Segurança na Internet – parte 1

0

Todos os dias somos bombardeados com histórias sobre fraudes eletrônicas. Na verdade, o que ficamos sabendo pelos jornais é apenas a ponta do iceberg. O que aparece na mídia são aqueles crimes que conseguiram ser descobertos. Milhares de fraudes eletrônicas acontecem todos os dias e ninguém fica sabendo. Só na minha pequena rede de relacionamentos, conheço três pessoas que tiveram suas senhas roubadas e usadas para fazer saques nas suas contas bancárias.

Entretanto, nem tudo está perdido. A evolução das técnicas de criptografia, aliado aos conceitos de chaves públicas e privadas, permitiu criar uma arma para tentar diminuir o número de fraudes cometidas pelos hackers. Esta arma se chama certificado digital. Com ele é possível garantir três coisas: autenticidade, integridade e confidencialidade. Embora seja possível escrever um livro sobre o tema, vou tentar resumir, em duas partes, os benefícios que o uso do certificado digital pode nos trazer.

Vamos iniciar com os conceitos de criptografia. Embora não seja uma técnica nova, foi a partir da segunda guerra mundial que a criptografia ganhou popularidade. A criptografia tem como objetivo cifrar uma mensagem para que somente o destinatário possa decifrá-la. Existem diversas formas de criptografar uma mensagem, porém as mais usadas atualmente usam o conceito de chave. A criptografia simétrica usa uma única chave tanto para criptografar quanto para descriptografar. Esta técnica revelou-se problemática na medida em que, uma vez descoberta a chave (por estranhos), as mensagens poderiam ser decifradas com facilidade.

Já a critografia assimétrica permite usar um par de chaves associadas, chamadas de pública e privada. A chave pública pode (e deve) ser distribuída, enquanto que a privada deve permanecer em sigilo. O interessante é que a criptografia da mensagem é feita com a chave pública e a descriptografia é feita usando a chave privada e vice-versa. Isto permite que qualquer pessoa possa enviar uma mensagem que só pode ser lida pelo dono da chave privada, ou ainda, o dono da chave privada pode mandar mensagem e o destinatário ter garantia de autenticidade.

Bem, vamos ver um exemplo real. A integridade é um fator importante para a troca de mensagens. Por integridade podemos entender como uma mensagem que saiu do remetente e chegou ao destinatário sem sofrer modificações. Imagine que você vai fazer uma transferência bancária e alguém, usando o lado negro da força, intercepta a mensagem antes de chegar ao destinatário e troca o número da conta. O dinheiro provavelmente irá para outra pessoa e você só ficará sabendo quando receber a cobrança que a transferência não foi para quem de fato deveria.

Como podemos resolver o problema de integridade? É necessário que remetente gere um resumo da mensagem (chamado de hash), usando um algoritmo bem conhecido. Este algoritmo gera uma seqüência de caracteres baseado na mensagem, de forma que, se alguma coisa for alterada no texto original (mesmo que seja uma vírgula) o hash será diferente. O remetente envia o hash junto com a mensagem, e o destinatário deverá gerar um outro hash e compará-lo como que foi enviado. Se os dois hashs forem iguais é porque a mensagem não sofreu alterações.

Complicado? Um pouco. Porém, o importante é que o se que passa nos “bastidores” não precisa ser conhecido por quem usa o certificado digital. A dificuldade ficará para os profissionais de informática que desenvolvem aplicações que usam esta tecnologia.

Na próxima semana falaremos sobre autenticidade e confidencialidade.

To be continued…

O texto acima se trata da opinião do autor e não representa o pensamento do Portal Infonet.
Comentários