Segurança em Sistemas de Comércio

Eletrônico
Bruno Colla
Eduardo F. B. da Silva
Thiago Gaspareto
Roteiro
 Introdução
 Análise de Vulnerabilidades
 Criptografia
 Criptografia Simétrica
 DES
 AES
 Criptografia Assimétrica
 Certificado Digital
 Assinatura Digital
 Função Hash
 MD5
 SHA-2
 Conclusão
 Referências
Introdução
Pré-requisito:
Política Interna de Segurança

Necessário garantir
Confidencialidade
Integridade
Disponibilidade
Análise de Vulnerabilidades
 Sistemas de comércio eletrônico possuem dois processos
importantes:
O ato do pagamento
O resguardo de informações

 Em relação a infraestrutura é necessário garantir que o

serviço esteja disponível 24x7
Análise de Vulnerabilidades
 No caso dos dados as principais vulnerabilidades estão:
 No trânsito das informações entre o cliente e o servidor e;
 No armazenamento dos dados do pagamento no servidor de
comércio eletrônico.

 Em relação a infraestrutura, a palavra é redundância.

Várias conexões com a Internet.
Servidores Web, Banco de Dados.
Sistemas de Backup.
Análise de Vulnerabilidades
Outra vulnerabilidade pouco conhecida:
Sabotagem ou ataque de usuários autorizados

Como por exemplo um empregado ou parceiro de

negócios

Nesse caso é necessário ter uma Política de Segurança

da Informação que evite abusos, identifique e corrija
esse tipo de ação.
Criptografia
Os serviços de segurança devem possuir:
Confidencialidade
Autenticação da Origem
Integridade
Não-retratação
Criptografia
Confidencialidade
Confiança de que a mensagem possa ser lida apenas pelo
receptor desejado

Autenticação da Origem
Garantia sobre quem originou a mensagem
Criptografia
Integridade
Confiança de que a mensagem não tenha sido
modificada desde o momento da criação

Não-retratação
Quem originou a mensagem não pode negar te-lo feito.
Criptografia
Um documento ou mensagem cifrada é
computacionalmente seguro se:

O custo para quebrar o texto cifrado excede o valor da

informação cifrada e;
O tempo requerido para quebrar o texto cifrado excede a
vida útil da informação.
Criptografia
Criptografia é o ato de codificar dados em informações
aparentemente sem sentido.
 Apenas quem possuir o algoritmo de encriptação e a
chave secreta poderá fazer a decifragem.
 Encriptação por substituição - neste método, cada
letra ou grupo de letras é substituído por outra letra ou
conjunto de letras.
 Texto original :a b c d e f g h i j k l m n o p q r s t u v w x y
z
 Texto encriptado: Q W E R T Y U I O P A S D F G H J K L
ZXCVBNM
Criptografia
 Encriptação por transposição - diferentemente do
método da substituição, as letras são reordenadas mas
não são "disfarçadas".

 Criptografia de chave única e algoritmos - Também

designada de encriptação tradicional ou encriptação
simétrica, utiliza a mesma chave tanto para a
codificação como para a decodificação.
Criptografia Simétrica
 Consiste em criptografar informações com uma senha
(chave) e um algoritmo.

 Para descriptografar, o receptor precisa da mesma senha e

do mesmo algoritmo.

 Portanto é necessário que o transmissor e receptor tenham

acordado com relação a chave a ser utilizada, utilizando
algum meio seguro para trocarem a chave.
Criptografia Simétrica

Vantagens:
Relativamente segura
Amplamente Utilizada
Rápida

Desvantagens:
Requer o compartilhamento da chave secreta
Chaves devem ser guardadas com segurança
Criptografia Simétrica
Criptografia Simétrica
 A criptografia de chave única tem um problema muito
expressivo.
 Como se distribuir a chave de uma forma segura?
 Não pode ser enviada com a mensagem, se esta é
interceptada a mesma pode ser usada para decifrá-la.
Criptografia Simétrica
DES (Data Encryption Standart)
Criado pela IBM em 1977
Tamanho de chave: 56 bits
Quebrado por força bruta em 1997

AES (Advanced Encryption Standart)

Sucessor do DES
Adotado pelo Governo dos Estados Unidos.
Tamanho de chave: 128, 192 ou 256 bits.
Criptografia Assimétrica
É como uma caixa com uma fechadura que aceita duas
chaves diferentes:

Uma serve para trancar a caixa e;

Outra serve para abrir a caixa.
Criptografia Assimétrica
Qualquer um que tiver uma cópia da chave que
tranca a caixa (chave pública) pode colocar
segredos nela.

Somente quem possuir a chave que abre a caixa

(chave privada), poderá ver os segredos da caixa.
Criptografia Assimétrica
Portanto são duas chaves diferentes, uma chave
pública e uma chave privada.

Essa é a diferença entre a Criptografia Assimétrica e

Simétrica.
Criptografia Assimétrica
 A Criptografia Assimétrica também é usada para transmitir
a chave da Criptografia Simétrica.

 O originador gera uma chave simétrica e esta mesma é

cifrada usando a chave pública do receptor.

 Só poderá decifrar a pessoa que possuir a chave privada do

receptor.

 Um dos exemplos é o SSL (Secure Sockets Layer)

Criptografia Assimétrica
O algoritmo mais conhecido é o RSA (Rivest, Shamir,
Adleman).

Até a data é a implementação mais bem sucedida de

criptografia assimétrica e utiliza números primos e
teoria clássica dos números.
Certificado Digital
 Como garantir que a chave pública divulgada, realmente
pertence aquela pessoa ou entidade?

 O Certificado Digital é um documento eletrônico assinado

digitalmente por uma Autoridade Certificadora e que
contém diversos dados sobre o emissor e seu titular.
Certificado Digital
A função do Certificado Digital é vincular uma pessoa
ou entidade a uma chave pública.

Validade para usuários finais de 1 a 3 anos.

Validade para AC de 3 a 20 anos.
Certificado Digital
Os dados contidos no Certificado Digital são:
Nome da pessoa ou entidade
Endereço
Chave pública
Validade
Número de série
Nome da Autoridade Certificadora
Assinatura Digital da Autoridade Certificadora
Certificado Digital
Assinatura Digital
Permite dar garantia de integridade e autenticidade a
arquivos eletrônicos.

Numa Assinatura Digital, utiliza-se o Certificado

Digital e a chave privada para identificar uma pessoa
ou entidade.
Assinatura Digital
Aplica-se uma função Hash ao arquivo ou
mensagem.

Com isso garante-se a integridade do arquivo

O hash é criptografado com a chave privada do

signatário
Assinatura Digital
Ao criptografar com a chave privada o signatário está
garantindo a sua autoria através da chave utilizada

Por fim o Certificado Digital do signatário é anexado

ao documento para que o recebedor possa autenticar o
arquivo através da chave pública presente no
certificado.
Assinatura Digital
 O recebedor analisa o Certificado Digital do signatário

 Decriptografa o hash com o uso da chave pública presente

no certificado

 Aplica o hash no arquivo recebido

 Compara o hash descriptografado com o hash calculado

Assinatura Digital
Função Hash
Também denominada Message Digest

A partir de uma entrada de tamanho variável, gera uma

saída de tamanho fixo

Também conhecida como impressão digital de uma

mensagem
Função Hash
MD5
Criada por Ron Rivest.
Inicialmente proposto em 1991.
Produz uma palavra de 128 bits.
Seus detalhes são públicos.
SHA-2
Conjunto de funções Hash
Desenvolvido pela NSA
Publicadas em 2001
Conclusão
Como o sistema lida com negociação de valores, é
necessário assegurar a integridade e principalmente a
confidencialidade das informações críticas para o
negócio.

As melhores formas para assegurar que os dados não

sejam obtidos de forma indevida é a utilização de
ferramentas de criptografia
Referências
 Brasil, J. R. (2000) “Comércio Eletrônico – Vendas e Segurança na Internet”, Brasil, obtido em:
http://computacao.unitri.edu.br/downloads/monografia/48761143224807.pdf acesso: 04/11/2010

 Paoliello, C. de M. e Furtado, A. L. (2004) “Sistemas de Informação para Comércio Eletrônico”, Rio

de Janeiro, Brasil, obtido em: http://www.dbd.pucrio.br/depto_informatica/04_27_paoliello.pdf
acesso: 04/11/2010

 Moreira, A. (2002) “Criptografia”, Portugal, obtido em:

http://www.dei.isep.ipp.pt/~andre/documentos/criptografia.html acesso em: 04/11/2010

 Venda, P. (2003) “Segurança em redes de computadores”, obtido em:

http://www.pjvenda.net/papers/acrypto/public-key-security-presentation.pdf acesso em: 04/11/2010

 Conselho da Justiça Federal, “O que é Assinatura Digital” obtido em:

http://www.jf.jus.br/cjf/tecnologia-da-informacao/identidade-digital/o-que-eassinatura-digital acesso
em: 04/11/2010
Obrigado