Assinatura Digital

Manaus- 2008

Assinatura Digital

Equipe:
rika Carla Campos de Almeida Marcos Csar de Oliveira Pinheiro Tiago Cauassa Leo

Trabalho apresentado para obteno de nota na disciplina Introduo Computao ministrada pelo Professor Rodrigo Choji no Curso de Licenciatura em Informtica da Universidade do Estado do Amazonas.

Sumrio

INTRODUO .........................................................................................................................................................4 1. CONCEITOS BSICOS ......................................................................................................................................5 1.1. O QUE SO COMPUTADORES....................................................................................................................5 1.2. O QUE SO BITS..............................................................................................................................................5 1.3. O QUE SO BYTES..........................................................................................................................................5 1.4. O QUE SO INFORMAES DIGITAIS ....................................................................................................5 1.5. O QUE SO ARQUIVOS DIGITAIS .............................................................................................................6 1.6. O QUE SO PROGRAMAS ............................................................................................................................6 1.7. O QUE SO ALGORITMOS ..........................................................................................................................6 1.8. O QUE SO REDES DE COMPUTADORES...............................................................................................6 1.9. O QUE CRIPTOGRAFIA.............................................................................................................................7 2. CRIPTOGRAFIA .................................................................................................................................................7 2.1. ALGORITMO CRIPTOGRFICO ................................................................................................................8 2.2. CIFRA .................................................................................................................................................................8 2.3. CIFRA SIMTRICA.........................................................................................................................................8 2.4. CIFRA ASSIMTRICA....................................................................................................................................8 2.5. FUNES UNIDIRECIONAIS OU HASH ...................................................................................................9 3. ASSINATURA DIGITAL ....................................................................................................................................9 3.1 CERTIFICADO DIGITAL..............................................................................................................................12 3.2. SEGURANA DE CHAVE PRIVADA ........................................................................................................12 4. REFERNCIAS:.................................................................................................................................................13

Introduo

Atualmente, a maioria das atividades produtivas desenvolvidas pelos homens utiliza computadores em alguma etapa de seu planejamento, produo, distribuio ou comercializao. Na maioria das vezes a utilizao das tecnologias digitais se d em todas as etapas do processo, havendo inclusive algumas etapas que se realizam somente com uso de computadores. O desenvolvimento de redes de computadores permitiu aos homens coordenar atividades e controlar o fluxo de informaes em diversos lugares de forma quase simultnea. Entretanto, percebeu-se a necessidade premente de desenvolver mecanismos que garantam o sigilo e a integridade das informaes para que elas no sejam levadas ao conhecimento de estranhos e no sejam alteradas gerando assim prejuzos aos que necessitam daquelas informaes. Um destes mtodos a criptografia e a certificao atravs de assinaturas digitais. Trataremos neste trabalho destes dois processos utilizados hoje para garantir a segurana de informaes armazenadas em computadores ou que trafegam em redes de computadores.

1. Conceitos Bsicos

As assinaturas digitais so um mecanismo de autenticao de informaes geradas. Ela tem funo igual assinatura pessoal - sua correspondente no mundo real - ou seja, comprovar que uma determinada pessoa foi a autora ou est ciente do contedo de uma determinada mensagem. Antes, entretanto, de abordar os processos de criptografia utilizados na gerao das assinaturas digitais, vamos elucidar alguns conceitos basilares compreenso do contedo que ser exposto neste trabalho. Como conceitos fundamentais compreenso do processo de criptografia, explicaremos em breves termos o so: computadores, bits, bytes, informao digital, arquivo digital, algoritmo, programas, rede, criptografia.

1.1. O que so computadores

Computadores so mquinas capazes de processar dados e gerar informaes. Dados so unidades de informao que por si ss no so capazes de produzir significao, por exemplo o dado 23 anos no tem em si qualquer significado isolado,mas quando reunido a vrias outros dados relacionados idade de um grupo de estudantes, por exemplo, pode gerar depois um processamento, uma informao significativa como 23 anos a idade mdia dos alunos do curso de Licenciatura em Informtica da UEA . Os so mquinas escravas, ou seja, s realizam alguma coisa sob demanda ordem dada pelo operador do sistema. Os computadores recebem os dados atravs das interfaces de entrada como o teclado, o mouse ou um scanner, e mostram o resultado do processamento atravs das interfaces de sada, como monitor, caixa de som ou impressora.

1.2. O que so bits

Bits so as menores unidades de informao. Se comparados ao alfabeto humano, um bit equivale a uma letra. O alfabeto usado por ns, no Brasil, possui 26 letras e com elas formamos todas as palavras. O alfabeto do computador, ou seja o bit, s possui dois elementos, 0 e 1. esta representao puramente didtica, j que o que o computador entende , na verdade, so os dois estados de variao da corrente eltrica. Se a voltagem entre 0 e 2,5 volts, o computador interpreta como um tipo de bit, se a corrente tem entre 5,5 e 7,5 o computador a interpreta como outro tipo de bit.

1.3. O que so bytes

Bytes so conjuntos de oito bits que constituem as palavras da linguagem do computador. Cada byte formado por um grupo de oito bits. Como cada bit pode representar dois estados, zero ou um, cada byte pode representar 256 informaes diferentes.

1.4. O que so Informaes Digitais

Toda informao que seja representada na forma de bits, esteja ela num Hard Disk, num Disquete, CD ou em ondas hertzianas. Uma informao digital pode ser uma imagem, um som, um vdeo, um texto e diversos outros tipos, desde que possa ser representada por meio de bits.

1.5. O que so arquivos digitais

So as formas escolhidas para o computador guardar informaes digitais. Um arquivo digital uma informao digital com incio e fim, e um nome nico que o diferencie das demais informaes digitais. Assim como um livro numa biblioteca poder ser encontrado se soubermos seu nome e ele for nico, um arquivo digital poder ser facilmente encontrado se tiver um nome nico que o diferencie. Os arquivos digitais podem conter qualquer tipo de informao digital.

1.6. O que so programas

Programas de computador os softwares so conjuntos de comandos que indicam qual ao deve ser tomada pelo computador para processar um conjunto de dados. O programa em si nada faz, ele apenas indica como o computador deve proceder em relao aos imputs (dados de entrada) inseridos pelo operador do sistema. Os programas so identificados, geralmente, pela extenso .exe que indica tratar-se de um arquivo executvel. Um programa pode ser organizado utilizando uma hierarquia de comando, ou seja, um programa ordena a execuo de outro que ordena a execuo de outro e assim por diante. Isso acontece frequentemente quando usamos um computador. Por exemplo, quando utilizamos um programa editor de texto como o Word ele pode ordenar a execuo de outro programa para a construo de uma tabela,por exemplo.

1.7. O que so algoritmos

Algoritmos e programas so termos utilizados frequentemente como sinnimos apesar de haver uma diferena. O Algoritmo pode ser definido como o conjunto de aes que devem ser realizadas para se conseguir um determinado objetivo. Por exemplo, uma receita de bolo um algoritmo para conseguir um bolo. Um algoritmo computacional um conjunto de comandos para se processar dados, a diferena entre algoritmo computacional e programa que enquanto o primeiro um conjunto de comandos apenas, o segundo a implementao de comandos, ou seja, a idia do algoritmo materializada em uma forma que pode ser compreendida pelo computador.

1.8. O que so redes de computadores

As redes de computadores so como uma rede de estradas. Porm, enquanto as estradas interligam cidades e pases, as redes interligam computadores. Entretanto, para que a comunicao entre computadores ocorra necessrio que haja alguma forma de ligao entre eles (cabos, wirelles etc) e que ambos utilizem o mesmo protocolo. 6

Os protocolos so como lnguas, se um computador no utilizar o mesmo protocolo que outro no haver comunicao entre eles. Assim como para ir casa de um amigo que mora em outra cidade precisamos saber em que cidade ele mora, seu endereo dentro da cidade e que rota utilizar, para que uma informao saia de um computador e chegue a outro computador, necessrio que o computador de destino tenha um endereo conhecido na rede, e que se estabelea uma rota para que esta informao chegue ao seu destino. As redes possuem diversos nveis, chamados Camadas, algumas camada demandam um protocolo, uma linguagem prpria. Neste trabalho destacaremos apenas duas camadas. A camada de rede e a camada de aplicao. Os protocolos da camada de redes dizem respeito a como uma informao sai de um computador, rota que seguem e como chegam a outro computador. O protocolo de camada de rede mais comum o TCP/IP. O protocolo de camada de aplicao diz respeito a como o computador deve tratar uma informao, o mais conhecido dos protocolos de aplicao em redes de computadores o http, protocolo usado pelas pginas da web.

1.9. O que criptografia

A criptografia uma rea de estudo da matemtica que busca formas de codificar mensagens para, principalmente, garantir-lhes sigilo. A criptografia utilizada no mbito militar desde os tempos da Roma antiga. Com a advento do uso civil das redes de computadores e a utilizao dos meios eletrnicos para a realizao de um sem nmero de atividades de cunho comercial, a criptografia passou a ser amplamente estudada e aplicada no mbito das transaes financeiras em meio eletrnico. A criptografia serve principalmente para 4 finalidades: Sigilo uma mensagem criptografada ser indecifrvel para qualquer um que no disponha das informaes para decodificar uma mensagem. Integridade a criptografia pode ser utilizada para verificar se uma mensagem no sofreu alteraes entre a emisso e recepo. Neste caso, observamos que o contedo da mensagem pode vir a ser conhecido por terceiros, mas no lograr nenhum sucesso se houver qualquer alterao acidental ou proposital. Autenticao o processo de autenticao consiste em confirmar se uma pessoa realmente foi autora de uma mensagem. Quando realizamos uma operao comercial usando um cheque ou carto de crdito o caixa do estabelecimento costuma pedir um documento de identidade e confrontar a assinatura do documento com a assinatura realizada no cheque ou comprovante do carto. Numa transao online, entretanto, no possvel este contato, tornando invivel esta forma de controle. O termo autenticao refere-se confirmao da identidade de algum, como quando um caixa de supermercado confere a foto de um documento de identidade e se d por satisfeito, sem gerar uma prova da transao em curso. Certificao - O termo certificao muitas vezes utilizado como sinnimo de autenticao, entretanto, vamos diferenci-lo aqui. O processo de certificao consiste em gerar um documento para prova da transao realizada, um certificado. Genericamente, um certificado um documento que expressa algo e assinado por algum que comprova o que est descrito no certificado. Da mesma forma, na certificao eletrnica, um certificado digital dever receber uma assinatura, esta, porm, ser digital.

2. Criptografia

2.1. Algoritmo Criptogrfico

O algoritmo criptogrfico um algoritmo que implementa funes de criptografia com vistas a obter sigilo, integridade, autenticao ou certificao.

2.2. Cifra

Chama-se cifra a um algoritmo criptogrfico usado para garantir sigilo das informaes. O princpio bsico da cifra consiste em codificar informaes atravs de um mtodo e da utilizao de uma chave contendo as informaes do mtodo. Ou seja, a um mtodo de embaralhar as informaes de uma mensagem, associamos um segredo que determina a forma como as informaes foram armazenadas e, portanto, como podem ser decodificadas. Ao mtodo de embaralhamento d-se o nome de cifra e ao segredo para cifrar/decifrar chamamos de chave.

2.3. Cifra Simtrica

Chamamos de cifra simtrica ao algoritmo criptogrfico que contm apenas uma chave para cifrar e para decifrar uma mensagem.

2.4. Cifra Assimtrica

Assimtrica toda cifra na qual a chave usada para cifrar diferente da chave usada para decifrar uma mensagem. Tambm se chama, ao algoritmo assimtrico, de par Chave Pblica/Chave Privada. Isso porque uma das chaves tornada pblica enquanto a outra mantida em segredo. H, porm uma diferena entre as duas denominaes: as chaves assimtricas so inversveis, ou seja, a chave usada para cifrar uma informao o inverso da chave usada para decifrar. Todo par de chaves pblico/privada assimtrico, mas a recproca no verdadeira. Para que uma das chaves do par seja tornado pblico necessrio haver a garantia de que no possvel descobrir a chave inversa, ou seja, a chave privada de algum. O algoritmo de chave pblico/privada mais utilizado hoje em dia o RSA que realiza exponenciaes com nmeros muito grandes em um anel finito. Exemplo: Chave pblica: par (e, n) onde e o expoente pblico e n o mdulo que define o tamanho do anel. Chave privada: par (d, n) onde d o expoente privado e n o mdulo que define o tamanho do anel. A operao RSA descrita da seguinte forma: Cifragem: c = me mod n Decifragem: m = cd mod n
Fonte: Princpios de Assinatura Digital E-SEC Tecnologia em Segurana de Dados, 2001.

2.5. Funes Unidirecionais ou HASH

So funes cuja caracterstica gerar um texto ininteligvel de tamanho fixo, no importando o tamanho do texto original. Alm dessa caracterstica importante ressaltar sobre as funes HSH que seu resultado no pode ser revertido. As funes unidirecionais so fceis de implementar, mas difceis de serem invertidas. Por exemplo, se crissemos um algoritmo que nos retornasse o resto da diviso de qualquer nmero por 5 teramos valores que poderiam variar de 0 a 4, mas no seria possvel definir qual numero foi dividido, pois infinitos nmeros poderiam deixar como resto de uma diviso por 5 um valor entre 0 e 4. quando isso ocorre dizemos que h uma coliso, ou seja, duas ou mais informaes dariam a mesma resposta no permitindo ter certeza sobre qual informao originou o resultado. Um algoritmo unilateral, entretanto, aquele pensado para diminuir ao mximo os casos de coliso. As funes HASH so utilizadas, principalmente para garantir a integridade das mensagens, no o seu sigilo. O processo assim realizado:

Obtm-se mensagem M Obtm resultado do hash D onde D = h(M) Envia/Armazena M e D O processo de verificao de integridade o seguinte: Obtm-se M e D Calcula novamente o hash da mensagem D onde D = h(M) Compara-se D com D para ver se so iguais Se D e D so iguais ento a mensagem est ntegra, caso contrrio no.
Fonte: Princpios de Assinatura Digital E-SEC Tecnologia em Segurana de Dados, 2001.

3. Assinatura Digital O processo de assinatura digital utiliza os princpios esclarecidos nos tpicos anteriores. Os mecanismos de cifragem de chave pblica e privada e as funes HASH. Numa assinatura convencional um sinal grfico pessoal adicionado a um suporte material, na maioria das vezes papel. A digitalizao de uma assinatura, entretanto, no teria o mesmo valor, portanto, foi necessrio desenvolver um mecanismo de igual valor que pudesse ser usado nas transaes eletrnicas. A assinatura digital nada mais que um cdigo gerado com a chave privada de algum que garante a autoria da informao j que o segredo da chave privada de algum deve permanecer em segredo sendo apenas do conhecimento do proprietrio da chave privada. Num documento com assinatura digital ocorre o seguinte: um documento possui uma informao associada qual gerado um cdigo, este cdigo s pode ser gerado pela chave privada de uma pessoa sendo impossvel reproduzir o mesmo resultado sem ter acesso chave privada de algum. Para decifrar a mensagem basta utilizar a chave pblica da referida pessoa (par nico da chave privada da pessoa em questo). Neste processo, se pode confirmar a autoria da mensagem. J que ela foi gerada com a chave privada de algum. Para receber uma 9

mensagem criptografada de forma sigilosa, necessrio que a mensagem tenha sido cifrada utilizando a chave pblica de algum, esta utilizao vai cifrar a mensagem de tal forma que s o possuidor da chave privada par nico da chave pblica utilizada para cifrar a mensagem - poder decifr-la. A figura abaixo descreve as etapas de um processo de Assinatura Digital utilizando os mtodos de cifragem HASH e de chaves privada e pblica.

As figuras abaixo descrevem o processo de recebimento de uma mensagem criptografada, onde a criptografia teve por objetivo garantir o sigilo da mensagem.

Passo 1: Alice entrega sua chave pblica para Jose.

10

Passo 2: Jos usa a chave pblica de Alice para cifrar uma mensagem, esta mensagem s poder ser decifrada pela Chave Privada correspondente, ou seja, a chave de Alice.

Os sites que se utilizam do processo de criptografia para garantir o sigilo de suas informaes, como bancos e lojas virtuais, utilizam este procedimento, ou seja, enviam ao usurio sua chave privada quando este acessa o site e criptografa utilizando a chave pblica a mensagem enviada pelo usurio. O sigilo das informaes est garantido devido ao fato de somente o banco possuir a chave privada capaz de decifrar as mensagens cifradas com o uso de sua chave pblica. Estes sites utilizam o protocolo de aplicao SSL (Secure Socket Layer) que representado no incio do endereo dos sites como HTTPS, ao invs do clssico HTTP do protocolo de internet.

A chave pblica pode ser entregue a qualquer pessoa, mas a chave privada deve ser mantida em sigilo. O processo de assinatura digital ocorre da seguinte forma: Assinatura: Obtm-se a mensagem M e a chave privada (d, n) do assinante; Obtm-se a assinatura da mensagem A = h(M)d mod n; Envia-se a mensagem M e a assinatura A; Reconhecimento da Assinatura: Obtm-se a mensagem M, a assinatura A e a chave pblica (e, n); Obtm-se o hash da mensagem h(M ) decriptando-se A com a chave pblica h(M ) = Ae 11

mod n; Compara-se o hash da mensagem original h(M) com a mensagem decriptada h(M ). Se os dois hashs so iguais ento a assinatura est correta.
Fonte: Princpios de Assinatura Digital E-SEC Tecnologia em Segurana de Dados, 2001

3.1 Certificado Digital

Um dos problemas do mecanismo de chave pblico/privada o fato de que uma chave pblica deve ser entregue outra parte envolvida na troca de informaes. Numa rede pequena, como numa empresa, os funcionrios podem trocar pessoalmente suas chaves pblicas, mas isto se torna invivel quando pensamos em escala global. Um executivo nos E.U.A. no teria como entregar fisicamente sua chave pblica a um executivo no Japo em tempo hbil. Dessa forma foi preciso encontrar uma sada para agilizar este processo, a sada encontrada foi o processo de Delegao de Confiana , ou seja, uma pessoa A, que no conhece outra pessoa B com a qual vai negociar, aceita o negcio porque a pessoa B est certificada por um terceiro em quem a pessoa A confia. Este terceiro uma entidade conhecida como Autoridade Certificadora (AC). Esta instituio funciona como um cartrio virtual emitindo certificados. Assim, precisamos ter armazenadas centenas de chaves pblicas, basta recebermos o certificado da AC. Qual a vantagem desse processo? A Autoridade Certificadora fica incumbida de receber a chave pblica e de emitir o certificado, a outra parte envolvida apenas recebe o certificado da AC que contm os dados sobre a pessoa com a qual est-se realizando a transao.

3.2. Segurana de chave privada

O certificado garante a segurana da chave pblica de algum, mas a segurana da chave privada precisa de mais garantias. Uma das opes para manter a segurana da chave privada seria guard-la numa mdia como um disquete dentro de um cofre para impedir que algum se apossasse da chave privada e a utilizasse para operaes no autorizadas. Este processo, porm muito burocrtico. Mais interessante seria cifrar a chave com uma senha que s permitiria o acesso ao proprietrio. O inconveniente deste mtodo que algum poderia fazer mltiplas tentativas de encontrar a senha, principalmente se ela for fraca. Uma soluo moderna bastante utilizada a utilizao de cartes inteligentes, os smart-cards, que possuem um chip interno com mecanismos anti-invaso. Estes cartes possuem um chip interno onde podem ser gravados os programas que geram as chaves pblicas e privadas e protegem a chave privada. Dessa forma, o usurio no tem acesso ao carto, apenas solicita que o programa realize uma ao quando apresenta a senha ou biometria necessria liberao do carto.

12

4. Referncias:

E-SEC Tecnologia em Segurana de Dados, Braslia, 2001. Online, disponvel em: http://www.digitrust.com.br/AssinaturaDigital.doc Consultado em 29/03/08. Criptografia de chave pblica. Wikipdia. Disponvel em: http://pt.wikipedia.org/wiki/Assinatura_digital Consultado em 28/03/08. Assinatura Digital. Wikipdia. Disponvel em: http://pt.wikipedia.org/wiki/Assinatura_digital Consultado em 26/03/2008. Certificados Eletrnicos e Assinaturas Digitais. OAB-SP. Disponvel em: http://cert.oabsp.org.br/info01.html Consultado em 29/03/08. Cartilha de Segurana para Internet. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil. Disponvel em: http://cartilha.cert.br/conceitos/sec8.html Consultado em 28/03/08.

13

This document was created with Win2PDF available at http://www.daneprairie.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only.