CRIPTOGRAFIA

 

Criptografia é a ciência de proteger dados para que ninguém que não seja autorizado os leia. Além de criptografar os dados, as técnicas de criptografia também são usadas para garantir que os dados transmitidos não sejam modificados até chegar ao seu destino e verificar se os dados recebidos foram realmente enviados pelo emissor. Existem dois tipos de criptografia utilizados: criptografia de chave pública (criptografia assimétrica) e de chave privada (criptografia simétrica). Basicamente, esses dois processos seguem o modelo da figura abaixo, onde uma mensagem é criptografada usando uma chave e decriptografada usando outra chave (a mesma chave no caso da criptografia simétrica, e uma chave diferente no caso da criptografia assimétrica), de modo a se obter a mensagem original.

Criptografia Simétrica:
Nesse sistema de criptografia, tanto quem envia quanto quem recebe a mensagem deve possuir a mesma chave criptográfica, a qual é usada para criptografar e decriptografar a mensagem. Dessa forma, nenhuma pessoa que não tiver acesso a essa chave poderá ler a mensagem. Isso faz com que essa chave seja mantida em secreto, conhecida apenas pelo emissor e pelo receptor da mensagem.

Criptografia Assimétrica:
Num sistema de criptografia de chaves públicas são necessárias duas chaves (uma pública e outra privada) para que um emissor e um receptor troquem informação num ambiente seguro. Dessa forma, cada pessoa possui duas chaves: uma pública, do conhecimento de todos, e uma privada, apenas de seu conhecimento. Se uma dessas chaves for utilizada para criptografar uma mensagem, então a outra será utilizada no processo inverso, ou seja, decriptografar.

Estando o par "chave pública/chave privada" matematicamente relacionado, é computacionalmente impossível derivar o conteúdo de uma chave através do conhecimento da outra. Isto possibilita, por exemplo, que a chave privada seja protegida de duplicação ou falsificação, mesmo que se saiba o conteúdo da chave pública.

A Criptografia de Chave Pública é utilizada para assegurar a privacidade da informação, mas também possibilita outra função vital para assegurar a troca de informação eletrônica: a autenticação. A autenticação, neste contexto, refere-se ao processo que o destinatário de uma mensagem eletrônica deverá efetuar para verificar a identidade de quem a emitiu, bem como para assegurar a integridade da mensagem que recebeu. Tal como a criptografia é utilizada para se atingir privacidade, também a assinatura digital é usada para verificar a autoria/co-assinatura de uma mensagem.

Para criar uma assinatura digital, o signatário cria um código (Hash), uma versão reduzida e única da mensagem original. Em seguida, utiliza a sua chave privada para criptografar o código (Hash) da mensagem. Este resultado, o valor Hash criptografado, é a assinatura digital. Se a mensagem for alterada, mesmo minimamente, o resultado do Hash da mensagem alterada será totalmente diferente. A assinatura digital é única para a mensagem e para a chave privada que a criou, e como tal não pode ser falsificada. Após a geração da assinatura digital, esta é ligada à mensagem e ambas são enviadas para o destinatário, o qual recria o Hash (repete o processo de geração de código) sobre a mensagem recebida e, utilizando a chave pública do signatário/remetente para decriptografar a assinatura digital original, obtém o valor da mensagem original. Se os valores forem idênticos, verifica-se o seguinte:

Que a assinatura digital foi criada através da utilização da chave privada correspondente ao signatário/remetente;

Que ninguém está maliciosa ou pretensamente assumindo a identidade de outra pessoa;

Que o signatário é autêntico, sendo que este não pode afirmar que não assinou digitalmente tal mensagem;

Que o conteúdo da mensagem não sofreu alterações no seu trajeto.

Assinatura Digital:
Uma assinatura digital é um "selo eletrônico" que pode ser enviado durante qualquer transação eletrônica. Semelhante a um selo de um pacote de encomenda, a assinatura digital previne que alguém possa alterar quer o conteúdo da informação, quer os dados do verdadeiro emissor do conteúdo. Qualquer mudança na informação, nem que seja uma vírgula, será detectada quando essa assinatura digital for verificada.

Para criar uma assinatura digital é necessário primeiro que o emissor da mensagem gere uma versão da mensagem, conhecida por código Hash ou código da mensagem. Este código, gerado por algoritmos públicos, é único para o texto original. Basta alterar ligeiramente o texto original para que o código então gerado seja completamente diferente. O emissor cria a assinatura digital ao assinar (criptografar), posteriormente, o código Hash da mensagem com a sua chave privada.

Com o objetivo de mais ninguém ter acesso ao conteúdo da mensagem, a não ser o correto receptor, isto é, para garantir a confidencialidade na transmissão da informação, o emissor da mensagem adiciona a assinatura digital criada à mensagem original, que criptografa, por sua vez, com a chave pública do receptor. É criada assim uma mensagem eletrônica confidencial e assinada digitalmente.

Após a recepção da mensagem, o receptor acessa o texto utilizando a sua chave pública. A fim de obter a assinatura digital original em formato legível, o receptor decriptografa o código Hash recebido com a chave pública do emissor (Valor A). Para verificar a exatidão da assinatura digital e a integridade da informação, o receptor gera um código Hash com a mensagem original que recebeu (Valor B), e compara este código com o que obteu da decriptografia da assinatura digital recebida (Valor A). Se o receptor validar positivamente a assinatura digital com a chave pública do emissor, temos um forte indicador de que a mensagem foi enviada pelo dono da chave privada e que, simultaneamente, não foi alterada no seu trajeto.

Certificado Digital:
Como podemos ter a certeza de que o par de chaves (pública e privada) pertence realmente a um determinado emissor? A reposta é simples: através da utilização de Certificados Digitais, emitidos por uma terceira parte confiável.

Antes de duas partes trocarem informação usando criptografia de chaves públicas, cada uma delas deseja autenticar a identidade da outra parte. Por exemplo, os remetentes querem saber se estão lidando realmente com o destinatário escolhido. Obviamente que os destinatários também querem ter a certeza da identidade dos seus remetentes e da exatidão das informações trocadas. Uma forma de assegurar a autenticação de cada uma das partes pode ser alcançada através dos serviços de uma terceira parte que emite e regule os serviços de gestão de certificados digitais.

Um certificado digital é um documento eletrônico assinado digitalmente, emitido por uma terceira parte de confiança, denominada Entidade Certificadora. Usando metodologias, processos e critérios bem definidos e públicos, a Entidade Certificadora regula a gestão dos certificados através da emissão, renovação e revogação dos mesmos, por aprovação individual.

Voltar