Segurança em TI - Conceitos

Conceitos relativos à informação:

1. Confidenciabilidade: garantia de que a informação não será lida por uma pessoa não autorizada;
   


2. Integridade: garantia de que a informação não será corrompida (modificada por meio não autorizados) quando estiver disponível em uma rede;
   


3. Indisponibilidade: garantia de que a informação não será apagada ou tornar-se-á inacessível.
   
   

Conceitos relativos aos usuários da informação:
(autenticação, autorização e não-repúdio)

1. Autenticação: processo de provar que o usuário é quem ele afirma ser. O processo de provar pode envolver alguma coisa que somente o usuário real saiba (tal como uma senha), alguma coisa que o usuário tenha (tal como um Cartão Cidadão, um cartão inteligente [smartcard] etc.), ou alguma coisa acerca do usuário que prove ser ele o autor.
   



2. Autorização: ato de determinar se um usuário particular (ou sistema de computador) tem o direito de realizar uma certa atividade, como ler um arquivo, ou executar um programa. Autenticação e autorização são funções que andam em par, isto é, para ver se vai se autorizar a ação é preciso primeiro saber com certeza quem é o indivíduo. Assim, os usuários precisam ser autenticados antes de autorizar a realização de uma atividade qualquer num ambiente de sistemas.
   



3. Não repúdio: O processo de segurança é forte quando o meio de autenticação não pode ser refutado posteriormente, isto é, o usuário não pode mais tarde negar que ele ou ela realizou a atividade. Isso é conhecido como não-repúdio.
   

Criptografia , Chaves , Assinatura Digital

• Criptografia: técnica para escrever em códigos, de forma que apenas o destinatário decifre e compreenda a mensagem. Criptografia transforma um texto compreensível, denominado texto original em uma informação codificada, chamada de texto cifrado, que tem a aparência de um texto gerado aleatoriamente incompreensível.
  



• Chave: programa utilizado para cifrar ou decifrar uma mensagem.
  



• Chave simétrica: usuários utilizam a mesma chave tanto para a cifragemcomo para a decifragem.
  



• Chave assimétrica (chave pública e privada): usuários utilizam chaves diferentes para cifrar e de cifrar os dados. Cada usuário tem duas chaves: uma chave pública que pode ser divulgada e outra privada que deve ser mantida em segredo. Mensagens cifradas com a chave pública só podem ser decifradas com a chave secreta e vice versa. Computacionalmente intensiva, sendo necessário muito tempo para criptografar pequenos textos.
  



• Assinatura Digital - Recurso que permite comprovar o remetente de uma mensagem. Para isso basta inverter o processo de chave assimétrica: o usuário criptografa a mensagem com sua própria chave privada e envia ao destinatário. Para decriptografardeve-se usar a chave pública do remetente. Qualquer usuário pode ler a mensagem, mas tem-se a certeza de quem é o remetente (pois somente ele conhece sua chave privada). Inclui as propriedades de autenticidade, integridade e não-repúdio.
  Um documento assinado digitalmente pode ser lido por qualquer pessoa, ou seja, não é sigiloso - não tem a confidenciabilidade garantida.



• Hash - Uma forma de garantir a integridade da informação enviada é fazer uma espécie de impressão digital da mensagem: criar para a mensagem um valor Hash, que corresponda a um número único, para identificá-la. Para cada mensagem pode-se ter um número diferente que a identifica, este número (valor hash) permanece inalterado se a mensagem se tornar íntegra, porém, se a mensagem for alterada, o valor hash também o será e com isso será possível identificar se a mensagem sofreu modificações.

(Slides do Prof. Mauricio -Mau 4x4-)