Skip to main content dev:Coelho

Segurança Da Informação - Aula 04

Questões de Segurança da Informação

Criptografia e Ferramentas de Proteção

Questão 1: Criptografia Simétrica vs. Assimétrica

Definições Fundamentais

Criptografia Simétrica
  • Princípio: Utiliza uma única chave para cifrar e decifrar mensagens
  • Características: Alta velocidade de processamento, menor overhead computacional
  • Limitação principal: Distribuição segura da chave compartilhada
Criptografia Assimétrica
  • Princípio: Emprega um par de chaves (pública e privada) matematicamente relacionadas
  • Características: Soluciona o problema de distribuição de chaves, permite autenticação
  • Limitação principal: Maior complexidade computacional

Análise Comparativa de Segurança

AspectoSimétricaAssimétrica
VelocidadeSuperiorInferior
Distribuição de ChavesProblemáticaEficiente
EscalabilidadeLimitadaExcelente
Recursos ComputacionaisBaixosElevados

Avaliação de Segurança

Conclusão: Ambos os sistemas podem ser considerados seguros quando implementados adequadamente. A criptografia assimétrica oferece maior flexibilidade operacional e resolve o problema crítico da distribuição de chaves, tornando-se mais adequada para ambientes complexos e distribuídos.

Questão 2: Exemplos de Utilização

Criptografia Simétrica

  • AES (Advanced Encryption Standard): Proteção de dados em repouso
  • Comunicações VPN: Túneis seguros de rede
  • Bancos de dados: Criptografia de campos sensíveis
  • Sistemas de backup: Proteção de arquivos armazenados

Criptografia Assimétrica

  • HTTPS/TLS: Estabelecimento de canais seguros na web
  • Assinatura digital: Autenticação e integridade de documentos
  • E-mail seguro (PGP/GPG): Comunicação confidencial
  • Infraestrutura de chaves públicas (PKI): Certificados digitais

Questão 3: Comparação MD5 vs. SHA-3

MD5 (Message Digest Algorithm 5)

  • Desenvolvido: 1991, Ron Rivest
  • Saída: 128 bits (32 caracteres hexadecimais)
  • Status atual: Vulnerável - susceptível a ataques de colisão¹

SHA-3 (Secure Hash Algorithm 3)

  • Desenvolvido: 2015, baseado no Keccak
  • Saída: Variável (224, 256, 384, 512 bits)
  • Status atual: Seguro - resistente a ataques conhecidos

Análise de Segurança

Recomendação: SHA-3 é significativamente mais seguro que MD5. O MD5 deve ser evitado em aplicações que exigem segurança criptográfica, sendo aceitável apenas para verificação de integridade básica em contextos não-críticos.

Razões da superioridade do SHA-3:

  • Resistência a ataques de colisão
  • Arquitetura robusta (esponja criptográfica)
  • Padronização recente com critérios rigorosos

Questão 4: Ferramentas de Hash - Experiência Prática

Ferramentas Disponíveis por Sistema Operacional

Linux/macOS

bash code snippet start

# MD5
md5sum arquivo.txt
echo "texto" | md5sum

# SHA (várias versões)
sha256sum arquivo.txt
sha3sum -a 256 arquivo.txt

bash code snippet end

Windows

powershell code snippet start

# Usando PowerShell
Get-FileHash arquivo.txt -Algorithm MD5
Get-FileHash arquivo.txt -Algorithm SHA256

powershell code snippet end

Experiência Prática Recomendada

  1. Teste com arquivo pequeno: Verificar consistência dos hashes
  2. Modificação mínima: Observar mudança completa do hash
  3. Comparação de velocidade: MD5 vs SHA-256 vs SHA-3
  4. Verificação de integridade: Simular detecção de alterações

Observação esperada: Pequenas alterações no arquivo original resultam em hashes completamente diferentes, demonstrando o efeito avalanche.

Questão 5: Esteganografia - Conceitos e Prática

Definição e Fundamentos

Esteganografia: Arte e ciência de ocultar informações dentro de outros dados aparentemente inócuos, de forma que a existência da informação secreta não seja detectada.

Diferença Conceitual
  • Criptografia: Torna a informação ilegível
  • Esteganografia: Oculta a existência da informação

Ferramentas Recomendadas

  • OpenStego: Multiplataforma, interface gráfica
  • Steghide: Linha de comando, Linux
  • DeepSound: Especializado em áudio
  • SilentEye: Interface amigável

Experiência Prática Sugerida

  1. Preparação: Selecionar imagem “portadora” e texto secreto
  2. Ocultação: Inserir mensagem na imagem
  3. Verificação: Confirmar que a imagem parece inalterada
  4. Extração: Recuperar a mensagem oculta
  5. Análise: Comparar tamanhos de arquivo antes/depois

Resultado esperado: A informação permanece oculta sem alterações perceptíveis na mídia portadora.

Questão 6: Ferramentas de Criptografia para Pendrive

Soluções Disponíveis

VeraCrypt (Recomendado)
  • Características: Sucessor do TrueCrypt, código aberto
  • Funcionalidades: Criptografia de volume completo
  • Algoritmos: AES, Serpent, Twofish
BitLocker (Windows)
  • Integração: Nativo no Windows Pro/Enterprise
  • Facilidade: Interface integrada ao sistema
LUKS (Linux)
  • Padrão: Linux Unified Key Setup
  • Flexibilidade: Múltiplos algoritmos disponíveis

Experiência Prática Recomendada

  1. Instalação: VeraCrypt no sistema operacional
  2. Criação: Volume criptografado no pendrive
  3. Configuração: Senha forte e algoritmo AES
  4. Teste: Montagem/desmontagem do volume
  5. Portabilidade: Teste em diferentes sistemas

Benefícios observados: Proteção completa dos dados mesmo em caso de perda física do dispositivo.

Questão 7: Mailvelope - E-mail Seguro

Conceitos Fundamentais

Mailvelope
  • Definição: Extensão de navegador para criptografia de e-mail
  • Padrão: OpenPGP (Pretty Good Privacy)
  • Funcionalidades: Criptografia e assinatura digital

Implementação Prática

Configuração Inicial
  1. Instalação: Extensão no Chrome/Firefox
  2. Geração de chaves: Par público/privado
  3. Exportação: Chave pública para compartilhamento
Teste de Assinatura Digital
  • Objetivo: Garantir autenticidade e integridade
  • Processo: Assinar mensagem com chave privada
  • Verificação: Destinatário valida com chave pública
Teste de Criptografia
  • Objetivo: Garantir confidencialidade
  • Processo: Cifrar com chave pública do destinatário
  • Decriptografia: Apenas o destinatário pode ler

Experiência Esperada

  • Transparência: Integração suave com webmail
  • Segurança: Proteção end-to-end das comunicações
  • Usabilidade: Interface intuitiva para usuários não-técnicos

Notas Complementares

¹ Ataques de colisão: Situações onde dois inputs diferentes produzem o mesmo hash, comprometendo a integridade criptográfica.

Referências para Aprofundamento

  • STALLINGS, William. Cryptography and Network Security. 7ª ed. Pearson, 2016.
  • FERGUSON, Niels; SCHNEIER, Bruce. Practical Cryptography. Wiley, 2003.
  • KATZ, Jonathan; LINDELL, Yehuda. Introduction to Modern Cryptography. 3ª ed. CRC Press, 2020.

Recomendações Práticas

Para máxima eficácia no aprendizado, recomenda-se a execução prática de todos os exercícios propostos, documentando os resultados e observações durante o processo de implementação.