As mudanças trazidas pela Certificação Digital ao mercado de tecnologia

Certamente, o advento no segmento das tecnologias de segurança da informação operaram significativas mudanças no mercado tecnológico, e um dos grandes agentes responsáveis por isto foi a Certificação Digital e todas as implicações trazidas por ela.

E como a certificação digital pode ser utilizada no contexto da segurança da informação?
Viviane
Dra. Viviane Bertol

O grande segredo está no fato de que a Certificação Digital trabalha com o conceito de criptografia de chaves públicas.

Isso significa que cada pessoa ou empresa que adquire um certificado digital recebe duas chaves: uma chave pública, que é inserida no certificado e pode ser distribuída livremente, e uma chave privada, que deve ficar apenas no poder do titular do certificado.

Essas chaves são geradas simultaneamente e possuem algumas caraterísticas interessantes: elas estão intimamente associadas, de maneira que uma mensagem cifrada com a chave pública pode ser decifrada apenas com a chave privada, e vice-versa.  Além disso, não deve ser possível deduzir uma chave a partir da outra, ou a partir da análise de um texto cifrado.

Outra tecnologia importante utilizada na Certificação digital é o resumo criptográfico (ou hash), que é uma função que gera um código de tamanho fixo de saída, a partir de uma mensagem de entrada.

A função usada para cálculo do resumo criptográfico deve ter as seguintes propriedades
  • dada uma mensagem, deve ser fácil calcular o resumo
  • dado o resumo, deve ser muito difícil determinar a mensagem que o originou;
  • mensagens diferentes devem produzir resumos diferentes;
  • o resumo deverá parecer aleatório, para evitar que forneça pistas sobre a mensagem original.
A utilização dessas poderosas tecnologias permite agregar aos processos informatizados as seguintes características de segurança:

Confidencialidade – significa que os recursos do sistema devem estar protegidos contra acesso por parte de qualquer pessoa que não seja explicitamente autorizada pelo dono do recurso. Não apenas o recurso deve estar protegido, mas também suas partes, pois um atacante pode usá-las para inferir a informação como um todo. Manter a confidencialidade inclui proteger a informação contra leitura, impressão ou mesmo contra o simples conhecimento da sua existência.

Integridade – significa que os recursos podem ser modificados apenas por usuários autorizados ou apenas de uma maneira autorizada. A informação deve ser protegida contra escrita, alteração, alteração de seu status, criação e destruição.

Autenticidade – os certificados identificam o proprietário da chave privada. Os processos de identificação e registro do titular obedecem regras rigorosas, que buscam garantir que a empresa ou pessoa que está assinado um documento ou enviando uma mensagem é realmente quem diz ser.

Não repúdio – ao realizar uma transação ou assinar um documento utilizando certificação digital, a empresa ou pessoa fica, em teoria, impossibilita de negar que praticou o ato, visto que somente a chave privada que pertence a ela pode ter sido utilizada para tal.

Podemos então observar como na prática a certificação digital pode ser aplicada para três importantes finalidades, que são: as assinaturas digitais, a cifração de mensagens e a autenticação em sistemas:

Assinaturas digitais: representam a assinatura do indivíduo vinculada a um documento eletrônico, utilizando criptografia assimétrica e resumos criptográfico. Isso confere integridade e autenticidade aos dados e informações transmitidos (para uma representação visual deste processo e informações adicionais, confira o artigo: “ Certificação Digital. De onde surgiu e por que ela me interessaria? ”

Cifração de mensagens: através do uso da criptografia, são utilizados algoritmos específicos, contendo complexas estruturas matemáticas capazes de embaralhar dados e mensagens, que somente podem ser recuperados fazendo uso da chave adequada para esse fim.

Autenticação em sistemas: existem inúmeros mecanismos de autenticação em sistemas, sendo o mais conhecido o login/senha, que todavia possui uma fraqueza intrínseca, já que o administrador do sistema também possui acesso à senha do usuário, além dele próprio. Isso permitiria ao usuário negar a autoria de procedimentos realizados, como uma transferência bancária, por exemplo. Assim, a certificação digital surge como uma alternativa mais robusta, que retira essa possibilidade, visto que os processos devem ser realizados com a chave privada do usuário, e apenas são conferidos com a chave pública, que estaria disponível ao administrador do sistema ou a qualquer pessoa, sem riscos. Além da autenticação de usuários, essa tecnologia é bastante usada para autenticação de equipamentos em grandes redes (roteadores, servidores, etc.) , onde cada um deles recebe um certificado digital. Com isso, é possível evitar que um equipamento espúrio ingresse na rede sem o consentimento do administrador.

Considerando o que vimos até aqui, é certo dizer que os Certificados Digitais ganharão cada vez mais espaço no mercado tecnológico e seus efeitos e benefícios, na medida que sua utilização se solidifique, serão indispensáveis para toda e qualquer empresa que deseje prover segurança aos seus fluxos de dados e informações.