Criptografia

Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para:

- Autenticar a identidade de usuários;
- Autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais e bancárias;
- Proteger a integridade de transferências eletrônicas de fundos.

Uma mensagem encriptada deve ser privada - somente quem enviou e quem recebeu deve ter acesso ao conteúdo da mensagem. Além disso, uma mensagem pode ser assinada - a pessoa que a recebeu pode verificar se o remetente é mesmo a pessoa que diz ser, além de ter capacidade de identificar se uma mensagem foi modificada no meio do caminho.

Algoritmos Criptográficos

Existem duas classes: simétricos (chave-secreta ou chave de sessão) e assimétricos (de chave-pública; de chave-privada ou particular). Os simétricos utilizam uma mesma chave tanto para cifrar quanto para decifrar. O assimétrico utiliza duas chaves distintas, uma para cifrar, outra para decifrar - são geradas aos pares, uma relacionada à outra.

Exemplos:

Simétricos: DES, 3DES, AES;
Assimétricos: RSA.

Certificado Digital

É um arquivo eletrônico que contém dados de uma pessoa/instituição, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador (A1) ou em outra mídia, como um token ou smart card (A3).

Algumas das principais informações encontradas em um certificado digital:

- Chave pública do usuário;
- Nome do usuário proprietário da chave;
- Nome da organização associada;
- Data de emissão do certificado e período de validade da chave.

A certificação digital garante alguns princípios:

- Confidencialidade/Sigilo: garantia de que somente as pessoas ou organizações envolvidas na comunicação possam ler e utilizar as informações transmitidas de forma eletrônica na rede. Garantido pela criptografia da mensagem.

- Integridade: garantia de que as informações trocadas nas transações eletrônicas não foram alteradas no caminho que percorreram. Garantida pela Assinatura Digital (apenas a criptografia não garante).

- Autenticação: garantia de identificação das pessoas ou organizações envolvidas na comunicação. Também garantida pela Assinatura Digital (apenas a criptografia não garante).

- Não-Repúdio: garantia de que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrônica não poderá posteriormente negar sua autoria. Também garantida pela Assinatura Digital (apenas a criptografia não garante).

Assinatura Digital: permite aferir, com segurança, a origem e integridade de um documento eletrônico. Consiste na criação de um código, através da utilização de uma chave privada de quem assina, de modo que a pessoa ou entidade que receber uma mensagem contendo esse código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada.

Infraestrutura de chave pública (PKI)

Termo geralmente utilizado para descrever as leis, diretivas, padrões e softwares que regulam ou manipulam certificados e chaves públicas e particulares. Na prática, é um sistema de certificados digitais, autoridades de certificação e outras autoridades de registro que verificam e autenticam a validade de cada pessoa envolvida em uma transação eletrônica.

No Brasil foi instituída a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).

Esta é composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela: AC Raiz (Autoridade Certificadora Raiz); pelas ACs (Autoridades Certificadoras) e pelas AR (Autoridades de Registro).

Função HASH (Resumo de Mensagem)

Essa técnica permite que, ao ser aplicada a uma mensagem de qualquer tamanho, seja gerado um resumo criptografado de tamanho fixo e bastante pequeno, como por exemplo 128 bits (MD5) ou 160 bits (SHA1). Utilizado na assinatura digital.

Carimbo do tempo

Certidão digital emitida pela ACT BR (Autoridade de Carimbo do Tempo Brasileira de Registros), que serve como evidência de que uma informação digital existia numa determinada data e hora. Serve como prova jurídica.