- Devido à praticidade dos sistemas de gerenciamento de senhas, hoje em dia muitas pessoas usam recursos embutidos no SO ou no navegador
- Mas isso é realmente seguro? Essa dúvida pode surgir
- Definição de criptografia
- O objetivo da criptografia é defender protocolos contra entidades hostis
- É o processo de transmitir informações (isto é, texto plano) usando algoritmos para que ninguém possa lê-las, exceto pessoas que possuam conhecimento especial
- Os algoritmos são todos públicos; ainda assim é seguro?
- Existe o chamado princípio de Kerckhoffs
- “Um sistema criptográfico não deve precisar ser secreto, e não deve haver problema mesmo que caia nas mãos do inimigo.”
- O motivo de continuar seguro mesmo com o algoritmo público é a chave secreta
- O importante é tornar o protocolo seguro, não o algoritmo
- Pelo contrário, é melhor divulgar o algoritmo para que mais pessoas possam validá-lo e melhorá-lo
- Por que a criptografia clássica é perigosa?
- Antes do surgimento dos computadores, ela era suficientemente complexa e útil, mas com a chegada dos computadores passou a ser possível decifrá-la rapidamente
- Existem várias técnicas de ataque, como força bruta e análise de frequência
- A criptografia moderna é segura?
- A criptografia clássica é arriscada por ter espaço de chaves insuficiente e refletir características linguísticas
- Já a criptografia moderna usa os conceitos de confusão e difusão para criar um número enorme de possibilidades -> fora uma busca exaustiva de chaves obtida por acaso, é impossível decifrá-la
- Confusão (Substitution) significa substituir uma string como
ABCA por algo como 1231
- Difusão (Permutation) significa rearranjar a ordem de uma string como
ABCA para algo como BCAA
- Três formas de criptografia
- Existem criptografia simétrica, assimétrica e unidirecional
- A criptografia simétrica é um algoritmo que usa uma única chave secreta (ou chave simétrica) para criptografar e descriptografar
- Um exemplo representativo é o AES
- A criptografia assimétrica é um algoritmo que usa duas chaves para criptografar e descriptografar
- Um exemplo representativo é o RSA
- A criptografia simétrica pode causar problemas quando há muitos participantes
- A criptografia unidirecional transforma dados de comprimento arbitrário em dados de comprimento fixo
- Um exemplo representativo é o SHA
- É usada para verificação de integridade
- Implementação de um cofre pessoal de segredos
- A senha mestra é a chave secreta que autentica o proprietário do sistema de gerenciamento de segredos
- O valor de hash da senha mestra nunca deve ser armazenado, pois pode sofrer um ataque Pass-the-Hash
- É possível armazenar senhas com mais segurança criando uma chave mestra de desbloqueio com uma chave aleatória adicional vinculada ao dispositivo do usuário
- No Mac, é possível usar o Keychain; no Windows, o Credential Manager
- Para a implementação real, consulte o link
4 comentários
Não existe algo como o Keychain no Android..? A Samsung Wallet dos celulares Galaxy também é arriscada?
Olá. :) Sei que existe algo chamado Secret Manager. Não conheço muito bem o Samsung Wallet, mas provavelmente ele não foi feito de forma segura?
Como está escrito confusão (substitution) e difusão (permutation), achei estranho e fui ver o texto original,
Lá diz que a confusão é obtida usando substituição (substitution), e a difusão é obtida usando permutação (permutation)...
Resumi demais, desculpem ^^;;