Criptografia de dados explicada

A criptografia de dados é um alicerce fundamental da cibersegurança, garantindo que os dados não possam ser lidos, roubados ou alterados em repouso ou em trânsito. À medida que mais dados circulam na web, a criptografia de dados desempenha um papel cada vez mais crucial na cibersegurança. Isso é especialmente aplicável a setores que lidam com dados confidenciais, como finanças, saúde e governo.

Neste post, forneceremos uma visão geral da criptografia de dados: o que é, os benefícios que ela traz e os diferentes tipos de criptografia de dados em uso hoje.

O que é criptografia de dados?

A criptografia de dados converte texto simples em um formato codificado para garantir proteção contra acesso não autorizado aos dados. Em outras palavras, ela emprega algoritmos criptográficos para codificar um formato legível em uma forma incompreensível, de modo que as partes que não possuem a chave de decodificação correspondente não consigam entender os dados. Para terceiros, a forma codificada (texto cifrado) parece aleatória e é difícil de decodificar por meio de um ataque de força bruta.

Quais são os benefícios da criptografia de dados?

A criptografia de dados é essencial para manter a privacidade dos dados, proteger a confidencialidade e cumprir com as regulamentações. Em primeiro lugar, a criptografia de dados mantém as informações confidenciais protegidas contra terceiros não autorizados. O texto cifrado é ilegível sem chaves de criptografia. Se os dados forem roubados por meio de comprometimento de dados ou vazamento acidental, eles se tornarão inutilizáveis para os invasores. Portanto, a criptografia de dados ajuda a mitigar o risco de roubo e perda de dados.

Em segundo lugar, a criptografia de dados ajuda a proteger a confidencialidade. Por exemplo, as VPNs (virtual private networks, redes privadas virtuais) usam criptografia para proteger a atividade on-line dos usuários, impedindo que provedores de serviços de internet decifrem ou rastreiem a atividade dos usuários. Em outros setores, como o da saúde, os dados criptografados ajudam a manter as informações privadas seguras.

Por último, a criptografia de dados ajuda as organizações que lidam com dados confidenciais a cumprir as disposições regulamentares aplicáveis ao seu setor. Nos EUA, por exemplo, as organizações que processam informações on-line estão sujeitas a auditorias do SOC 2 (Centro de Operações de Segurança). Manter a conformidade com o SOC 2 implica criptografar dados confidenciais.

Dito isso, mesmo que as medidas de conformidade não fossem exigidas, as organizações ainda se beneficiariam da criptografia. As organizações que desejam construir a confiança dos clientes devem levar a proteção de dados a sério, e é aí que padrões robustos de criptografia desempenham um papel significativo.

Criptografia de dados simétrica e assimétrica

Existem dois tipos principais de criptografia: simétrica e assimétrica. A principal diferença entre os dois é se a chave usada para criptografia é igual à chave usada para descriptografia.

A criptografia simétrica usa a mesma chave para criptografar e descriptografar dados. Normalmente, a criptografia simétrica é mais rápida. Entretanto, a principal desvantagem desse método é que, se um invasor malicioso conseguir roubar a chave de criptografia, ele poderá descriptografar todas as mensagens criptografadas. Além disso, a criptografia simétrica não fornece autenticação ou verificações de integridade. Ela não pode verificar o remetente da mensagem criptografada ou se a mensagem foi alterada.

Exemplos de algoritmos de criptografia simétrica incluem o AES (Advanced Encryption Standard, Padrão de Criptografia Avançado) e o DES (Data Encryption Standard, Padrão de Criptografia de Dados).

Por outro lado, a criptografia assimétrica usa duas chaves diferentes (uma pública e uma privada) para proteger os dados. A chave pública é usada para criptografar os dados, e a chave privada correspondente é usada para descriptografar os dados.

Como a criptografia assimétrica usa múltiplas chaves vinculadas por meio de procedimentos matemáticos complexos, ela é mais lenta que a criptografia simétrica. Entretanto, como as chaves públicas são usadas apenas para criptografia, elas podem ser compartilhadas livremente sem riscos. Enquanto o proprietário da chave privada a mantiver segura, essa pessoa será a única capaz de descriptografar as mensagens.

Além disso, a criptografia assimétrica facilita a verificação da identidade do remetente e da integridade da mensagem por meio de assinaturas digitais. As assinaturas digitais funcionam quando o remetente cria um hash exclusivo da mensagem e depois o assina com sua chave privada. O destinatário verifica a assinatura usando a chave pública do remetente, o que garante a identidade do remetente e confirma a integridade da mensagem.

Exemplos de algoritmos de criptografia assimétrica incluem RSA (Rivest–Shamir–Adleman) e ECC (Elliptic Curve Cryptography, Criptografia de Curva Elíptica). Embora os conceitos de criptografia assimétrica e simétrica digam respeito a como os dados são criptografados, também há a questão de quando os dados devem ser criptografados. Sobre essa questão, você frequentemente encontrará os termos “criptografia em trânsito” e “criptografia em repouso”.

Criptografia de dados em trânsito e criptografia de dados em repouso

Proteger os dados em trânsito (enquanto eles são transferidos) é tão importante quanto protegê-los em repouso (quando eles estão armazenados).

A criptografia em trânsito protege os dados enquanto eles se movem entre dois sistemas. Um exemplo comum é uma interação entre um navegador da web e um servidor da web. À medida que as solicitações do navegador se propagam para o servidor, protocolos como o TLS (Transport Layer Security) são usados para criptografar os dados. O TLS é um protocolo complexo que oferece outras medidas de segurança além da criptografia:

• Autenticação de servidor e cliente por meio de chaves públicas/privadas e troca de certificados digitais.
• Criptografia por meio de uma combinação de algoritmos de criptografia simétrica e assimétrica.
• Verificação da integridade dos dados por meio do cálculo de um resumo da mensagem.

Os websites protegidos com HTTPS usam TLS, garantindo uma troca segura de dados entre o navegador e o servidor, exemplificando o conceito de criptografia em trânsito.

A criptografia em repouso protege os dados quando eles são armazenados. Por exemplo, um provedor de serviços financeiros ou de saúde pode usar bancos de dados para armazenar registros médicos ou dados de cartão de crédito. No entanto, na era digital de hoje, os dados são armazenados em vários locais, não apenas em bancos de dados e dispositivos de usuário final. Esses locais incluem serviços de armazenamento na nuvem, discos de backup, armazenamento externo etc.

Por não seguirem um modelo de dados predefinido e muitas vezes não residirem em bancos de dados, os dados não estruturados apresentam um desafio adicional. Os dados não estruturados incluem informações como e-mails, documentos de texto, imagens e vídeos. Esse tipo de dados é comumente armazenado na nuvem ou em diversos locais de rede e muitas vezes pode constituir uma parte significativa dos ativos valiosos de uma organização. Se essa forma de dados confidenciais for acessada por indivíduos não autorizados, a organização poderá sofrer danos ou perdas significativas. Por isso, proteger dados não estruturados é indispensável.

As organizações podem adotar diversas técnicas diferentes para proteger os dados em repouso:

• Criptografia no nível de arquivo: criptografa arquivos individuais.
• Criptografia no nível de armazenamento: criptografa dispositivos de armazenamento inteiros.
• Criptografia de banco de dados: normalmente usada para criptografar dados estruturados.
• Tokenização de dados: substitui dados confidenciais por tokens opacos.
• Criptografia de armazenamento na nuvem: comumente oferecida por provedores de serviços em nuvem para criptografar dados por arquivo ou por bucket.

Padrões de criptografia de dados

Existem vários padrões de criptografia de dados, com novos algoritmos desenvolvidos o tempo todo para combater ataques cada vez mais sofisticados. À medida que o poder da computação aumenta, a probabilidade de sucesso dos ataques de força bruta representa uma séria ameaça aos padrões menos seguros. Por isso, é importante usar os padrões mais recentes, e, portanto, mais seguros, para seu software.

DES (Padrão de Criptografia de Dados)

O DES é um algoritmo de criptografia simétrica desenvolvido pela IBM no início da década de 1970 e adotado pelo NIST (Instituto Nacional de Padrões e Tecnologia) como um padrão federal de 1977 a 2005. Ele usa uma chave de 56 bits para criptografar um bloco de texto simples de 64 bits por meio de uma série de operações complexas. No entanto, seu tamanho de chave relativamente pequeno o torna vulnerável a ataques de força bruta e, por isso, ele não é mais considerado seguro.

Algoritmo 3DES (Triplo Padrão de Criptografia de Dados)

3DES (ou DES Triplo) é uma variação do protocolo DES, no qual o algoritmo de cifra DES é aplicado três vezes. Embora isso melhore a segurança do DES, um relatório de CVE (Common Vulnerabilities and Exposures, Vulnerabilidades e Exposições Comuns) lançado em 2016 revelou uma grande vulnerabilidade de segurança no 3DES que permitiria que um invasor do tipo man-in-the-middle acessasse alguns dos dados em texto simples. Assim, o 3DES se tornou obsoleto em favor do AES.

AES (Padrão de Criptografia Avançado)

Também conhecido como cifra de bloco Rijndael, nomeada em homenagem aos criptógrafos belgas Joan Daemen e Vincent Rijmen, o AES usa uma chave maior e tamanhos de bloco de 128 ou 256 bits (AES-128 e AES-256, respectivamente). O AES funciona utilizando uma rede de substituição-permutação para criptografar dados simetricamente.

RSA (Rivest–Shamir–Adleman)

O RSA é um dos algoritmos assimétricos mais antigos, apresentado ao público pela primeira vez em 1977. O sistema RSA cria uma chave privada com base em dois grandes números primos. Em seguida, uma chave pública é derivada com um valor auxiliar com esses números primos. O RSA é um algoritmo lento, por isso é frequentemente usado para criptografar a chave simétrica compartilhada, que é então usada para um processo de criptografia mais rápido.

Twofish

Uma cifra de bloco de chave simétrica com tamanho de bloco de 128 bits. O tamanho da chave pode ser de até 256 bits, mas a variabilidade do tamanho da chave fornece diferentes níveis de segurança, dependendo dos requisitos de uma aplicação. O Twofish é considerado bastante seguro e possui um design de código aberto que o torna acessível ao domínio público.

Conclusão

Neste post, abordamos muitos dos conceitos básicos sobre criptografia de dados, que é um tópico vasto. Explicamos o que é criptografia de dados, juntamente com seus benefícios para aplicações empresariais. Além disso, abordamos detalhes específicos sobre criptografia simétrica e assimétrica, os conceitos de criptografia em trânsito e criptografia em repouso e vários padrões de criptografia bem conhecidos usados atualmente.