, temos a criptogra�a de chave simétrica, que
é qualquer algoritmo criptográ�co baseado em uma chave compartilhada que é usada para
criptografar ou descriptografar um texto/texto cifrado, em contrato com a criptogra�a de chave
assimétrica, em que as chaves de criptogra�a e descriptogra�a são diferentes. Exemplos de
criptogra�a de chave simétrica incluem AES, DES e 3DES. Esses algoritmos de criptogra�a são
comprovadamente resistentes a ataques maliciosos e são difíceis de descriptografar, e, ao
utilizar um desses tipos de algoritmos, podemos alcançar a tão desejada con�dencialidade.
Integridade e não repúdio
Disciplina
Criptografia
A integridade trata de impedir que os dados sejam modi�cados. Ela garante que os dados na
troca de informações não sejam adulterados por algum invasor mal-intencionado. 
A integridade é particularmente importante para dados críticos usados para atividades como
transferências eletrônicas de fundos, controle de tráfego aéreo e contabilidade �nanceira.
Fornecer integridade garante que os dados não sejam modi�cados, perdidos ou destruídos de
maneira acidental ou não autorizada. Um exemplo de violação de integridade seria alguém
obtendo acesso ao arquivo de folha de pagamento e alterando seu salário. 
_______ 
Para protegera integridade, use métodos de controle de acesso e empregue políticas de
auditoria robustas. Além disso, monitore a rede em busca de atividades incomuns ou suspeitas. 
_______ 
O não repúdio tem como objetivo impedir que uma entidade/indivíduo negue a participação em
uma comunicação, e pode ser usado em ambos os lados de uma conversa para impedir que
qualquer uma das partes negue seu envolvimento. 
 Exempli�cando o não repúdio 
Vamos entender melhor com o exemplo de uma situação em que usar uma assinatura digital ao
enviar um e-mail pode ajudar a fornecer não repúdio. 
Paulo é gerente de RH, e a sua supervisora é Luiza. Ela geralmente está ocupada, com muitas
tarefas e reuniões ao longo do dia. O assistente administrativo dela, Caio, percebe que o
aniversário da Luiza será daqui dois dias. Assim, Caio envia um e-mail para Paulo para comprar
Disciplina
Criptografia
um bolo de aniversário, planejar uma festa surpresa e convidar todos do escritório. Paulo conclui
todos os arranjos necessários e informa a Caio e ao departamento que tudo está pronto. 
Na quarta-feira, Luiza retorna de sua reunião matinal, em que é recebida por todo o departamento
desejando-lhe um feliz aniversário. Porém, ela olha ao redor da sala e �ca visivelmente sem
graça, e então se retira para seu escritório e fecha a porta. 
Mais tarde, Luiza chama Paulo e Caio em seu escritório e diz a eles que ela sabe que eles tiveram
boas intenções, mas ela não gosta de festa surpresa. Caio a�rma que não tem ideia de como
isso aconteceu. Paulo responde a Caio: "você me enviou um e-mail me dizendo para planejar o
evento!" Caio responde: "eu não enviei." 
Nesse ponto, Paulo não tem outro recurso senão assumir a culpa, pois Caio repudiou o fato de
ter solicitado a festa. 
Embora Paulo possa ter mostrado o e-mail recebido para tentar provar que foi Caio quem
solicitou a festa, isso pode não ser o su�ciente, pois é possível falsi�car (ou recriar) um e-mail.
Porém, se Caio tivesse enviado o e-mail usando uma assinatura digital, isso provaria que de fato
era dele.  
Na maior parte dos casos, é a partir da assinatura digital que temos contato com o não repúdio.
A assinatura digital é uma forma de assinar um documento de forma eletrônica, e é feita por
meio de uma tecnologia de criptogra�a que vincula um Certi�cado Digital do assinante ao
documento a ser assinado. Assim, se um Certi�cado Digital está de acordo com o processo de
certi�cação o�cial, além de garantir o não repúdio, assegura também a autenticidade e
integridade do documento ou da transação (VERAS, 2018). 
Ao usar uma assinatura digital, o não repúdio pode ser obtido da seguinte maneira: 
Prova de origem: garante que a mensagem foi enviada por uma entidade especí�ca. 
Comprovante de recebimento: garante que a mensagem foi recebida por uma
entidade especí�ca. 
Videoaula: Princípios da segurança de dados
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Com os avanços nas tecnologias e a crescente densidade de redes usadas para comunicação,
está se tornando uma necessidade extrema manter os canais de comunicação con�denciais,
corretos e autênticos. A criptogra�a evoluiu signi�cativamente com o tempo. Práticas
criptográ�cas modernas ajudam a proteger os canais de comunicação, bem como as
transmissões realizadas entre eles. Junto com a segurança, eles oferecem integridade,
con�dencialidade, não repúdio e autenticação. Vejamos então, um pouco da evolução da
criptogra�a neste bloco.
Disciplina
Criptografia
Saiba mais
Para entendermos um pouco mais a respeito da criptogra�a, seguem alguns links que abordam
com mais detalhes este assunto. Vale a pena conferir. 
Introdução à criptogra�a. 
Introdução à Criptogra�a e seus Fundamentos – uma edição de notas de aulas. 
Números inteiros e criptogra�a RSA – Este livro é uma introdução elementar à teoria dos
números e a alguns métodos matemáticos da criptogra�a. 
Abordagens para a moderação de conteúdo em Sistemas com Criptogra�a de Ponta a
Ponta. 
Referências
https://medium.com/@m0blabs/introdu%C3%A7%C3%A3o-a-criptografia-820206eda5a9
http://aleph0.info/cursos/ic/notas/cripto.pdf
http://aleph0.info/cursos/ic/notas/cripto.pdf
https://dcc.ufrj.br/~collier/Books/RSA.html
https://irisbh.com.br/wp-content/uploads/2022/02/Olhando-de-fora-para-dentro-Abordagens-para-a-moderacao-de-conteudo-em-Sistemas-com-Criptografia-de-Ponta-a-Ponta.pdf
https://irisbh.com.br/wp-content/uploads/2022/02/Olhando-de-fora-para-dentro-Abordagens-para-a-moderacao-de-conteudo-em-Sistemas-com-Criptografia-de-Ponta-a-Ponta.pdf
Disciplina
Criptografia
CENTER FOR DEMOCRACY & TECHNOLOGY (2022). Olhando de fora para dentro:  
abordagens para moderação de conteúdo em sistemas criptografados de ponta a ponta.
Tradução: SANTARÉM, Paulo Rená da Silva. VIEIRA, Victor Barbieri Rodrigues. Instituto de
Referência em Internet e Sociedade - IRIS-BH.  
 COUTINHO, S. C. Números inteiros e criptogra�a RSA. [s.d.]. Disponível em:
https://dcc.ufrj.br/~collier/Books/RSA.html. Acesso em: 9 jun. 2022. 
Disponível em: https://irisbh.com.br/wp-content/uploads/2022/02/Olhando-de-fora-para-dentro-
Abordagens-para-a-moderacao-de-conteudo-em-Sistemas-com-Criptogra�a-de-Ponta-a-
Ponta.pdf. Acesso em: 9 jun. 2022. 
 INTRODUÇÃO a criptogra�a. Medium, 29 ago 2017. Disponível em:
https://medium.com/@m0blabs/introdu%C3%A7%C3%A3o-a-criptogra�a-820206eda5a9. Acesso
em: 9 jun. 2022. 
 MARQUES, C. Criptogra�a: seus dados precisam de mais que isso. Canalthec, 2012. Disponível
em: https://canaltech.com.br/seguranca/criptogra�a-seus-dados-precisam-de-mais-que-isso-
58029/  Acesso em: 23 mar. 2022. 
 MARISETTI, M. Authenticity in cryptography. Medium, 2021. Disponível em:
https://medium.com/@mohithmarisetti_58912/authenticity-in-cryptography-a7cc24a016a5.
Acesso em: 23 mar. 2022. 
 MARISETTI, M. Con�dentiality in cryptography. Medium, 2021. Disponível em:
https://medium.com/@mohithmarisetti_58912/con�dentiality-in-cryptography-714112027e7.
Acesso em: 23 mar. 2022. 
 PELLEGRINI, J. C. Introdução à criptogra�a e seus fundamentos - notas de aula. 29 nov. 2019.
Disponível em: http://aleph0.info/cursos/ic/notas/cripto.pdf. Acesso em: 9 jun. 2022. 
 SEGALA, A. Essential cryptography for javascript developers. Packt, 2022. 220 p. Disponível em:
https://www.packtpub.com/product/essential-cryptography-for-javascript-
developers/9781801075336. Acesso em: 23 mar. 2022. 
https://dcc.ufrj.br/~collier/Books/RSA.html
https://irisbh.com.br/wp-content/uploads/2022/02/Olhando-de-fora-para-dentro-Abordagens-para-a-moderacao-de-conteudo-em-Sistemas-com-Criptografia-de-Ponta-a-Ponta.pdf
https://irisbh.com.br/wp-content/uploads/2022/02/Olhando-de-fora-para-dentro-Abordagens-para-a-moderacao-de-conteudo-em-Sistemas-com-Criptografia-de-Ponta-a-Ponta.pdf
https://irisbh.com.br/wp-content/uploads/2022/02/Olhando-de-fora-para-dentro-Abordagens-para-a-moderacao-de-conteudo-em-Sistemas-com-Criptografia-de-Ponta-a-Ponta.pdf
https://canaltech.com.br/seguranca/criptografia-seus-dados-precisam-de-mais-que-isso-58029/
https://canaltech.com.br/seguranca/criptografia-seus-dados-precisam-de-mais-que-isso-58029/
http://aleph0.info/cursos/ic/notas/cripto.pdf
https://www.packtpub.com/product/essential-cryptography-for-javascript-developers/9781801075336
https://www.packtpub.com/product/essential-cryptography-for-javascript-developers/9781801075336
Disciplina
Criptografia
 SINGH, G. Cryptography Introduction. Geeks for geeks. 2020. Disponível em:
https://www.geeksforgeeks.org/cryptography-introduction/. Acesso em: 23 ago. 2022. 
VERAS, C. Você sabe o que signi�ca não repúdio? Solutiresponde, 2018. Disponível em:
https://solutiresponde.com.br/voce-sabe-o-que-signi�ca-nao-repudio-descubra-neste-post/.
Acesso em: 2 abr. 2022.
Aula 2
Esteganogra�a digital
Introdução
Vamos iniciar nossos estudos com a de�nição de esteganogra�a, que é a prática de esconder
uma mensagem secretadentro (ou mesmo em cima) de algo que não é secreto. Podendo ser
usada para ocultar praticamente qualquer tipo de conteúdo digital, incluindo texto, imagem, vídeo
ou conteúdo de áudio; os dados a serem escondidos podem ser escondidos dentro de quase
qualquer outro tipo de conteúdo digital. 
Em seguida veremos a esteganogra�a de áudio, uma técnica usada para transmitir informações
ocultas modi�cando um sinal de áudio de maneira imperceptível, apesar de incorporar
mensagens secretas em som digital. E por �m, os métodos esteganográ�cos de imagem e vídeo,
tais abordagens ocultam informações modi�cando certos coe�cientes de saída durante o
procedimento de compressão.
https://www.geeksforgeeks.org/cryptography-introduction/
https://solutiresponde.com.br/voce-sabe-o-que-significa-nao-repudio-descubra-neste-post/
Disciplina
Criptografia
De�nição de esteganogra�a
A esteganogra�a é a prática de esconder uma mensagem secreta dentro (ou mesmo em cima)
de algo que não é secreto. Esse algo pode ser qualquer coisa que você quiser. Atualmente,
muitos exemplos de esteganogra�a envolvem a incorporação de um texto secreto dentro de uma
imagem, ou mesmo ocultar uma mensagem ou um script secreto dentro de um documento de
texto ou de uma planilha, e seu uso combinado com a criptogra�a como uma etapa extra para
ocultar ou proteger dados (SEMILOF, 2021). 
A esteganogra�a pode ser usada para ocultar praticamente qualquer tipo de conteúdo digital,
incluindo texto, imagem, vídeo ou conteúdo de áudio; os dados a serem escondidos podem ser
escondidos dentro de quase qualquer outro tipo de conteúdo digital. O conteúdo a ser ocultado
por esteganogra�a – chamado de texto oculto – geralmente é criptografado antes de ser
incorporado ao arquivo de texto de capa ou �uxo de dados aparentemente inócuo. Se não for
criptografado, o texto oculto geralmente é processado de alguma forma para aumentar a
di�culdade de detectar o conteúdo secreto (SEMILOF, 2021). 
Na esteganogra�a digital moderna, os dados são primeiro criptografados ou ofuscados de
alguma outra maneira e depois inseridos, usando um algoritmo especial, em dados que fazem
parte de um formato de arquivo especí�co, como uma imagem JPEG, arquivo de áudio ou vídeo
(SEMILOF, 2021). Quando uma vítima abre o documento, ela ativa o script secreto incorporado
(STANGER, 2020). 
________ 
Disciplina
Criptografia
Em vários casos, os invasores usaram esteganogra�a para ocultar seus malwares em imagens
carregadas nas redes sociais e, em seguida, usaram uma ferramenta local para baixá-los nos
computadores das vítimas. 
________ 
O invasor não precisa induzir o usuário a usar aplicativos; nesse caso, o hacker usa um aplicativo
esteganográ�co para aproveitar os aplicativos e recursos. Tudo o que a vítima precisa fazer
primeiramente, é clicar em um documento que um invasor modi�cou usando esteganogra�a.
Esse clique desencadeia um script oculto. Esse script instala um aplicativo instalador no
computador. Este aplicativo instalador se move rapidamente e é tão sutil que os aplicativos
antivírus típicos não percebem. Este downloader então vai para a Internet e pega versões
atualizadas de malware, que comprometem o computador da vítima (STANGER, 2020).  
Mas o uso da esteganogra�a em ataques cibernéticos não é isento de obstáculos. “Os principais
desa�os da esteganogra�a em termos de malware ou armazenamento de dados é que o
tamanho do arquivo aumenta (DICKSON, 2020). 
Também temos visto os invasores adicionarem Inteligência Arti�cial (IA) à mistura. Cada vez
mais, estamos vendo o uso da IA de várias táticas, incluindo esteganogra�a, para ocultar
informações. As implementações de IA conseguiram modi�car técnicas esteganográ�cas para
que os ataques não possam ser facilmente descobertos (STANGER, 2020). 
Os analistas de segurança trabalham para identi�car as táticas, as técnicas e os procedimentos
(TTPs) de invasores. Ao longo dos anos, eles identi�caram assinaturas típicas que os aplicativos
esteganográ�cos usam. É por isso que aplicativos antivírus, por exemplo, podem identi�car
movimentos típicos feitos por aplicativos esteganográ�cos. 
Ocultação em áudio
Disciplina
Criptografia
A esteganogra�a de áudio é uma técnica usada para transmitir informações ocultas modi�cando
um sinal de áudio de maneira imperceptível. Incorporar mensagens secretas em som digital é um
processo mais difícil (BALGURGI; JAGTAP, 2013).  
Mas qual é o truque por trás da esteganogra�a de áudio? A chave para todos os métodos de
estenogra�a de áudio é que exploram o sistema auditivo humano. Devido à sua anatomia, o
ouvido humano pode captar as vibrações de uma membrana entre a faixa de frequência de 20Hz
e 20 kHz. O alcance real para uma pessoa pode variar com base em vários fatores, como idade,
sexo e saúde. Por exemplo, o limite superior para um adulto de meia-idade geralmente é de cerca
de 12 a 15 kHz e degrada ainda mais com a idade. Além disso, a faixa de audição dos homens
degrada mais rapidamente do que a das mulheres (ARORA, 2018). 
Incorporar mensagens ocultas em som analógico geralmente é uma maneira mais desa�adora
do que incorporar mensagens em dados diferentes junto com fotogra�as virtuais. É importante
obter rotinas que limitem o acesso a esses documentos sonoro para sua segurança. Geralmente
as informações são inseridas em registros de áudio com o objetivo �nal de garantia de direitos
autorais ou para con�rmação de mídia informatizada. 
Assim, uma forma de alcançar a esteganogra�a de áudio seria usar a faixa de infrassom e/ou
ultrassom para transmitir nossa mensagem “secreta”, que seria acompanhada por um dado de
áudio “público” sendo reproduzido na faixa de frequência audível, a �m de enganar o receptor não
intencional. 
Algumas técnicas de esteganogra�a de áudio para ocultação de dados, são listadas a seguir. 
Disciplina
Criptografia
Least Signi�cant Bit (LSB): é uma das abordagens mais simples para a transferência
segura de dados. O LSB ou “Bit Menos Signi�cativo”, em termos computacionais,
representa o bit no lugar da unidade na representação binária de um número. A
esteganogra�a LSB é muito popular para a esteganogra�a de imagem, ou seja,
esconder segredos nas imagens. E a mudança no LSB afeta a cor tão levemente que
a mudança na cor geralmente não é perceptível ao olho humano. No entanto, o ouvido
humano é mais sensível a pequenas mudanças no som e, portanto, o “ruído” que
estamos adicionando teria maior chance de ser notado. Para superar esse problema
dessa forma trivial de algoritmo LSB, muitos pesquisadores sugeriram variantes que
aumentam a robustez no domínio de áudio. 
Estenogra�a baseada em modulação de frequência: este método é muito poderoso e
não induz ruído no sinal da portadora. Usando este método, incorporam um áudio
“secreto” em outro áudio “público”. O áudio secreto deverá �car imperceptível ao
ouvido humano e o receptor poderá extrair o áudio secreto em sua extremidade. A
ideia principal deste algoritmo é que consegue esconder o áudio secreto na faixa de
ultrassom, mantendo os dados de áudio públicos na faixa de audição normal. O áudio
quase ultrassom será inaudível para a maioria dos humanos acima de uma certa
idade. Pode-se decidir qual frequência de modulação de frequência usar, com base na
idade e até no sexo do seu alvo. 
Entre outras técnicas populares para esteganogra�a de áudio estão codi�cação de fase,
ocultação de eco e propagação de espectro. Essas técnicas clássicas não induzem ruído no sinal
e, portanto, são métodos mais robustos para obter esteganogra�a.
Ocultação em imagem e vídeo
Disciplina
Criptografia
Esteganogra�a em imagem 
Antes de entender como podemos esconder uma imagem dentro de outra, precisamos entender
o que é uma imagem digital. 
Podemos descrever uma imagem digital como um conjunto �nito de valores digitais, chamados
pixels. Os pixels são o menor elemento individual de uma imagem, contendo valores que
representam o brilho de uma determinada cor em qualquer ponto especí�co. Assim, podemos
pensar em uma imagem como uma matriz (ou umamatriz bidimensional) de pixels que contém
um número �xo de linhas e colunas (PRADO, 2018). 
Ao usarmos o termo “imagem digital”, estamos nos referindo aos “grá�cos raster”, que são
basicamente uma estrutura de dados matricial, representando uma grade de pixels, que por sua
vez pode ser armazenada em arquivos de imagem com formatos variados. 
Assim, cada pixel é uma amostra de uma imagem original. Isso signi�ca que mais amostras
fornecem representações mais precisas do original. A intensidade de cada pixel é variável. Em
sistemas de imagem colorida, uma cor é normalmente representada por três ou quatro
intensidades de componentes, como vermelho, verde e azul ou ciano, magenta, amarelo e preto.
Aqui, trabalharemos com o modelo de cores RGB (PRADO, 2018).  
Desse modo, cada pixel tem três valores (RGB), cada valor RGB é de 8 bits (signi�ca que
podemos armazenar oito valores binários) e os bits mais à direita são menos signi�cativos.
Portanto, se alterarmos os bits mais à direita, haverá um pequeno impacto visual na imagem
�nal. Esta é a chave de esteganogra�a para esconder uma imagem dentro de outra. Altere os bits
Disciplina
Criptografia
menos signi�cativos de uma imagem e inclua os bits mais signi�cativos da outra imagem, como
no modelo da imagem abaixo. 
Pixel para tipo de imagem 1, imagem 2 e novo pixel para uma nova imagem. Fonte: adaptada de Prado (2018).
Esteganogra�a em vídeo 
Já a esteganogra�a de vídeo está se tornando uma importante área de pesquisa em várias
tecnologias de ocultação de dados, o que se tornou uma ferramenta promissora, porque não
apenas o requisito de segurança da transmissão de mensagens secretas está se tornando mais
rigoroso, mas também o vídeo é mais favorecido.  
Até o momento, os métodos esteganográ�cos de vídeo geralmente são integrados ao processo
de compactação de vídeo. Tais abordagens ocultam informações modi�cando certos
coe�cientes de saída durante o procedimento de compressão. 
De acordo com a posição incorporada da mensagem secreta, a videoesteganogra�a é dividida
em três categorias:  
Intra-incorporação: são categorizados de acordo com os estágios de compactação de
vídeo, como vetores de movimento, interpolação de pixels, coe�cientes de
transformação. 
Pré-incorporação: são manipulados no vídeo bruto, que pode ser classi�cado em
domínios espaciais e de transformação. 
Pós-incorporação: são focados principalmente nos �uxos de bits, o que signi�ca que
o procedimento de incorporação e extração de esteganogra�a de vídeo são todos
manipulados no �uxo de bits compactado (YUNXIA et al., 2019). 
Disciplina
Criptografia
Videoaula: Esteganogra�a digital
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
A esteganogra�a é frequentemente comparada à criptogra�a, então para não ter mais dúvidas,
vamos ver o vídeo deste bloco. Veremos que enquanto a esteganogra�a oculta informações, a
criptogra�a se concentra em tornar os dados ilegíveis para todos, exceto para o destinatário
pretendido. E também veremos como detectar a esteganogra�a. Não deixe de conferir!
Saiba mais
Para entendermos um pouco mais a respeito da estenogra�a, seguem alguns links que abordam
com mais detalhes este assunto. Vale a pena conferir. 
Esteganogra�a. 
O que é esteganogra�a? 
O que é esteganogra�a [a arte de esconder informações em imagens]. 
https://www.gta.ufrj.br/grad/09_1/versao-final/stegano/introducao.html
https://www.techtudo.com.br/noticias/2015/07/o-que-e-esteganografia.ghtml
https://tecnoblog.net/responde/o-que-e-esteganografia-a-arte-de-esconder-informacoes-em-imagens/
https://tecnoblog.net/responde/o-que-e-esteganografia-a-arte-de-esconder-informacoes-em-imagens/
Disciplina
Criptografia
Referências
ARORA, S. K. Audio steganography: The art of hiding secrets within earshot (part 1 of 2). Sumit-
arora, 2018. Disponível em: https://sumit-arora.medium.com/audio-steganography-the-art-of-
hiding-secrets-within-earshot-part-1-of-2-6a3bbd706e15. Acesso em: 28 mar. 2022. 
 BALGURGI, P. P.; JAGTAP, S. K. Audio steganography used for secure data transmission. In:
Proceedings of international conference on advances in computing. Springer, New Delhi, 2013. p.
699-706. 
DICKSON, B. What is steganography? A complete guide to the ancient art of concealing
messages. Portswigger, 2020. Disponível em: https://portswigger.net/daily-swig/what-is-
steganography-a-complete-guide-to-the-ancient-art-of-concealing-messages. Acesso em: 28 mar.
2022. 
ESTEGANOGRAFIA. c2006. Disponível em: https://www.gta.ufrj.br/grad/09_1/versao-
�nal/stegano/introducao.html. Acesso em: 9 jun. 2022. 
GOGONI, R. O que é esteganogra�a [a arte de esconder informações em imagens]. Tecnoblog,
2019. Disponível em: https://tecnoblog.net/responde/o-que-e-esteganogra�a-a-arte-de-esconder-
informacoes-em-imagens/. Acesso em: 9 jun. 2022. 
LIU, Y. et al. Video steganography: a review. Neurocomputing, v. 335, p. 238-250, 2019. 
 PRADO, K. S. Steganography: Hiding an image inside another. Toward Data Science, 2018.
Disponível em: https://towardsdatascience.com/steganography-hiding-an-image-inside-another-
77ca66b2acb1. Acesso em: 28 mar. 2022. 
SEMILOF, M. What is steganography? Techtarget, 2021. Disponível em:
https://www.techtarget.com/searchsecurity/de�nition/steganography. Acesso em: 28 mar. 2022. 
STANGER, J. The ancient practice of steganography: what is it, how is it used and why do
cybersecurity pros need to understand it. Comptia, 2020. Disponível em:
https://sumit-arora.medium.com/audio-steganography-the-art-of-hiding-secrets-within-earshot-part-1-of-2-6a3bbd706e15
https://sumit-arora.medium.com/audio-steganography-the-art-of-hiding-secrets-within-earshot-part-1-of-2-6a3bbd706e15
https://portswigger.net/daily-swig/what-is-steganography-a-complete-guide-to-the-ancient-art-of-concealing-messages
https://portswigger.net/daily-swig/what-is-steganography-a-complete-guide-to-the-ancient-art-of-concealing-messages
https://www.gta.ufrj.br/grad/09_1/versao-final/stegano/introducao.html
https://www.gta.ufrj.br/grad/09_1/versao-final/stegano/introducao.html
https://tecnoblog.net/responde/o-que-e-esteganografia-a-arte-de-esconder-informacoes-em-imagens/
https://tecnoblog.net/responde/o-que-e-esteganografia-a-arte-de-esconder-informacoes-em-imagens/
https://towardsdatascience.com/steganography-hiding-an-image-inside-another-77ca66b2acb1
https://towardsdatascience.com/steganography-hiding-an-image-inside-another-77ca66b2acb1
https://www.techtarget.com/searchsecurity/definition/steganography
Disciplina
Criptografia
https://www.comptia.org/blog/what-is-
steganography#:~:text=The%20purpose%20of%20steganography%20is,data%20or%20using%20a
%20key. Acesso em: 28 mar. 2022.  
TECHTUDO. O que é esteganogra�a? 9 jun. 2015. Disponível em:
https://www.techtudo.com.br/noticias/2015/07/o-que-e-esteganogra�a.ghtml. Acesso em: 9 jun.
2022. 
Aula 3
Ferramentas para criptografar dados
Introdução
Vamos estudar alguns softwares que auxiliam na prática da criptogra�a. Um exemplo é o
VeraCrypt, uma solução de criptogra�a e um software de código aberto e que funciona em várias
plataformas. Ele pode criptografar pastas, arquivos e sistemas, oferecendo proteção extra contra
roubo de dados e vazamentos de dados. 
Em seguida veremos o BitLocker, um recurso de segurança e criptogra�a do Microsoft Windows,
que permite que os usuários criptografem tudo na unidade em que o Windows está instalado,
protege para impedir que os dados de um usuário sejam visualizados, extraídos ou recuperados
caso uma unidade seja roubada. 
E, por último, o GNU Privacy Guard é uma forma de criptogra�a de chave pública/chave privada. A
força da criptogra�a vem do fato de que um arquivo pode ser criptografado para um determinado
https://www.comptia.org/blog/what-is-steganography#:~:text=The%20purpose%20of%20steganography%20is,data%20or%20using%20a%20key
https://www.comptia.org/blog/what-is-steganography#:~:text=The%20purpose%20of%20steganography%20is,data%20or%20using%20a%20keyhttps://www.comptia.org/blog/what-is-steganography#:~:text=The%20purpose%20of%20steganography%20is,data%20or%20using%20a%20key
https://www.techtudo.com.br/noticias/2015/07/o-que-e-esteganografia.ghtml
Disciplina
Criptografia
destinatário usando apenas a chave pública, sendo necessário a chave privada correspondente
para descriptografá-lo.
VeraCrypt
Se você está procurando uma solução de criptogra�a e um software de código aberto, o
VeraCrypt pode fornecer a solução. Ele é o sucessor do TrueCrypt, um programa de criptogra�a
gratuito, multiplataforma e semelhante ao BitLocker da Microsoft. É o primeiro que funciona em
várias plataformas, incluindo Windows, MacOS, Linux (ELLIS, 2021).  
Algumas das principais características mais vantajosas são, de acordo com Ashutosh (2021): 
Criptogra�a em tempo real: os dados são criptografados antes de serem salvos e
descriptografados antes de serem usados sem qualquer interferência do usuário. 
Sem restrições de tempo: o processo de criptogra�a ou descriptogra�a pode ser
interrompido a qualquer momento e pode ser retomado a partir do ponto em que foi
interrompido. 
Volumes ocultos: os dados criptografados podem conter um volume criptografado
oculto, difícil de pesquisar ou identi�car. 
Modo portátil: a ferramenta pode ser executada em modo portátil, permitindo que
você a carregue em uma unidade �ash e execute sem instalar em um sistema. 
Disciplina
Criptografia
O VeraCrypt melhora e aprimora a segurança dos algoritmos usados quando sistemas e
partições são criptografados. Eles são virtualmente imunes a novos desenvolvimentos no caso
de ataques de força bruta. Ele pode criptografar pastas, arquivos e sistemas, oferece proteção
extra contra roubo de dados e vazamentos de dados.  
A capacidade de produzir volumes de criptogra�a em tempo real signi�ca que seus dados são
criptografados automaticamente antes de serem salvos. E seus dados são descriptografados
instantaneamente à medida que são carregados. Nenhum dado armazenado em um volume
criptografado pode ser descriptografado ou lido se o usuário não tiver a senha, as chaves de
criptogra�a ou o arquivo de chave corretos. Você pode criptografar um sistema de arquivamento
inteiro, incluindo nomes de pastas, nomes de arquivos, todo o conteúdo de cada arquivo,
metadados, espaço livre e muito mais (ELLIS, 2021). 
O VeraCrypt pode ser facilmente usado e instalado no Windows, bem como em vários outros
sistemas operacionais. Você só precisa seguir os passos a seguir: 
1. Baixe o VeraCrypt para sua plataforma nesta página.  
2. Abra o instalador após a conclusão do download. 
3. Marque “Aceito os termos de licença” e clique em “next” (como apresentado na imagem
abaixo).
Template da janela de instalação do VeraCrypt. Fonte: captura de tela do VeraCrypt.
4. Escolha a opção “Install” e clique em “Next” e clique no botão “Install” para iniciar o
processo de instalação (de acordo com a magem abaixo). 
https://www.veracrypt.fr/en/Downloads.html
Disciplina
Criptografia
Template da janela de instalação do VeraCrypt. Fonte: captura de tela do VeraCrypt.
Parabéns, o VeraCrypt agora está instalado em seu sistema! Com isso, quero dizer que, para
fazer o produto funcionar, não é simplesmente uma questão de alternar uma caixa de seleção.
Para tirar o máximo proveito, você precisará estar disposto a realmente aprender a usá-lo. Mas,
uma vez que você entenda apenas alguns processos simples, você poderá usar com pouco ou
nenhum esforço adicional.  
_______ 
Atenção 
O programa não tem a versão em português, logo é importante se familiarizar com o inglês para
utilizá-lo.  
_______ 
O VeraCrypt vem equipado com uma ferramenta que permite comparar os algoritmos de
criptogra�a suportados. Dessa forma, você sabe quais algoritmos fornecerão o melhor
desempenho. Outro benefício poderoso é que você pode negar o conhecimento de ter
informações con�denciais em seu computador porque não há como provar que essas
informações con�denciais existem em seu computador.
BitLocker
Disciplina
Criptografia
A Criptogra�a de Unidade de Disco BitLocker, ou apenas BitLocker, é um recurso de segurança e
criptogra�a do Microsoft Windows, que permite que os usuários criptografem tudo na unidade
em que o Windows está instalado, impedindo que os dados de um usuário sejam visualizados,
extraídos ou recuperados caso uma unidade seja roubada.  
O BitLocker usa um algoritmo de criptogra�a AES com uma chave de 128 bits ou uma chave de
256 bits para criptografar volumes de disco. Ele protege os dados quando um disco rígido é
roubado e está sendo usado em outro computador ou quando alguém tem acesso físico ao
disco. Para acessar a unidade em modo off-line, o BitLocker requer uma chave de recuperação
(TECHOPEDIA, 2016).  
Para executar o BitLocker, você precisará de um PC com Windows, além de uma unidade de
armazenamento com pelo menos duas partições e um Trusted Platform Module (TPM). Um TPM
é um chip especial que executa uma veri�cação de autenticação em seu hardware, software e
�rmware. Se o TPM detectar uma alteração não autorizada, seu PC inicializará em modo restrito
para impedir possíveis invasores (PAUL, 2016).  
_______ 
Atenção 
Se você não sabe se o seu computador tem um TPM ou várias partições, não se preocupe. O
BitLocker executará uma veri�cação do sistema quando você o iniciar para ver se o seu PC pode
usar o BitLocker (GILLIS, 2022). 
_______ 
E como usar o BitLocker? Ele é habilitado por padrão, mas se estiver desativado, poderá acessar
a barra de pesquisa do Windows e pesquisar por “BitLocker”. Caso esteja no dispositivo, ele
Disciplina
Criptografia
aparecerá no painel de controle, com uma das opções sendo “ligar” o BitLocker, conforme a
Figura 3. Outras opções incluem suspender a proteção, fazer backup de sua chave de
recuperação e desativar o BitLocker.
Painel de Controle demonstrando o BitLocker que pode ser ativado. Fonte: captura de tela do Windows 11.
Depois de ativá-lo, o Windows começa a veri�car as con�gurações do sistema. O usuário deverá
criar uma senha, que é necessária toda vez que acessar o PC ou a unidade. O usuário então
seleciona as con�gurações da chave de recuperação. Depois de clicar em “Avançar”, pode-se
selecionar quanto de sua unidade deseja criptografar.  
As opções de criptogra�a de dois volumes são para criptografar apenas o espaço em disco
usado ou criptografar a unidade inteira. Criptografar o espaço em disco usado refere-se apenas
ao espaço em disco que contém dados, enquanto criptografar a unidade inteira signi�ca que
todo o volume de armazenamento, incluindo o espaço livre, é criptografado (GILLIS, 2022). 
Depois de clicar nele, o usuário poderá executar uma veri�cação do sistema BitLocker que
garante que o mesmo possa acessar as chaves de recuperação e criptogra�a antes que qualquer
coisa seja criptografada. Após a veri�cação do sistema, o Assistente de Criptogra�a de Unidade
de Disco BitLocker reinicia o computador para iniciar o processo de criptogra�a do ponto de
extremidade. A proteção só é habilitada após o log in do usuário (GILLIS, 2022). 
Para descriptografar e desativar o BitLocker, o usuário deve procurar “Gerenciar BitLocker” em
sua barra de pesquisa do Windows, selecionar a opção que aparece e, em seguida, desativar o
BitLocker; o processo de descriptografar os dados iniciará. 
GnuPG
Disciplina
Criptografia
GNU Privacy Guard é uma implementação completa e gratuita do padrão OpenPGP, software de
propriedade da Symantec. É uma forma de criptogra�a de chave pública, que é baseada no uso
de um par de chaves público/privada. A força da criptogra�a vem do fato de que um arquivo pode
ser criptografado para um determinado destinatário usando apenas a chave pública, sendo a
chave privada correspondente necessária para descriptografar o arquivo. Então a ideia é dar sua
chave pública para seus amigos e colegas, mas mantenha a chave privada bem guardada
(ATKINSON, 2022). 
Com o GnuPG as chaves são associadas a um ID que consiste em um nome, comentário e
endereço de e-mail. Ao especi�cardestinatários, você pode usar o nome ou o endereço de e-mail,
mas devido à complexidade de lidar com os espaços nos nomes, usaremos o endereço de e-
mail. 
A chave privada é bloqueada adicionalmente com uma senha que é necessária para acessá-la.
Isso adiciona um nível adicional de segurança para impedir que alguém use sua chave privada se
obtiver acesso físico ao seu computador e à sua conta (ATKINSON, 2022). É uma ferramenta de
linha de comando com recursos para fácil integração com outros aplicativos.  
O GnuPG permite que você proteja seus arquivos usando criptogra�a. O GnuPG coloca os e-mails
em um envelope (segurança de ponta a ponta), o que garante que ninguém possa lê-los enquanto
estão sendo transferidos, fazendo com que apenas o remetente e o destinatário possam ler os e-
mails.  
O GnuPGg está disponível gratuitamente nesta página. Para instalar em seu computador,
primeiro acesse o site e baixe o pacote do Windows na página Downloads. Procure a “versão
completa do GnuPG para Windows” em “versões binárias do GnuPG” (conforme a imagem abaixo
apresentada). O arquivo que você baixar será um arquivo de extração automática. Execute-o e
siga as instruções.
http://www.gnupg.org/
Disciplina
Criptografia
Página de download GnuPG. Fonte: captura de tela do site GnuPG.
Uma janela se abrirá dando a você uma visão geral do que será instalado, e clique em “Next”,
após a janela com o contrato de licença que se abrirá, clique no botão “Next”, teremos a janela
aparecendo escolha de componentes, porém o pacote do GnuPG não possui componentes para
selecionar, então clique novamente em “Next”, como na imagem abaixo. 
Disciplina
Criptografia
Janela demonstrativa com a escolha de componentes do pacote GnuPG. Fonte: captura de tela do site GnuPG.
Videoaula: Ferramentas para criptografar dados
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
As empresas investem em defesas contra ameaças de última geração, no entanto, mesmo as
melhores ferramentas pressupõem que as violações de dados acontecem, e depois que os
invasores obtêm acesso a uma rede ou a dados em trânsito, o melhor curso de ação para
proteger informações con�denciais é torná-las indecifráveis. O software de criptogra�a protege
os dados em movimento e os dados em repouso. Vejamos uma lista que contém ferramentas de
criptogra�a tradicionais, bem como ferramentas de criptogra�a quântica mais recentes. 
Saiba mais
Disciplina
Criptografia
Para entendermos um pouco mais a respeito da criptogra�a e seus softwares, seguem alguns
que abordam com mais detalhes este assunto.  
VeraCrypt – documentação (em inglês). 
BitLocker – visão geral. 
GnuPG (em inglês). 
Referências
ASHUTOSH, K. S. A look into VeraCrypt – A powerful data encryption tool. Hongkiat, 2021.
Disponível em: https://www.hongkiat.com/blog/veracrypt-encryption-tool/. Acesso em: 3. abr.
2022. 
 ATKINSON, I. Introduction to GnuPG. IanAtkinson, 2022. Disponível em:
https://ianatkinson.net/computing/gnupg.htm. Acesso em: 3 abr. 2022. 
 ELLIS, W. VeraCrypt review: a superb open-source disk encryption software. Privacy Australia,
2021. Disponível em: https://privacyaustralia.net/veracrypt-review/. Acesso em: 3 abr. 2022. 
 GILLIS, A. S. BitLocker. TechTarget, 2022. Disponível em:
https://www.techtarget.com/searchenterprisedesktop/de�nition/BitLocker. Acesso em: 3 abr.
2022. 
 GNUPG. c1998-2020. Disponível em: https://gnupg.org/. Acesso em: 9 jun. 2022. 
 MICROSOFT. BitLocker. 4 jun. 2022. Disponível em: https://docs.microsoft.com/pt-
br/windows/security/information-protection/bitlocker/bitlocker-overview. Acesso em: 9 jun.
2022. 
https://www.veracrypt.fr/en/Documentation.html
https://docs.microsoft.com/pt-br/windows/security/information-protection/bitlocker/bitlocker-overview
https://gnupg.org/
https://www.hongkiat.com/blog/veracrypt-encryption-tool/
https://ianatkinson.net/computing/gnupg.htm
https://privacyaustralia.net/veracrypt-review/
https://www.techtarget.com/searchenterprisedesktop/definition/BitLocker
https://gnupg.org/
https://docs.microsoft.com/pt-br/windows/security/information-protection/bitlocker/bitlocker-overview
https://docs.microsoft.com/pt-br/windows/security/information-protection/bitlocker/bitlocker-overview
Disciplina
Criptografia
 PAUL, I. A beginner’s guide to BitLocker, Windows’ built-in encryption tool. PCWorld, 2016.
Disponível em: https://www.pcworld.com/article/439533/bitlocker-windows-built-in-encryption-
tool.html. Acesso em: 3 abr. 2022. 
 TECHOPEDIA. BitLocker. Techopedia, 2016. Disponível em:
https://www.techopedia.com/de�nition/13576/bitlocker. Acesso em: 3 abr. 2022.  
 VERA CRYPT. Table of Contents. [s.d.]. Disponível em:
https://www.veracrypt.fr/en/Documentation.html. Acesso em: 9 jun. 2022.
Aula 4
Compreendendo a criptogra�a no cotidiano
Introdução
Olá, estudante! 
Vamos começar nossos estudos falando de algumas aplicações de criptogra�a no nosso dia a
dia. E não poderíamos começar nossos estudos, sem citar o aplicativo de mensagens mais
utilizado no Brasil, o WhatsApp. Esta plataforma de mensagens habilitou a criptogra�a de ponta a
ponta – por padrão – para seus bilhões de usuários, na tentativa de deixar sua ferramenta cada
vez mais segura para todos que o utilizam. 
Em seguida veremos a importância da criptogra�a no armazenamento de senhas. Práticas como
utilizar funções de hash, salting, pepper, repetição do número de iterações hash, ou mesmo a
https://www.pcworld.com/article/439533/bitlocker-windows-built-in-encryption-tool.html
https://www.pcworld.com/article/439533/bitlocker-windows-built-in-encryption-tool.html
https://www.techopedia.com/definition/13576/bitlocker
https://www.veracrypt.fr/en/Documentation.html
Disciplina
Criptografia
combinação destes, são propostas interessantes e que podem aumentar a segurança do
armazenamento das senhas. 
E por último veremos que as transações on-line precisam da máxima segurança para evitar
possíveis fraldes de qualquer tipo.
Criptogra�a ponta a ponta (mensageiros como WhatsApp)
Poucos serviços �zeram tanto para levar mensagens seguras a inúmeras pessoas do que o
WhatsApp. Desde 2016, a plataforma de mensagens habilitou a criptogra�a de ponta a ponta –
por padrão – para seus bilhões de usuários. Em um canal de comunicação criptografado de
ponta a ponta, apenas o remetente e o destinatário possuem as chaves necessárias para
descriptografar as mensagens um do outro.  
De acordo com a própria documentação do WhatsApp, praticamente toda a sua comunicação na
plataforma é protegida com criptogra�a de ponta a ponta. Isso inclui mensagens, mídia, notas de
voz, chamadas e até atualizações de status (WHATSAPP, 2021). 
O protocolo de criptogra�a Signal usado pelo WhatsApp combina várias técnicas criptográ�cas,
começando com a criptogra�a de chave pública. Simpli�cadamente, envolve cada usuário que
possui um par de chaves geradas aleatoriamente – uma que permanece privada e outra que é
distribuída publicamente. 
No entanto, a criptogra�a de chave pública padrão não é segura o su�ciente por si só. Ele sofre
de um único ponto de falha. Se sua chave privada for comprometida, um invasor poderá
Disciplina
Criptografia
descriptografar seus bate-papos passados, presentes e futuros completamente desmarcados.
Para remediar isso, os desenvolvedores por trás do protocolo do Signal criaram uma nova técnica
chamada criptogra�a de dupla catraca (WANKHEDE, 2022). 
Em vez de usar um conjunto estático de chaves para cada usuário, o protocolo usa uma
combinação de chaves permanentes e temporárias. O último muda toda vez que você envia uma
nova mensagem. Isso signi�ca que, se um invasor teórico obtiver acesso a uma chave especí�ca,
ele não poderá descriptografar mais do que algumas mensagens. A renovação constante das
chaves parece uma solução exagerada, mas também é simples o su�ciente para que nossos
smartphones possam lidar com isso sem esforço.Atualmente, as pessoas possuem também a opção de proteger seus backups usando
criptogra�a no armazenamento no WhatsApp por meio de serviços baseados em nuvem. Os
usuários podem escolher como a chave de criptogra�a é armazenada. A forma de
armazenamento mais simples é para os usuários armazenarem a chave aleatória. 
A opção de a chave aleatória ser armazenada na infraestrutura do WhatsApp é chamada de
Backup Key Vault baseada em módulo de segurança de hardware (HSM), acessível por meio de
uma senha criada pelo usuário. O HSM Backup Key Vault é responsável por impor tentativas de
veri�cação de senha e tornar a chave permanentemente inacessível após um certo número de
tentativas incorretas de log in. 
Quando o proprietário da conta precisa acessar seu backup, ele pode acessá-lo com sua chave
de criptogra�a ou pode usar sua senha pessoal para recuperar sua chave de criptogra�a do
Backup Key Vault baseado em HSM e descriptografar seu backup. 
As medidas de segurança fornecem a proteção necessária para impedir tentativas de força bruta
para recuperar uma chave. Para redundância, a chave será distribuída por vários data centers
executados em um modelo de consenso. O WhatsApp disse que saberia que uma chave existe
no cofre, mas não saberia a chave em si (WHATSAPP, 2021). 
Depois que o backup é criptografado, ele é armazenado em armazenamento de terceiros, como
Google Drive ou iCloud. Como os backups são criptografados com uma chave que o Google ou a
Apple não possuem, eles não são capazes de ver seus dados privados. 
Armazenamento de senhas
Disciplina
Criptografia
É essencial armazenar as senhas de forma a evitar que sejam obtidas por um invasor. A maioria
das linguagens e estruturas modernas fornece funcionalidade integrada para ajudar a armazenar
senhas com segurança. 
Digamos que um invasor consiga recuperar um banco de dados de uma aplicação Web e extraia
dele o par <Login, Password> que estão contidos na Tabela abaixo apresentada. 
Disciplina
Criptografia
Exemplo de log in e senha de usuários. Fonte: elaborado pela autora.
Nesse caso, o invasor possui diretamente as senhas de todos os usuários em texto simples.
Armazenar senhas em texto simples não é uma solução segura. Ninguém, incluindo
administradores de sites/bancos de dados, deve ter acesso à senha de texto simples do usuário.
Existem muitas corporações que ainda usam essa abordagem ingênua. Você pode dizer isso,
quando, por exemplo, esquece sua senha e pede para ajudá-lo a recuperá-la, eles têm a gentileza
de enviá-la em texto simples. 
Em alguns casos, as senhas são armazenadas em um banco de dados após serem
criptografadas por um algoritmo reversível. Como o algoritmo é reversível, o invasor conhece sua
senha em formato de texto simples/criptografado, e pode adivinhar a lógica da criptogra�a e
tentar revertê-la. Se ele for bem-sucedido, todas as senhas serão recuperadas tão rapidamente
quanto em texto simples, independentemente da complexidade do algoritmo. 
 Hash 
Outra prática pode ser utilizar as funções de hash para armazenar senhas. Esses são algoritmos
de mapeamento unidirecionais e não podem ser revertidos. Uma vez que um texto simples entra
na função hash, não há como obter o texto simples dado um hash. É como converter uma
formiga em um elefante, tente reverter isso! 
Esta é obviamente uma abordagem melhor do que usar texto simples, em primeiro lugar, se
houver uma violação de segurança em seu sistema e os invasores obtiverem acesso ao banco de
dados, eles não saberão as senhas em si.  
Apesar de as funções de hash unidirecionais não poderem ser revertidas, existem algumas
técnicas como ataque de força bruta e Rainbow Tables que podem ajudá-lo a quebrar as senhas.
Disciplina
Criptografia
A primeira técnica pode levar dias, meses ou até anos para um hacker decifrá-la. Uma boa prática
contra isso é usar “hashing e salting” (VAADATA, 2022). 
Esta técnica é considerada uma das mais seguras atualmente. Está adicionando “algo” (um “sal”
ou salt – em inglês) e fazendo hash junto com a senha do usuário. Mas o que é um “sal”? É uma
string aleatória (mínimo de 8 bytes) que é gerada para cada usuário ao se registrar em seu site. 
Ao contrário de um sal, que é único para cada senha, a pimenta (pepper) será a mesma para
todas as senhas, porém não deve ser armazenada dentro do banco de dados. A pimenta tem
como objetivo di�cultar que os invasores quebrem os hashes, mesmo quando obtêm o banco de
dados completo do aplicativo, incluindo os sais. Um invasor que “apenas” entendeu um banco de
dados deve adivinhar a “pimenta” ou recuperá-la de outra maneira para poder quebrar os hashes
com e�ciência. 
Outra maneira de aumentar a segurança é repetir o número de iterações de hash. Aumentar o
número de iterações signi�ca que vamos fazer o hash da senha várias vezes. Por exemplo, com
sha512 temos o seguinte loop como demonstrado no Código 1: 
Sintaxe para exempli�car uma iteração de hash. Fonte: VAADATA (2020).
E, por �m, podemos também mesclar os três métodos (sal, pimenta e número de iterações) para
ter um método para armazenar senhas com mais segurança do que um simples hash. 
Internet Banking
Disciplina
Criptografia
É simples, rápido e seguro acessar todos os serviços bancários on-line. Com o advento da
digitalização, quase todos os bancos agora oferecem Internet Banking, permitindo que os
clientes realizem todas as transações bancárias on-line, funcionalidade esta que elimina a
necessidade de um cliente visitar �sicamente o banco. Tudo pode ser concluído em minutos,
independente do horário ou local do usuário. 
O Internet Banking é um sistema eletrônico disponibilizado pelos bancos aos seus clientes que
lhes permite acessar em minutos uma variedade de serviços bancários, como transferências de
dinheiro, rastreamento de transações e assim por diante.  
Logo, essas transações on-line precisam da máxima segurança para evitar possíveis fraudes de
qualquer tipo. E a segurança é fornecida na forma de senha, código PIN, biometria, assinatura
digital, esteganogra�a etc. 
A criptogra�a no Internet Banking funciona basicamente quando, ao visitar a página de log in do
banco on-line, seu navegador estabelece uma sessão com o navegador do banco. Para que a
sessão seja segura, ela é estabelecida usando um protocolo chamado HTTPS, que utiliza o
TLS/SSL, uma tecnologia de segurança que permite que os usuários estabeleçam sessões com
sites da internet seguros, o que signi�ca que eles têm um risco mínimo de violação externa. Este
protocolo requer a troca das chamadas chaves pública e privada.  
Uma vez que as chaves são trocadas, seu navegador usará os números para embaralhar
(criptografar) as mensagens enviadas entre seu navegador e nosso servidor. Ambos os lados
exigem as chaves porque precisam decodi�car (descriptografar) as mensagens recebidas. O
protocolo TLS/SSL garante a privacidade, mas também assegura que nenhum outro site possa
"personi�car" o site da sua instituição �nanceira, nem alterar as informações enviadas. 
Para a proteção, os servidores do banco exigem que o navegador se conecte com criptogra�a do
tipo Padrão Criptográ�co Avançado (Advanced Encryption Standard – AES), um algoritmo de
cifra de bloco simétrico com um tamanho de bloco de 128 bits. Ele converte esses blocos
Disciplina
Criptografia
individuais usando chaves de 128, 192 e 256 bits. Depois de criptografá-los, ele os une para
formar o texto cifrado (SIMPLILEARN, 2022).  
Esse modelo é considerado o mais con�ável e e�ciente, um dos melhores protocolos de
criptogra�a disponíveis, pois combina perfeitamente velocidade e segurança na proteção de
qualquer tipo de ciberataque convencional. A utilização desse tipo de criptogra�a pode exigir que
alguns usuários �nais atualizem seu navegador para o nível de criptogra�a mais forte (RIMKIENÈ,
2020). 
A seguir estão algumas das características do Internet Banking que tornam este sistema
eletrônico tão popular: 
Permite acesso rápido a todos os serviços bancários. 
Os clientes podem veri�car facilmente seu saldo e históricode transações a qualquer
momento. 
Pagamentos de contas e transferências são simpli�cadas. 
Oferece um ambiente seguro para uma variedade de transações bancárias. 
Cada cliente tem um ID bancário e senha distintos. 
Os clientes podem até usar o Internet Banking para solicitar um empréstimo ou
seguros. 
Permite que os clientes atualizem facilmente seus cartões de débito/crédito, bem
como os bloqueiem quando necessário. 
Os clientes também podem atualizar facilmente seus endereços primários e
secundários. 
Videoaula: Compreendendo a criptogra�a no cotidiano
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
No �nal, seria imperativo a�rmar que a criptogra�a tem aplicações do mundo real que são
inevitáveis. À medida que um mundo virtual está sendo desenvolvido, está se tornando
importante para operações habilitadas para criptogra�a em muitos campos. Seja transações
�nanceiras ou comunicação militar, a criptogra�a é o assunto da vez. Um processo de
transmissão de mensagens sem permitir o acesso a qualquer criptogra�a de terceiros tornou-se
indispensável. Dito isso, vejamos nesta videoaula mais algumas aplicações de criptogra�a no
nosso cotidiano. 
Saiba mais
Disciplina
Criptografia
Para entendermos um pouco mais a respeito da criptogra�a e seus softwares, seguem alguns
links que abordam com mais detalhes este assunto. Vale a pena conferir. 
Criptogra�a: Conceito e aplicações. 
Criptogra�a Quântica.  
Criptogra�a de dados: importância para a segurança da empresa. 
Referências
https://www.devmedia.com.br/criptografia-conceito-e-aplicacoes-revista-easy-net-magazine-27/26761
https://www.gta.ufrj.br/grad/08_1/quantica/cap3.html
https://www.strongsecurity.com.br/blog/criptografia-de-dados-importancia-para-seguranca-da-empresa/
Disciplina
Criptografia
CRIPTOGRAFIA de dados: importância para a segurança da empresa. Strong Security, 5 mar.
2018. Disponível em: https://www.strongsecurity.com.br/blog/criptogra�a-de-dados-importancia-
para-seguranca-da-empresa/. Acesso em: 9 jun. 2022. 
 ERICKSEN. Criptogra�a: Conceito e aplicações - Revista Easy Net Magazine 27. Devmedia, 2012.
Disponível em: https://www.devmedia.com.br/criptogra�a-conceito-e-aplicacoes-revista-easy-net-
magazine-27/26761. Acesso em: 9 jun. 2022. 
 FRANCESE, J. P. S. Criptogra�a quântica. Universidade Federal do Rio de Janeiro, 3 jun. 2008.
Disponível em: https://www.gta.ufrj.br/grad/08_1/quantica/cap3.html. Acesso em: 9 jun. 2022. 
 KRASSOVSKY, S.; CADDEN, G. How WhatsApp is enabling end-to-end encrypted backups.
Engineering as Meta, 2021. Disponível em:
https://engineering.fb.com/2021/09/10/security/whatsapp-e2ee-backups/. Acesso em: 12 abr.
2022. 
 RIMKIENÈ, R. What is AES encryption and how does it work? Cybernews, 2020. Disponível em:
https://cybernews.com/resources/what-is-aes-encryption/. Acesso em: 15 abr. 2022. 
 SIMPLILEARN. What is AES encryption and how does it work? Simplilearn, 2022. Disponível em:
https://www.simplilearn.com/tutorials/cryptography-tutorial/aes-encryption. Acesso em: 15 abr.
2022. 
 WANKHEDE, DeCalvin. Is WhatsApp safe? How does its end-to-end encryption work? Android
Authority, 2022. Disponível em: https://www.androidauthority.com/whatsapp-encryption-safe-
3087607/. Acesso em: 12 abr. 2022. 
 VAADATA. How to securely store passwords in database? Vaadata, 2020. Disponível em:
https://www.vaadata.com/blog/how-to-securely-store-passwords-in-database/. Acesso em: 12
abr. 2022. 
 WHATSAPP. Sobre a criptogra�a de ponta a ponta. Whatsapp, 2021. Disponível em:
https://faq.whatsapp.com/general/security-and-privacy/end-to-end-encryption/?lang=en. Acesso
em: 12 abr. 2022. 
https://www.strongsecurity.com.br/blog/criptografia-de-dados-importancia-para-seguranca-da-empresa/
https://www.strongsecurity.com.br/blog/criptografia-de-dados-importancia-para-seguranca-da-empresa/
https://www.devmedia.com.br/criptografia-conceito-e-aplicacoes-revista-easy-net-magazine-27/26761
https://www.devmedia.com.br/criptografia-conceito-e-aplicacoes-revista-easy-net-magazine-27/26761
https://www.gta.ufrj.br/grad/08_1/quantica/cap3.html
https://engineering.fb.com/2021/09/10/security/whatsapp-e2ee-backups/
https://cybernews.com/resources/what-is-aes-encryption/
https://www.simplilearn.com/tutorials/cryptography-tutorial/aes-encryption
https://www.androidauthority.com/whatsapp-encryption-safe-3087607/
https://www.androidauthority.com/whatsapp-encryption-safe-3087607/
https://www.vaadata.com/blog/how-to-securely-store-passwords-in-database/
https://faq.whatsapp.com/general/security-and-privacy/end-to-end-encryption/?lang=en
Disciplina
Criptografia
Aula 5
Revisão da unidade
Compreendendo as principais técnicas de criptogra�a de dados e
identi�cando cenários de aplicação
A criptogra�a está relacionada à prática de aplicação de técnicas visando a comunicação segura.
Trata-se de desenvolver e analisar protocolos que impedem ações “mal-intencionadas”,
recuperando informações compartilhadas entre duas entidades, seguindo os diversos aspectos
da segurança da informação (SINGH, 2020). 
A técnica da criptogra�a em si é uma importante proteção, porém ela por si só não é o su�ciente
na defesa de tentativas de violação de um sistema, o que acarreta uma falsa ideia de plena
segurança entre aqueles que necessitem dela, ou a ideia de que não há com o que se preocupar,
já que como tudo está “criptografado”, logo tudo está completamente seguro. 
Os métodos criptográ�cos protegem a con�dencialidade, autenticidade e integridade.
Con�dencialidade é proteger as informações de serem acessadas por terceiros não autorizados
ou, em outras palavras, garantir que apenas aqueles que estão autorizados tenham acesso a
dados restritos. Integridade refere-se a proteger as informações de serem alteradas, e
autenticidade tem a ver com a identi�cação do proprietário das informações. 
O não repúdio tem como objetivo impedir que uma entidade/indivíduo negue a participação em
uma comunicação e pode ser usado em ambos os lados de uma conversa para impedir que
qualquer uma das partes negue seu envolvimento. 
Disciplina
Criptografia
A esteganogra�a consiste na prática de esconder uma mensagem secreta dentro (ou mesmo em
cima) de algo que não é secreto, podendo ser qualquer coisa que a pessoa queira. Diversos
exemplos de esteganogra�a atualmente envolvem a incorporação de um texto secreto dentro de
uma imagem, ou mesmo ocultar uma mensagem ou script secreto dentro de um documento de
texto ou planilha, e seu uso combinado com criptogra�a como uma etapa extra para ocultar ou
proteger dados (SEMILOF, 2021). 
A esteganogra�a pode ser aplicada em áudio, imagens ou mesmo vídeos. A técnica aplicada em
áudio é usada para transmitir informações ocultas modi�cando um sinal de áudio de modo que
�que imperceptível (BALGURGI e JAGTAP, 2013). Até o momento, os métodos esteganográ�cos
de vídeo geralmente são integrados ao processo de compactação de vídeo. Tais abordagens
ocultam informações modi�cando certos coe�cientes de saída durante o procedimento de
compressão. 
Alguns softwares auxiliam na prática da criptogra�a: 
O VeraCrypt é uma solução de criptogra�a e um software de código aberto e que
funciona em várias plataformas. Ele pode criptografar pastas, arquivos e sistemas,
oferecendo proteção extra contra roubo de dados e vazamentos de dados.  
O BitLocker, um recurso de segurança e criptogra�a do Microsoft Windows, que
permite que os usuários criptografem tudo na unidade em que o Windows está
instalado, protege para impedir que os dados de um usuário sejam visualizados,
extraídos ou recuperados caso uma unidade seja roubada (GILLIS, 2022).  
O GNU Privacy Guard é uma forma de criptogra�a de chave pública/chave privada. A
força da criptogra�a vem do fato de que um arquivo pode ser criptografado para um
determinado destinatário usando apenas a chave pública, sendo necessária a chave
privada correspondente paradescriptografar o arquivo (ATKINSON, 2022). 
Podemos concluir que a criptogra�a encontra uso em muitas áreas, desde segurança em portais
de pagamento até plataformas de mensagens seguras como o WhatsApp. A criptogra�a
continuará a desempenhar um papel vital e crucial na segurança de todos os aspectos do nosso
mundo técnico. 
Videoaula: Revisão da unidade
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Com o conhecimento de con�dencialidade, integridade e autenticidade, bem como o objetivo
principal de criptogra�a, hashing, codi�cação e ofuscação, você pode ver que cada mecanismo
serve a propósitos diferentes e deve ser cuidadosamente escolhido de acordo com seus
Disciplina
Criptografia
objetivos. Veremos neste bloco um pouco mais essas abordagens fundamentais nos estudos de
criptogra�a!
Estudo de Caso
A criptogra�a garante a autorização, autenticação, integridade, con�dencialidade e não repúdio
dos serviços básicos de segurança em todas as comunicações e trocas de dados nos meios
digitais. E essas garantias são alcançadas da seguinte forma: 
Con�dencialidade – por meio de criptogra�a. 
Autenticação – por meio de assinaturas digitais e certi�cados digitais. 
Integridade – mediante geração de uma assinatura digital com uma chave pública e
obtenção do resumo da mensagem, em seguida, hash da mensagem para obter um
segundo resumo. Se os resumos forem idênticos, a mensagem é autêntica e a
identidade do signatário é comprovada. 
Não repúdio – por meio de assinaturas digitais de uma mensagem com hash,
criptografando o resultado com a chave privada do remetente, vinculando a
assinatura digital à mensagem que está sendo enviada. 
Logo é importante saber responder como a criptogra�a protege seu tráfego na Internet. O
Transport Layer Security (TLS) é um protocolo projetado para adicionar con�dencialidade,
integridade e autenticidade às comunicações de rede. Mais notavelmente, é o protocolo que
transforma HTTP em HTTPS, embora seu uso não se limite ao tráfego HTTP. 
Disciplina
Criptografia
TLS é a versão moderna de um protocolo mais antigo chamado Secure Sockets Layer (SSL). As
referências ao SSL hoje são mais habituais porque o protocolo SSL real foi considerado inseguro
desde 2014, devido a uma vulnerabilidade no nível do protocolo apelidada de “POODLE”. É um
ataque fascinante, apesar do nome, um acrônimo para “Padding Oracle On Downgraded Legacy
Encryption”. 
Pensando em seu trabalho como um consultor especialista em criptogra�a, cuja incumbência
recebida foi explicar a um determinado grupo de interessados em melhorias de segurança no seu
tráfego de internet e desejosos de garantir todas as três propriedades de segurança, explique
como o TLS faz uso de criptogra�a assimétrica e simétrica em conjunto com hash e assinaturas
digitais e contribui para a segurança no tráfego da internet.
______
Re�ita
A criptogra�a se originou há cerca de quatro mil anos e evoluiu muito desde então. Atualmente a
criptogra�a tornou-se onipresente em nossas vidas sem que a maioria de nós perceba. Seu
aspecto fundamental permaneceu o mesmo ao longo do tempo, que é ocultar informações em
trânsito e disponibilizá-las apenas para os destinatários pretendidos. 
A criptogra�a envolve o uso de termos como texto simples, texto cifrado, algoritmo, chave,
criptogra�a e descriptogra�a.  
Texto simples é o texto ou mensagem que precisa ser transmitido aos destinatários
pretendidos e que precisa ser ocultado.  
Texto cifrado, por outro lado, é o texto que foi transformado por algoritmos e que é
sem sentido. 
O processo de conversão da informação de texto simples para texto cifrado é conhecido como
criptogra�a. Em linhas semelhantes, o processo de conversão de texto cifrado em texto simples
é a descriptogra�a. 
A fórmula matemática complexa que é usada para converter texto simples em texto cifrado é
conhecida como algoritmo.  
Além disso, tanto o remetente quanto o destinatário têm chaves semelhantes ou diferentes para
criptografar e descriptografar a mensagem.  
Uma chave é um “valor que compreende uma grande sequência de bits aleatórios”
(MANIKANDAN, 2018). Quanto maior o tamanho da chave, mais difícil será quebrar o algoritmo.
O algoritmo e a chave são os dois componentes importantes de um sistema criptográ�co. 
______
Videoaula: Resolução do Estudo de Caso
Disciplina
Criptografia
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Para garantir todas as três propriedades de segurança, o TLS faz uso de criptogra�a assimétrica
e simétrica em conjunto com hash e assinaturas digitais. Vamos ver como. 
 Primeiro passo: autenticidade 
Quando você se conecta a um site por HTTPS, seu navegador primeiro solicita o certi�cado
digital desse site, que é um pacote de informações sobre o site que permite que seu navegador
veri�que sua autenticidade. Esse certi�cado deve ser assinado digitalmente (um processo que
depende de criptogra�a assimétrica para autenticidade e hash para integridade) por uma das
Autoridades de Certi�cação (CAs) nas quais seu navegador con�a implicitamente. Seu
navegador vai avisá-lo quando o certi�cado não for assinado por uma CA con�ável, ou
geralmente não é adequado para proteger sua conexão. Nesses casos, você não deve visitar o
site a menos que esteja disposto a abrir mão de toda a con�dencialidade, integridade e
autenticidade de sua conexão. 
 Segundo passo: con�dencialidade 
Depois que a autenticidade for estabelecida, o site e o seu navegador negociam o algoritmo
criptográ�co mais forte disponível para ambos. Usando a criptogra�a assimétrica para fornecer
con�dencialidade, eles concordam com uma chave criptográ�ca secreta e, em seguida, mudam
para a criptogra�a simétrica usando essa chave, que tem melhor desempenho e é mais
adequada para lidar com grandes quantidades de dados. 
 Terceiro passo: integridade 
O algoritmo criptográ�co negociado, chamado de cipher suite, também faz uso de construções
de hash (código de autenticação de mensagens baseado em hash) ou modos de criptogra�a que
já foram projetados para fornecer integridade de mensagens, como GCM . Isso signi�ca que,
além de veri�car criptogra�camente se o remetente de cada mensagem HTTP é autêntico, o
navegador e o site também podem veri�car se a mensagem foi modi�cada ou corrompida em
trânsito!
Resumo Visual
Disciplina
Criptografia
A criptogra�a garante a autorização, autenticação, integridade, con�dencialidade e não repúdio, e
essas garantias são alcançadas da forma ilustrada a seguir. 
Con�dencialidade, autenticação, integridade, con�dencialidade e não repúdio. Fonte: elaborada pelo autor.
Disciplina
Criptografia
Referências
ATKINSON, I. Introduction to GnuPG. IanAtkinson, 2022. Disponível em:
https://ianatkinson.net/computing/gnupg.htm. Acesso em: 3 abr. 2022. 
 BALGURGI, P. P.; JAGTAP, S. K. Audio steganography used for secure data transmission. In:
Proceedings of international conference on advances in computing. Springer, New Delhi, 2013. p.
699-706. 
 GILLIS, A. S. BitLocker. TechTarget, 2022. Disponível em:
https://www.techtarget.com/searchenterprisedesktop/de�nition/BitLocker. Acesso em: 3 abr.
2022. 
MANIKANDAN, J. Basics of cryptography: the practical application and use of cryptography.
Inforsec Institute, 2018. Disponível em: https://resources.infosecinstitute.com/topic/basics-of-
cryptography-the-practical-application-and-use-of-cryptography/. Acesso em: 17 abr. 2022. 
SEMILOF, M. What is steganography? Techtarget, 2021. Disponível em:
https://www.techtarget.com/searchsecurity/de�nition/steganography. Acesso em: 28 mar. 2022. 
SINGH, G. Cryptography introduction. Geeks For Geeks, 2020. Disponível em:
https://www.geeksforgeeks.org/cryptography-introduction/. Acesso em: 23 ago.2022.
,
Unidade 3
Aplicações da criptogra�a no cotidiano
https://ianatkinson.net/computing/gnupg.htm
https://www.techtarget.com/searchenterprisedesktop/definition/BitLocker
https://resources.infosecinstitute.com/topic/basics-of-cryptography-the-practical-application-and-use-of-cryptography/
https://resources.infosecinstitute.com/topic/basics-of-cryptography-the-practical-application-and-use-of-cryptography/
https://www.techtarget.com/searchsecurity/definition/steganography
https://www.geeksforgeeks.org/cryptography-introduction/
Disciplina
Criptografia
Aula 1
Hardware Security Module (HSM)
Introdução
Iniciaremos conceituando o Módulo de Segurança de Hardware (HSM), que se trata de um
dispositivo físico que fornece segurança extra para dados con�denciais. Esse tipo de dispositivo
é usado para fornecer chaves criptográ�cas para funções críticas, como criptogra�a,
descriptogra�a e autenticação para uso de aplicativos, identidades e bancos de dados e tem
como �nalidade controlar o acesso e limitar o risco às chaves privadas con�denciais de uma
organização. 
 Veremos, em seguida, que os HSMs têm uma ampla gama de usos no fornecimento de
segurança de dados, como na aplicação na área de saúde, indústria, automobilística, dentre
outros. E veremos que os HSMs são certi�cados de acordo com padrões reconhecidos
internacionalmente, como FIPS 140. Isso está relacionado à função crítica dos HSMs na
proteção da infraestrutura e dos aplicativos, e à necessidade de garantir aos usuários que o
projeto e a implementação do produto e do algoritmo criptográ�co sejam sólidos.
De�nição de HSM
Disciplina
Criptografia
Os dados criptografados não são seguros se as chaves que você usa para criptografá-los
estiverem expostas — é aqui que os HSMs podem nos salvar. 
Um módulo de segurança de hardware (HSM) é um dispositivo físico que fornece segurança
extra para dados con�denciais. Esse tipo de dispositivo é usado para fornecer chaves
criptográ�cas para funções críticas, como criptogra�a, descriptogra�a e autenticação para uso
de aplicativos, identidades e bancos de dados (DAVIES, 2021). Sua �nalidade é controlar o
acesso e limitar o risco às chaves privadas con�denciais de uma organização (CRANE, 2021). 
Os HSMs são testados, validados e certi�cados com os mais altos padrões de segurança. Esses
dispositivos podem ser desde placas de plug-in, incorporados em outro hardware, incluindo
cartões inteligentes, dispositivos externos, dentre outros. Eles podem ser conectados a um
Disciplina
Criptografia
servidor de rede ou usados como um dispositivo autônomo o�ine. Eles também são oferecidos
como serviços em nuvem (DAVIES, 2021). 
Parece óbvio que as operações criptográ�cas devem ser executadas em um ambiente con�ável,
e quando dizemos con�ável referimo-nos a ambiente “sem vírus, sem malware, sem acesso não
autorizado” (SMIRNOFF, 2017). Um HSM é con�ável porque:  
1. É construído em cima de hardware especializado. O hardware é bem testado e certi�cado
em laboratórios especiais. 
2. Tem um sistema operacional focado em segurança. 
3. Tem acesso limitado através de uma interface de rede que é estritamente controlada por
regras internas. 
4. Esconde e protege ativamente o material criptográ�co. 
Os HSMs permitem que um funcionário use as chaves privadas de sua organização sem precisar
de acesso direto a elas. Basicamente, seu software (digamos que esteja hospedado em um
servidor web) pode executar funções criptográ�cas e autenticação sem carregar uma cópia de
sua chave privada na memória do seu servidor web (onde pode ser vulnerável a ataques). As
funções criptográ�cas são todas feitas dentro dos limites do ambiente seguro de um HSM. A
execução dessas operações dentro dessa pequena bolha segura evita que seus dados
con�denciais sejam comprometidos, mantendo as chaves privadas escondidas em um local
seguro (CRANE, 2021). 
Para que �que mais claro esse conceito, vamos imaginar um HSM como uma máquina de venda
automática. Nessa máquina, podemos armazenar salgadinhos e bebidas em lata, em um
ambiente interno isolado. Ela foi projetada para aceitar entradas do usuário (ou seja, suas
seleções de itens) e gerar saídas (ou seja, entregar o item escolhido), e você não pode acessar o
interior da máquina de venda automática ou alterar suas funções. 
Da mesma forma, um HSM aceita entradas do usuário e gera saídas (como certi�cados ou
softwares assinados) sem que usuários (ou aplicativos) vejam, acessem ou alterem suas chaves
criptográ�cas. Isso porque suas funções são executadas dentro dos limites de seu ambiente
seguro, e nenhuma chave pode ser totalmente exportada, extraída ou removida de um HSM em
um formato legível. Assim, como uma máquina de venda automática, você pode usá-lo para
obter a saída desejada, mas não pode ver ou acessar o funcionamento interno do dispositivo e
todos os seus componentes individuais que o tornaram possível, como podemos ver na Figura 1
(CRANE, 2021). 
Disciplina
Criptografia
Visão geral do funcionamento de módulos de segurança de hardware. Fonte: adaptado de Crane (2021).
HSM e usos rotineiros (chips e outros)
Disciplina
Criptografia
As organizações podem ter um HSM ou vários, que podem não apenas veri�car os dados
mantidos em locais não seguros, mas também proteger os dados contra acesso não autorizado.
As empresas também podem ter a opção de usar o HSM como serviço, o que lhes permite usar
um HSM na nuvem de um provedor para gerenciar suas chaves, oferecendo assim os mesmos
benefícios de um HSM no local, mas com mais escalabilidade e economia de custos. 
Os HSMs servem como âncoras de con�ança para criar ambientes robustos e invioláveis para
armazenar chaves criptográ�cas. Tradicionalmente, um módulo de segurança de hardware inclui
um ou mais chips criptográ�cos seguros e geralmente é um dispositivo externo ou placa de plug-
in que se conecta diretamente a um servidor de rede ou computador. 
Os HSMs têm uma ampla gama de usos no fornecimento de segurança de dados. Em campos de
aplicação, incluindo saúde, indústria e automobilística, os HSMs atuam como um repositório
chave que protege o acesso a dados e infraestruturas de TI. 
 Indústria 
Na indústria, os HSMs são usados principalmente para proteger infraestruturas de chave pública
(PKIs), ambientes virtuais e arquiteturas de nuvem. Nesse campo, uma ampla gama de
mecanismos de autenticação e criptogra�a e descriptogra�a são usados para proteger dados
operacionais e de aplicativos transmitidos entre data centers, escritórios, máquinas e centros de
controle. Um papel igualmente importante recai na autenticação inequívoca de instalações,
máquinas e pessoas. Isso também garante a proteção de aplicativos críticos para os negócios,
como: bancos de dados, servidores e dispositivos de segurança (EXCEET, 2022). 
Disciplina
Criptografia
 Saúde 
No campo da saúde, os HSMs têm como principal objetivo permitir o registro, processamento e
transmissão de dados de pacientes entre sistemas e participantes con�áveis, como médicos,
prestadores de cuidados, consultórios médicos, hospitais, farmácias e seguradoras de saúde,
dentro de uma rede segura (EXCEET, 2022). 
Mecanismos de proteção e�cazes baseados em técnicas individuais de criptogra�a garantem
que apenas pessoas e dispositivos autorizados possam acessar os dados do paciente, por
exemplo, dados de seguro e de emergência, bem como informações geradas e armazenadas por
aplicativos de telemedicina, como marcapasso ou eletrocardiograma. 
 Automobilística  
Neste setor, os HSMs são usados no gerenciamento inteligente de carros conectados. Um
conjunto cada vez maior de sensores, componentes e dispositivos está sendo conectado a
aplicativos de software e controlados por meio de módulos eletrônicos para permitir a troca de
informações em todo o sistema sobre as condições operacionais e outros dados relevantes do
veículo. 
Os HSMs garantem que funções individuais do veículo não podem ser manipuladas ou
desativadas por acesso de terceiros não autorizado (por exemplo, por meio de uploadde
malware para um dispositivo de controle). Eles também evitam alterações nas propriedades ou
funções do veículo (por exemplo, ajuste de chip, falsi�cação da leitura do hodômetro) e protegem
os dados pessoais do motorista gerados por dispositivos conectados externamente, como
smartphones (EXCEET, 2022). 
 IoT 
O uso de HSMs no campo da internet das coisas (IoT) envolve principalmente casos em que as
empresas desejam proteger o �uxo de informações baseado na Internet entre a empresa e os
produtos conectados inteligentes usados pelos clientes dessa empresa. Aqui, os HSMs
gerenciam a identi�cação mútua e a autenticação de usuários, dispositivos e componentes e
veri�cam os privilégios de acesso (EXCEET, 2022).
HSM como segurança de chaves e dados sensíveis
Disciplina
Criptografia
Uma das alternativas mais recomendadas para gerenciar as chaves criptográ�cas é através da
utilização do HSM, esse processador criptográ�co seguro e resistente a adulterações, projetado
especi�camente para proteger o ciclo de vida das chaves criptográ�cas e para executar rotinas
de criptogra�a e descriptogra�a.  
A criptogra�a, o processo de tornar os dados con�denciais indecifráveis, forma a base da
funcionalidade principal de um HSM. A descriptogra�a segura e a autenticação de mensagens
também fazem parte da funcionalidade do HSM. 
Os HSMs geram e armazenam chaves de criptogra�a usadas entre vários dispositivos. Eles
possuem hardware especial para criar entropia e gerar chaves aleatórias de alta qualidade.
Organizações maiores podem operar vários HSMs simultaneamente, em vez de apenas um.
Independentemente de um ou vários HSMs serem implantados, um sistema de gerenciamento de
chaves centralizado e simpli�cado, baseado em regulamentações externas e políticas de
segurança interna robustas, melhora a segurança e a conformidade. 
Normalmente, os HSMs são certi�cados de acordo com padrões reconhecidos
internacionalmente, como FIPS 140 - o Federal Information Processing Standard. Isso está
relacionado à função crítica dos HSMs na proteção da infraestrutura e dos aplicativos, e à
necessidade de garantir aos usuários que o projeto e a implementação do produto e do algoritmo
Disciplina
Criptografia
criptográ�co sejam sólidos. O nível de certi�cação de segurança FIPS 140 mais alto que pode ser
alcançado é o nível de segurança 4.  
 O que é Raiz de Con�ança?  
Uma Raiz de Con�ança (RoT – Root of Trust) é uma fonte que sempre pode ser con�ável em um
sistema criptográ�co. Como a criptogra�a depende de chaves que podem criptografar e
descriptografar dados e executar funções, os esquemas RoT geralmente incluem um módulo de
hardware reforçado, como um HSM. O módulo de segurança de hardware tem a capacidade de
gerar e proteger chaves, enquanto executa funções criptográ�cas em seu ambiente seguro (GEZ,
2020). 
Como esse módulo é inacessível fora do ecossistema de computador tradicional, ele pode
con�ar nas chaves e em outras informações criptográ�cas que recebe da raiz do módulo de
con�ança. Isso é crítico, agora mais do que nunca, à medida que a Internet das Coisas (IoT) se
espalha. Para evitar ser hackeado, hoje, os componentes dos ecossistemas de computação
precisam de uma maneira de determinar se as informações que recebem são autênticas. O RoT
protege a segurança de dados e aplicativos, ajudando a criar con�ança no ecossistema geral
(GEZ, 2020). 
 Gerando chaves fortes 
Todas as chaves criptográ�cas geradas por um HSM devem ser aleatórias. Por design, um
computador é incapaz de gerar um valor verdadeiramente aleatório porque é uma máquina de
estado �nito. Portanto, é necessário um processo físico único para gerar números e chaves
aleatórios. Os dispositivos HSM contêm hardware exclusivo que usa um processo físico para
gerar uma fonte con�ável de aleatoriedade que, por sua vez, é usada para gerar chaves
verdadeiramente aleatórias. 
 HSMs e gerenciamento de chaves 
Como os HSMs são criados para proteger as chaves criptográ�cas, os grandes bancos e
corporações geralmente têm vários HSMs sendo executados simultaneamente. Enquanto isso,
os sistemas de gerenciamento de chaves controlam e atualizam essas chaves de acordo com as
políticas de segurança internas e padrões externos. Um componente central do design
centralizado do HSM é a vantagem de simpli�car o gerenciamento de chaves, fornecendo uma
visão geral completa das chaves em vários sistemas. 
Videoaula: Hardware Security Module (HSM)
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
Disciplina
Criptografia
aplicativo para assistir mesmo sem conexão à internet.
A maneira mais segura de habilitar negócios, sistemas, aplicações e aplicativos, baseados em
chaves criptográ�cas é através do uso de Hardware Security Modules (HSMs). Eles geram,
armazenam, gerenciam e desativam chaves criptográ�cas com segurança. Os HSMs são
considerados a primeira escolha para fornecer uma Raiz de Con�ança e garantir a privacidade,
autenticidade e integridade de dados e pessoas, por exemplo. A seguir, veremos neste vídeo os
benefícios e recursos mais importantes dos módulos de segurança de hardware a serem
considerados. 
Saiba mais
Para entendermos um pouco mais a respeito de Hardware Security Modules (HSM), sugerimos
alguns sites que abordam com mais detalhes esse assunto. Vale a pena conferir. 
1. O que é um HSM e como ele funciona?
2. HSM (Hardware Security Module)
3. O que os módulos de segurança de hardware fazem?
4. O conceito de HSM para criptogra�a e segurança de pagamentos.
https://www.evaltec.com.br/hsm-seguranca-maxima-para-chaves-criptografadas/
https://first-tech.com/hsm-seguranca-para-transacoes/
https://cpl.thalesgroup.com/pt-pt/encryption/hardware-security-modules
https://first-tech.com/conteudo/o-conceito-de-hsm-para-criptografia-e-seguranca-de-pagamentos/
Disciplina
Criptografia
Referências
CRANE, C. What Is a Hardware Security Module? HSMs Explained. The SSL Store, 2021.
Disponível em: https://www.thesslstore.com/blog/what-is-a-hardware-security-module-hsms-
explained/. Acesso em: 22 abr. 2022. 
 DAVIES, E. hardware security module (HSM). Tech Target, 2021. Disponível em:
https://www.techtarget.com/searchsecurity/de�nition/hardware-security-module-HSM. Acesso
em: 22 abr. 2022. 
 EXCEET. HSM FIELDS OF APPLICATION. Variable Use and High Performance. Hardware-Security-
Module, 2022. Disponível em: https://hardware-security-module.com/applications/. Acesso em:
22 abr. 2022. 
 GEZ, D. What Is a Hardware Security Module? HubSecurity, 2020. Disponível em:
https://hubsecurity.com/blog/cyber-security/what-is-a-hardware-security-module/. Acesso em:
22 abr. 2022. 
SMIRNOFF, P. Understanding Hardware Security Modules (HSMs). Cryptomathic, 2017. Disponível
em: https://www.cryptomathic.com/news-events/blog/understanding-hardware-security-
modules-hsms. Acesso em: 22 abr. 2022  
Aula 2
Função hash
https://www.thesslstore.com/blog/what-is-a-hardware-security-module-hsms-explained/
https://www.thesslstore.com/blog/what-is-a-hardware-security-module-hsms-explained/
https://www.techtarget.com/searchsecurity/definition/hardware-security-module-HSM
https://hardware-security-module.com/applications/
https://hubsecurity.com/blog/cyber-security/what-is-a-hardware-security-module/
https://www.cryptomathic.com/news-events/blog/understanding-hardware-security-modules-hsms
https://www.cryptomathic.com/news-events/blog/understanding-hardware-security-modules-hsms
Disciplina
Criptografia
Introdução
Começaremos de�nindo uma função hash criptográ�ca, que é um algoritmo que recebe uma
quantidade arbitrária de entrada de dados – uma credencial / mensagem / texto / arquivo /
conjunto de bits – e produz uma saída de tamanho �xo de texto criptografado, chamado valor de
hash. Veremos também suas propriedades: a resistência à pré-imagem; segunda pré-imagem e
resistência à colisão. 
Veremos o uso de hash para armazenar senhas. As funções de hash de senha são projetadas
paraserem lentas para calcular e usar o máximo de recursos possível para tornar os ataques de
força bruta mais lentos e mais caros. 
Por �m, veremos que as funções de hash são uma maneira de garantir a integridade dos dados
na criptogra�a de chave pública. O que quero dizer com isso é que as funções de hash servem
como uma soma de veri�cação de integridade ou uma maneira de alguém identi�car se os dados
foram adulterados depois de assinados.
Propriedades das funções hash
Disciplina
Criptografia
Uma função hash criptográ�ca é um algoritmo que recebe uma quantidade arbitrária de entrada
de dados – uma credencial / mensagem / texto / arquivo / conjunto de bits – e produz uma saída
de tamanho �xo de texto criptografado, chamado hash. Esse texto criptografado pode ser
armazenado em vez da própria senha, por exemplo, e usado posteriormente para veri�car o
usuário (SYNOPSYS, 2015). Ela pode contribuir nos seguintes pontos:  
Armazenar senhas com segurança em um banco de dados. 
Garantir a integridade dos dados (em muitos aplicativos diferentes) indicando quando
os dados foram alterados. 
Tornar a autenticação segura possível. 
Organizar o conteúdo e os arquivos de uma maneira que aumente a e�ciência. 
Podemos encontrar funções de hash em uso em quase todos os lugares — desde assinar os
aplicativos de software que usamos no smartphone e até proteger as conexões de sites que
usamos para transmitir informações con�denciais online (CHANDNA, 2021).  
Para funções de hash em criptogra�a, a de�nição é um pouco mais direta: é um identi�cador
exclusivo para qualquer conteúdo. O processo por ser visto de modo simpli�cado na imagem
abaixo.
Disciplina
Criptografia
Ilustração básica do funcionamento do processo de hash. Fonte: Vale (2020).
Essa ilustração simples mostra o que uma função hash faz ao receber uma entrada de dados de
texto simples e usa um algoritmo matemático para gerar uma saída ilegível.  
Para ser uma ferramenta criptográ�ca e�caz, a função hash deve possuir as seguintes
propriedades (CHANDNA, 2021):  
Resistência à pré-imagem:  
Essa propriedade signi�ca que deve ser computacionalmente difícil reverter uma
função de hash. 
Em outras palavras, se uma função de hash h produziu um valor de hash z, então deve
ser um processo difícil encontrar qualquer valor de entrada x que tenha um hash para
z. 
Essa propriedade protege contra um invasor que tenha apenas um valor de hash e
esteja tentando encontrar a entrada. 
Resistência à segunda pré-imagem 
Esta propriedade signi�ca que, dada uma entrada e seu hash, deve ser difícil
encontrar uma entrada diferente com o mesmo hash. 
Em outras palavras, se uma função hash h para uma entrada x produz o valor hash
h(x), então deve ser difícil encontrar qualquer outro valor de entrada y tal que h(y) =
h(x). 
Essa propriedade da função hash protege contra um invasor que tenha um valor de
entrada e seu hash e queira substituir um valor diferente como valor legítimo no lugar
do valor de entrada original. 
Disciplina
Criptografia
Resistência à colisão: eles são “livres de colisões”. Isso signi�ca que dois hashes de entrada não
devem ser mapeados para o mesmo hash de saída. 
Essa propriedade signi�ca que deve ser difícil encontrar duas entradas diferentes de
qualquer tamanho que resultem no mesmo hash. Essa propriedade também é
chamada de função hash livre de colisão. 
Em outras palavras, para uma função hash h, é difícil encontrar duas entradas
diferentes x e y tais que h(x) = h(y). 
Como a função hash está comprimindo a função com comprimento de hash �xo, é
impossível que uma função hash não tenha colisões. Essa propriedade livre de
colisões apenas con�rma que elas devem ser difíceis de encontrar. 
Essa propriedade torna muito difícil para um invasor encontrar dois valores de entrada
com o mesmo hash. 
Além disso, se uma função de hash for resistente a colisões, ela será resistente à
segunda pré-imagem.
O uso de hash para armazenar senhas
Disciplina
Criptografia
Armazenar senhas em um arquivo de texto comum é perigoso, então quase todos os sites
armazenam senhas com hashes. Quando um usuário insere sua senha, ela é criptografada e o
resultado é comparado com a lista de valores criptografados armazenados nos servidores da
empresa. No entanto, essa não é uma prática infalível (FRANKENFIELD 2022).  
O hash de senha adiciona uma camada de segurança. O hashing permite que as senhas sejam
armazenadas em um formato que não pode ser revertido em tempo ou custo razoável para um
hacker. 
Os algoritmos de hash transformam a senha de texto simples em uma saída de caracteres de
comprimento �xo. A saída do hash não se parecerá com a senha original e o comprimento do
hash será o mesmo, independentemente do comprimento da senha de texto simples
(JACOBSON, 2020). 
 Por exemplo, usar um gerador de hash MD5 simples com a senha “Dragon” produzirá esta saída: 
583f4be146b6127f9e4f3f036ce7df43 
 Esse valor de hash pode ser armazenado no servidor em vez da senha de texto simples. O texto
simples é, então, usado apenas na memória durante o processo de login. Quando um usuário
digita sua senha no login, o servidor converte imediatamente o texto simples usando o mesmo
algoritmo para poder comparar o valor de hash com o que está armazenado no servidor
(JACOBSON, 2020). 
Em contraste com as funções de hash criptográ�co que são criadas para velocidade, as funções
de hash de senha são projetadas para serem lentas para calcular e usar o máximo de recursos
possível para tornar os ataques de força bruta mais lentos e mais caros. Existem três funções
principais de hash de senha que você deve conhecer ao armazená-las. 
1º.) BCRYPT: esta não apenas inclui sais (salt), mas também torna os ataques de força bruta
substancialmente mais difíceis. Podemos de�nir o número de iterações usando um fator de
trabalho que torna exponencialmente mais difícil a força bruta. À medida que os computadores
�cam mais rápidos e os recursos de computação se tornam mais baratos, podemos
simplesmente aumentar o fator de trabalho bcrypt para aumentar o consumo de recursos
(DAWSON, 2019). 
2º.) SCRYPT: esta é uma função protegida por CPU, mas também tem a vantagem de ter
memória rígida, ou seja, ela consome deliberadamente mais recursos de memória. Além de
especi�car quantos recursos de computação são necessários para calcular um hash scrypt,
também podemos controlar a quantidade de memória necessária. Isso signi�ca que é possível
tornar os hashes de criptogra�a de computação caros, forçando os invasores a adquirir uma
grande quantidade de recursos de computação e memória (DAWSON, 2019). 
3º.) ARGON2: outro mecanismo de hash menos estabelecido, mas promissor, porque oferece
mais �exibilidade. Esse adiciona uma terceira dimensão de complexidade/custo: o número de
threads usados para calcular o hash. Isso signi�ca que os invasores precisam ter não apenas
uma grande quantidade de recursos de computação e memória disponíveis, mas também mais
núcleos de CPU físicos. Ele torna os ataques de força bruta substancialmente mais caros para
executar (DAWSON, 2019). 
O uso de hash para veri�cação de integridade de dados
Disciplina
Criptografia
As funções de hash são uma maneira de garantir a integridade dos dados na criptogra�a de
chave pública. Manter essa integridade é um dos conceitos-chave para a segurança da
informação e hashing, mecanismo usado para veri�cá-lo.  
Por exemplo, digamos que você tenha feito login no Wi-Fi público para enviar um e-mail. Então,
você escreve a mensagem, assina usando seu certi�cado digital e a envia pela internet. Isso é o
que você pode chamar de território principal de ataque man-in-the-middle (MitM) – o que
signi�ca que alguém pode facilmente interceptar sua mensagem (isso porque as redes sem �o
públicas são inseguras) e modi�cá-la para atender aos seus propósitos (CRANE, 2021). 
Então, agora, o destinatário recebe a mensagem, o valor de hash é recebido juntamente com a
mensagem (que pode estar criptografada ou não), e a comparação dos hashes (recebido e
calculado) é feita pelodestinatário. Quando comparados os hashes, e veri�cado que eles
corresponderem, ótimo! Signi�ca que a mensagem não sofreu alteração. Mas se isso não
acontecer, alerta vermelho! O destinatário não deverá con�ar na mensagem recebida.  
Mesmo que algo pequeno mude em uma mensagem – você coloca uma letra maiúscula em vez
de usar uma minúscula – isso resultará na geração de um valor de hash totalmente novo. Mas
essa é a ideia aqui – não importa quão grande ou pequena seja a mudança, a diferença nos
valores de hash dirá que ela não é legítima. 
Um dos bons aspectos de uma função de hash criptográ�co é que ela ajuda a garantir a
integridade dos dados. Mas se você aplicar um hash aos dados, isso signi�ca que a mensagem
não pode ser alterada? Não. Mas o que ele faz é informar ao destinatário da mensagem que a
mensagem foi alterada, porque mesmo a menor das alterações em uma mensagem resultará na
criação de um valor de hash totalmente novo. 
 Algoritmos de hash para veri�cação de integridade de dados 
Disciplina
Criptografia
 Resumo da mensagem 5 (MD5) 
É um algoritmo de hash criptográ�co unidirecional, usado para veri�car a integridade dos dados
(NDUATI, 2021). Ele gera um valor de string de 128 bits como o valor de hash - o que o torna mais
fácil de violar do que outros algoritmos de código hash, não sendo, assim, considerado seguro.  
 Algoritmo de hash seguro 1 (SHA1) 
Este é um algoritmo de hash criptográ�co, que gera um valor de string de 160 bits como valor de
hash. Esse algoritmo é comumente usado em aplicativos de segurança e integridade de dados
(NDUATI, 2021). 
 Algoritmo de hash seguro 256 (SHA256) 
Este é um algoritmo de hash criptográ�co que cria um valor de string de 256 bits (32 bytes) como
o valor de hash. O SHA256 geralmente veri�ca a integridade dos dados para autenticação de
hash e assinaturas digitais (NDUATI, 2021).  
Videoaula: Função hash
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Dado o aumento maciço na quantidade de dados processados por redes de dados locais e
globais, os cientistas da computação estão sempre procurando maneiras de acelerar o acesso
aos dados e garantir que possam ser trocados com segurança. Uma solução, juntamente com
outras tecnologias de segurança, é a função de hash. Existem muitas aplicações de hash, então
veremos neste vídeo que as funções de hash são usadas para vários propósitos, de blockchains
a criptogra�as modernas.  
Saiba mais
Disciplina
Criptografia
Para entendermos um pouco mais a respeito de Função Hash, seguem algumas indicações de
sites que abordam com mais detalhes esse assunto. Vale a pena conferir. 
1.  Integridade dos dados com funções de hash;
2.  De�nição, funcionamento e as aplicações do hash, a função popular da criptogra�a;
3.  Funções hash ou hashing;
4.  O que é uma função criptográ�ca de hash?
Referências
https://www.doraci.com.br/downloads/fotografo/Funcoes-de-hash.pdf
https://www.voitto.com.br/blog/artigo/o-que-e-hash-e-como-funciona
https://medium.com/prognosys/fun%C3%A7%C3%B5es-hash-ou-hashing-b2c90ac5c398
https://www.ssl.com/pt/faqs/o-que-%C3%A9-uma-fun%C3%A7%C3%A3o-de-hash-criptogr%C3%A1fico/
Disciplina
Criptografia
CHANDNA, F. What Is a Hash Function in Cryptography? Open Growth, 2022. Disponível em:
https://www.opengrowth.com/article/what-is-a-hash-function-in-cryptography. Acesso em: 25
abr. 2022. 
 CRANE, C. What Is a Hash Function in Cryptography? A Beginner’s Guide. The SSL Store, 2021.
Disponível em: https://www.thesslstore.com/blog/what-is-a-hash-function-in-cryptography-a-
beginners-guide/. Acesso em: 25 abr. 2022. 
DAWSON, W. Hashing Techniques for Password Storage. Developer Okta, 2019. Disponível em:
https://developer.okta.com/blog/2019/07/29/hashing-techniques-for-password-storage. Acesso
em: 25 abr. 2022. 
FRANENFIELD, J. Cryptographic Hash Functions. Investopedia, 2022. Disponível em:
https://www.investopedia.com/news/cryptographic-hash-functions/#citation-3. Acesso em: 25
abr. 2022. 
 JACOBSON, K. Hashing: What You Need to Know About Storing Passwords. Security Boulevard,
2020. Disponível em: https://securityboulevard.com/2020/05/hashing-what-you-need-to-know-
about-storing-
passwords/#:~:text=Hashing%20allows%20passwords%20to%20be,characters%20of%20a%20�x
ed%20length. Acesso em: 26 abr. 2022. 
NDUATI, J. Understanding Hashing in Cryptography. Section, 2021. Disponível em:
https://www.section.io/engineering-education/understand-hashing-in-cryptography/. Acesso em:
25 abr. 2022. 
SYNOPSYS. What are cryptographic hash functions? Synopsys, 2015. Disponível em:
https://www.synopsys.com/blogs/software-security/cryptographic-hash-functions/. Acesso em:
25 abr. 2022.
https://www.opengrowth.com/article/what-is-a-hash-function-in-cryptography
https://www.thesslstore.com/blog/what-is-a-hash-function-in-cryptography-a-beginners-guide/
https://www.thesslstore.com/blog/what-is-a-hash-function-in-cryptography-a-beginners-guide/
https://developer.okta.com/blog/2019/07/29/hashing-techniques-for-password-storage
https://www.investopedia.com/news/cryptographic-hash-functions/#citation-3
https://securityboulevard.com/2020/05/hashing-what-you-need-to-know-about-storing-passwords/#:~:text=Hashing%20allows%20passwords%20to%20be,characters%20of%20a%20fixed%20length.
https://securityboulevard.com/2020/05/hashing-what-you-need-to-know-about-storing-passwords/#:~:text=Hashing%20allows%20passwords%20to%20be,characters%20of%20a%20fixed%20length.
https://securityboulevard.com/2020/05/hashing-what-you-need-to-know-about-storing-passwords/#:~:text=Hashing%20allows%20passwords%20to%20be,characters%20of%20a%20fixed%20length.
https://securityboulevard.com/2020/05/hashing-what-you-need-to-know-about-storing-passwords/#:~:text=Hashing%20allows%20passwords%20to%20be,characters%20of%20a%20fixed%20length.
https://www.section.io/engineering-education/understand-hashing-in-cryptography/
https://www.synopsys.com/blogs/software-security/cryptographic-hash-functions/
Disciplina
Criptografia
Aula 3
Introdução ao Blockchain
Introdução
Começaremos estudando a origem da Blockchain, atualmente temos uma in�nita gama de
de�nições, porém pode ser mais bem descrito, segundo Raj (2019), como “uma estrutura de
dados de blocos que são encadeados para formar uma coleção de registros, chamada de livro-
razão, com a criptogra�a sendo um ingrediente chave no processo”.  
 Blockchain combina tecnologias e técnicas existentes em uma nova arquitetura composta por
cinco elementos, que incluem: distribuição; criptogra�a; imutabilidade; tokenização e
descentralização. Veremos o funcionamento do Blockchain, que é uma cadeia de blocos de
informações, e consiste em três conceitos importantes: blocos, nós e mineradores.
Origem da Blockchain
Disciplina
Criptografia
A primeira ideia sobre Blockchain é comparada a uma cadeia de blocos para construir um
carimbo de data e hora de documentos digitais à prova de adulteração, que surgiu em 1991. Mas
o conceito não foi popularizado até que um autor com o pseudônimo de Satoshi Nakamoto –
cuja identidade ainda não é conhecida hoje – apresentou blockchains e seu verdadeiro uso em
redes descentralizadas, em 2008, publicando um artigo intitulado Bitcoin: A Peer-to-Peer
Electronic Cash System (RAJ, 2019). 
Posteriormente, no ano de 2009, uma implementação de referência da tecnologia Blockchain foi
criada por Satoshi Nakamoto, que se inspirou em várias invenções anteriores, como o b-money e
Hashcash, para então criar uma moeda digital descentralizada, chamada Bitcoin. Esta foi a
primeira – e continua sendo a mais popular – implementação de um sistema de caixa eletrônico
baseado em Blockchain (RAJ, 2019).  
Alguns anos após o lançamento do Bitcoin, os desenvolvedores começaram a ver o potencial de
longo alcance do Blockchain e começaram a explorar seus usos fora do reino das criptomoedas  
Essa percepção estimulou um enorme investimentoe pesquisa em Blockchain em tentativas de
redirecioná-lo para o uso em aplicativos de saúde, seguros, cadeias de suprimentos, votação e
muito mais (PATEL, 2022). 
E a era Blockchain 2.0. nasce no início de 2014, muito conhecida como a era do Namecoin. Foi
um dos primeiros conceitos a surgir, e expande o escopo introduzindo um sistema de
nomenclatura distribuído, baseado no Bitcoin. No entanto, ao contrário do Bitcoin, ele foi capaz
de armazenar dados como pares de valores-chave no Blockchain público. Esse conceito acabou
in�uenciando diversos aplicativos que ganhariam popularidade. 
Uma das melhorias e mais populares que vieram na era do Blockchain 2.0 foi a introdução de
contratos inteligentes. Diversas plataformas Blockchain foram desenvolvidas e permitiram ao
Disciplina
Criptografia
usuário escrever scripts de nível superior sem se preocupar com a implementação real do
Blockchain. Uma das plataformas de maior sucesso nessa linha foi o Ethereum, proposto por
Vitalik Buterin, cuja intenção era fazer o melhor uso da tecnologia que o Bitcoin usava. Contratos
inteligentes estão sendo cada vez mais usados por grandes corporações, como  Microsoft e UBS,
para reduzir custos e economizar tempo. 
Com isso em mente, você já deve estar mais ciente de que o Blockchain possui o potencial de ser
uma mudança de paradigma que pode redesenhar como as organizações operam e como o valor
é compartilhado entre os atores econômicos, em especial, por apresentar os seguintes recursos: 
Segurança: grande di�culdade na adulteração de transações ou registros contábeis
presentes no Blockchain, por isso é visto como uma fonte con�ável de informações. 
Alcance global: tem o apoio de muitos investidores dos setores bancário e não
bancário, o que o torna uma pilha de tecnologia aceita globalmente. 
Operações automatizadas: as operações são totalmente automatizadas por meio de
software.  
Código aberto: é uma tecnologia de código aberto.  
Distribuído: funciona em modo distribuído, no qual os registros são armazenados em
todos os nós da rede.  
Flexível: é programável, usando conceitos básicos de programação e semântica de
programação.
Principais elementos da Blockchain
Blockchain não funciona como um mecanismo de armazenamento propriamente, mas possui um
conjunto de protocolos que regem a maneira pela qual as informações são forjadas. Assim, um
Blockchain pode ser armazenado em arquivos simples ou em um banco de dados. A tecnologia
Disciplina
Criptografia
Blockchain ganhou popularidade devido ao fato de que sua integridade não pode ser facilmente
comprometida, mas é alcançada pela criptogra�a, que é o que une os blocos (RAJ, 2019). 
Blockchain combina tecnologias e técnicas existentes em uma nova arquitetura composta por
cinco elementos. Nossa insistência em todos os cinco elementos não é semântica. Quando um
Blockchain está faltando, um ou mais desses elementos, seu valor é limitado ou até mesmo
negado, apontam Furlonger e Uzureau (2019). Os cinco elementos do Blockchain incluem: 
 
1. Distribuição
Os participantes do Blockchain estão localizados a uma distância física um do outro e estão
conectados em uma rede. Cada participante que opera um nó completo mantém uma cópia
completa do livro, que é atualizado com novas transações à medida que ocorrem. Os nós são as
máquinas pertencentes ou usadas pelos participantes e equipadas para executar o algoritmo de
consenso. Qualquer participante pode revisar qualquer parte do livro, mas não pode alterá-lo,
exceto sob circunstâncias prescritas (FURLONGER; UZUREAU, 2019).   
 
2. Criptogra�a
Blockchain usa tecnologias para registrar os dados nos blocos de forma segura e semianônima,
pois os participantes têm pseudônimos. Os participantes podem controlar sua identidade
pessoal e outras informações e compartilhar apenas o que precisam em uma transação
(FURLONGER; UZUREAU, 2019). 
 
3. Imutabilidade
As transações concluídas são assinadas criptogra�camente, com carimbo de data/hora e
adicionadas sequencialmente ao livro-razão. Os registros não podem ser corrompidos ou
alterados, a menos que os participantes concordem com a necessidade de fazê-lo. Tal acordo é
conhecido como fork (FURLONGER; UZUREAU, 2019).  
 
4. Tokenização
Transações e outras interações em um Blockchain envolvem a troca segura de valor. O valor vem
na forma de tokens. Os mercados digitais podem funcionar de forma mais e�caz com tokens e
precisam criá-los por vários motivos, sendo que os tokens podem funcionar como
representações digitais de ativos físicos, como um mecanismo de recompensa para incentivar os
participantes da rede ou para permitir a criação e troca de novas formas de valor (FURLONGER;
UZUREAU, 2019). 
 
5. Descentralização
Disciplina
Criptografia
As informações da rede Blockchain e as regras de sua operação são mantidas por
computadores, ou nós, na rede distribuída. Na prática, a descentralização signi�ca que nenhuma
entidade controla todos os computadores ou as informações ou dita as regras.  
 Cada nó mantém uma cópia criptografada idêntica do registro de rede. Um mecanismo de
consenso operado por cada nó completo veri�ca e aprova as transações. Essa estrutura
descentralizada e orientada por consenso elimina a necessidade de governança por uma
autoridade central e atua como uma proteção contra fraudes e transações ruins (FURLONGER;
UZUREAU, 2019). 
Como a Blockchain funciona
Como o nome sugere, Blockchain é uma cadeia de blocos que contém informações. Consiste em
três conceitos importantes: blocos, nós e mineradores. 
Blocos 
Cada cadeia consiste em vários blocos e cada bloco tem três elementos básicos: 
Os dados no bloco. 
Um número inteiro de 32 bits, chamado nonce. O nonce é gerado aleatoriamente
quando um bloco é criado, o que gera um hash de cabeçalho de bloco.  
Disciplina
Criptografia
O hash é um número de 256 bits associado ao nonce. Deve começar com um grande
número de zeros (ou seja, deve ser extremamente pequeno). 
Quando o primeiro bloco de uma cadeia é criado, um nonce gera o hash criptográ�co. Os dados
no bloco são considerados assinados e vinculados para sempre ao nonce e ao hash, a menos
que sejam extraídos.   
 Mineradores 
Os mineradores criam novos blocos na cadeia por meio de um processo chamado mineração. 
Em um Blockchain, cada bloco tem seu próprio nonce e hash exclusivos, mas também faz
referência ao hash do bloco anterior na cadeia, portanto a mineração de um bloco não é fácil,
especialmente em grandes cadeias. 
Os mineradores usam um software especial para resolver o problema matemático incrivelmente
complexo de encontrar um nonce que gere um hash aceito. Como o nonce é de apenas 32 bits e
o hash é de 256, existem aproximadamente quatro bilhões de combinações possíveis de nonce-
hash que devem ser extraídas antes que a correta combinação seja encontrada. Quando isso
acontece, diz-se que os mineradores encontraram o "nonce dourado" e seu bloco é adicionado à
cadeia.  
Fazer uma alteração em qualquer bloco anterior na cadeia requer a remineração, não apenas do
bloco com a alteração, mas de todos os blocos que vêm depois. Por isso, é extremamente difícil
manipular a tecnologia Blockchain.  
Quando um bloco é minerado com sucesso, a mudança é aceita por todos os nós da rede e o
minerador é recompensado �nanceiramente. 
 Nós 
Um dos conceitos mais importantes na tecnologia Blockchain é a descentralização. Nenhum
computador ou organização pode possuir a cadeia, mas quem a possui é um ledger (registro das
transações realizadas) distribuído por meio dos nós conectados à cadeia. Os nós podem ser
qualquer tipo de dispositivo eletrônico que mantém cópias do Blockchain e mantém a rede
funcionando.  
Cada nó tem sua própria cópia do Blockchain e a rede deve aprovar algoritmicamente qualquer
bloco recém-extraído para que a cadeia seja atualizada, con�ável e veri�cada. Como os
Blockchains são transparentes, todas as ações no livro-razão podem ser facilmente veri�cadas e
visualizadas. Cada participante recebe um número de identi�cação alfanumérico exclusivoque
mostra suas transações. 
A combinação de informações públicas com um sistema de veri�cações e contrapesos ajuda o
Blockchain a manter a integridade e cria con�ança entre os usuários. Essencialmente, as
Blockchains podem ser pensadas como a escalabilidade da con�ança por meio da tecnologia. 
O Blockchain funciona através de um processo de várias etapas. De modo simpli�cado, acontece
da seguinte forma, como podemos ver na Figura 1. 
Disciplina
Criptografia
Infográ�co do funcionamento do Blockchain. Fonte: Cardoso (2018).
Videoaula: Introdução ao Blockchain
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Disciplina
Criptografia
Como o Blockchain é usado? Blockchain é a tecnologia inovadora de banco de dados que está no
centro de quase todas as criptomoedas. Ao distribuir cópias idênticas de um banco de dados em
uma rede inteira, o Blockchain torna muito difícil hackear ou enganar o sistema. Embora a
criptomoeda seja o uso mais popular para  o Blockchain, atualmente, a tecnologia oferece o
potencial de atender a uma ampla gama de aplicações. Veremos neste bloco as suas principais
aplicações.
Saiba mais
Para entendermos um pouco mais a respeito de Blockchain, seguem alguns sites que abordam
com mais detalhes esse assunto. Vale a pena conferir. 
1. 4 passos para você entender como funciona o Blockchain.  
2. O que é Blockchain – uma explicação simples.
3. Blockchain: O que é e como ela muda tudo o que você conhece!
4. Tecnologia Blockchain: uma visão geral. 
Referências
https://blog.zeev.it/como-funciona-o-blockchain-em-quatro-passos/
https://blog.nubank.com.br/o-que-e-blockchain/
https://blog.mercadobitcoin.com.br/blockchain-o-que-e-como-funciona-e-qual-a-tecnologia-usada
https://www.cpqd.com.br/wp-content/uploads/2017/03/cpqd-whitepaper-blockchain-impresso.pdf
Disciplina
Criptografia
FURLONGER, D.; UZUREAU, C. The real business of blockchain: How leaders can create value in a
new digital age. Harvard: Harvard Business Press, 2019. 
NEOCAPITA. The Logical Components of Blockchain. Medium, 2017. Disponível em:
https://medium.com/@neocapita/the-logical-components-of-blockchain-870d781a4a3a. Acesso
em: 28 abr. 2022 
 PATEL, D. Overview of Blockchain. Trade Finance Global, 2022. Disponível em:
https://www.trade�nanceglobal.com/blockchain/history-of-blockchain/. Acesso em: 28 abr.
2022. 
 PRATT, M. K.; GILLIS, A. S. De�nition blockchain. Tech Target, 2021. Disponível em:
https://www.techtarget.com/searchcio/de�nition/blockchain. Acesso em: 28 abr. 2022. 
RAJ, K. Foundations of Blockchain. [s. L.]: Editora Packt, 2019. E-book (372 p.). ISBN:
9781789139396. Disponível em: https://subscription.packtpub.com/product/big-data-and-
business-intelligence/9781789139396. Acesso em: 28 abr. 2020. 
TORMEN, R. Blockchain for Decision Makers. [s. L.]: Editora Packt, 2019. E-book (184 p.). ISBN:
9781838552275. Disponível em:
https://subscription.packtpub.com/product/data/9781838552275. Acesso em: 28 abr. 2020.
Aula 4
Blockchain aplicado
Introdução
https://www.tradefinanceglobal.com/blockchain/history-of-blockchain/
https://www.techtarget.com/searchcio/definition/blockchain
https://subscription.packtpub.com/product/big-data-and-business-intelligence/9781789139396
https://subscription.packtpub.com/product/big-data-and-business-intelligence/9781789139396
https://subscription.packtpub.com/product/data/9781838552275
Disciplina
Criptografia
Começamos nossos estudos conhecendo o funcionamento dos Sistemas de Pagamento.
Existem três componentes de qualquer plataforma de processamento de pagamentos na web,
são eles: conta do comerciante; processador de pagamento e gateway de pagamento. 
Em seguida, veremos as moedas digitais que têm o potencial de mudar completamente a forma
como a sociedade pensa sobre dinheiro. A ascensão do Bitcoin, Ethereum e milhares de outras
criptomoedas que existem apenas em formato eletrônico levou os bancos centrais globais a
pesquisar como as moedas digitais nacionais podem funcionar. 
Por �m, estudaremos Non-Fungible Token (token não fungível), um NFT com um ativo digital que
representa objetos do mundo real, como arte, música, itens de jogo e vídeos.
Sistemas de Pagamento
Disciplina
Criptografia
As transações de pagamento online tornaram mais comuns as transações desse tipo, por isso
também são um dos alvos favoritos dos fraudadores. Assim, é fundamental ter todo o processo
sob controle para reduzir o risco em todos os pontos possíveis (SHEMIN; VIPINKUMAR, 2016).
Existem três componentes de qualquer plataforma de processamento de pagamentos na web;
são eles: 
Conta do comerciante: é uma conta bancária que permite o processamento de pagamentos
online para empresas na Internet. Você pode receber uma conta de comerciante por meio de uma
empresa de processamento de pagamentos, um contratado independente ou um grande banco.  
Processador de pagamento: uma empresa de processamento de pagamentos ou instituição
�nanceira lida com as transações entre os bancos de seus clientes e seu banco. Eles lidam com
questões, como validade do cartão de crédito, fundos disponíveis, limites do cartão e assim por
diante. Mais uma função essencial do processador de pagamento é a segurança. É
Disciplina
Criptografia
responsabilidade de um processador de pagamento veri�car se as informações do cartão estão
corretas e protegê-lo de atividades fraudulentas.  
Gateway de pagamento: é como um ponto de venda online. Um gateway de pagamento é um
mediador entre todas as transações em seu site e o processador de pagamento. Ele conecta sua
conta de comerciante a emissores de cartões de crédito e débito. Você precisa de um gateway
de pagamento porque as medidas de segurança proíbem a transferência de dados diretamente
de um banco para outro.  
E como funciona o processamento de pagamentos pela Internet? Podemos resumir assim,
conforme Sorin (2022): 
1. Amanda fornece suas informações de pagamento (detalhes do cartão de crédito) e aperta
o botão “Comprar”, e inicia o processo de compra do seu notebook. 
2. O gateway de pagamento coleta as informações da transação de pagamento online e as
criptografa, antes de enviá-las rapidamente ao processador de pagamento aprovado,
juntamente com outras transações de pagamento online simultâneas. 
3. O processador de pagamento passa as informações de pagamento relevantes para a rede
de cartões. 
4. A rede de cartões veri�ca com o banco emissor se a transação dela pode ser autenticada.
Estando tudo certo, a transação de pagamento online é autorizada e o cartão é
imediatamente debitado pelo banco emissor. 
5. O banco emissor envia uma con�rmação da autorização de pagamento para a rede de
cartões, informando, assim, a autorização na conclusão da transação online no valor do
notebook selecionado. É nesse momento que o banco emissor também informa a Amanda
que seu cartão está sendo debitado. 
�. A rede de cartões con�rma a validade da transação de pagamento online para o
processador de pagamento e o gateway de pagamento. 
7. O gateway de pagamento entrega a boa notícia ao comerciante e a loja online poderá
informar a Amanda que seu maravilhoso notebook está a caminho.  
 Lembramos que tudo isso acontece em menos de três segundos. Seis entidades separadas se
comunicam de forma e�ciente, rápida e segura, em sete estágios separados, em menos de três
segundos, enquanto milhares e milhares dessas transações de pagamento online são concluídas
a cada segundo.
Moedas digitais
Disciplina
Criptografia
A moeda digital tem o potencial de mudar completamente a forma como a sociedade pensa
sobre dinheiro. A ascensão do Bitcoin, Ethereum e milhares de outras criptomoedas que existem
apenas em formato eletrônico levou os bancos centrais globais a pesquisar como as moedas
digitais nacionais podem funcionar (CURRY, 2021). 
Uma das primeiras formas de dinheiro digital era a troca eletrônica entre contasbancárias ou um
pagamento eletrônico utilizando crédito. Isso ainda ocorre (principalmente por cartão de débito
ou crédito) com transferências eletrônicas de banco a banco, um sistema de pagamento online
ou o uso de um smartphone que carrega as informações de pagamento de um usuário. O
dinheiro digital hoje facilita principalmente o movimento da moeda �duciária – dinheiro emitido e
apoiado por um governo, como o dólar americano, o dólar canadense ou o euro (ROSSOLILLO,
2022). 
E o que é uma moeda digital? As moedas digitais não possuem atributos físicos e estão
disponíveis apenas em formato digital. As transações envolvendo moedas digitais são feitas
usando computadores ou carteiras eletrônicas conectadas à internet ou redes designadas
(FRANKENFIELD, 2022). 
As versões eletrônicas de moeda já predominam nos sistemas �nanceiros da maioria dos países
(CURRY; RODECK, 2021). A moeda digital agora também inclui criptomoedas, o Bitcoin
(CRYPTO:BTC) é a criptomoeda original e foi desenvolvida de forma privada como meio de troca
na internet. Desde a sua criação, em 2009, o Bitcoin tem sido aceito por alguns investidores
como uma reserva de valor (um ativo que pode ser guardado para mais tarde com a razoável
crença de que não irá desvalorizar em valor). Depois dessa, milhares de criptomoedas foram
desenvolvidas para diversos usos na economia digital e no mundo real.   
Disciplina
Criptografia
Dinheiro em formato digital (como o real em sua conta bancária) é um tipo de moeda digital, mas
não é o mesmo que criptomoeda. A razão é que o dinheiro em formato digital pode ser
convertido em dinheiro físico (por exemplo, por meio de um caixa eletrônico) ao fazer uma
retirada. O dinheiro tradicional em sua forma digital pode ser usado para facilitar pagamentos
eletrônicos por cartão em comerciantes físicos e online, mas existem algumas diferenças entre
ele e o dinheiro construído como uma moeda digital real. 
O dinheiro em sua forma atual - incluindo formas digitais de dinheiro depositado no banco - é um
processo centralizado. Geralmente é usado um sistema de números de série para garantir que
cada nota seja única. Os parceiros bancários são usados para distribuir dinheiro na economia, o
caminho do dinheiro que usamos pode ser conferido na Figura 1, de acordo com aquilo que o
Banco Central do Brasil apresenta.
O caminho do dinheiro no Brasil – exemplo do Real. Fonte: Banco Central (2022).
Uma moeda digital, como criptomoedas, no entanto, faz uso de um sistema de contabilidade
eletrônica para criar uma rede de nós de computação para processar transações. A criptogra�a é
Disciplina
Criptografia
frequentemente usada para tornar anônimas as identidades dos usuários e os detalhes das
transações. Uma moeda digital também pode contornar intermediários de bancos e instituições
�nanceiras e ser fornecida diretamente aos usuários.   
 Tipos de moedas digitais 
Moeda digital é um termo abrangente que pode ser usado para descrever diferentes tipos de
moedas que existem no reino eletrônico. Em geral, existem três tipos diferentes de moedas,
descritas na Tabela abaixo. 
Tipos de moedas digitais. Fonte: Franken�eld (2022).
Non-Fungible Token (NFT)
Disciplina
Criptografia
O que signi�ca NFT? Token não fungível. Ok, isso não esclareceu nada, não é mesmo? Mas,
vamos lá: não fungível signi�ca que é único e não pode ser substituído por outra coisa. Por
exemplo, um bitcoin é fungível – troque um por outro bitcoin e você terá exatamente a mesma
coisa. Um cartão comercial único, no entanto, não é fungível. Se você o trocasse por um cartão
diferente, teria algo completamente diferente (CLARK, 2021).  
Os Tokens não fungíveis (NFTs) são ativos criptográ�cos em uma Blockchain com códigos de
identi�cação exclusivos e metadados que os distinguem uns dos outros. Ao contrário das
criptomoedas, elas não podem ser negociadas ou trocadas em equivalência. Isso difere de
tokens fungíveis, como criptomoedas, que são idênticos entre si, portanto, podem servir como
meio para transações comerciais (SHARMA, 2022).  
Logo, um NFT é um ativo digital que representa objetos do mundo real, como arte, música, itens
do jogo e vídeos. Eles são comprados e vendidos on-line, frequentemente com criptomoeda, e
geralmente são codi�cados com o mesmo software subjacente de muitas criptomoedas (CONTI;
SCHMIDT, 2022). 
Embora desde 2014 já existiam os NFTs, eles estão ganhando notoriedade agora porque estão
se tornando uma maneira cada vez mais popular de comprar e vender obras de arte digitais. O
mercado de NFTs valeu impressionantes US$ 41 bilhões, somente em 2021, um valor que se
aproxima do total de todo o mercado global de belas artes (CONTI; SCHMIDT, 2022). 
A construção distinta de cada NFT tem potencial para diversos casos de uso. Por exemplo, eles
também podem trabalhar para remover intermediários e conectar artistas com públicos ou para
gerenciamento de identidade. NFTs podem remover intermediários, simpli�car transações e criar
novos mercados (SHARMA, 2022). 
 Como um NFT se difere de uma criptomoeda? 
Disciplina
Criptografia
NFT geralmente é construído usando o mesmo tipo de programação que a criptomoeda, como
Bitcoin ou Ethereum, mas é aí que a semelhança termina. O dinheiro físico e as criptomoedas são
“fungíveis”, o que signi�ca que podem ser negociados ou trocados entre si. Eles também têm o
mesmo valor — um Bitcoin é sempre igual a outro Bitcoin. A fungibilidade do Crypto o torna um
meio con�ável para realizar transações no Blockchain. NFTs são diferentes, cada um possui uma
assinatura digital que impossibilita a troca de NFTs por outros iguais entre si (portanto, não
fungíveis).  
 Como funciona um NFT? 
NFTs existem em um Blockchain, que é um livro público distribuído que registra transações. Você
provavelmente está mais familiarizado com o Blockchain como o processo subjacente que torna
as criptomoedas possíveis. 
Especi�camente, os NFTs são normalmente mantidos no Blockchain Ethereum, embora outros
Blockchains também os suportem. Um NFT é criado ou “cunhado” a partir de objetos digitais que
representam itens tangíveis e intangíveis, incluindo: arte grá�ca, gifs, vídeos e destaques
esportivos; colecionáveis; avatares virtuais e skins de videogame; música etc. 
Essencialmente, os NFTs são como itens de colecionador físicos, mas apenas digitais. Então, em
vez de ter uma pintura a óleo real para pendurar na parede, o comprador recebe um arquivo
digital. Eles também obtêm direitos de propriedade exclusivos (CONTI; SCHMIDT, 2022). 
Videoaula: Blockchain aplicado
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Como em toda tecnologia, as moedas digitais resolvem alguns dos problemas associados ao
dinheiro tradicional. Há também preocupações e inconvenientes. Sabemos que o futuro das
moedas digitais e outros ativos digitais que as utilizam está em mudança, mas a expansão
constante da tecnologia é um bom presságio para a proliferação de formas eletrônicas de
dinheiro e pagamento. Veremos também neste vídeo resumo um pouco do futuro da moeda
digital.
Saiba mais
Disciplina
Criptografia
Para entender um pouco mais a respeito das Moedas Digitais, seguem alguns sites que abordam
com mais detalhes esse assunto. Vale a pena conferir. 
1.  Moeda digital: o que é, o que muda e quais países já implementaram?
2.  Moedas digitais emitidas por bancos centrais: um estudo da aplicação.
3. O que é sistema de pagamento? Entenda aqui tudo sobre esse serviço.
4. Sistema de Pagamentos Brasileiro (SPB).
5. Como funciona um sistema de pagamento online?
�. Pagamento online: como funciona e as melhores opções para comércio.
7. NFTs: o que são e como funcionam os tokens não fungíveis.
�. Tokens não fungíveis (NFT): entenda o que são e por que são populares.
Referências
https://investnews.com.br/cafeina/real-digital-o-que-e-o-que-muda-e-quais-paises-ja-implementaram/
https://repositorio.unifesp.br/handle/11600/61667https://blog.tecnospeed.com.br/sistema-de-pagamento/
https://www.bcb.gov.br/estabilidadefinanceira/spb
https://www.iugu.com/blog/sistema-pagamento-online
https://www.programanex.com.br/blog/pagamento-online
https://www.moneytimes.com.br/conteudo-de-marca/nfts-o-que-sao-e-como-funcionam-os-tokens-nao-fungiveis/
https://cmcapital.com.br/blog/token-nao-fungiveis/
Disciplina
Criptografia
BANCO CENTRAL. O caminho do dinheiro. Banco Central, 2022. Disponível em:
https://www.bcb.gov.br/cedulasemoedas/caminhododinheiro. Acesso em: 2 maio 2022. 
 CONTI, R.; SCHMIDT, J. What Is An NFT? Non-Fungible Tokens Explained. Forbes, 2022.
Disponível em: https://www.forbes.com/advisor/investing/cryptocurrency/nft-non-fungible-
token/. Acesso em: 2 maio 2022.  
 CURRY, B.; RODECK, D. Digital Currency: The Future of Your Money. Forbes, 2021. Disponível em:
https://www.forbes.com/advisor/investing/cryptocurrency/digital-currency/. Acesso em: 2 maio
2022. 
 CLARK, M. NFTs, explained. The verge, 2021. Disponível em:
https://www.theverge.com/22310188/nft-explainer-what-is-blockchain-crypto-art-faq. Acesso em:
2 maio 2022. 
 FRANKENFIELD, J. Digital Currency. Investopedia, 2022. Disponível em:
https://www.investopedia.com/terms/d/digital-currency.asp. Acesso em: 2 maio 2022.  
 SHEMIN, P. A.; VIPINKUMAR, K. S. E–payment system using visual and quantum
cryptography. Procedia Technology, v. 24, p. 1623-1628, 2016. 
 ROSSOLILLO, N. What Is a Digital Currency? The Motley Fool, 2022. Disponível em:
https://www.fool.com/investing/stock-market/market-sectors/�nancials/cryptocurrency-
stocks/digital-currency/. Acesso em: 2 maio 2022. 
 SHARMA, R. Non-Fungible Token (NFT) De�nition. Investopedia, 2022. Disponível em:
https://www.investopedia.com/non-fungible-tokens-nft-5115211. Acesso em: 2 maio 2022. 
 SORIN, Despot. How Does an Online Payment Transaction Work? Twispay, 2022. Disponível em:
https://www.twispay.com/en/blog/how-does-an-online-payment-transaction-work/. Acesso em: 2
maio 2022. 
https://www.bcb.gov.br/cedulasemoedas/caminhododinheiro.
https://www.forbes.com/advisor/investing/cryptocurrency/nft-non-fungible-token/
https://www.forbes.com/advisor/investing/cryptocurrency/nft-non-fungible-token/
https://www.forbes.com/advisor/investing/cryptocurrency/digital-currency/
https://www.theverge.com/22310188/nft-explainer-what-is-blockchain-crypto-art-faq
https://www.investopedia.com/terms/d/digital-currency.asp
https://www.fool.com/investing/stock-market/market-sectors/financials/cryptocurrency-stocks/digital-currency/
https://www.fool.com/investing/stock-market/market-sectors/financials/cryptocurrency-stocks/digital-currency/
https://www.investopedia.com/non-fungible-tokens-nft-5115211
https://www.twispay.com/en/blog/how-does-an-online-payment-transaction-work/
Disciplina
Criptografia
Aula 5
Revisão da unidade
Identi�car os momentos do cotidiano em que são utilizadas técnicas de
criptogra�a e reconhecer as suas principais tendências desenvolvidas.
O Módulo de Segurança de Hardware (HSM) tem como �nalidade controlar o acesso e limitar o
risco às chaves privadas con�denciais de uma organização (CRANE, 2021). É um dispositivo
físico que fornece segurança extra para dados con�denciais e é usado para fornecer chaves
criptográ�cas para funções críticas, como criptogra�a, descriptogra�a e autenticação para uso
de aplicativos, identidades e bancos de dados (DAVIES, 2021). Um HSM pode ser considerado
con�ável porque: 
É construído em cima de hardware especializado – é testado e certi�cado. 
Possui um sistema operacional focado em segurança. 
Tem acesso limitado através de uma interface de rede que é estritamente controlada
por regras internas. 
Esconde e protege ativamente o material criptográ�co. 
Disciplina
Criptografia
Os HSMs servem como âncoras de con�ança para criar ambientes robustos e invioláveis para
armazenar chaves criptográ�cas. Tradicionalmente, um módulo de segurança de hardware inclui
um ou mais chips criptográ�cos seguros e geralmente existe como um dispositivo externo ou
placa de plug-in que se conecta diretamente a um servidor de rede ou computador. 
Normalmente, os HSMs são certi�cados de acordo com padrões reconhecidos
internacionalmente, como FIPS 140 - o Federal Information Processing Standard. Isso está
relacionado à função crítica dos HSMs na proteção da infraestrutura e dos aplicativos e à
necessidade relacionada de garantir aos usuários que o projeto e a implementação do produto e
do algoritmo criptográ�co sejam sólidos. 
Ao estudarmos uma função hash na criptogra�a, temos um algoritmo que recebe uma
quantidade arbitrária de entrada de dados, que pode ser uma mensagem ou uma credencial, e
produz uma saída de tamanho �xo de texto criptografado chamado valor de hash. Esse texto
criptografado pode ser armazenado no lugar da própria senha, no caso de uma credencial, e
usado posteriormente para veri�car o usuário (SYNOPSYS, 2015). Essa função hash pode
contribuir armazenando senhas com segurança em um banco de dados; garantindo a integridade
de arquivos, documentos, mensagens ou dados, indicando quando foram adulterados; tornando a
autenticação segura possível; e também organizando o conteúdo e os arquivos de maneira que
aumente a e�ciência. 
No caso de autenticação, o hash para o uso de senha adiciona uma camada de segurança. O
hashing permite que as senhas sejam armazenadas em um formato que não pode ser revertido
em tempo ou custo razoável para um hacker. Os algoritmos de hash transformam a senha de
texto simples em uma saída de caracteres de comprimento �xo, e a saída não se parecerá com a
senha original e o comprimento do hash será o mesmo, independentemente do comprimento da
senha de texto simples (JACOBSON, 2020). Desse modo, as funções de hash são uma maneira
de garantir a integridade dos dados, e manter essa integridade é um dos conceitos-chave para a
segurança da informação. 
As aplicações da criptogra�a no cotidiano podem ser vistas, por exemplo, no Blockchain, que
combina tecnologias e técnicas em uma nova arquitetura composta por cinco elementos, que
incluem: distribuição, criptogra�a, imutabilidade, tokenização e descentralização. Seu
funcionamento se baseia em uma cadeia de blocos que contém informações, e consiste em três
conceitos importantes: blocos, nós e mineradores (RAJ, 2019). A criptogra�a também é usada
para gerenciar e controlar a criação de criptomoedas, como Bitcoin e Ethereum (FRANKENFIELD,
2022).
Videoaula: Revisão da unidade
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Disciplina
Criptografia
Com o crescimento da tecnologia, o número de violações on-line também aumentou, o que exigiu
abordagens seguras para executar operações online. Veremos neste vídeo algumas diferentes
ferramentas de criptogra�a usadas com muita frequência; logo, temos diferentes ferramentas
disponíveis e pode-se escolher a mais precisa com base no requisito necessário.
Estudo de Caso
Você deve estar ciente de que o Blockchain tem o potencial de ser uma mudança de paradigma
que pode redesenhar como as organizações operam e como o valor é compartilhado entre os
atores econômicos. Diz-se que essa tecnologia disruptiva muda a forma como o mundo
funciona, como funcionam indústrias inteiras e como o valor está sendo trocado e garantido.
Mas, por mais promissor que seja, é preciso agir com cautela. Estamos no início do que o
Blockchain pode alcançar e o sistema ainda não está cem por cento maduro – é considerada
uma tecnologia emergente. 
Pensando em seu trabalho como um especialista em criptogra�a, você teve como incumbência
explicá-la a um grupo de jovens investidores que estão ansiosos para entender melhor o
funcionamento do Blockchain, e assim poderem utilizá-lo, visando a melhoria dos seus
negócios.  
 Com a ajuda de um exemplo simples, de uma situação imaginária, você irá desvendar o
funcionamento do Blockchain, já que,muitas vezes, ele é considerado difícil de entender,
especialmente para pessoas não tecnológicas ou ingressantes no ensino da área. Antes de
mergulhar instantaneamente na parte técnica do Blockchain, você deve primeiro trazer uma visão
geral e mais simpli�cada para esse grupo.
______
Disciplina
Criptografia
Re�ita
O uso mais óbvio da criptogra�a, aquele que todos nós usamos com frequência, é criptografar as
comunicações entre nós e outro sistema. Isso é mais comumente usado para comunicação
entre um programa cliente e um servidor. Os exemplos são um navegador da Web e um servidor
da Web ou um cliente de e-mail e um servidor de e-mail.  
 Quando a internet foi desenvolvida, as informações circulavam entre uma pequena comunidade
acadêmica e governamental, e o uso indevido era raro. A maioria dos sistemas se comunicava
claramente (sem criptogra�a), de modo que qualquer pessoa que interceptasse tráfego de rede
poderia capturar comunicações e senhas. As redes comutadas modernas di�cultam a
interceptação, mas alguns casos – por exemplo, WiFi público – ainda permitem. Para tornar a
internet mais segura, a maioria dos protocolos de comunicação adotou a criptogra�a. Muitos
protocolos mais antigos foram descartados em favor de substituições criptografadas mais
recentes. 
Interessante veri�car:  
 O melhor exemplo é a criptogra�a da Web, pois aqui você pode escolher entre uma versão
clara ou criptografada de um site alternando entre HTTP e HTTPS na URL. A maioria das
grandes empresas agora usa o formulário criptografado por padrão, e você verá que
qualquer visita ao Google, Facebook, Microsoft O�ce 365 ou outros sites será para a
versão HTTPS do site. Isso é acompanhado em navegadores recentes por informações
extras, incluindo um cadeado para mostrar que é HTTPS.  
Algo que você pode tentar é clicar no cadeado em uma página criptografada e seu
navegador informará mais sobre a segurança. Ele também informará o fato especialmente
relevante do nome real do site que você está visitando. Portanto, se você estiver digitando
uma senha em uma página, veri�que se é HTTPS. 
 Não se esqueça:  
 Ataques cibernéticos à criptogra�a podem acontecer, em nossos estudos vemos que a
criptogra�a não é infalível. No entanto, os ataques que buscam explorar a criptogra�a são muito
mais complexos de serem executados do que tirar proveito de organizações que negligenciam o
uso de uma estratégia de criptogra�a e�caz. Lembre-se das importantes aplicações de
criptogra�a toda vez que sua equipe de trabalho em segurança de TI buscar por uma estratégia
de criptogra�a e deixá-la incompleta! Trabalhe sempre buscando a segurança do sistema e
principalmente da organização.
Videoaula: Resolução do Estudo de Caso
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
Disciplina
Criptografia
aplicativo para assistir mesmo sem conexão à internet.
Entendendo as Blockchains por Tormen (2019): 
 Imagine uma vila de 20 pessoas vivendo em uma ilha no meio do oceano, sem conexão com
nenhuma outra tribo ou país. Chamaremos essa aldeia de Aldeia Alfa. Eles vivem uma vida
pací�ca em um ambiente cheio de recursos, onde ninguém carece de nada. 
Pergunta: como as pessoas do Village Alpha trocam e comercializam bens e serviços entre si? 
Evitando as desvantagens da troca, eles inventam uma moeda cunhada em ouro, uma forma de
dinheiro semelhante a uma nota de dólar na economia de hoje. Porque esta moeda é portátil e
fácil de identi�car e tem um valor aos olhos de todos os aldeões, rapidamente se torna o
principal meio de pagamento dentro da comunidade. Para garantir o comércio adequado entre si,
eles registram todas as trocas em um livro-razão e nomeiam um deles como o contador de
referência para manter sua precisão e autenticidade. O contador designado é recompensado por
sua integridade e honestidade, cobrando uma taxa em cada transação. 
E é isso! As pessoas podem comprar e vender mercadorias com suas moedas cunhadas em
ouro. A verdade é assegurada pelo contador que mantém o livro-razão em dia, incentivado a se
comportar de forma justa ao cobrar taxas sobre as transações. Qualquer pessoa pode desa�á-lo
veri�cando as transações para veri�car o registro adequado. 
Os aldeões encontraram uma solução para o problema, inventando sem saber o sistema
bancário que prevalece hoje em dia. 
Agora, vamos supor que o contador é desonesto. Imagine que ele modi�que o ledger durante a
noite e apague algumas transações ou adicione novas? E se ele destruir o livro-razão? 
Você pode ver que esse sistema tem suas de�ciências. Os aldeões estão atualmente usando o
que chamamos de sistema de pagamento centralizado, pois todos con�am no contador para
garantir a verdade. 
Em nossa sociedade moderna, o banco desempenha o papel do guarda-livros. Quando você
envia dinheiro para um amigo, você con�a no banco para realizar as transferências de fundos
corretas. 
Isso tem grandes desvantagens: 
Imagine Que Uma Tempestade Varre A Vila E O Livro-Razão Se Perde. 
Imagine que podem modi�car as transações. 
Um problema de gasto duplo, no entanto, não é aplicável em nosso exemplo porque
assumimos que eles trocam bens físicos. Se os aldeões estivessem trocando valor
digital, o gasto duplo teria sido um problema, pois eles precisariam de uma
infraestrutura para impedir a replicação dos ativos digitais. Em outras palavras, eles
precisariam de um meio para evitar que um ativo fosse gasto duas vezes.  
Então, como o Blockchain oferece uma alternativa poderosa a esse sistema de pagamento
centralizado tradicional? 
Tomemos a aldeia da ilha vizinha para ver como procederam a partir do problema inicial da troca
de mercadorias. Essa aldeia, que chamaremos de Aldeia Beta, também é composta por 20
pessoas. 
Disciplina
Criptografia
Em vez de eleger um deles como o guarda-livros que certi�cará a veracidade e o histórico das
transações, encontram outra solução. Eles criam um livro em que cada página é desenhada
como uma planilha com dez linhas e três colunas. As linhas serão usadas para inserir transações
e as colunas para inserir três informações: o endereço do remetente, o endereço do destinatário
e o valor, conforme na imagem abaixo:
Exempli�cação de guarda-livros. Fonte: Tormen (2019).
Em seguida, eles replicam o livro 19 vezes e entregam uma cópia a cada aldeão para que todos
tenham um livro. Por �m, eles fabricam 10.000 moedas, que chamam de Vilacoin, e distribuem
10 para cada um deles, deixando o restante em um cofre. 
Quando alguém quer fazer uma transação, ele ou ela tem que ir ao local central da aldeia e gritar
para todos os outros que transação ele ou ela está disposto a fazer. Ao ouvir a transação, os
outros aldeões escrevem na primeira página de seu livro, por exemplo: Alice dá 2 Vilacoin para
Bob, Chuck dá 5 Vilacoin para Dan e assim por diante. Dessa forma, todas as transações são
registradas no livro de todos, conforme a imagem abaixo: 
Disciplina
Criptografia
Exempli�cação do preenchimento do guarda-livros. Fonte: Tormen (2019).
Com este sistema, ninguém foi encarregado de a�rmar a precisão de um livro central, mas, em
vez disso, todos são responsáveis por seu próprio livro. 
Essa organização permite duas coisas: 
Transparência:  os aldeões podem veri�car se um deels tem dinheiro su�ciente. Como
todas as transações são registradas, é fácil veri�car que Alice não pode enviar 15
Villagecoin para Dan, já que ela recebeu 10 Villagecoin no primeiro dia e depois enviou
2 Villagecoin para Bob. Ela tem, portanto, apenas 8 Villagecoin restantes. 
Um primeiro nível de segurança: como todos deveriam ter o mesmo livro e histórico
de transações, se Alice falsi�casse uma transação em seu livro, ela se tornaria
inválida porque todos os outros (a maioria) têm as transações corretas registradas.
Alice acabaria com um livro incorreto e precisaria recuperar uma cópia válida de outro
aldeão. 
Neste exemplo, o livro é o que chamamos de banco de dados (ou ledger), no qualtodas as
transações e transferências de valores são registradas. A aldeia é a comunidade que dá poder ao
livro-razão; é uma infraestrutura de rede na qual os moradores são os seguintes: 
Os nós e os mineradores: são as entidades que validam as transações e armazenam
o livro-razão (mais sobre isso depois). 
Eles são os usuários do serviço prestado pela rede. Nesse exemplo, o serviço é a
capacidade de usar um meio de pagamento descentralizado (Villagecoin) para vender
e comprar bens físicos. Pode ser comparado ao Bitcoin. 
Disciplina
Criptografia
 Como já vimos anteriormente, cada página do livro é projetada com 10 linhas. Então, o que
acontece quando chegamos à transação número 10? Certamente precisamos ir para a próxima
página. No entanto, antes de fazer isso, os moradores devem validar as transações e selar a
página. 
Para manter as transações seguras, os aldeões decidem que cada página deve ser removida do
livro e colocada em uma parede especial que exibirá cada página assim que for concluída. Dessa
forma, os aldeões terão certeza de que as transações (portanto, as páginas) exibidas na parede
são verdadeiras, válidas e corretas. 
A parede que exibe as páginas válidas não permitirá que nenhum aldeão coloque sua página
nela. Depois que uma página é completada com 10 transações registradas, apenas um aldeão
pode colocar sua página nela. Para isso, todos os aldeões terão que competir para encontrar o
resultado de um problema matemático. 
Aqui está a parte delicada que torna um Blockchain imutável e inalterável. 
Há uma seção na parede que possui duas pequenas telas que exibirão algumas informações
toda vez que uma página for concluída: 
Na  Tela A é exibido  um número que chamaremos de número de referência. 
Na  Tela B, a data e a hora são exibidas. 
Sob essas duas telas, há duas outras onde os aldeões inserirão dados: 
Na  tela C, os aldeões inserirão as 10 transações da página concluída. 
Na  tela D, os aldeões inserirão um número aleatório que chamaremos de número X. 
Por �m, uma tela �nal exibe uma regra que deve ser respeitada na resolução do problema
matemático. Quando a página #1 estiver completa, todos os aldeões se reúnem diante do muro
para tomar conhecimento das informações fornecidas nas duas primeiras telas. No nosso
exemplo, temos o seguinte: 
Tela A: Número de referência: 0 
Tela B: Data e hora: 25/06/2018, 15h25 
A regra dada na parede é a seguinte: 
 "O número de saída a ser encontrado ao resolver o problema matemático deve começar com
dois zeros à esquerda". 
 Você se lembra que, para que uma página seja aceita na parede, os aldeões terão que resolver
um problema matemático? 
Bem, este problema é de�nido assim: 
Número de referência da tela A + data e hora da tela B + transações da página da tela C + número
aleatório da tela D inserido pelo aldeão (número X) = um número de saída seguindo a regra dada
pela parede (um número que começa com dois zeros à esquerda) 
 Nessa equação, na verdade, conhecemos quatro das cinco variáveis: 
Os dados da Tela A (o número de referência) são dados pela parede: 0. 
Os dados da Tela B (data e hora) são fornecidos pela parede: 25/06/2018, 15h25. 
Os dados da Tela C (as transações) devem ser preenchidos pelos aldeões. Eles estão
escritos nas páginas de seus livros. 
Os dados da Tela D (a regra) são fornecidos pela parede: o número de saída a ser
encontrado ao resolver o problema matemático deve começar com dois zeros à
Disciplina
Criptografia
esquerda. 
Agora, a parte difícil para os aldeões é encontrar o número correto para inserir na Tela D para que
a equação retorne um número que respeite a regra da parede: um número começando com dois
zeros à esquerda, é utilizada nesta parte a função hash - é uma função matemática que
transforma qualquer cadeia de caracteres ou números em uma cadeia de caracteres de
comprimento �xo. Ele transforma os dados em uma impressão digital chamada hash – logo
retoma o hash da página #1 (um número de saída seguindo a regra: um número começando com
dois zeros à esquerda). 
Resumindo: 
A página é o que chamamos de Bloco. 
A data e hora fornecidas na tela B é o que chamamos de timestamp do bloco. 
O número X é conhecido como um nonce. É o número que os nós da rede Blockchain
(no nosso exemplo, os aldeões) tentam encontrar para alcançar o número de saída
que respeita a regra dada pela parede. 
O processo de encontrar o número X (da tela D) é chamado mineração. 
A regra dada pela parede é chamada função hash. 
Se voltarmos ao Village Beta, teremos: 
O número de referência, 0 
+ o carimbo de data/hora da página, 25/06/2018, 15h25 
+ as transações (os dados escritos em uma página do livro) 
+ o nonce (número X) 
= retorna o hash da página #1 (um número de saída seguindo a regra: um número
começando com dois zeros à esquerda).
Resumo Visual
Disciplina
Criptografia
A criptogra�a é uma daquelas coisas peculiares que bene�cia a todos várias vezes ao dia, seja
nos negócios ou como clientes, sem que a maioria de nós perceba. Suas aplicações são
diversas, podendo ser vistas em: 
Aplicações da criptogra�a. Fonte: Pixabay
Disciplina
Criptografia
Referências
CRANE, C. What Is a Hardware Security Module? HSMs Explained. The SSL Store, 2021.
Disponível em: https://www.thesslstore.com/blog/what-is-a-hardware-security-module-hsms-
explained/. Acesso em: 22 abr. 2022. 
 DAVIES, E. hardware security module (HSM). Tech Target, 2021. Disponível em:
https://www.techtarget.com/searchsecurity/de�nition/hardware-security-module-HSM. Acesso
em: 22 abr. 2022. 
 FRANKENFIELD, J. Digital Currency. Investopedia, 2022. Disponível em:
https://www.investopedia.com/terms/d/digital-currency.asp. Acesso em: 2 maio 2022. 
JACOBSON, K. Hashing: What You Need to Know About Storing Passwords. Security Boulevard,
2020. Disponível em: https://securityboulevard.com/2020/05/hashing-what-you-need-to-know-
about-storing-
passwords/#:~:text=Hashing%20allows%20passwords%20to%20be,characters%20of%20a%20�x
ed%20length. Acesso em: 26 abr. 2022. 
RAJ, K. Foundations of Blockchain. Editora Packt, 2019. E-book (372 p.). ISBN: 9781789139396.
Disponível em: https://subscription.packtpub.com/product/big-data-and-business-
intelligence/9781789139396. Acesso em: 28 abr. 2020. 
 SYNOPSYS. What are cryptographic hash functions? Synopsys, 2015. Disponível em:
https://www.synopsys.com/blogs/software-security/cryptographic-hash-functions/. Acesso em:
25 abr. 2022. 
TORMEN, R. Blockchain for Decision Makers. [s. L.]: Editora Packt, 2019. E-book (184 p.). ISBN:
9781838552275. Disponível em:
https://subscription.packtpub.com/product/data/9781838552275. Acesso em: 28 abr. 2020. 
,
https://www.thesslstore.com/blog/what-is-a-hardware-security-module-hsms-explained/
https://www.thesslstore.com/blog/what-is-a-hardware-security-module-hsms-explained/
https://www.techtarget.com/searchsecurity/definition/hardware-security-module-HSM
https://www.investopedia.com/terms/d/digital-currency.asp
https://securityboulevard.com/2020/05/hashing-what-you-need-to-know-about-storing-passwords/#:~:text=Hashing%20allows%20passwords%20to%20be,characters%20of%20a%20fixed%20length
https://securityboulevard.com/2020/05/hashing-what-you-need-to-know-about-storing-passwords/#:~:text=Hashing%20allows%20passwords%20to%20be,characters%20of%20a%20fixed%20length
https://securityboulevard.com/2020/05/hashing-what-you-need-to-know-about-storing-passwords/#:~:text=Hashing%20allows%20passwords%20to%20be,characters%20of%20a%20fixed%20length
https://securityboulevard.com/2020/05/hashing-what-you-need-to-know-about-storing-passwords/#:~:text=Hashing%20allows%20passwords%20to%20be,characters%20of%20a%20fixed%20length
https://subscription.packtpub.com/product/big-data-and-business-intelligence/9781789139396
https://subscription.packtpub.com/product/big-data-and-business-intelligence/9781789139396
https://www.synopsys.com/blogs/software-security/cryptographic-hash-functions/
https://subscription.packtpub.com/product/data/9781838552275
Disciplina
Criptografia
Unidade 4
Criptogra�a aplicada a redesde computadores
Aula 1
Vulnerabilidade e segurança de redes
Introdução
Você já deve ter ouvido falar bastante sobre invasões e quebra de segurança. Mas você sabe
como um ataque ocorre e como podemos nos proteger? 
Primeiramente, é preciso entender o que é e como uma ameaça à segurança pode afetar um
ambiente com vulnerabilidades. Um sistema que esteja com vulnerabilidade não signi�ca que foi
comprometido, mas as ameaças estão por todo lado e explorarão qualquer tipo de brecha que se
encontre nos sistemas da rede. 
Nesta aula, veremos os riscos relacionados à segurança e detalharemos a importância de uma
rede segura, pois nela repousam o que é mais precioso para a sociedade atual: a informação. 
Vem comigo!
Vulnerabilidades, ameaças e riscos a um ativo de redes
Disciplina
Criptografia
A segurança da informação a cada dia se torna uma abordagem mais notória nos ambientes
informatizados. O motivo é simples: cada vez mais operações do mundo real migram para o
mundo virtual, e junto delas migram as pessoas mal-intencionadas, que buscam se apropriar de
valores associados a essas operações.  
A informação é um tesouro valioso, e quem dela se apropria obtém não apenas vantagens
�nanceiras, mas também competitivas, como, por exemplo, uma empresa de um determinado
ramo que se apropria, através de alguma técnica de invasão, de um projeto inovador de sua
concorrente pode afetar uma empresa, seus funcionários e até mesmo parte do mercado. 
Ter os dados protegidos deixou de ser uma opção há muitos anos, tornando-se uma peça
fundamental no quebra-cabeça de uma infraestrutura de rede de computadores. 
Mas como deixar nossa rede 100% segura? Essa é uma pergunta que infelizmente não tem uma
resposta direta, pois, à medida que os métodos de proteção avançam, as técnicas de invasão
avançam também. Porém, é possível criar um ambiente cada vez mais seguro à medida que
compreendemos o quão vulneráveis estamos e como nos proteger. 
Sun Tzu (2011, p. 215), em A Arte da Guerra, resumiu de maneira fantástica essa questão: “Se
você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas”. 
É fundamental que você conheça, o máximo possível, quais técnicas de invasão poderão ser
utilizadas para capturar as informações.     
E quanto ao conhecer a si mesmo, signi�ca saber o quanto meu ambiente pode estar vulnerável a
um possível ataque. E esse será o primeiro passo para um ambiente seguro: entender o que é
uma vulnerabilidade. 
Disciplina
Criptografia
Podemos de�nir vulnerabilidade como uma fraqueza, uma falha, ou falta de um determinado
ativo de uma empresa, que pode ser explorado por uma ou mais ameaças. 
Ativo é qualquer item que faz parte de uma infraestrutura de redes de computadores, ou até
mesmo da empresa como um todo. Um computador é um exemplo de ativo. 
Já a ameaça pode ser entendida como um agente que tem o potencial de causar um incidente de
segurança.
Um risco é a iminência de ataque quando uma ameaça explora uma vulnerabilidade em um ativo. Fonte: Bernhoef
Identi�car os riscos potenciais que a empresa ou o ambiente tecnológico possui é indispensável
para montar um programa de segurança adequado. 
Podemos citar como principais vulnerabilidades de um ambiente tecnológico:  
Uma tecnologia que nunca recebeu con�gurações e correções para aumentar sua
segurança. 
Um computador que não tem um antivírus atualizado.  
Um sistema de autenticação que permite que o usuário tenha senhas fracas. 
Base de dados sem cópias de segurança, como backup ou replicação remota. 
Mas as vulnerabilidades não estão presentes somente em ativos tecnológicos. Dentro de uma
empresa, podemos encontrar outras situações classi�cadas como vulnerabilidades, por
exemplo:  
Um datacenter sem um rigoroso controle de acesso. 
Um projeto con�dencial impresso e desprotegido em cima de uma mesa. 
Disciplina
Criptografia
Um funcionário que não conhece a política de segurança da empresa, ou que não
passou por conscientização de segurança. 
Exemplos de vulnerabilidade em um escritório. Fonte: Instituto Paracleto.
As vulnerabilidades estão diretamente ligadas à natureza da operação de uma empresa, os tipos
de dados manipulados e os tipos de equipamentos utilizados. Encontrar todas pode ser uma
tarefa demorada e custosa, porém é um passo necessário para partirmos para nossa próxima
tarefa: conhecer o inimigo, as ameaças e seus possíveis métodos de ataque.
As ameaças e os principais tipos de ataques
Disciplina
Criptografia
Identi�car todas as ameaças a que uma empresa está exposta é um trabalho bastante difícil,
mas encontrar algumas delas, às vezes, é um trabalho até óbvio. Por exemplo: a empresa acabou
de demitir diversos funcionários e noti�cou que muitos outros também serão desligados; a
empresa não instalou cabeamento adequado na infraestrutura de redes, o local onde �ca o
datacenter sofre constantes inundações etc. 
Essa identi�cação é essencial para que possamos seguir para a próxima etapa, que é entender
quais os ataques que a empresa pode sofrer e como se proteger deles. 
Um ataque a um ambiente de redes, ou a uma empresa como um todo, deriva de uma ameaça
conduzida, ou seja, um ato deliberado (especialmente no sentido de um método ou técnica) de
violar a política de segurança de um sistema, geralmente explorando uma vulnerabilidade com o
�m de obter alguma vantagem, seja capturando informações sigilosas ou para retirar um sistema
ou uma rede da operação.  
Para melhor compreensão dos tipos de ataques, podemos dividi-los em duas categorias: ataques
ativos e ataques passivos. 
 Os ataques ativos são aqueles perceptíveis à vítima tão logo ele ocorra. 
Ataques ativos envolvem alguma modi�cação ou retenção do �uxo de dados ou a criação de um
�uxo falso. 
Disciplina
Criptografia
Método de ataque ativo, no qual o atacante altera o conteúdo do documento original enviado pelo emissor. Fonte: elaborada
pelo autor.
Outro exemplo de ataque ativo é conhecido como negação de serviço. Esse ataque impede ou
inibe o uso normal do �uxo de dados da rede atacada.
Disciplina
Criptografia
Ataque de negação de serviço. Fonte: Difference Between.
A próxima categoria de ataque, mais perigosa, é o ataque passivo. A característica principal, é
sua forma silenciosa de agir. Nesse tipo de ataque, o invasor não almeja dani�car ou obstruir a
informação, mas tão somente capturá-la, usando alguma técnica. Com isso, detectar esse tipo
de ataque torna-se um desa�o maior para a equipe de segurança da informação. 
Um tipo de ataque passivo muito comum consiste na análise de tráfego que, muitas das vezes,
mantém-se imperceptível pela vítima, pois os dados chegarão íntegros ao destino, mas foram
capturados e lidos por pessoas não autorizadas. 
Exemplo de ataque passivo. Fonte: elaborada pelo autor.
Outro tipo de ataque passivo é o ataque de Engenharia Social, que merece uma atenção especial,
pois ele não envolve diretamente o uso de alguma tecnologia para acontecer.  
Esse tipo de ataque tem como alvo obter informações conquistando a con�ança da vítima que,
deliberadamente, fornecerá as informações con�denciais. 
Mas você pode estar se perguntando agora: alguém faria isso de forma consciente? A resposta
infelizmente é sim! Os chamados engenheiros sociais estão se especializando cada vez mais no
estudo do comportamento humano, psicologia e áreas a�ns, de modo a conquistar a con�ança
do alvo, seja por a�nidades em redes sociais, envolvimento afetivo, ou qualquer outra
vulnerabilidade que ele perceba, não na empresa, mas no seu funcionário. 
Percebeu como o ataque passivo é silencioso e perigoso? Os ataques ativos geralmente deixam
rastros e danos causados por alterações, já os ataques passivos são difíceis de detectar, pois
não envolvem qualquer alteração dos dados.  
Assim, a melhor forma de combater os ataques, sejam passivos ou ativos, é através da
prevenção. Proatividade é a palavra que de�ne a vantagem da segurança da informação em
Disciplina
Criptografia
relação aos atacantes. Abordaremos, no próximo bloco,as melhores formas de nos prevenirmos
dos ataques à segurança da informação. 
Prevenção – A força da segurança da informação
Até aqui, vimos como os ataques acontecem, explorando vulnerabilidades, seja no sistema, na
rede ou até em nós mesmos. 
Mas como vamos impedir que isso aconteça?  
O ambiente corporativo como um todo, não apenas a parte relacionada à rede de computadores,
deve estabelecer normas e regras claras de prevenção a ataques, seja em con�gurações de
equipamentos, atualizações de sistemas ou na conscientização dos seus funcionários. 
Um exemplo de prevenção é proteger o conteúdo que trafega pela rede com criptogra�a. Desse
modo, um atacante poderia até conseguir capturar as mensagens, mas não conseguiria ter
acesso ao conteúdo.
Disciplina
Criptografia
Dados capturados com a criptogra�a, o atacante não obtém acesso ao conteúdo da informação. Fonte: elaborada pelo autor.
Ainda assim, ele teria meios para determinar o local e a identidade dos interlocutores em
comunicação ou alterar o conteúdo das mensagens compartilhadas.  
Atuar na segurança de sistemas, redes e informação, como vemos, é algo desa�ador, pois além
da detecção das possíveis vulnerabilidades e técnicas preventivas contra ameaças, deve-se
disseminar uma postura ética muito forte e comprometimento com a con�dencialidade das
informações por parte de todo o corpo funcional. 
O mercado atualmente procura seguir normas internacionais de segurança da informação como
modelos para criar suas próprias normas internas.  
Entretanto, podemos resumir as melhores práticas que podem ser úteis para qualquer empresa,
rede de computadores ou ambiente tecnológico. 
O primeiro método de prevenção que podemos adotar é o Checklist de segurança. Nele podemos
listar todas as vulnerabilidades mapeadas e controles de segurança, que são recomendações
geralmente de�nidas por um conselho de segurança da empresa, que de�ne procedimentos para
bloquear possíveis ameaças, como, por exemplo: utilizar senhas fortes, regras de Firewall,
antivírus e sistemas operacionais atualizados, procedimento de identi�cação e�ciente aos locais
de acesso restrito etc. 
Outro procedimento de prevenção aos ataques à segurança da informação é conhecido como
gestão de riscos, que se baseia em mudar o comportamento funcional da empresa: 
Evitar: executar ações preventivas. 
Tratar: aplicar os controles de segurança apropriados para mitigar os ataques. 
Transferir: fazer seguros em caso de ataques que causem danos �nanceiros. 
Reduzir: melhorar processos, implementar novos mecanismos mais seguros. 
Disciplina
Criptografia
Aceitar: não realizar qualquer medida nos casos em que o custo do tratamento do
risco é maior que o prejuízo que pode ser causado por ele. 
Por �m, os pro�ssionais de segurança devem realizar periodicamente os testes de Segurança
Ofensiva. Esses testes, chamados de Pen Test (Teste de Invasão), realizam análise preventiva de
vulnerabilidades no próprio ambiente, simulando uma invasão, com o objetivo de encontrar
brechas de segurança, antevendo possíveis ataques e protegendo antecipadamente a
vulnerabilidade encontrada. 
Além disso, é fundamental atuar em conjunto com tecnologias de defesa sempre atualizadas,
como Firewalls, IPS, controle de logs, antivírus, gerenciamento de patches, proteção de dados,
criptogra�a etc. 
A empresa que se preocupa em manter uma adequada gestão de segurança da informação, com
normas e políticas de segurança inerentes ao negócio, análise de riscos, conformidade com leis,
programas de conscientização dos funcionários, entre outros, dará um passo à frente nessa
batalha interminável entre a proteção e a invasão dos dados. 
Com isso, caro aluno, concluímos nossa jornada rumo aos conhecimentos inerentes às
vulnerabilidades e à segurança da rede de uma empresa. 
Videoaula: Vulnerabilidade e segurança de redes
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
A segurança da informação é uma abordagem notória nos ambientes informatizados, pois, cada
vez mais, operações do mundo real migram para o mundo virtual, e junto com essas operações,
migram também as pessoas mal-intencionadas, que buscam se apropriar de valores associados
a essas operações, já que o dado é o tesouro mais valioso do século XXI. 
Para proteger a informação, precisamos identi�car os riscos potenciais que a empresa ou o
ambiente tecnológico guardião possui para montar um programa de segurança adequado. 
Neste vídeo, veremos como os riscos à segurança da informação são identi�cados.
Abordaremos os conceitos de vulnerabilidade e ameaça e como a interseção delas aponta um
risco à segurança. 
Veremos os principais tipos de ataques à rede e ao ambiente de trabalho e as contramedidas que
uma equipe de segurança pode tomar, de forma antecipada, às ameaças em potencial ao seu
ambiente de redes. 
A empresa que se preocupa em manter uma gestão de segurança da informação adequada,
estará um passo à frente nessa batalha interminável entre a proteção e a invasão dos dados. 
Disciplina
Criptografia
Saiba mais
Para saber mais sobre Engenharia Social, recomendo a leitura dos artigos abaixo: 
5 coisas que você deve saber sobre Engenharia Social 
Rir é o melhor remédio... para falar ou se expor demais! 
 Para saber mais sobre ciberataques, recomendo a leitura do texto a seguir: 
Cibersegurança: O que é? Principais Ameaças ao Ciberespaço 
 Site com ferramentas especializadas em Pen Test.
Referências
https://www.welivesecurity.com/br/2016/08/19/sobre-engenharia-social/
https://institutoparacleto.org/2015/03/31/rir-e-o-melhor-remedio-para-falar-ou-se-expor-demais/
https://gestaodesegurancaprivada.com.br/ciberseguranca-seguranca-cibernetico/
https://gestaodesegurancaprivada.com.br/ciberseguranca-seguranca-cibernetico/
https://www.sonarqube.org/
Disciplina
Criptografia
STALLINGS, W. Criptogra�a e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson
Education do Brasil, 2015. 
 TZU, S,. A arte da guerra. Alfragide, Portugal: Texto Editores, 2011. 
Aula 2
Certi�cados digitais e autoridades certi�cadoras
Introdução
Disciplina
Criptografia
Seguindo nossa jornada no universo da criptogra�a, abordaremos nesta aula um assunto muito
importante relacionado ao tema: o uso de certi�cados digitais. 
Você provavelmente já observou, ao navegar pela internet, que, algumas vezes, o seu navegador
informa que você pode estar entrando em um site não seguro?  
O que isso signi�ca? Que ele está contaminado? Que tem um hacker do outro lado o
espionando?  
Na verdade, o signi�cado disso é um pouco mais sutil, porém de grande importância: o seu
navegador não encontrou um certi�cado digital válido para esse site e, por isso, ele não garante a
AUTENTICIDADE daquele conteúdo. 
Assim, o uso de certi�cado digital é de suma importância para termos a certeza de que estamos
acessando o conteúdo autêntico da fonte que o produziu. 
Veremos, nos próximos blocos, o conceito de certi�cado digital, como ele é emitido e como
podemos utilizá-lo para dar credibilidade ao ambiente que disponibilizamos na internet. 
Vem comigo! 
Características do certi�cado digital
Disciplina
Criptografia
Você já experimentou digitar o nome de uma empresa conhecida em uma ferramenta de busca
na internet e olhar os resultados? Faça o teste e veja que, em alguns casos, virão com o site
verdadeiro diversos outros links identi�cando a mesma empresa.  
Como saber qual deles é o site o�cial da empresa? Não será o logotipo, cores características ou
qualquer outro identi�cador visual que nos garantirá a autenticidade! Precisaremos de uma
ferramenta essencial na era moderna para identi�cação em ambiente de internet: o Certi�cado
Digital. 
Ele é uma espécie de identi�cação eletrônica emitida por uma entidade reconhecida e idônea
para comprovar a identidade do emissor em meios eletrônicos. Seu objetivo principal é
proporcionar uma formasegura de assinar digitalmente conteúdos disponibilizados na Internet. 
A emissão de um certi�cado geralmente é feita para empresas, porém podem ser emitidos para
pessoa física também. Atualmente, muitas pessoas têm feito uso do certi�cado digital para se
apresentar em ambientes virtuais do governo, como o Gov.br, para acessar informações lá
cadastradas. 
Por se tratar de uma identi�cação eletrônica com assinatura digital, o Certi�cado contém dados,
como nome do requisitante, a entidade certi�cadora (que dá fé que a assinatura é legítima, como
veremos no próximo bloco), prazo de validade e a própria assinatura digital do requisitante, que é
o objeto principal do certi�cado.  
Com o certi�cado digital, você tem a certeza de estar se comunicando ou obtendo informações
com a entidade verdadeira.  
Uma vez que entendemos o conceito do Certi�cado Digital, voltemos à questão principal de
nossa discussão: como saber que estamos acessando um site de internet legítimo? O
Disciplina
Criptografia
procedimento é bem simples, pois quem faz todo o trabalho para buscar e validar o certi�cado
do site que estamos tentando acessar é o próprio navegador. 
Quando digitamos um endereço de uma página, por exemplo, kroton.com.br, a primeira coisa que
o navegador irá proceder, antes de nos enviar o conteúdo, é consultar se o referido site possui um
certi�cado digital e se é válido (através de consulta à hierarquia de entidades certi�cadoras, as
quais veremos adiante). 
Ao encontrar e validar o certi�cado, o navegador libera o conteúdo e geralmente representa que o
acesso está seguro através de um cadeado ao lado da barra de endereços. 
Mas você sabia que podemos ver as informações desse certi�cado? O procedimento é bem
simples. Vejamos, então, como fazer: 
A primeira coisa é ir até o referido cadeado, para que o navegador passe algumas informações
adicionais sobre a segurança do site acessado. Na imagem abaixo, vemos que, ao acessar o site
da Kroton, o navegador validou o certi�cado da empresa e liberou o acesso. Ao clicar no
cadeado, informações sobre a segurança do ambiente foram disponibilizadas.
Acesso a um site com certi�cado digital validado. Fonte: kroton.com.br
Note que consta uma a�rmação de que o certi�cado dessa empresa é válido, ou seja, o
navegador reconhece que as informações ali contidas são fornecidas pela própria Kroton. 
Se clicarmos na seta ao lado da a�rmação da validade do certi�cado, teremos acesso às
informações da empresa. E assim teremos total con�ança de que estamos em um ambiente
verdadeiro e seguro.
Disciplina
Criptografia
Certi�cado Digital válido da Kroton. Fonte: kroton.com.br
No próximo bloco, veremos como é o processo de emissão de um Certi�cado Digital pelas
entidades certi�cadoras.  
Venha comigo! 
Autoridades certi�cadoras
Disciplina
Criptografia
Até aqui, entendemos a necessidade do uso do certi�cado digital para garantir a autenticidade
das informações disponibilizadas em meios eletrônicos, em especial, a internet. 
A pergunta que você pode ter em mente no momento é: quem é a entidade que dá fé aos
certi�cados e por que ela é con�ável? 
E a resposta a essa excelente pergunta será dada neste bloco. 
A primeira coisa que devemos ter em mente é o conceito de ser testemunho ou dar fé a algo.
Vamos imaginar a seguinte situação no nosso dia a dia: 
Você está em busca do carro dos sonhos e encontra uma pessoa na rua que está vendendo
exatamente o modelo, a cor e o estado do carro que você sempre quis. Então, você chega até o
vendedor e informa a intenção de comprar aquele carro. Após uma breve negociação, ambos
assinam o documento de venda do veículo e, para certi�car que ambas as assinaturas são
Disciplina
Criptografia
legítimas e representam cada uma das partes, tanto você quanto o vendedor irão a um cartório
para fazer o reconhecimento da assinatura. Lá, um representante que recebeu poderes para dar a
fé que aquelas assinaturas são verdadeiras o fará, mediante a apresentação da documentação
de ambos. 
O processo de certi�cação digital é bem parecido. Quando uma empresa ou uma pessoa deseja
se identi�car no mundo digital, ela precisa que uma entidade que possua credibilidade e
reconhecimento con�rme a autenticidade do solicitante. 
Essas são as Entidades Certi�cadoras mais conhecidas no Brasil como Autoridades
Certi�cadoras (AR). Elas podem ser consideradas cartórios do mundo digital, e através delas
conseguimos emitir um certi�cado reconhecido internacionalmente. 
Essas entidades geralmente possuem uma hierarquia, cada país estabelece os critérios de
delegação de autoridade. 
No Brasil, temos a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil
(https://www.gov.br/iti/pt-br/assuntos/icp-brasil) que é uma cadeia hierárquica de con�ança
criada para realizar os procedimentos de autorização e emissão de certi�cados digitais. 
A ICP-Brasil foi criada pelo Instituto Nacional de Tecnologia da Informação (ITI), que é a
autoridade máxima na hierarquia de autoridades certi�cadoras. 
O modelo adotado no Brasil foi o de estabelecer uma hierarquia com raiz única, ou seja, além da
ITI desempenhar o papel de Autoridade Certi�cadora Raiz – AC-Raiz, também tem o papel de
credenciar e descredenciar os demais participantes da cadeia, supervisionar e auditar os
processos de geração dos certi�cados. 
Abaixo da AC-Raiz, encontram-se as Autoridades Certi�cadoras (AC) de primeiro nível. Sua
função é emitir e gerenciar os Certi�cados Digitais das próprias Autoridades Certi�cadoras. Sim,
elas também precisam ter seus próprios certi�cados. 
Seguindo a hierarquia, temos as AC de segundo nível. Essas são responsáveis pela emissão e
gerenciamento dos Certi�cados Digitais emitidos. 
Por �m, temos a base da hierarquia, que são as Autoridades de Registro. Espalhadas pelo país, é
através delas que o requerente faz a solicitação do certi�cado e entrega toda a documentação
necessária para que seu Certi�cado Digital seja emitido. A Autoridade de Registro, após
conferência e validação da documentação, faz a solicitação do certi�cado à sua AC superior, e
realiza a entrega ao requerente quando emitido. 
https://www.gov.br/iti/pt-br/assuntos/icp-brasil/ecossistema-icp-brasil
Disciplina
Criptografia
Hierarquia da ICP-Brasil. Fonte: elaborada pelo autor.
Importante destacar que as mesmas AC responsáveis pela emissão do certi�cado, também são
responsáveis por sua revogação. 
No próximo bloco, aprenderemos como emitir um Certi�cado Digital dentro da estrutura da ICP-
Brasil. 
Até lá!
Aplicações de certi�cados digitais
Disciplina
Criptografia
Chegou o momento de aprendermos como emitir um Certi�cado Digital e como utilizá-lo na
prática. 
O primeiro passo é escolher a AC que emitirá o seu certi�cado. No site da ICP-Brasil
(https://www.gov.br/iti/pt-br/assuntos/icp-brasil/) há uma lista de todas as AC disponíveis para
emissão de certi�cado digital. No Brasil os tipos de certi�cados mais comuns são os de
assinatura digital (A). Eles são divididos por categorias: 
O A1 é o mais simples de todos, pois a assinatura gerada é guardada em um arquivo digital. Esse
arquivo é entregue ao solicitante, que poderá utilizá-lo em suas aplicações como garantia de
autenticidade. O prazo de validade desse certi�cado é de um ano e, vencido o prazo, é
automaticamente invalidado, sendo necessário realizar o procedimento de renovação junto à AC. 
Já as categorias A2 a A4 são certi�cados de maior duração e geralmente �cam vinculados a um
dispositivo criptográ�co que servirá como uma identidade digital. Desses, o A3 é o mais comum
e tem prazo de validade de cinco anos. 
Existem outros tipos de certi�cados, como os de Sigilo e Con�dencialidade (S1, S2, S3 e S4),
carimbo de tempo, os de Nota Fiscal Eletrônica, entre outros. No site da ICP Brasil existe uma
lista detalhada dos tipos de certi�cados, cujo link está disponível na seção “Para Saber Mais”. 
Agora que já escolhemos o tipo de certi�cado emitido, o próximo passo é agendar com a AR
mais próxima a entrega de toda documentação para comprovar a veracidade das informaçõesque constarão em seu certi�cado. Em outras palavras, você precisa provar ser quem diz que é. 
O método mais completo é ir pessoalmente à AR na data agendada, pois lá serão coletadas, além
da documentação, informações biométricas do requerente, como impressão digital. Porém, a
https://www.gov.br/iti/pt-br/assuntos/icp-brasil/
Disciplina
Criptografia
ICP-Brasil permite que essa entrega seja feita remotamente, através de videoconferência
agendada pela AR. 
Após a veri�cação de toda a documentação e con�rmação da identidade do requerente na AR, o
Certi�cado Digital já estará pronto e disponibilizado conforme a categoria escolhida. 
Tomando o exemplo anterior, vamos ver qual o órgão emissor do certi�cado da Kroton. Sim, é
possível obtermos essa informação de qualquer certi�cado válido. É só seguir o mesmo caminho
indicado anteriormente no navegador, até chegar às informações do certi�cado. Nele, há uma
aba chamada “Caminho de Certi�cação” (esse caminho pode variar dependendo do Sistema
operacional utilizado). Ali podemos ver quem emitiu o certi�cado que, no caso da Kroton, foi a
Digicert (https://www.digicert.com/pt/).
O emissor do certi�cado da Kroton. Fonte: kroton.com.br
Além dessa aplicação, que é a mais comum, o uso de Certi�cado Digital, existem diversas
outras. 
Outro uso bastante comum é o eCPF, que nada mais é que um certi�cado categoria A1 que
substitui a necessidade de um documento tradicional para servir de identi�cação do cidadão.  
Também existe a versão pessoa jurídica, que é o eCNPJ, a versão para o pro�ssional da saúde, o
CRM digital, entre outros. 
Nos órgãos do governo, o certi�cado digital é usado exaustivamente para validação e expedição
de documentos. O certi�cado garante a autenticidade do autor. 
O Detran também usa certi�cado para emissão da famosa CNH Digital. 
Não há um limite para aplicação do certi�cado em meios digitais quando o objetivo é garantir a
autenticidade e a fé da informação e autoria do conteúdo, principalmente na internet, onde
somos bombardeados a todo instante com informações inverídicas e tentativas de golpes por
cibercriminosos. 
https://www.digicert.com/pt/
Disciplina
Criptografia
Assim, caro aluno, terminamos esta aula, onde apresentamos esse aliado essencial para garantir
a segurança no uso da informação disponibilizada nos meios eletrônicos, que é o Certi�cado
Digital. 
Até a próxima aula! 
Videoaula: Certi�cados digitais e autoridades certi�cadoras
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Ao entrarmos em uma página da Internet, nos deparamos com um aviso: este site não é seguro! 
O que isso signi�ca? Que o site não possui um Certi�cado Digital válido!  
Com isso, o navegador não dá garantias de que o site é autêntico, e informa o risco de continuar
a navegação nesse local. Mas o que é e como se emite esse certi�cado de garantia? Por que ele
me dá a garantia de que o conteúdo que estou acessando é autêntico? 
Vem comigo neste vídeo, no qual responderemos a essas e outras perguntas sobre o uso dos
Certi�cados Digitais.
Saiba mais
Disciplina
Criptografia
Para saber mais sobre as hierarquias da ICP-Brasil, acesse o site da ITI . Disponível em: 
Ecossistema ICP-Brasil 
Para conhecer todos os tipos de Certi�cados digitais não deixe de ler o artigo indicado.
Referências
https://www.gov.br/iti/pt-br/assuntos/icp-brasil/ecossistema-icp-brasil
https://aquitemcd.iti.gov.br/certificado-digital/
Disciplina
Criptografia
STALLINGS, W. Criptogra�a e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson
Education do Brasil, 2015. 
Aula 3
Assinatura digital
Introdução
Disciplina
Criptografia
Vamos dar mais um passo na jornada no mundo da criptogra�a? 
Vimos, na aula anterior, que para montar um Certi�cado Digital, precisamos contatar uma
Autoridade Certi�cadora, que coletará nossos dados e, a partir deles, gerará uma assinatura
digital. Mas, o que vem a ser uma assinatura digital? Por que eu posso considerar que ela me
representa no mundo digital? 
A resposta gira exatamente em torno disso. A assinatura digital é um arquivo gerado
exclusivamente pela ou para o representante e sua autenticidade é garantida pelo fato de que
somente ele detém a chave criptográ�ca dessa assinatura. 
Baseado nisso, podemos utilizá-la para assinar documentos digitais sem precisar de métodos
manuais, como o famoso “imprime, assina e escaneia”! 
A assinatura será gerada diretamente no documento através do software que contém a chave da
assinatura. 
Nos próximos blocos, detalharemos os conceitos de assinatura digital, como ela é gerada e
como o ICP-Brasil faz o seu controle. 
Vem comigo! 
Criação de uma assinatura digital
Disciplina
Criptografia
Vamos começar a mergulhar no conceito da assinatura digital, imaginando a seguinte situação:  
Você, caro aluno, foi chamado para uma viagem a trabalho, mas, já distante do teu escritório,
você lembra que tem que assinar um documento importante e con�dencial ainda hoje e enviar ao
seu gerente. Distante da empresa �ca inviável a entrega pessoal. 
Em um cenário tradicional, você precisaria enviar esses documentos em papel, imprimindo-os e  
assinando-os manualmente, para comprovar a autenticidade e a sua responsabilidade sobre eles.
Ou você poderia enviar por um serviço de entrega; ou ainda, após a assinatura, você precisará
digitalizar novamente o documento para o enviar por um meio digital, como o e-mail. 
Disciplina
Criptografia
Como assinar um documento remotamente. Fonte: Pixabay.
Note que é perceptível a fragilidade do processo. Além da necessidade do uso de uma
impressora e scanner, que já di�cultaria o processo em uma viagem, a chance de o documento
ser perdido ou interceptado, é grande. 
Existem hoje ferramentas de gestão de documentos em nuvem e�cientes e seguras que
permitem a tramitação de documentos de forma 100% digital, mas, para que aconteça com plena
segurança, um elemento fundamental deve fazer parte do processo: a assinatura digital. 
A assinatura digital é um mecanismo eletrônico que faz uso de chaves criptográ�cas para validar
a identidade de um signatário, seja em um documento em particular ou em uma certi�cação
digital. 
O processo de geração de uma assinatura digital tem como base o uso de chaves assimétricas
(públicas e privadas) permite um uso mais abrangente e e�ciente de comprovação da assinatura,
uma vez que a chave pública pode ser disponibilizada a qualquer pessoa sem invalidar o sigilo da
chave privada. 
Baseado no uso da chave assimétrica, o emissor utiliza um dos softwares de geração de
assinatura digital disponíveis no mercado, inserindo sua chave privada e envia o conteúdo, no
qual o destinatário usará o mesmo software e validará a assinatura a partir da chave pública do
emissor. 
A imagem abaixo mostra de forma bem genérica um processo de validação de assinatura
digital. 
Disciplina
Criptografia
Exemplo de uma autenticação de documento utilizando Assinatura Digital. Fonte: elaborada pelo autor.
O emissor pode assinar uma mensagem usando um algoritmo de geração de assinatura digital.
As entradas do algoritmo são a mensagem e a chave privada do emissor. Ao chegar à
mensagem, o destinatário pode veri�car a autenticidade da assinatura usando um algoritmo de
veri�cação dando como entrada a chave pública do emissor. 
Nos próximos blocos, veremos com mais detalhes o funcionamento dos algoritmos de geração
de assinaturas e detalharemos o processo de validação de assinatura. 
Validação de documentos
Disciplina
Criptografia
Até aqui, vimos a necessidade e uma aplicação do uso de assinatura digital. Agora, daremos um
passo adiante, detalhando o funcionamento de um algoritmo de assinatura digital. 
Mas antes, precisamos adicionar ao processo a função HASH para validação do documento
original. Mas, por que isso é necessário? 
Para responder a essa pergunta, vamos retornar ao exemplode troca de mensagens usando
Assinatura Digital. Com o método apresentado, dois problemas podem surgir: 
O destinatário pode alterar a mensagem e declarar que ela veio do emissor. Isso poderia ser feito
anexando o código de autenticação da assinatura original. 
Da mesma forma, o emissor pode, por alguma conveniência, negar que enviou aquela
mensagem, alegando que o destinatário falsi�cou o conteúdo, e que não há como provar que ele
realmente a enviou. 
Note que, nesses cenários, apresentamos a quebra de dois princípios fundamentais da
Segurança da Informação: autenticidade e não repúdio. 
Em situações como essas, faz-se necessário algo mais do que a simples autenticação da chave
na assinatura digital, pois ela precisa incluir uma função que garanta que o documento assinado
pelo emissor é original. Aí entra a função HASH. 
No momento em que o emissor assina o documento com sua chave privada, o software gerador
da Assinatura gerará um valor através da função hash, usando como entrada parte ou todo o
documento original. No momento que gerar o valor de saída, qualquer alteração no documento
será apontada na hora da validação hash, comprovando que o documento foi adulterado. 
Disciplina
Criptografia
Na imagem à seguir, repetiremos o cenário anterior, porém explicitando o uso do código Hash
durante o processo de geração da assinatura.
Geração de assinatura digital com autenticação do documento por hash. Fonte: elaborada pelo autor.
Nem o destinatário nem o emissor poderão alterar o conteúdo original, pois basta validar o hash
da assinatura para comprovar a autenticidade do conteúdo e origem. 
Os algoritmos de geração de assinatura digital seguem essas premissas, cada com sua
peculiaridade. Dentre os algoritmos mais utilizados no mercado, podemos destacar:  
O Algoritmo de Assinatura Digital (DSA), o algoritmo de assinatura digital de curva elíptica
(ECDSA) e o algoritmo de assinatura probabilística RSA (RSA-PSS Probabilistic Signature
Scheme). 
Para efeito didático, vamos dar uma olhada nas etapas do RSA-PSS baseado no sistema de
criptogra�a assimétrica RSA:  
1) Codi�cação da mensagem: a partir de uma parte da mensagem original a ser enviada, é
gerado resumo de tamanho �xo, chamado mensagem codi�cada. Para validar essa
mensagem codi�cada utiliza-se a função de hash SHA-1. 
2) Formação da assinatura: Esse processo é composto pela chave privada {d, n} e chave
pública {e, n} do emissor. A assinatura S será gerada pela seguinte fórmula: 
 S = M.d mod n (onde M é a mensagem original e n varia conforme o tamanho da chave do
RSA) 
 Para Veri�cação da Assinatura, o algoritmo também executa duas etapas: 
1) Decriptação: o resumo de mensagem é recuperado decriptando S da seguinte forma:   
 M = se mod n (onde “e” é a chave pública do emissor) 
 2) Veri�car o conteúdo do resumo de mensagem: utilizando o processo de conferência do
hash SH1, o algoritmo valida o resultado obtido com o hash original. 
Disciplina
Criptografia
Caso queira saber mais sobre os algoritmos mencionados, veja a indicação de leitura que se
encontra na sessão “Para Saber Mais”.
Validade legal da assinatura e o ICP-Brasil
Vimos que uma assinatura digital, para ser considerada e�ciente, precisa não só comprovar a
autenticidade do emissor como também a originalidade do documento emitido. 
Podemos resumir que uma Assinatura Digital deve permitir as seguintes ações: 
Veri�car o autor e a data e hora da assinatura. 
Autenticar o conteúdo da mensagem no momento da assinatura. 
Com isso, todas as questões levantadas nos blocos anteriores deveriam ser supridas e a
autenticidade e o não repúdio garantidos.  
Mas, e se, em algum momento, alguém questionar a validade da chave? Será que a assinatura foi
criada por uma chave efetivamente gerada pelo emissor? 
Para que não haja esse tipo de questionamento no momento da validação da chave, uma nova
característica deverá ser incluída no processo de geração de assinatura digital: 
Ser veri�cável por terceiros, para resolver disputas. 
Disciplina
Criptografia
Ou seja, alguém, que não seja o emissor ou destinatário, deve ser capaz de comprovar a
autenticidade do proprietário da chave gerada na assinatura. 
Para que isso ocorra, é preciso dar publicidade à chave pública do emissor, que é conhecida
como Distribuição de Chave Pública. 
Existem várias maneiras de se fazer uma distribuição de chaves públicas.  
Podemos citar alguns exemplos:  
Anúncio público: literalmente signi�ca divulgar publicamente sua chave pública, seja
enviando diretamente a quem desejar ou transmitir à comunidade em geral. Embora
essa técnica seja prática, ela possui um ponto de atenção: Alguém pode falsi�car
esse anúncio público �ngindo ser o verdadeiro emissor e enviar uma chave pública
para um destinatário.  
Diretório público: aqui damos um passo na segurança da divulgação, pois, no lugar de
distribuir a chave, a colocamos em um diretório na nuvem, através de algum provedor
con�ável. Assim, o proprietário divulgará o endereço o�cial onde �caria armazenada
sua chave pública. Esse procedimento, embora mais seguro que o anterior, ainda
apresenta uma fragilidade: se, de alguma forma, um falsário obtiver o acesso de
escrita a esse diretório, ele poderá alterar a chave, colocando uma outra para, com
isso, forjar documentos em nome do emissor. 
Autoridade de chave pública. Para darmos um passo maior em relação à segurança
na divulgação da chave pública, o ideal é recorrer a uma entidade com autoridade
para armazenamento e distribuição da chave. Ela �cará responsável pela salvaguarda
da chave e disponibilizará a quem a desejar. Então, o receptor, em vez de recorrer ao
emissor, busca na autoridade de chave pública a sua validação. 
Esse último cenário é o melhor apresentado até então, embora tenha uma desvantagem. A
autoridade de chave pública pode se tornar o gargalo no processo, pois, como o receptor precisa
acioná-la para obter a chave pública, em qualquer indisponibilidade ou demora na resposta pela
autoridade o processo emperra. 
Para evitar essa situação, a melhor forma de obter uma validação segura de uma assinatura são
com os Certi�cados de Chaves Públicas. 
Esse certi�cado é usado pelo emissor para trocar chaves com o destinatário sem precisar
acionar a autoridade de chave pública nesse momento. Ele contém a chave pública, um
identi�cador do proprietário dessa chave e uma assinatura de validação feita por um terceiro
con�ável.  
Esse terceiro, aqui no Brasil é uma autoridade certi�cadora (AC), que faz parte da ICP-Brasil, que
tem a credencial e credibilidade de validação. 
Basta apresentar sua chave pública à autoridade e obter um certi�cado. A partir daí, ele divulgará
o certi�cado. Para qualquer um que precise dessa chave pública, basta obter o certi�cado e
veri�car se ele é válido por meio da validação da AC. 
Importante destacar que outras empresas, que não sejam da ICP-Brasil, podem assumir a �gura
de uma autoridade certi�cadora, porém a credibilidade �ca restrita ao seu reconhecimento por
todos os envolvidos na validação do certi�cado.  
Videoaula: Assinatura digital
Disciplina
Criptografia
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
O uso da assinatura digital permite-nos validar digitalmente um documento, dando ao
destinatário a garantia da autenticidade da sua emissão, sem precisar usar uma assinatura feita
à mão, tampouco o uso de papel. 
Com essa técnica, agilizamos e muito a tramitação segura de documentos por mídias digitais. 
Neste vídeo, abordaremos o conceito da assinatura digital, como funciona o algoritmo que o
gera, e como podemos ter as garantias de que essa assinatura é efetivamente feita por quem a
representa. 
Vem comigo! 
Saiba mais
A geração de uma assinatura digital envolve o uso de um algoritmo con�ável que possua uma
chave criptográ�ca de tamanho seguro. Entre os diversos apresentados no mercado, podemosdestacar o Algoritmo de Assinatura Digital (DSA - Digital Signature Algorithm), o algoritmo de
assinatura digital de curva elíptica (ECDSA - Elliptic Curve Digital Signature Algorithm) e o
esquema de assinatura probabilística RSA (RSA-PSS Probabilistic Signature Scheme). Para saber
Disciplina
Criptografia
mais detalhes sobre o funcionamento desses algoritmos de geração de assinatura digital, leia o
conteúdo do Capítulo 13 do livro Criptogra�a e segurança de redes: princípios e práticas
(STALLINGS, 2015).
Referências
STALLINGS, W. Criptogra�a e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson
Education do Brasil, 2015.  
Aula 4
Protocolos de HTTPS
Introdução
Disciplina
Criptografia
Quando navegamos por páginas da internet, eventualmente inserimos dados para preencher
algum cadastro, seja para efetuar uma compra, preencher um currículo, agendar uma consulta
médica ou até mesmo para fazer parte de uma rede social. 
Junto a esse cadastro, obviamente inserimos dados pessoais e, muitas vezes, sensíveis, como
um número de cartão de crédito, faixa salarial, entre outros. 
Como podemos ter a certeza de que esses dados estão sendo enviados exclusivamente para a
entidade proprietária do site, e ninguém mais? Como ter certeza de que ninguém irá capturar
nossos dados ou, pelo menos, não capturar informações legíveis? 
Para resolver esses questionamentos, eis que surge um protocolo essencial para as navegações
atualmente, o HTTPS (Security Hypertext Transfer Protocol ou Protocolo Seguro para
Transferência de Hypertexto). Em outras palavras, é aquele que protegerá os dados, enquanto ele
é transportado pela internet até o verdadeiro destino. 
Vamos descobrir como esse protocolo funciona? 
Vem comigo! 
O protocolo HTTP/HTTPS
Disciplina
Criptografia
Para começar nosso estudo sobre o HTTPS, primeiro vamos conhecer o seu precursor: o HTTP
(Hypertext Transfer Protocol). 
Esse é um protocolo para transferência de textos e endereços de objetos (como fotos e vídeos).
Com isso, quaisquer informações serão tramitadas como textos, inclusive seus dados pessoais! 
Basicamente, o trabalho do HTTP é pegar (GET) informações da página solicitada ou enviar
conteúdos (POST/PUT) para o destino, como os dados preenchidos em um formulário presente
na página. 
Vamos ver rapidamente um exemplo de transação através do protocolo HTTP: 
O cliente HTTP que, no caso. é o nosso navegador, inicia uma conexão TCP para o servidor
destino, por exemplo http://exemplo.com.br 
1. O cliente HTTP manda uma requisição GET ao servidor.  
2. O servidor destino recebe a mensagem de requisição, estabelece um socket, que é uma
espécie de canal para transmissão da informação, encapsula o conteúdo em uma
mensagem de resposta HTTP e a envia ao cliente, que pode ser um formulário para
preenchimento de dados pessoais. 
3. O cliente HTTP recebe essa mensagem de resposta e a conexão é encerrada. 
4. Após o preenchimento das informações, uma nova conexão HTTP é feita no nosso
navegador para o servidor destino. 
5. O servidor destino con�rma a conexão e abre um socket para receber a informação. 
�. O cliente HTTP manda uma requisição POST ao servidor com todos os dados
preenchidos.  
http://exemplo.com.br/
Disciplina
Criptografia
7. O servidor destino recebe a mensagem de requisição e manda uma con�rmação para o
cliente HTTP. 
�. O cliente HTTP recebe a mensagem de resposta e a conexão é encerrada. 
Agora imagine, no exemplo acima, que no formulário mencionado você precisaria passar os
dados do seu cartão de crédito. Se essa operação está acontecendo em uma página onde a
transferência das informações está acontecendo pelo protocolo HTTP, todas as informações do
seu cartão, inclusive os dígitos de veri�cação, que é um dado bem sensível, serão passadas
como texto comum e legível. 
No momento em que essas informações são transferidas, qualquer pessoa interessada em
interceptar o conteúdo poderá utilizar um software de captura de pacotes, como o Wireshark, por
exemplo, e com isso ter acesso a todos os textos que estão inseridos nos pacotes.
Textos sendo capturados pelo Wireshark em um acesso a uma página HTTP. Fonte: elaborada pelo autor.
Nota-se, caro aluno, que se deve evitar ao máximo acessar uma página com esse tipo de
protocolo, a não ser que as informações que serão trafegadas ali possam ser vistas por qualquer
pessoa. 
Então, como poderemos passar informações pessoais e sigilosas nos sites em que
necessitamos dispô-las? É aí que entra o protocolo HTTPS!   
O protocolo HTTPS (Hyper Text Transfer Protocol Secure) acrescenta uma camada de segurança
a essa transferência de informações, garantindo que, caso sejam interceptadas, seu conteúdo
não poderá ser compreendido. 
No próximo bloco, vamos compreender como funciona o processo dessa camada de proteção do
protocolo HTTPS nas transferências de informações pela internet!
Disciplina
Criptografia
Como funciona o HTTPS-SSL
Até aqui, entendemos como as informações são trocadas usando o protocolo HTTP. Vimos
também que este tipo de operação não oferece qualquer segurança para a con�dencialidade dos
dados trocados durante a transmissão. 
Então, para que esse problema seja superado, foi criado uma espécie de aprimoramento de
operação do protocolo HTTP, integrando serviços de segurança para garantir sigilo, integridade
dos dados e autenticação na conexão. Essa versão aprimorada inclui um protocolo denominado
Camada Segura de Sockets (Secure Sockets Layer — SSL) e, com ele, o HTTP passa a se chamar
HTTPS (Hyper Text Transfer Protocol Secure). 
Para entendermos como o SSL cria essa camada segura em uma transmissão HTTP, vamos ver
um pouco de seu funcionamento. 
Antes de tudo, precisamos entender que o segredo do SSL é o uso de Certi�cado Digital e troca
de chave criptográ�ca para nos dar a segurança de que estamos acessando um site legítimo e
para podermos trafegar os dados na internet sem que sejam legíveis por possíveis
interceptadores.  
Kurose (2015) simpli�ca o processo da comunicação SSL em três fases:  
A primeira fase é a apresentação, a segunda é a criação da chave mestra e, por �m, a
transferência segura de dados.  
Vamos passar por essas três fases, usando um cenário de comércio eletrônico, tão comum na
internet hoje em dia.  
Você está navegando e acessando o site Só-Compras, que está fazendo uma ótima promoção
para seus cadastrados. O site dispõe de um formulário que você deve preencher com suas
Disciplina
Criptografia
informações pessoais, incluindo endereço, CPF e o número de seu cartão de crédito para �car na
base de dados da empresa.  
Como você tem interesse nessa promoção, você insere as informações, clica em Enviar, e espera
pelo recebimento do cupom de descontos para efetuar as compras. Até o momento, tudo bem,
mas se essa operação não for feita por um ambiente seguro, sabemos que as suas informações
serão expostas na internet. 
Porém, o site Só-Compras utiliza o protocolo HTTPS e, por consequência, o protocolo SSL para
fazer a troca de informações. 
Assim, no início dessa operação, durante a fase de apresentação, o navegador que você utiliza
vai veri�car se o site é realmente o Só-Compras, conferindo o Certi�cado Digital assim que a
sessão é iniciada. 
O certi�cado contém a chave pública do site. Como o certi�cado foi assinado por uma
Autoridade Certi�cadora reconhecida, o navegador confere que a chave pública no certi�cado
pertence ao site Só-Compras. Ele então cria uma Chave Mestra, utilizada apenas nessa sessão
SSL. O navegador usa a chave pública do Só-Compras para codi�car essa chave mestra para
enviá-la ao site, que o decodi�ca com sua chave privada para obter essa Chave Mestra gerada
pelo seu navegador 
Concluída essa segunda etapa, você pode enviar qualquer informação, pois somente quem tem a
Chave Mestra desta sessão SSL, que no caso é o seu navegador e o site destino, poderão decifrar
as informações trocadas.
Estabelecendo uma sessão SSL. Fonte: elaborada pelo autor.
No próximo bloco, veremos a versão aperfeiçoada do SSL que émais utilizado hoje em dia, que é
o TLS.  
Disciplina
Criptografia
O TLS
O SSL nos permitiu estabelecer transferências seguras de informações em páginas da internet
que, em sua maioria, utilizam o protocolo HTTPS para essa operação. 
Desde sua criação, o SSL foi considerado o protocolo mais seguro para transações que envolvem
compartilhamento de dados pessoais ou sigilosos. 
Novas versões com aperfeiçoamento do protocolo se deram ao longo dos anos, e tudo ia bem
até que a C.I.S.A (Cybersecurity & Infrastructure Security Agency - https://www.cisa.gov), órgão
do governo americano responsável pelo controle de segurança do espaço cibernético, apontou,
em 2014, uma vulnerabilidade no uso do protocolo SSL, em sua versão 3, que poderia ser
explorada por ameaças. 
Desse modo, um novo protocolo precisaria substituí-lo, mantendo a proteção dos dados
trafegados. Eis que surgia o protocolo TLS. 
Esse novo protocolo recebeu o nome de Transport Layer Security, cujo método de segurança
consiste em manter a força das chaves assimétricas e simétricas durante o processo de
comunicação, tal qual o SSL.  
Da mesma forma que o SSL tradicional, ele utiliza as chaves assimétricas, porém utiliza esse
processo na fase de autenticação entre o cliente e o servidor. Em outras palavras, o TLS inicia
suas conexões via protocolo. 
Diferente do SSL, o TSL possui um protocolo especí�co para inicializar a conexão entre
navegador e servidor, que é o protocolo Handshaking (TLS Handshaking Protocol), que permite a
autenticação e a negociação do certi�cado e das chaves criptográ�cas antes da transmissão.  
Após o estabelecimento da conexão inicial, o TSL faz uso das chaves simétricas que possuem
um algoritmo de criptogra�a mais forte e seguro que o SSL. 
https://www.cisa.gov/
Disciplina
Criptografia
Outro importante protocolo contido no TLS é o conteúdo de alerta.  Qualquer tentativa de
intervenção que ative o protocolo de alerta durante a troca de informações, resulta no imediato
encerramento da conexão, prevenindo que essa sessão seja utilizada posteriormente para
estabelecer novas conexões. 
Assim que completar o processo de inicialização e a inserção do protocolo de alerta, um outro
protocolo, chamado protocolo de registro, encapsula essas informações com a chave mestra, e
os dados podem ser trafegados por sessões simultâneas.
O processo de conexão segura usando TLS. Fonte: elaborada pelo autor.
O TSL sofreu várias atualizações ao longo do tempo, desde que teve suas atenções voltadas para
ele, em 2014, com a divulgação da vulnerabilidade do SSL.  
Como o TSL não passa de um SSL aperfeiçoado, muitas vezes os nomes se confundem, e você
poderá ler em algum site ou artigo que o HTTPS utiliza como segurança o SSL. 
Os navegadores mais conhecidos atualmente utilizam o TLS em sua última versão como
protocolo para comunicação segura HTTPS. 
Uma forma interessante de obter informações sobre o protocolo de segurança do site que você
deseja acessar é usando o recurso SSL Server Test, da SSL Labs
(https://www.ssllabs.com/ssltest/index.html). Ao inserir o endereço da página almejada, ele
veri�cará qual protocolo de segurança ela utiliza em seu HTTPS. 
Assim, caro aluno, encerramos nossa aula sobre os protocolos de acesso seguro para
transferência de informações na internet, o nosso HTTPS. 
Espero que tenha aproveitado a aula na aquisição de conhecimentos! 
Videoaula: Protocolos de HTTPS
https://www.ssllabs.com/ssltest/index.html
Disciplina
Criptografia
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Para trafegar na internet em páginas que requisitam informações pessoais, e muitas vezes
sensíveis, como os dados de um cartão de crédito, precisamos lançar mão de um procedimento
seguro, no qual as informações trafegadas pelo canal de comunicação estejam protegidas
contra qualquer tipo de interceptação. 
E é aí que entra o protocolo HTTPS, com seus protocolos de segurança SSL e TLS. 
Neste vídeo, vamos conhecer o funcionamento por trás de um acesso à uma página segura, e
compreender a importância dos algoritmos de criptogra�a nesse processo. 
Vem comigo!
Saiba mais
No nosso estudo, �zemos um resumo a respeito do funcionamento do protocolo SSL, dividindo o
processo do estabelecimento da comunicação em três etapas simpli�cadas. Porém, tanto o SSL
quanto o TLS utilizam procedimentos complexos de geração e troca de chaves. Para saber os
detalhes do funcionamento do protocolo SSL, recomendo a leitura do capítulo 8 do livro Redes de
computadores e a Internet: uma abordagem top-down. 
Disciplina
Criptografia
 Para saber mais sobre a vulnerabilidade do protocolo SSL, acesse o site recomendado.
Referências
KUROSE, J. F. Redes de computadores e a Internet: uma abordagem top-down. 6. ed. São Paulo:
Pearson Education do Brasil, 2013. 
 NERCESSIAN, R. Qual é a diferença entre HTTP e HTTPS? Alura, São Paulo, mai/2017. Disponível
em: https://www.alura.com.br/artigos/qual-e-diferenca-entre-http-e-https. Acesso em: 12 abr.
2022.
Aula 5
Revisão da unidade
Aplicações de criptogra�a para manter uma rede segura
https://www.cisa.gov/uscert/ncas/alerts/TA14-290A
https://www.alura.com.br/artigos/qual-e-diferenca-entre-http-e-https
Disciplina
Criptografia
Uma rede de computadores existe com uma única e exclusiva �nalidade: compartilhar
informações. Ao compartilhá-las, desejamos que saiam de nosso computador e cheguem única
e exclusivamente ao destinatário, correto? 
A maior preocupação no compartilhamento de informações em uma rede de computadores é o
controle sobre o processo de transferência desses dados. Quando ampliamos esse cenário para
o trânsito de dados pela Internet, a preocupação toma uma acentuada relevância. 
Uma vez na rede, os dados estão expostos, e mesmo quando estão dentro de um datacenter, ele
pode sofrer algum tipo de ataque. 
Diante desse cenário, vemos que a segurança da informação a cada dia se torna uma abordagem
essencial nos meios de comunicação. Existem várias abordagens de segurança que podemos
tomar de modo protetivo e, dependendo da abordagem, ultrapassa os limites do mundo virtual. 
Vejamos algumas medidas de proteção: 
A primeira, é proteger a linha de frente, ou seja, onde os dados estão hospedados. Para isso, a
melhor atitude é identi�car os riscos a que os ativos envolvidos possam estar sujeitos. 
Um risco é a iminência de ataque quando uma ameaça consegue explorar uma vulnerabilidade.
Se as identi�camos e as tratamos, podemos tomar todas as medidas cabíveis para prevenir um
ataque a um ambiente de redes ou até mesmo a uma empresa como um todo, que deriva de uma
ameaça conduzida, ou seja, um ato deliberado de invadir uma rede, um sistema, com o �m de
obter alguma vantagem, seja capturando informações sigilosas ou para retirar um sistema ou
uma rede de operação. 
Disciplina
Criptografia
Existem dois tipos de ataques: ativos (que deixam rastros ou causam algum prejuízo à
informação, como por exemplo a indisponibilização de um serviço ou exclusão ou modi�cação
de uma informação; e os passivos, cuja característica principal, que o torna tão perigoso, é sua
forma silenciosa de agir. Nesse tipo de ataque, o invasor não almeja dani�car ou obstruir o
acesso à informação, mas tão somente capturá-la. 
Para prevenir esses ataques, algumas ações podem ser tomadas: 
Checklist de segurança. Nele podemos listar todas as vulnerabilidades mapeadas e
quais os procedimentos para mantê-las indisponíveis para uma ameaça. 
Programas de Conscientização e Políticas de Segurança, para disseminar uma
postura ética muito forte e comprometimento com a con�dencialidade das
informações por parte de todo corpo funcional. 
Tecnologias de defesa sempre atualizadas, como Firewalls, IPS, controle de logs,
antivírus, gerenciamento de patches, proteção de dados, algoritmos de criptogra�as
seguros etc. 
Cada tipo de abordagem deve ser empregada de acordo com o procedimentode tramitação da
informação. 
Falando especi�camente de trocas de arquivos com informações pessoais ou sigilosas, vemos
que a criptogra�a apresenta um papel fundamental: garantir a con�dencialidade da informação. 
O processo de encriptar os dados durante uma sessão de troca de dados na internet, por
exemplo, é essencial para garantir que, caso seja interceptado, o dado não seja compreendido.
Esse é o papel do protocolo HTTPS, ao utilizar o SSL/TLS como método de sessão de
comunicação. Qualquer servidor de aplicação deve lançar mão de seu uso. 
Para complementar, o uso do Certi�cado Digital contendo a Assinatura Digital válida e
reconhecida por uma Autoridade Certi�cadora (no Brasil recomenda-se que se utilize um membro
da ICP-Brasil) nos dará a garantia de autenticidade dos dados trafegados, validando a origem e
veracidade do conteúdo. 
Videoaula: Revisão da unidade
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Neste vídeo vemos a importância em termos uma comunicação segura.  
Desde onde os dados pessoais ou sigilosos se encontram armazenados, como um servidor de
arquivos ou um Banco de dados, até a sua tramitação pela rede ou pela internet, todos os
aspectos da segurança da informação (disponibilidade, con�dencialidade, autenticidade e
Disciplina
Criptografia
integridade) devem ser tratados para que possamos usar a rede de computadores com
segurança. 
Vamos fazer uma breve abordagem desses aspectos e focar na importância da criptogra�a
nesse cenário!  
Estudo de Caso
Com a �nalidade de revisarmos o conteúdo, vamos resolver o seguinte caso de uso, aplicando as
técnicas de segurança da informação aprendidas na unidade: 
Você foi contratado por uma empresa cujo ramo de atuação é vendas pela internet (e-
commerce).  
A missão à qual você foi designado é montar um forte esquema de segurança para os dados
trafegados. O cenário que você encontrou ao chegar ao ambiente onde se encontram os
servidores que armazenam a informação é o seguinte:
Disciplina
Criptografia
Cenário onde os dados são armazenados e trafegados. Fonte: elaborada pelo autor.
A empresa possui um pequeno datacenter com três servidores onde estão instalados os
sistemas de comércio eletrônico e banco de dados. Ao analisar a forma que eles estão
distribuídos, você já notou que houve uma preocupação com disponibilidade, pois através de
virtualização eles criaram uma forma de replicar os serviços entre os servidores. 
Esses servidores encontram-se em uma rede com acesso à internet, por onde os clientes fazem
as solicitações de compras e efetuam o pagamento. As aplicações que apresentam as páginas
para visualizar o catálogo dos produtos disponíveis, bem como para efetuar o pagamento, foram
desenvolvidas com o protocolo HTTP. Além disso, não foi implementado qualquer procedimento
de autenticação e validação de identidade por parte da empresa. 
Em relação ao ambiente físico, onde encontra-se sala de servidores, pertence à própria empresa,
e apenas o pessoal autorizado pode ter acesso ao ambiente, bastando, para isso, apresentar um
crachá de identi�cação, feito de material plástico e de fácil replicação. 
Ciente da necessidade de aplicar ou aperfeiçoar cada um dos aspectos de segurança, não
apenas onde os dados se encontram, mas em todas as fronteiras em que possam surgir algum
tipo de risco à informação no cenário como um todo, você listou quais atividades precisará atuar
nessa missão: 
Melhorar a proteção no acesso aos servidores pela internet, para evitar invasão aos
dados armazenados e para evitar um ataque de negação de serviço 
Aprimorar o acesso do pessoal autorizado ao ambiente físico onde os servidores se
encontram. 
Evitar que o pessoal autorizado libere informações sigilosas. 
Criar um processo completo de autenticação segura quando os clientes �zerem uma
requisição para comprar produtos na página de vendas. 
Disciplina
Criptografia
Diante das informações, monte um documento técnico, relatando todas as abordagens e
procedimentos que deverão ser aplicados para que o seu cliente possa ampliar a segurança
neste cenário. 
______
Re�ita
Note que o cenário apresenta diversas fragilidades, desde o acesso ao local físico, que com
apenas um fator de liberação �ca mais suscetível à falsidade, como a própria tramitação dos
dados pela internet, que não conta com equipamentos de proteção adequados, nem um
protocolo seguro para que as informações pessoais dos clientes não sejam interceptadas. 
O importante neste trabalho é mapear todos esses cenários, analisar as vulnerabilidades e
possíveis ameaças, e indicar uma solução protetiva para cada uma das brechas identi�cadas. 
Vamos ao trabalho!
Videoaula: Resolução do Estudo de Caso
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no
aplicativo para assistir mesmo sem conexão à internet.
Para começarmos a desenvolver a solução, vamos dividir o cenário em áreas de atuação: 
Primeiro, vamos abordar o ambiente físico! O acesso aos servidores depende apenas da
apresentação de um crachá, que por ser um objeto de fácil replicação poderia ser falsi�cado e
dar acesso a uma pessoa não autorizada. A solução aqui é aumentar o fator de autenticação,
para acesso ao Datacenter. O funcionário deverá passar por, pelo menos, dois tipos de
autenticação. No cenário descrito, uma das possíveis soluções é implantar um sistema
biométrico para incluir um fator de autenticação, como impressão digital, além de manter a
identi�cação do crachá. 
Ainda em relação aos funcionários autorizados, será preciso criar um programa de
conscientização e aplicação de uma forte política de conduta dentro e fora do espaço dos
servidores, deixando clara a importância do sigilo dos dados a que eles possuem acesso.   
A segunda abordagem será em relação à proteção dos dados armazenados nos servidores. Pelo
que foi analisado, está claro que eles não apresentam qualquer tipo de proteção de borda, ou
seja, estão vulneráveis a ataques pelo acesso à internet.  
Vários cenários de ataques podem ser levantados, e medidas protetivas deverão ser aplicadas,
mas vou deixar aqui dois exemplos de ataques e uma solução para eles: o primeiro é a tentativa
de captura dos dados, através de uma requisição falsa, que contém uma consulta aos dados não
autorizados. Outro tipo de ataque é o de negação de serviços (DoS), cujo objetivo é tentar
derrubar a página de vendas do seu cliente. Para �ltrar essas requisições maliciosas, deve-se
implantar um �rewall con�ável, de preferência que faça leitura de pacotes entre os servidores e a
rede de internet. 
Disciplina
Criptografia
A terceira e última abordagem é aprimorar a comunicação entre o cliente e o servidor.
Atualmente está sendo usado o HTTP, que não apresenta qualquer proteção às informações
tramitadas. 
Para resolver essa situação, devemos trocar o protocolo HTTP para HTTPS. Porém, veri�camos
que o servidor não possui um sistema de identi�cação. Então, o primeiro passo será gerar um
Certi�cado Digital válido para este servidor. 
Para criar esse certi�cado, precisamos entrar em contato com uma Autoridade de Registro e
agendar o credenciamento das informações para a geração da Assinatura Digital. Essa
assinatura deverá conter sua chave pública, que será utilizada no processo de autenticação do
protocolo SSL/TSL do HTTPS. 
Uma vez cadastrada a documentação, a Autoridade Certi�cadora vinculada à Autoridade de
Registro emitirá o certi�cado do tipo A1, que será instalado no servidor, através de um
procedimento repassado pela Autoridade de Registro. 
Uma vez que o certi�cado A1 tenha sido instalado no servidor, disponibilizará a página de vendas
utilizando o protocolo HTTPS apenas, encerrando qualquer página que ainda utilize o HTTP.
Resumo Visual
Disciplina
Criptografia
Princípios da segurança da informaçãoe aplicações protetivas. Fonte: O Autor
Tipo de ataque e aplicações protetivas. Fonte: O Autor
Disciplina
Criptografia
Hierarquia ICP - Brasil. Fonte: O Autor
Assinatura digital. Fonte: O Autor
Disciplina
Criptografia
Processos de encriptação SSL/TLS - Fonte: O Autor
Referências
Disciplina
Criptografia
KUROSE, J. F. Redes de computadores e a Internet: uma abordagem top-down/. 6. ed. São Paulo:
Pearson Education do Brasil, 2013. 
 NERCESSIAN, R. Qual é a diferença entre HTTP e HTTPS? Alura, São Paulo, mai/2017. Disponível
em: https://www.alura.com.br/artigos/qual-e-diferenca-entre-http-e-https. Acesso em: 12 abr.
2022. 
STALLINGS, W. Criptogra�a e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson
Education do Brasil, 2015.  
https://www.alura.com.br/artigos/qual-e-diferenca-entre-http-e-https