À medida que o mundo se torna cada vez mais digital, a necessidade de segurança tornou-se cada vez mais imperativa. É aí que entra a criptografia e suas aplicações à segurança cibernética.
Essencialmente, a palavra refere-se ao estudo de técnicas de comunicação seguras, mas a criptografia está intimamente associada à encriptação, ou ao ato de embaralhar texto comum no que é conhecido como texto cifrado – e depois novamente em texto comum (chamado texto simples) quando chega ao seu destino. Várias figuras históricas foram creditadas pela criação e uso da criptografia ao longo dos séculos, desde o historiador grego Políbio e o diplomata francês Blaise de Vigenère até o imperador romano Júlio César – a quem se atribui o uso de uma das primeiras cifras modernas – e Arthur Scherbius, que criou a máquina de decifrar códigos Enigma durante a Segunda Guerra Mundial. Provavelmente, nenhum deles reconheceria as cifras do século XXI Mas exatamente o que é criptografia? E, como isso funciona?
Definição de criptografia
A criptografia é a técnica de ofuscar ou codificar dados, garantindo que apenas a pessoa que deve ver a informação – e que tem a chave para decifrar o código – possa lê-la. A palavra é um híbrido de duas palavras gregas: "kryptós", que significa oculto, e "graphein", que significa escrever. Literalmente, a palavra criptografia se traduz em escrita oculta, mas, na realidade, a prática envolve a transmissão segura de informações.
O uso da criptografia remonta aos antigos egípcios e ao uso criativo de hieróglifos. Mas a arte da codificação tem registrado grandes avanços ao longo dos milênios, e a criptografia moderna combina tecnologia computacional avançada, engenharia e matemática – entre outras disciplinas – para criar algoritmos e cifras altamente sofisticados e seguros para proteger dados confidenciais na era digital.
Por exemplo, a criptografia é usada para criar vários tipos de protocolos de criptografia que são usados regularmente para proteger dados. Isso inclui criptografia de 128 ou 256 bits, Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Esses protocolos de criptografia protegem todos os tipos de informações e dados digitais, desde senhas e e-mails até comércio eletrônico e transações bancárias.
Existem diferentes tipos criptográficos, que são úteis para diferentes propósitos. Por exemplo, a mais simples é a criptografia de chaves simétricas. Aqui, os dados são criptografados usando uma chave secreta e, em seguida, tanto a mensagem codificada quanto a chave secreta são enviadas ao destinatário para descriptografia. Claro, o problema aqui é que se a mensagem for interceptada, terceiros podem facilmente decodificar a mensagem e roubar as informações.
Para criar um sistema de codificação mais seguro, os criptologistas desenvolveram a criptografia assimétrica, que às vezes é conhecida como sistema de "chave pública". Nesse caso, todos os usuários possuem duas chaves: uma pública e uma privada. Ao criar uma mensagem codificada, o remetente solicitará a chave pública do destinatário para codificar a mensagem. Dessa forma, apenas a chave privada do destinatário pretendido irá decodificá-la. Dessa forma, mesmo que a mensagem seja interceptada, terceiros não poderão decodificá-la.
Por que criptografia é importante?
Criptografia é uma ferramenta de segurança cibernética essencial. A sua utilização significa que os dados e os usuários têm uma camada adicional de segurança que garante a privacidade e a confidencialidade e ajuda a evitar que os dados sejam roubados por criminosos cibernéticos. Na prática, criptografia tem muitas aplicações:
- Confidencialidade: somente o destinatário pretendido pode acessar e ler as informações, portanto as conversas e os dados permanecem privados.
- Integridade dos dados: a criptografia garante que os dados codificados não possam ser modificados ou adulterados no trajeto do remetente ao destinatário sem deixar marcas rastreáveis – um exemplo disso são as assinaturas digitais.
- Autenticação: identidades e destinos (ou origens) são verificados.
- Não repúdio: os remetentes tornam-se responsáveis pelas suas mensagens, uma vez que não podem negar posteriormente que a mensagem foi transmitida – assinaturas digitais e rastreamento de e-mails são exemplos disso.
O que é criptografia em segurança cibernética?
O interesse pelo uso de criptografia cresceu com o desenvolvimento dos computadores e suas conexões em rede aberta. Com o tempo, tornou-se óbvio que havia a necessidade de proteger as informações contra interceptação ou manipulação durante a transmissão por esta rede. A IBM foi pioneira neste campo, lançando sua criptografia "Lucifer" na década de 1960 – que eventualmente se tornou o primeiro padrão de criptografia de dados (DES, Data Encryption Standard).
À medida que as nossas vidas se tornam cada vez mais digitais, a necessidade de criptografia para proteger grandes quantidades de informações confidenciais tornou-se ainda mais imperativa. Agora, há muitas maneiras pelas quais criptografia é crucial no espaço online. Criptografia é uma parte essencial de estar online, já que muitos dados confidenciais são transmitidos todos os dias. Aqui estão algumas aplicações da vida real:
- Uso de redes privadas virtuais (VPNs) ou protocolos como SSL para navegar na Internet com segurança.
- Criação de controles de acesso limitados para que apenas indivíduos com as permissões corretas possam realizar determinadas ações ou funções, ou acessar determinadas coisas.
- Proteção de diferentes tipos de comunicação online, incluindo e-mails, credenciais de login e até mensagens de texto, como WhatsApp ou Signal, por meio de criptografia ponta a ponta.
- Proteção de usuários contra vários tipos de ataques cibernéticos, como ataques man-in-the-middle.
- Permissão para que as empresas cumpram requisitos legais, como as proteções de dados previstas no Regulamento Geral sobre a Proteção de Dados (RGPD).
- Criação e verificação de credenciais de login, especialmente senhas.
- Permissão para gerenciamento e transações seguras de criptomoedas.
- Habilitação de assinaturas digitais para assinar documentos e contratos online com segurança.
- Verificação de identidades ao fazer login em contas online.
Quais são os tipos de criptografia?
As definições de criptografia são, compreensivelmente, bastante amplas. Isso ocorre porque o termo abrange uma ampla gama de processos diferentes. Como tal, existem vários tipos diferentes de algoritmos criptográficos, cada um oferecendo níveis variados de segurança, dependendo do tipo de informação que está sendo transmitida. Abaixo estão os três principais tipos criptográficos:
- Criptografia de chaves simétricas: essa forma mais simples de criptografia leva o nome do fato de que tanto o remetente quanto o destinatário compartilham uma chave para criptografar e descriptografar informações. Alguns exemplos disso são Data Encryption Standard (DES) e Advanced Encryption Standard (AES). A principal dificuldade aqui é encontrar uma maneira de compartilhar a chave com segurança entre o remetente e o destinatário.
- Criptografia de chaves assimétricas: um tipo de criptografia mais seguro, envolve que o remetente e o destinatário tenham duas chaves: uma pública e outra privada. Durante o processo, o remetente usará a chave pública do destinatário para criptografar a mensagem, enquanto o destinatário usará sua chave privada para descriptografá-la. As duas chaves são diferentes e, como apenas o destinatário terá a chave privada, ele será o único capaz de ler a informação. O algoritmo RSA é a forma mais popular de criptografia assimétrica.
- Funções hash: são tipos de algoritmos criptográficos que não envolvem o uso de chaves. Em vez disso, um valor hash – um número de comprimento fixo que atua como um identificador de dados exclusivo – é criado com base no comprimento das informações de texto simples e usado para criptografar os dados. Isso é comumente usado por vários sistemas operacionais para proteger senhas, por exemplo.
Do exposto, fica claro que a principal diferença entre criptografia simétrica e assimétrica é que a primeira envolve apenas uma chave, enquanto a segunda requer duas.
Tipos de criptografias simétricas
A criptografia simétrica às vezes é chamada de criptografia de chave secreta porque uma única chave supostamente secreta é usada para criptografar e descriptografar informações. Existem várias formas desse tipo de criptografia, incluindo:
- Cifras de fluxo: funcionam em um único byte de dados por vez e alteram regularmente a chave de criptografia. Nesse processo, o fluxo de chaves pode estar em conjunto ou ser independente do fluxo de mensagens. Isso é chamado de autossincronização ou sincronismo, respectivamente.
- Cifras de bloco: esse tipo de criptografia – que inclui a cifra Feistel – codifica e decodifica um bloco de dados por vez.
Formas de criptografia de chaves assimétricas
A criptografia assimétrica – às vezes chamada de criptografia de chave pública – depende do fato de que o receptor tem duas chaves em jogo: uma pública e uma privada. A primeira é usada pelo remetente para codificar as informações, enquanto o destinatário usa a última – que só ele possui – para descriptografar a mensagem com segurança.
A criptografia de chaves assimétricas criptografa e descriptografa mensagens usando algoritmos. Elas são baseadas em vários princípios matemáticos, como multiplicação ou fatoração – multiplicar dois grandes números primos para gerar um número enorme e aleatório que é incrivelmente difícil de decifrar – ou exponenciação e logaritmos, que criam números excepcionalmente complexos que são quase impossíveis de decifrar, como na criptografia de 256 bits. Existem diferentes tipos de algoritmos de chaves assimétricas, como:
- RSA: o primeiro tipo de criptografia assimétrica a ser criada, RSA é a base de assinaturas digitais e trocas de chaves, entre outras coisas. O algoritmo é baseado no princípio da fatoração.
- Criptografia de curva elíptica (ECC): frequentemente encontrada em smartphones e em exchanges de criptomoedas, a ECC emprega a estrutura algébrica de curvas elípticas para construir algoritmos complexos. Significativamente, não requer muita memória de armazenamento ou largura de banda de uso, tornando-a especialmente útil para dispositivos eletrônicos com poder de computação limitado.
- Digital Signature Algorithm (DSA): criado com base nos princípios de exponenciações modulares, o DSA é o padrão ouro para verificação de assinaturas eletrônicas e foi criado pelo National Institute of Standards and Technologies.
- Identity-based Encryption (IBE): esse algoritmo exclusivo elimina a necessidade do destinatário da mensagem fornecer sua chave pública ao remetente. Em vez disso, um identificador exclusivo conhecido – como um endereço de e-mail – é usado pelo remetente para gerar uma chave pública para codificar a mensagem. Um servidor confiável de terceiros gera então uma chave privada correspondente que o destinatário pode acessar para descriptografar as informações.
Ataques de criptografia
Tal como acontece com a maioria das tecnologias, a criptografia tornou-se cada vez mais sofisticada. Mas isso não significa que essas criptografias não possam ser quebradas. Se as chaves forem comprometidas, é possível que uma parte externa decifre a codificação e leia os dados protegidos. Aqui estão alguns possíveis problemas a serem observados:
- Chaves fracas: chaves são uma coleção de números aleatórios usados com um algoritmo de criptografia para alterar e disfarçar dados para que sejam incompreensíveis para outras pessoas. Chaves mais longas envolvem mais números, tornando-as muito mais difíceis de serem quebradas – e, portanto, melhores para proteger os dados.
- Uso incorreto de chaves: as chaves precisam ser usadas corretamente – caso contrário, os hackers poderão facilmente quebrá-las para acessar os dados que deveriam proteger.
- Reutilização de chaves para diferentes fins: assim como as senhas, cada chave deve ser única – usar a mesma chave em diferentes sistemas enfraquece a capacidade da criptografia de proteger os dados.
- Não alterar chaves: as chaves criptográficas podem ficar desatualizadas rapidamente, por isso é importante atualizá-las regularmente para manter os dados seguros.
- Não armazenar as chaves com cuidado: certifique-se de que as chaves sejam mantidas em um local seguro, onde não possam ser facilmente encontradas, caso contrário, poderão ser roubadas e comprometer os dados que protegem.
- Ataques internos: chaves podem ser comprometidas por indivíduos que têm acesso legítimo a elas — como um funcionário — e para quem sejam vendidas para fins nefastos.
- Esquecer de fazer backup: chaves devem ter um backup porque, se falharem repentinamente, os dados que protegem podem ficar inacessíveis.
- Gravação incorreta de chaves: inserir manualmente as chaves em uma planilha ou anotá-las no papel pode parecer uma escolha lógica, mas também está sujeita a erros e roubos.
Há ataques de criptografia específicos criados para quebrar criptografias encontrando a chave certa. Aqui estão alguns comuns:
- Ataques de força bruta: ataques amplos que tentam adivinhar chaves privadas aleatoriamente usando o algoritmo conhecido.
- Ataques apenas de texto cifrado: esses ataques envolvem terceiros interceptando a mensagem criptografada – não o texto simples – e tentando descobrir a chave para descriptografar as informações e, posteriormente, o texto simples.
- Ataque de texto cifrado escolhido: o oposto de um ataque de texto simples escolhido, aqui o invasor analisa uma seção do texto cifrado em relação ao texto simples correspondente para descobrir a chave.
- Ataque de texto simples escolhido: aqui, o terceiro escolhe o texto simples para um texto cifrado correspondente para começar a elaborar a chave de criptografia.
- Ataque de texto simples conhecido: nesse caso, o invasor acessa aleatoriamente parte do texto simples e parte do texto cifrado e começa a descobrir a chave de criptografia. Isso é menos útil para a criptografia moderna, pois funciona melhor com cifras simples.
- Ataque de algoritmo: nesses ataques, o criminoso cibernético analisa o algoritmo para tentar descobrir a chave de criptografia.
É possível mitigar a ameaça de ataques de criptografia?
Existem algumas maneiras pelas quais indivíduos e organizações podem tentar diminuir a possibilidade de um ataque criptográfico. Essencialmente, isso envolve garantir o gerenciamento adequado das chaves, para que sejam menos propensas a serem interceptadas ou utilizadas por terceiros, mesmo que o sejam. Aqui vão algumas sugestões:
- Use uma chave para cada fim específico – por exemplo, use chaves exclusivas para autenticação e assinaturas digitais.
- Proteja chaves criptográficas com chaves de criptografia de chaves (KEKs).
- Use módulos de segurança de hardware para gerenciar e proteger chaves – eles funcionam como gerenciadores de senhas normais.
- Certifique-se de que as chaves e os algoritmos sejam atualizados regularmente.
- Criptografe todos os dados confidenciais.
- Crie chaves fortes e exclusivas para cada finalidade de criptografia.
- Armazene as chaves com segurança para que não possam ser facilmente acessadas por terceiros.
- Garantir a correta implementação do sistema criptográfico.
- Incluir criptografia no treinamento de conscientização de segurança para funcionários.
A necessidade de criptografia
A maioria das pessoas não precisará ter mais do que conhecimento básico sobre o que é criptografia. Mas aprender a definição de criptografia, como funciona o processo e suas aplicações à segurança cibernética pode ser útil para estar mais atento ao gerenciamento das interações digitais do dia a dia. Isso pode ajudar a maioria das pessoas a manter seus e-mails, senhas, compras online e transações bancárias online (todos os quais usam criptografia em seus recursos de segurança) mais seguros.
Artigos e links relacionados:
Noções básicas sobre detecção e resposta de endpoint
O que é segurança cibernética?
Produtos e serviços relacionados:
Kaspersky Endpoint Security Cloud