Os princípios básicos de segurança são?
CIDA
Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado. As informações devem estar disponíveis apenas para pessoas que elas forem destinadas.
Exemplos de métodos utilizados para sigilo:
• Criptografia Simétrica;
• Criptografia Assimétrica.
Integridade: assegura que a informação não foi alterada, destruída ou manipulada de maneira não autorizada, garantindo que os dados permaneçam corretos e completos.
Exemplos de métodos utilizados para manter a integridade:
• Função de hash (resumo): é qualquer algoritmo que mapeie dados grandes e de tamanho variável para pequenos dados de tamanho fixo. Por esse motivo, as funções Hash são conhecidas por resumirem o dado. A principal aplicação dessas funções é a comparação de dados grandes ou secretos.
Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.
Autenticidade: garante a veracidade da origem e da validade da informação. É a confirmação de que a informação é genuína e que provém da fonte declarada.
Resumo
Confidencialidade: Contra acesso n autorizado
Integridade: Informação não alterada
Disponibilidade: Disponível
Autencidade: veracidade (confirmação identidade
Outros...
- Não repúdio (irretratabilidade): evitar que uma entidade ou AUTOR da msg possa negar que foi ela quem executou uma ação.
- Autenticidade: Refere-se à garantia de que a informação é verdadeira e que a origem pode ser verificada.
- Autorização: determinar as ações que a entidade pode executar.
- Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é.
fonte: https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
PRINCIPAIS MÉTODOS CRIPTOGRÁFICOS:
• Criptografia Simétrica: (Cifra de César)
Utiliza uma mesma chave tanto para codificar como para decifrar a mesma mensagem, sendo usada principalmente para garantir a confidencialidade dos dados.
Algoritmos como DES, 3DES, AES Blowfish, IDEA e RC4 são exemplos de criptografia simétrica.
-> Um dos principais desafios da criptografia simétrica é a necessidade de trocar a chave secreta de forma segura entre as partes envolvidas.
-> geralmente mais rápida e menos complexa do que a criptografia assimétrica.
• Criptografia Assimétrica:
Utiliza duas chaves diferentes: a pública (p/ criptografar) que deve ser livremente divulgada, e a privada (p/ decifrar) que deve ser mantida em segredo por seu dono. Quando uma informação é codificada com uma das chaves, somente a outra chave do par pode decodificá-la.
Exemplos: RSA, DSA, ECC e Diffie-Hellman.
• Certificado Digital:
O Certificado Digital validado por uma autoridade certificadora permite associar uma mensagem ao seu remetente, garantindo-se, assim, a autenticidade da comunicação.
Certificado digital (CIA): Confidencialidade, integridade e autenticidade.
- Um certificado digital é um arquivo eletrônico que contém informações sobre a identidade de uma entidade (como uma pessoa, empresa ou servidor).
- Ele é emitido por uma Autoridade Certificadora (AC) confiável.
- Os certificados digitais são usados para estabelecer conexões seguras (por exemplo, HTTPS) e garantir a confidencialidade, integridade e autenticidade das comunicações.
- A confidencialidade protege os dados contra acesso não autorizado.
- A integridade garante que os dados não foram alterados durante a transmissão.
- A autenticidade verifica a identidade do remetente ou do servidor.
CONTÉM:
• Dados do portador;
• Chave pública do portador;
• Dados da AC (autoridade certificadora) emissora;
• Assinatura digital da AC emissora;
• Período de validade do certificado;
• Outros dados complementares.
TIPOS DE CERTIFICADO:
• Os certificados de assinatura (A1, A2, A3 a A4)
• Os certificados de sigilo ( S1, S2, S3 e S4)
• Os certificados de carimbo do tempo (T3 e T4)
• Assinatura Digital:
Assinatura Digital (AIN): Autenticidade, Integridade, Não repúdio (irretratabilidade/ irrefutabilidade).
- A assinatura digital é usada para garantir a autenticidade, integridade e não-repúdio de um documento ou mensagem eletrônica.
- O item que identifica o remetente de uma mensagem no ambiente eletrônico. Ela permite verificar a autoria do documento e evita que ele seja alterado.
- Ela é criada usando uma chave privada associada a um certificado digital.
- Quando alguém assina digitalmente um documento, outras partes podem verificar a autenticidade do remetente e a integridade do conteúdo.
- O não-repúdio significa que o remetente não pode negar ter assinado o documento.
- Em resumo, a assinatura digital fornece uma maneira de verificar a origem e a integridade dos dados.
#DIFERENÇA
Assinatura digital é usada para autenticar documentos específicos, enquanto o certificado digital é usado para autenticar entidades (como sites ou servidores).
Chave Privada: para enviar/assinar = assinatura digital
Chave Pública: para conferir/verificar
Assinatura digital: Assina com a chave privada e verifica com a chave pública.
Certificado digital: Criptografa com a chave pública e desencripta com a chave privada.
• Métodos de autenticação:
- O que você sabe? Ex. Senha ou PIN.
- O que você tem? Ex. Token ou Smart crachá.
- O que você é? Ex. Íris, retina ou biometria.
Podem ser combinadas entre se e não existe uma ordem definida.
Autenticação de dois fatores: em geral o primeiro fator é a senha e o segundo fator pode ser qualquer coisa, dependendo do serviço. O mais comum dos casos, é um SMS ou um código que é enviado para um e-mail. A teoria geral por trás de dois fatores é que para efetuar login, você deve saber e possuir algo.
Autenticação de três fatores: o que a pessoa sabe, verificação de nome de usuário e senha fornecida por quem quer acessar o sistema; o que a pessoa tem, dispositivos como cartões magnéticos, tokens e pendrives; e quem a pessoa é, realizada através da verificação de características físicas da pessoa, como biometria, retina e voz.
criptografia assimétrica
criptografa com a chave publica
x
assinatura digital
assinar com chave privada
1. SaaS (Software as a Service)
- O que é: Software pronto, acessado via internet.
- Exemplos: Gmail, Google Docs, Microsoft 365 Online.
- Características: Usuário usa o software, sem precisar instalar ou cuidar da manutenção.
2. PaaS (Platform as a Service)
- O que é: Plataforma para desenvolver, testar e hospedar aplicações.
- Exemplos: Google App Engine, Heroku, Microsoft Azure App Services.
- Características: O provedor cuida da infraestrutura; o usuário foca no desenvolvimento do software.
3. IaaS (Infrastructure as a Service)
- O que é: Infraestrutura de TI sob demanda (servidores, redes, armazenamento).
- Exemplos: Amazon EC2 (AWS), Microsoft Azure VMs, Google Compute Engine.
- Características: Usuário controla o sistema operacional e aplicativos, mas não gerencia o hardware físico.
Sobre nuvem
1. Nuvem Pública
- Recursos compartilhados entre vários clientes.
- Acesso via internet.
- Exemplo: AWS, Google Cloud, Azure.
2. Nuvem Privada
- Uso exclusivo de uma única organização.
- Pode estar dentro da empresa ou ser gerenciada por terceiros.
3. Nuvem Híbrida
- Combinação de nuvem pública e privada.
- Permite alternar entre ambientes conforme a necessidade (por exemplo, dados sensíveis em nuvem privada e outros serviços em pública).
Diquinha final
- SaaS → Você usa o software.
- PaaS → Você desenvolve em uma plataforma.
- IaaS → Você gerencia a infraestrutura virtual.
Modelos de Serviço:
- SaaS (Software as a Service): Fornece software pela internet. Menor controle sobre o ambiente.
- PaaS (Platform as a Service): Oferece plataformas para desenvolvimento sem gerenciar a infraestrutura.
- IaaS (Infrastructure as a Service): Fornece infraestrutura virtualizada, oferecendo controle total sobre o ambiente de execução.
.jpg)
0 Comentários