Please enable JavaScript.
Coggle requires JavaScript to display documents.
Segurança da Informação - 11/03 (Terminologias usadas na Lei de SI (Ativo,…
Segurança da Informação - 11/03
Definição: Preservação da
CIDA
Disponibilidade
Informação estar disponivel, acessivel
Confidencialidade
Garantir que apenas pessoas autorizadas tenham acesso à informação
Autenticidade
Provar que vc reamente é quem diz ser (Garantia de Identidade)
Refere-se a necessidade de se
verificar a legitimidade de uma comunicação
, de uma transação ou de um acesso a algum serviço
Integridade
Salvaguarda da Exatidao, Inteireza, Completeza (nao pode ter sido alterada)
Obs: Tbm sao principios que caem muito:
Não Repudio
Se vc fez algo, depois nao pode dizer que nao foi vc quem fez
Repudiar é negar
Obs: Sinonimos: Irretratabilidade ou Irrefutabilidade
Conformidade
Estar de acordo com as leis da empresa
A seguranca da info as vezes pode ter que se adpatar às regras de um pais
Autorização
Determina as ações que a pessoa pode executar
Obs: DIFERENTE de autenticidade
Identificação
permitir que uma entidade se identifique, ou seja, diga quem ela é
Q1137024
Terminologias usadas na Lei de SI
Ameaça
É um agente que explora as vulnerabilidades
Incidente
Ameaças qnd exploram vulnerabilidades provocam incidentes
Vulnerabilidade
Fraqueza
Impacto
Prejuizo Financeiro
Ativo
Qualquer coisa que tenha valor para a instituição. Ex: Impressora, banco de dados, pc...
Informações propriamente ditas
Risco
Deve ser mensurada, mitigada...
= Probabilidade x Impacto / Medida de Segurança
Criptologia
3 Grandes Áreas
Criptoanálise
Engenharia Reversa da Criptografia
É pegar um texto cifrado e tentar decifrar
Ex: O jogo da Imitação
Esteganografia
Diferenca para a criptografia: Enquanto criptografia oculta o significado da mensagem, a esteganografia oculta
a existencia da mensagem
Ex: Escrever uma carta com material incolor que precisa ser esquentado
Criptografia
Vai codificar o conteudo para que apenas o destinatario consiga entende-lo
Pode ser
Simetrica
A chave usada para cifrar é a mesma para decifrar
Há apenas uma chave simetrica e compartilhada
O paradigma da Criptografia Simetrica é estabelecer um
canal seguro
para compartilhar a chave a qual deve ser trocada regularmente
Só garante a CONFIDENCIALIDADE (Obs: Não há de se falar de autenticidade se ela for compartilhada)
MAAS (questao do cespe),
se houver compartilhamento entre 2 pessoas apenas, ai garante-se autenticidade (pq ai tem como garantir quem escreveu)
Nem de integridade, pq a msg pode ser interceptada e alterada no caminho
Principais
algoritmo
de Criptografia Simetrica
AES, DES e 3DES
Obs:
WPA
1 more item...
WPA2
1 more item...
WEP
1 more item...
Seu grande problema: De tempo em tempo tem que mudar a chave e avisar a todos
Assimetrica
Cada usuario tem um PAR DE CHAVES
1 CHAVE PRIVADA
Só o destinatario sabe essa chave
1 CHAVE PUBLICA
São publicadas na internet
Obs:
Se escrever com a publica, fecha com a privada; Se escrever com a privada, fecha com a publica
Elas sao diferentes. A partir de uma NAO chega na outra (assimetricas)
Se tiver 50 usuarios, terao 100 chaves
Obs:
A gnt criptografa (fecha) com a chave publica de quem vai ler (abrir) a mensagem, pq só ele vai ter a privada para abrir
Se fechar com a privada, nao vai garantir o sigilo, pq o cara vai ter que abrir com a publica
1 more item...
Algoritmos
Diffie Helman
Protocolo que provê um
meio seguro
para a troca de chaves
Ex: Criptgrafo com chave simetrica, ai uso esse algoritmo pra enviar a chave pra alguem
Atenção: Não é usado para criptografia, mas sim para a troca de chaves, criação de
chaves de sessão
Não suporta assinatura digital
RSA
Sinonimo de chave publica
É sugerido usar chaves entre
2048 e 4096 bits
Tem capacidade de
encriptar, decriptar e trocar chaves
Obs: Os algoritmos de cifragem e decifragem são publicos! Nao tem problema, a chave que tem que ser secreta
Autenticidade
Fatores de Autentificação: O que voce
Sabe (senha,dados aleatorios)
Tem (Ex: token, cartao)
É (Ex: Impressao digital, reconhecimento de voz, iris)
Verificação em
Duas Etapas/Dois Fatores
Forma de Autentificação que combina 2 tipos de autenticação
Obs: Isso caracteriza AUTENTIFICACAO FORTE
= 2 etapas vinculadas a fatores diferentes (Ex: é + sabe, sabe + tem...)
Q933299
Controle de Acesso
Lógico (Impede entrada em um
sistema
)
Físico (Roleta, Catraca, Porta, Biometria)
Obs: Biometria pode ser: Reconhecimento da: Digital, Voz, DNA..)
Obs: Biometria são padroes da pessoa que PODEM SER CLONADOS( entao nao é a MAIS segura)
Q591946
Recomendações para senha
Nao usar
palavras de dicionario
;
Datas
Nao reutilizar senhas que envolvam acesso a dados sensiveis (e-mail; internet banking)
Não usar mesma senha para assuntos pessoais e profissionais
Obs: Se no exercicio falar "codigo", ja se pressupoe que é uma senha segura
Integridade (Hash)
Obs: Hash = Resumo da Mensagem
Uma funcao de hash aceita mensagem de tamanho VARIAVEL e produz um valor de hash de valor FIXO
Fucnao de hash é RESISTENTE A COLISOES (nao existe 2 textos com a mesma saida)
Obs: É possivel que duas msgs tenham o mesmo hash, desde que sejam iguais
Obs: É PSSIVEL 2 hashs iguais para msgs diferentes, mas é extremamente improvavel
Resultado do Hash vai ter 128 bits
Obs: O hash é um algoritmo
Principal: MD5 - Message Digeste V5
Permite verificar se a integridade do arquivo foi violada
Ele é calculado sobre o conteudo do arquivo. (se eu colocar uma virgula a mais em um documento do word, o hash muda)
É um método criptográfico
Ex de Uso: Eu produzo um arquivo e envio para alguem, assim como o hash. Qnd a pessoa receber, ela pode gerar o hash novamente. Se nao for igual, o arquivo foi modificado
Obs: Nao tem como o caminho inverso (Descobrir o conteudo a partir do hash)
Q659525
Certificação e Assinatura Digital
Assinatura Digital (metodo) implica que voce tenha certificado digital (pq vc precisa das chaves, mas são coisas diferentes)
Assinatura Digital é feita usando par de chaves assimetricas (publica e privada)
Obs Imp:
Assinatura é o processo inverso da criptografia
Essa
assinatura é feita (fecha/assina) com a chave PRIVADA
do emissor e
os outros conferem (abre) com a chave PUBLICA do emissor
.
Ou seja: PR vai publicar algo. Ele fecha (assina) com sua chave privada, e os outros veem com a chave publica do PR
Resumindo:
Para Assinar: Emissor Utiliza sua chave PRIVADA
Para Verificar: Utiliza-se chave PUBLICA do emissor
Q688195
Obs: Na criptografia, fecha com a chave publica do destinatario
Garante 3 principios (AIN)
Integridade
Obs: Garante a integridade pq tem-se numero do certificado + hash, entao se for modificado, isso vai ser descoberto
Não repúdio
Autenticidade
Obs:
NAO GARANTE confidencialidade
Ex: presidente posta alguma coisa e assina digitalmente. ue, é pra todo mundo ver mesmo
Processo da Assinatura (Importante)
Mensagem>Algoritmo de Hash> Resumo da Mensagem (numero de hash)>Algoritimo de ass. dig.> Assinatura Digital
Essa assinatura Digital = Codigo = Hash + Chave Privada
Logo
esse codigo muda
, pq apesar da chave privada nao mudar, o hash muda
Obs: Para leitura: Usa-se chave pública do emissor>Hash decriptado confrontado com hash atual da msg para verificação de integridade>Se os hashs forem iguais, quer dizer que a mensagem foi assinada digitalmente (autentica, integra e irrefutavel)
Obs: Pode-se assinar e-mail, transacao bancaria, arquivo, etc..
Autoridade Certificadora (AC) de Chaves
ICP - Brasil: Infraestrutura de Chaves Públicas Brasileira
Certificados Digitais podem ser A1, A3,
A4
Eles contêm
Chave Pública do Portador
Dados da AC emissora
Dados do Portador
Assinatura Digital da AC emissora
Periodo de Validade do Certificado
Outros dados Complementares
Obs: A chave privada vem guardada na midia criptografica.
Nao se diz que vem no certificado digital
, até pq os dados do certificado digital são acessiveis publicamente clicando no cadeadozinho do https
A3: C. D. é emitido e armazenado em uma
mídia criptográfica (CARTAO INTELIGENTE ou TOKEN)
A1: C. Digital é emitido diretamente no pc e fica armazenado no navegador da internet
Serve para
CRIPTOGRAFIA e ASSINATURA DIGITAL
A4
Novidade!
O A4 é um certificado digital da ICP-Brasil voltado principalmente para
uso corporativo e aplicações de alto volume, com armazenamento em ambiente criptográfico seguro.
Armazenado em HSM (Hardware Security Module).
HSM é um equipamento criptográfico dedicado, instalado em data centers, que:
gera e armazena chaves privadas,
impede extração da chave,
permite assinaturas digitais remotas com alto nível de segurança.
Principais características
🔒 Chave privada nunca sai do HSM
🏢 Voltado para empresas, tribunais, bancos, grandes emissores de NF-e
🌐 Permite integração com servidores e sistemas automatizados
⏳ Validade: até 3 anos
Sobre IOT
Questão diz que atual geração de IOT não foi concebida com foco em segurança de software, aumentando a chance de diversos ataques
Q874770