SEGURANÇA DA INFORMAÇÃO_sem2

Prévia do material em texto

2 
Confidencialidade 
 
Nesta semana, vamos discutir sobre um princípio que está atrelado à privacidade das informações, isto é, a 
garantia de que os seus dados ou de qualquer organização não estarão disponíveis e nem mesmo serão 
divulgados a outros usuários e entidades sem prévia autorização. 
Objetivos de aprendizagem 
Ao final dessa semana, você deverá ser capaz de: 
• Entender que um algoritmo de criptografia é fundamental para garantir a confidencialidade da 
informação, sendo capaz de transformar a mensagem original em uma mensagem cifrada, ou seja, 
que não é compreendida por um terceiro; 
• Entender o método ou algoritmo para cifrar e decifrar que é chamado de cifra; 
• Conhecer os princípios que norteiam o funcionamento das cifras simétricas, além de conhecer 
também as principais cifras utilizadas, como por exemplo, o Padrão Avançado de Cifração 
(Advanced Encryption Standard – AES). 
 
Desafio 
Pesquise um pouco sobre a LGPD – Lei Geral de Proteção de Dados e discuta com seus colegas qual o 
impacto da lei para as empresas, uma vez que elas precisam garantir a privacidade de uma infinidade de 
dados armazenados de usuários em grandes nuvens computacionais. Imagine o cenário em que seus dados 
de exames clínicos sejam vazados ou acessados por usuários não autorizados, além de você e seu médico. 
 
 
Orientação de estudos 
Para entender o conteúdo apresentado nesta semana assista às videoaulas do professor e em seguida faça a 
leitura do texto base indicado para reforçar o entendimento do assunto. A seguir assista ao vídeo de apoio e 
se possível leia os textos de apoio. Acesse o fórum e discuta o tema da semana com seus colegas. Lembre-se 
de realizar a atividade avaliativa desta semana. 
Bons estudos a todos! 
 
 
Revisitando Conhecimentos 
 
O desafio da segurança da informação na era da telemedicina | João Alcântara 
Link: https://itforum.com.br/colunas/o-desafio-da-seguranca-da-informacao-na-era-da-telemedicina 
 
 
O que é criptografia? 
ROTEIRO 
Introdução à criptografia 
Termos comuns 
Comunicação segura 
Tipos de criptografia 
 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
https://itforum.com.br/colunas/o-desafio-da-seguranca-da-informacao-na-era-da-telemedicina
INTRODUÇÃO À CRIPTOGRAFIA 
No contexto de tecnologia da informação, a criptografia é importante para garantir a segurança e o sigilo de 
informações em todo o ambiente computacional. 
A palavra é derivada do grego “escrita oculta” sendo o estudo das técnicas de ocultação de informações. 
Muitos são os cálculos e manipulações realizadas a cada operação de codificação e decodificação da 
informação. 
A natureza segura de técnicas de criptografia está atrelada à computabilidade dos algoritmos aplicados. 
➢ Criptologia, Criptografia e Criptoanálise 
✔ Criptologia é uma área de estudo que envolve a criptografia e criptoanálise 
✔ Criptografia → oculta informações 
✔ Criptoanálise → objetiva quebrar técnicas utilizadas e tentar obter informações a partir dos dados 
codificados, mas sem acesso aos segredos requisitados pela decodificação normal 
Mas desde quando existe a criptografia? 
✔ Há registro de quase 3 mil anos 
Espartanos e Romanos fizeram uso da criptografia em suas trocas de mensagens 
➢ Criptografia Clássica 
✔ Povos antigos, idade média até máquinas eletromecânicas (usadas em guerras) 
✔ Exemplos de cifras clássicas: Scytale, Cifra de César, Cifra de Vigenère 
➢ Criptografia Moderna 
✔ Início a partir da Segunda Guerra Mundial 
✔ Claude Shannon – Pai da Criptografia Matemática 
• Communication Theory of Secrecy Systems 
• Mathematical Theory of Communication 
1970 – Avanços com a criação de um padrão 
✔ Publicação do projeto DES 
1976 – Chaves públicas e criptografia assimétrica 
2001 – Substituição do DES pelo AES 
 
Termos Comuns 
Texto plano: 
✔ Informação legível – pode ser compreendida por quem tem acesso 
Texto cifrado: 
✔ Informação que não pode ser compreendida por aqueles que não possuem acesso 
Cifrar: 
✔ Utilizar um segredo para transformar um texto claro em um texto cifrado – quem souber o segredo 
correto pode reverter o processo 
Algoritmo: 
✔ Sequência de operações realizadas sobre um conjunto de dados de entrada para gerar uma saída 
correspondente Termos Comuns 
Cifra: 
✔ Algoritmo usado para criptografar ou descriptografar dados 
 
Usos da criptografia 
✔ Proteção de dispositivos 
✔ Mensagens de WhatsApp 
✔ VPNs 
✔ Para provar a integridade e autenticidade das informações 
✔ Proteção dos e-mails com protocolos como o OpenPGP 
✔ Etc. 
 
COMUNICAÇÃO SEGURA 
Dois personagens desejam se comunicar 
Bob e Alice são conhecidos no universo de Redes de Computadores 
Mas temos a Trudy, uma intrusa que pode: interceptar, apagar e modificar as mensagens trocadas entre Bob 
e Alice 
 
 
 
 
 
Quem poderia ser Bob e Alice no exemplo anterior? 
✔ Servidores DNS 
✔ Bancos on-line 
✔ Roteadores fazendo atualizações de tabelas de rotas 
✔ Servidores de aplicação 
✔ Servidores Web 
✔ Proxies 
✔ Usuários de serviços implantados em alguma nuvem computacional 
Como discutimos na semana anterior, quando ocorre comunicação entre duas partes alguma 
vulnerabilidade pode existir e isso pode ser explorado por intrusos 
O que um intruso pode fazer? 
✔ Interceptar mensagens 
✔ Inserir mensagens na conexão entre as partes 
✔ Falsificar o endereço de origem no pacote/datagrama ou qualquer campo neste datagrama 
✔ Sequestro da conexão, removendo o transmissor ou receptor e se passar por um deles 
✔ Negar serviço, ou seja, impedir que determinado serviço seja utilizado pelos outros 
 
 
 
 
 
 
 
m → mensagem em texto plano 
K A(m) texto cifrado encriptado com a chave KA 
m = KB (KA (m)) → mensagem original obtida com a decriptação 
 
PERGUNTA 1 
Na terminologia de criptografia, é correto afirmar que: 
 
o o o a criptoanálise consiste em ocultar informações. 
o o o no texto plano a informação é totalmente legível. 
o o o cifrar é um processo de transforma um texto codificado em decodificado. 
o o o no texto cifrado a informação é parcialmente aberta. 
o o o a cifra utiliza um algoritmo para encriptar e decriptar dados. 
Você acertou!!! A criptoanálise objetiva quebrar técnicas utilizadas para obter informações a partir de dados 
codificados. Texto plano tem informação legível e texto cifrado tem informação codificada. Cifrar consiste 
em usar um segredo para transformar um texto plano em um texto cifrado. 
 
 
Cifras simétricas 
ROTEIRO 
Cifras simétricas 
Tipos 
Exemplos 
Algoritmos 
 
CIFRAS SIMÉTRICAS 
 
A criptografia de chave simétrica, ou cifra simétrica, consiste em utilizar a mesma chave entre duas partes 
comunicantes. No exemplo anterior, Bob e Alice vão compartilhar a mesma chave para encriptar e decriptar 
a mensagem trocada entre eles 
Chave do emissor e transmissor são idênticas. 
A chave é um padrão de substituição de alguma coisa por outra. 
 
 
 
 
 
 
 
Etapas: Bob e Alice compartilham a mesma chave (simétrica) → K A chave K é um padrão de substituição 
Exemplo padrão de substituição 
Texto plano: abcdefghijklmnopqrstuvwxyz 
Texto cifrado: mnbvcxzasdfghjklpoiuytrewq 
Chave de encriptação: mapeamento de 26 letras para outras 26 letras 
 
➢ Tipos de cifras simétricas 
Cifras de fluxo 
✔ Consiste em criptografar 1 bit de cada vez Tipos de cifras simétricas 
Cifras de Bloco 
✔ As mensagens de texto aberto são quebradas em blocos de mesmo tamanho 
✔ Cada bloco corresponde a 1 unidade 
Cifras de Fluxo 
✔ Vai combinar um a um os bits do texto plano com um fluxo de bits pseudoaleatório 
✔ Cada dígito de uma mensagem vai ser encriptado combinado com um dígito do fluxo de bits 
pseudoaleatório 
✔ É usado XOR para realizar essa combinação 
✔ A cifra de fluxo vai usar uma chave de tamanho menor para gerar esse stream (64 ou 128bits) 
✔ Então, a chave vai ser usada para gerar um keystream pseudoaleatório que vai ser combinado com o 
texto plano para gerar o texto cifrado. 
 
Exemplo: 
Texto Plano 10010100100100101001 CHAVE 
 
 XOR 
 
Keystream 01001010010010010010 PRNG 
 
 
Texto Cifrado 11011110110110111011 
 
Cifras de Bloco 
Ocorre sobre bloco de dados 
✔ A mensagem/texto plano é dividida em blocos pelo algoritmo 
✔ Algoritmo opera sobre cada bloco de forma independente 
 
 Bloco 1 Chave Bloco Cifrado 1 
 
Texto Bloco 2 Chave Bloco Cifrado 2 
Plano 
 Bloco N Chave Bloco Cifrado N 
 
Problema 
✔ Um mesmo bloco de texto pode se repetir e quando o algoritmo divide sua mensagem em blocos, pode 
haver blocos iguais → texto cifrado será igual 
Gera um padrão de repetição que vai ser identificado pelo invasor 
Solução 
Realimentação 
✔ Evitar a repetição de bloco 
 
Modo de Realização – CBC (Cipher Block Chaining) 
Funcionamento 
✔ XOR no bloco atual do texto plano/aberto com o bloco anterior do texto cifrado 
✔ Como o primeiro bloco não tem um bloco anterior, faz-se um XOR com um vetor de inicialização 
✔ Vetor de inicialização é uma entrada (valor de tamanho fixo, sendo um número pseudoaleatório) 
✔ Usado para aumentar o nível de segurança da criptografia de bloco 
 
CBC (Cipher Block Chaining) 
 
 VI Bloco 1 Chave Bloco Cifrado 1 
 
 
Texto Plano Bloco 2 Chave Bloco Cifrado 2 
 
 
 Bloco N Chave Bloco Cifrado N 
 
Exemplos de algoritmos 
✔ RC6 
✔ DES 
✔ 3DES 
✔ AES 
✔ Rinjndael 
 
Algoritmos 
DES (Data Encryption Standard) 
✔ Bloco de textos simples (64 bits) sendo dividido em 2 partes antes do algoritmo principal de iniciar 
(baseado na estrutura de Fiestel) 
✔ Tamanho de chave pequena 
✔ 16 rodadas 
✔ Lento se comparado ao AES 
AES (Advanced Encryption Standard) 
✔ Utiliza chaves criptográficas de 128. 192 e 256 bits para encriptar e decriptar dados em blocos de 128 
bits (NIST – National Institute of Standards and Technology) 
✔ Substituto do DES 
✔ Tamanho de chave maior que o DES, o que sinaliza mais segurança 
✔ Trabalha com o princípio de substituição e permutação 
✔ Todo o bloco de dados é processado como uma única matriz 
 
REFERÊNCIAS 
1. https://cryptoid.com.br/criptografia/o-que-e-uma-cifra-de-bloco-e-como-ela-funciona-para-proteger-
seus-dad os/ 
2. Redes de Computadores e a Internet - 6a Edição 
3. Introdução à segurança de computadores - Michael T. Goodrich e Roberto Tamassia 
4. https://www.gta.ufrj.br/grad/99_2/marcos/des.htm 
5. https://www.gta.ufrj.br/grad/05_2/aes/ 
6. https://pt.living-in-belgium.com/difference-between-des-and-aes-152 
 
PERGUNTA 1 
Dentre as características da cifra simétrica, podemos destacar: 
 
o o o É uma transformação matemática irreversível. 
o o o A cifração e decifração não dependem de uma mesma informação secreta. 
o o o Se a chave for descoberta a confidencialidade ainda é mantida. 
o o o Um dos algoritmos de cifra simétrica é o DES. 
o o o O DES utiliza os princípios de substituição e permutação. 
https://www.gta.ufrj.br/grad/99_2/marcos/des.htm
https://www.gta.ufrj.br/grad/05_2/aes/
Você acertou. A cifra simétrica é reversível e depende de uma mesma informação correta. 
Além disso, se a chave for descoberta, perde-se a confidencialidade. Quem usa os princípios 
de substituição e permutação é o AES. 
 
PERGUNTA 1 
O que difere o ataque de texto cifrado do ataque de texto puro conhecido é: 
 
o o o que no ataque offline de texto cifrado, o atacante deve escolher antes todos os 
textos puros. 
o o o não há diferença entre eles. 
o o o no de texto puro escolhido, pode-se escolher uma ou mais mensagens em 
texto puro e obter o texto cifrado baseado em chave diferente. 
o o o no ataque de texto cifrado, tem-se acesso ao texto cifrado de uma ou mais 
mensagens, usando a mesma chave. 
o o o no ataque de texto puro conhecido, pode-se escolher uma ou mais mensagens 
em texto puro e obter o texto cifrado baseado na mesma chave. 
 
Você acertou!!! Neste caso há uma grande quantidade de mensagens cifradas, mas não conhecemos as 
mensagens originais e as chaves utilizadas. O objetivo é recuperar as mensagens normais (deduzir as chaves 
utilizadas). 
 
Aprofundando o tema 
Texto de apoio 1: Criptografia Simétrica | Delio Silva Nunes 
Texto de apoio 2: Criptografia Básica: O que é, como funciona e para que serve | Vitor 
Vanacor 
 
Fórum temático - Semana 2 
 
Aprendemos que a confidencialidade é um dos pilares da segurança da informação. Imagine 
que você foi contratado para fazer parte de um time que vai ajudar a definir as políticas de 
segurança de uma grande empresa que deseja expor seu portfólio para o mundo todo por 
meio de aplicações Web que ficarão disponíveis para serem acessadas pela Internet. 
Pergunta-se: Quais são as medidas preventivas que devem ser consideradas para garantir a 
confidencialidade dos dados que serão intercambiados entre usuários online e as aplicações 
da empresa? 
 
 
ATIVIDADE AVALIATIVA 
PERGUNTA 1 
A criptografia é um elemento fundamental da segurança de dados. Ela envolve a conversão de 
texto simples e legível em texto incompreensível denominado de texto cifrado. Analise as 
afirmações a seguir e assinale a alternativa correta. 
https://www.gta.ufrj.br/grad/07_2/delio/Criptografiasimtrica.html
https://blog.elos.vc/criptografia-basica-o-que-e-como-funciona-e-para-o-que-serve
https://blog.elos.vc/criptografia-basica-o-que-e-como-funciona-e-para-o-que-serve
 
o A criptografia sempre evita que um intruso possa interceptar mensagens. 
o A criptografia que utilizamos atualmente é a criptografia clássica. 
o Criptografia, criptoanálise e criptologia são termos equivalentes. 
o A criptografia somente pode ser utilizada para garantir a integridade dos dados. 
o A criptografia moderna é marcada por avanços após a segunda guerra mundial 
com a. criação inicialmente do DES (Data Encription Standard) em meados de 
1970. 
 
PERGUNTA 2 
Considere os modos de encriptação para uma cifra de blocos ECB e CBC e as afirmações e 
escolha a alternativa correta:  
I. O CBC tem a vantagem da simplicidade e pode tolerar a perda de um bloco, assim 
como pode ocorrer se os blocos estão sendo enviados em pacote em uma rede. 
II. A desvantagem do CBC é que o algoritmo de encriptação é determinístico, de modo 
que cada texto puro apresenta um único texto cifrado associado. 
III. O modo CBC não permite que a encriptação de blocos seja feita 
independentemente.  
IV. O CBC tem a vantagem de que se blocos idênticos aparecerem em sequências 
distintas na sequência de entrada, então provavelmente eles terão encriptações 
diferentes na sequência de saída. 
V. 
 
o Apenas II e III estão corretas.  
o Apenas III e IV estão corretas.   
o Apenas I, II e III estão corretas. 
o Apenas I e II estão corretas.  
o Apenas I, II e IV estão corretas.  
 
PERGUNTA 3 
Os geradores de números pseudoaleatórios são fundamentais para os algoritmos de criptografia. 
Neste sentido, analise as afirmações a seguir e escolha a alternativa correta.  
I. Somente as cifras de blocos simétricas são três categorias de algoritmos 
criptográficos. 
II. Para aplicações criptográficas, a semente que serve como entrada do gerador de 
número pseudoaleatório (PRNG) deve ser segura. 
III. O PRNG é determinístico. 
IV. Um gerador de números pseudoaleatório não pode produzir uma sequência binária 
com alguma propensão. 
V. 
 
o Apenas I e IV estão corretas.  
o Apenas II e III estão corretas.  
o Apenas I, II e III estão corretas. 
o Apenas II e IV estão corretas. 
o Apenas II, III e IV estão corretas.  
 
PERGUNTA 4 
O fluxo de cifras é um método de criptografia simétrica que consiste em cifrar uma mensagem bit 
a bit, em vez de blocos de dados, como o fazem outros algoritmos de criptografia. O fluxo de chaves 
é um elemento essencial em fluxosde cifras, para garantir a confidencialidade dos dados e prevenir 
ataques criptográficos. 
 
 
Com relação à função do fluxo de chaves em fluxos de cifras, leia as afirmativas a seguir: 
 
I. Gerar uma série de chaves únicas e aleatórias para cifrar. 
II. Decifrar a informação criptografada. 
III. Garantir a integridade dos dados cifrados. 
IV. Quebrar a criptografia da informação. 
 
Está correto o que se afirma em: 
o a. I, apenas. 
 
o b. II, III e IV, apenas. 
 
o c. I e III, apenas. 
 
o d. I, II e III, apenas. 
 
o e. III e IV, apenas. 
 
PERGUNTA 5 
O modo de fluxos de cifras é um método de criptografia que consiste em combinar uma informação 
clara com uma sequência de bits pseudo aleatórios, chamada fluxo de cifras, para produzir um 
texto cifrado. O fluxo de cifras é gerado por uma função que depende de uma chave secreta e de 
um vetor de inicialização. 
 
Com relação ao modo de fluxos de cifras, leia as afirmativas a seguir: 
 
I. É resistente a erros de transmissão, pois um bit alterado no texto cifrado afeta apenas o 
bit correspondente no texto claro. 
II. Requer que a chave secreta e o vetor de inicialização sejam compartilhados entre o 
emissor e o receptor da mensagem. 
III. Pode ser implementado em hardware ou software, sendo mais rápido e eficiente do que 
outros modos que usam blocos. 
IV. Pode ser usado com qualquer função que gere um fluxo pseudo aleatório, como um 
gerador linear congruente ou uma função hash. 
 
Está correto o que se afirma em: 
o a. II, III e IV, apenas. 
 
o b. I, II e III, apenas. 
 
o c. I, apenas. 
 
o d. III e IV, apenas. 
 
o e. I e III, apenas. 
 
PERGUNTA 6 
Os sistemas de criptografia são fundamentados no conceito de chave, que comporta a base da 
transformação (comumente, matemática) de uma mensagem legível para uma mensagem 
ilegível. Essa chave compreende uma cadeia de caracteres que são usados em um algoritmo de 
criptografia, com a finalidade de modificar os dados, para que eles aparentem ser aleatórios. 
Considerando a temática apresentada, analise as asserções a seguir e a relação proposta 
entre elas. 
I. A criptografia simétrica é um sistema que utiliza pares de chaves para criptografar e 
autenticar mensagens. Uma chave desse par é pública e pode ser disseminada sem 
danificar a segurança. 
PORQUE 
II. A segunda chave presente no par representa uma chave privada que é conhecida 
somente pelo proprietário da mensagem enviada. 
A respeito das asserções, assinale a alternativa correta. 
o o a. As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta 
da I. 
o o b. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa 
correta da I. 
o o c. As asserções I e II são falsas. 
o o d. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. 
o o e. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.