Processos de Comunicação Segura e Certificados Digitais

Comunicação Segura: Processos e Garantias

Explica como funciona o processo de comunicação segura, identificando claramente onde a integridade, autenticidade e confidencialidade são garantidas e apresentando no mínimo o processo de geração de chaves assimétricas e dos certificados, o processo de troca de chave assimétrica e o processo de troca de mensagens com segurança.

O processo de comunicação segura funciona da seguinte maneira:

1. Geração de pares de chaves assimétricas (privada e pública) do usuário remetente;
2. Solicitação do certificado de acordo com chaves geradas para a AC (Autoridade Certificadora);
3. Geração do certificado pela AC se dados estiverem ok;
4. Envio da mensagem:
   1. Geração do message digest a partir do texto limpo (texto original), a fim de garantir a integridade da mensagem;
   2. Geração da assinatura digital através da assinatura do Digest com a chave privada;
   3. Criptografia da mensagem original com a assinatura digital e seu certificado digital;
   4. Criação do envelope digital que contém o certificado do emissor e a chave simétrica;
   5. Envio da mensagem criptografada, juntamente com o envelope digital.
5. Recebimento da mensagem:
   1. Abertura do envelope digital utilizando sua chave privada (do receptor);
   2. Descriptografia da mensagem com a chave simétrica que estava no envelope e obtenção do texto plano (original), o certificado e a assinatura;
   3. Verificação da validade do certificado;
   4. Obtenção do digest da mensagem original descriptografando a assinatura com a chave pública do emissor;
   5. Recálculo do digest, gerando o digest atual;
   6. Comparação dos digests (atual com o digest da mensagem original). Se forem iguais, a comunicação foi feita de maneira segura e com confidencialidade.

Validação de Certificados Digitais e Garantias

Explica como funcionam as etapas do processo de validação de um certificado digital. Após a validação bem-sucedida de um certificado digital, sua garantia de integridade e autenticidade pode ser garantida em 100%? Justifique sua resposta.

1. Verificação de autenticidade: Validação da assinatura com a chave pública; Geração do digest atual e comparação com o digest do certificado.
2. Verificação de validade: Pois fora da validade a segurança não é mais garantida pela CA.
3. Lista de Certificados Revogados (LCR): Verificar se o certificado não está na lista de certificados revogados, pois alguém pode ter tido a chave privada do certificado comprometida e torná-lo inseguro. Essa consulta pode ser feita online se o certificado aceitar OCSP ou pode ser feito o download da lista direto do site da CA.
4. Verificação do nome (subject name): Para saber se o endereço que estamos usando corresponde mesmo ao de quem enviou.

Ainda assim, a segurança não está garantida 100%, pois o usuário remetente pode ter tido o descuidado de salvar sua chave privada no disco rígido de um computador compartilhado, possibilitando que outros usuários se passem por ele sem que ele saiba. Ou seja, o certificado não estaria na lista de certificados revogados e a validação do certificado teria sido satisfeita, mesmo estando comprometida.

Razões para Aceitação do Risco em Segurança

Que razões podem contribuir para a aceitação do risco?

• O ambiente pode dificultar a identificação do risco;
• O tipo de risco pode ser diferente dos riscos identificados anteriormente;
• O risco pode ser técnico e exigir um nível de conhecimento que uma pessoa não especializada pode não ter.

Categorias de Classificação da Informação

Quais as três categorias típicas para classificação da informação? Como são caracterizadas?

• Confidencial: Caso exposta, viola a privacidade de indivíduos, reduz a vantagem competitiva da empresa ou causa danos a ela.
• Restrita: Informação destinada ao uso de funcionários na condução dos negócios da empresa.
• Pública: Informação que foi disponibilizada para distribuição pública através de canais da empresa devidamente autorizados, que não requer proteção.