Para assegurar que os sistemas implantem as pol´ıticas de seguranc¸a e sejam ditos se- guros, existe a necessidade da adoc¸˜ao de mecanismos de seguranc¸a. Os mecanismos de seguranc¸a s˜ao os respons´aveis efetivos pela garantia das propriedades e pol´ıtica de seguranc¸a. Para tanto, fazem uso de autenticac¸˜ao, autorizac¸˜ao (ou controle de acesso) e controles crip- togr´aficos. A autenticac¸˜ao e a autorizac¸˜ao ser˜ao vistas na Sec¸˜ao 2.5 e os controles crip- togr´aficos na Sec¸˜ao 2.4.1.
Amoroso (Amoroso, 1994) tamb´em cita controles adicionais de seguranc¸a, que mesmo n˜ao atuando diretamente nas requisic¸˜oes de acesso devem estar presentes no sistema. S˜ao estes: auditoria de vest´ıgio, auditoria de seguranc¸a e detecc¸˜ao a intrus˜ao. O primeiro est´a li- gado `a gerac¸˜ao peri´odica de registros de eventos associados `a seguranc¸a. Estes s˜ao coletados para uso potencial em detecc¸˜ao de intrus˜ao e/ou auditoria de seguranc¸a. O segundo se re- fere `a inspec¸˜ao independente (por terceiros) dos procedimentos e registros do sistema como intuito de verificar a adequac¸˜ao da pol´ıtica de seguranc¸a e as poss´ıveis violac¸˜oes do sistema. Por fim, a detecc¸˜ao de intrus˜ao usa os registros da auditoria em m´etodos automatizados para analisar, em tempo real, se h´a atividades anormais no sistema.
2.4.1 Controles Criptogr´aficos
Segundo (Stallings, 2000), os controles criptogr´aficos fornecem a base para a maioria dos mecanismos de seguranc¸a. Desde sua origem militar, na d´ecada de 60, vem ganhando cada vez mais atenc¸˜ao no meio p´ublico. Um sistema criptogr´afico ´e constitu´ıdo pela cifragem e decifragem. A cifragem (encryption) ´e o processo de codificar uma mensagem para ocultar o seu conte´udo. J´a a decifragem (decryption) ´e aplicada sobre os dados cifrados para torn´a-los entend´ıveis, ou em claro, novamente. A criptografia atual fornece muitos algoritmos para a cifragem e decifragem. Todos estes s˜ao baseados no uso de segredos, chamados chaves. Uma chave criptogr´afica ´e um parˆametro usado em um algoritmo de cifragem de modo que a revelac¸˜ao do conte´udo s´o se faz perante o conhecimento da chave.
H´a duas classes de algoritmos de cifragem: sim´etricos e assim´etricos (ou algoritmos de chave p´ublica). O primeiro compartilha a mesma chave para cifrar e decifrar a mensagem. A segunda classe usa uma chave p´ublica para cifrar a mensagem e uma chave privada para
decifr´a-la. A chave p´ublica pode ser distribu´ıda livremente, por´em o conhecimento da chave privada deve se restringir ao seu propriet´ario. Em relac¸˜ao ao tempo de processamento, os algoritmos assim´etricos requerem de 100 a 1000 vezes processamento que os sim´etricos, por´em levam enorme vantagem em relac¸˜ao `a distribuic¸˜ao das chaves (Coulouris et al., 2001). Os controles criptogr´aficos provˆeem as propriedades de confidencialidade `as informac¸˜oes, autenticidade de mensagens e de principais, integridade `as informac¸˜oes armazenadas ou transmitida; e n˜ao repudiac¸˜ao. O processo de cifragem ´e que garante a confidencialidade. A autenticidade ´e alcanc¸ada via t´ecnica de assinatura digital. Vale ressaltar que a assinatura digital baseada em chave p´ublica vem sendo amplamente utilizada. Na assinatura digital, um resumo da mensagem (um hash) ´e cifrado usando a chave privada do emissor. Essa assinatura ´e enviada junto com a mensagem. Para verificar a assinatura, ´e preciso decifrar a assinatura com a chave p´ublica do emissor e recalcular o hash da mensagem. Se a comparac¸˜ao dos resumos (o cifrado e o calculado) for igual, a assinatura ser´a autˆentica, preservando assim a sua integridade e impedindo que posteriormente o emissor negue o envio da mensagem (n˜ao repudiac¸˜ao) (Wangham, 2004).
Segundo (Stallings, 2000), em relac¸˜ao ao uso de chaves p´ublicas, um problema encon- trado ´e justamente na origem p´ublica da chave p´ublica. Assim, em um algoritmo RSA, por exemplo, qualquer participante pode enviar sua chave p´ublica para outros participantes da comunidade. Embora isso parec¸a conveniente, h´a um grande problema: qualquer um pode falsificar um aviso p´ublico. Isto ´e, algum usu´ario poderia fingir ser um usu´ario A, por e- xemplo, e enviar a sua chave p´ublica a outros. At´e que A descubra a falsificac¸˜ao e avise aos outros participantes, o falsificador est´a habilitado a ler todas as mensagens codificadas para A e usar a chave falsa para autenticac¸˜ao. Uma das soluc¸˜oes para este problema ´e o certifi- cado digital que vincula chaves p´ublicas a principais. Para ter certeza que a chave p´ublica no certificado pertence ao sujeito do certificado, o certificado ´e assinado por uma entidade confi´avel, chamada de Autoridade Certificadora (Certificate Autority - CA), que ´e confi´avel a todos os usu´arios da comunidade, tal como uma agˆencia de governo ou uma instituic¸˜ao de financ¸as.
Tipicamente, em uma Infra-estrutura de Chave P´ublica (ICP)6, pode haver dois tipo de
certificados - um certificado de nomes e um certificado de autorizac¸˜ao. O certificado de nomes liga uma chave p´ublica a um nome. J´a o certificado de autorizac¸˜ao associa uma chave p´ublica a atributos e significa uma autorizac¸˜ao ou privil´egio que tem significado ao assinante e a alguns principais.
V´arios certificados est˜ao em utilizac¸˜ao. Alguns deles, como o Pretty Good Privacy (PGP) (Zimmerman, 1994), s˜ao patenteados. Outros certificados populares s˜ao espec´ıficos de um aplicativo como certificados usados no SET (Security Electronic Transaction) (Secure Elec- tronic Transaction LLC, 1997) e no Internet Protocol Security (IPSec) (Markham, 1997). O
6Um PKI (Public Key Infrastructure) envolve um processo colaborativo entre v´arias entidades: a AC, uma autoridade
de registro (registration authority - RA), um reposit´orio de certificados, um servidor de recuperac¸˜ao de chaves e o usu´ario final.
2. Seguranc¸a Computacional 15 certificado mais amplamente aceito ´e o que segue o padr˜ao X.509 (Housley et al., 2002). H´a ainda propostas, como o SPKI/SDSI (Ellison, 1999) que visam retirar a complexidade imposta pelo padr˜ao X.509.