Criptografia visual : método de alinhamento automático de parcelas utilizando dispositivos móveis

(1)

Franz Pietz

“Criptograﬁa Visual: M´etodos de Alinhamento

Autom´atico de Parcelas Utilizando Dispositivos

M´oveis.”

CAMPINAS

2014

(2)

(3)

(4)

Ana Regina Machado - CRB 8/5467

Pietz, Franz,

P618c PieCriptografia visual : método de alinhamento automático de parcelas utilizando dispositivos móveis / Franz Pietz. – Campinas, SP : [s.n.], 2014.

PieOrientador: Julio Cesar López Hernández.

PieDissertação (mestrado) – Universidade Estadual de Campinas, Instituto de Computação.

Pie1. Criptografia visual. 2. Computação móvel. 3. Tecnologia da informação -Sistemas de segurança. 4. Criptografia de dados (Computação). I. López

Hernández, Julio Cesar,1961-. II. Universidade Estadual de Campinas. Instituto de Computação. III. Título.

Informações para Biblioteca Digital

Título em outro idioma: Visual cryptography : automatic alignment method using mobile

devices

Palavras-chave em inglês:

Visual cryptography Mobile computing

Information technology - Security measures Data encryption (Computer science)

Área de concentração: Ciência da Computação Titulação: Mestre em Ciência da Computação Banca examinadora:

Julio Cesar López Hernández [Orientador] Hélio Pedrini

Fabio Rogério Piva

Data de defesa: 11-12-2014

Programa de Pós-Graduação: Ciência da Computação

(5)

(6)

(7)

Instituto de Computa¸c˜ao Universidade Estadual de Campinas

Criptograﬁa Visual: M´etodos de Alinhamento

Autom´atico de Parcelas Utilizando Dispositivos

M´oveis.

Franz Pietz

1

11 de dezembro de 2014

Banca Examinadora:

• Prof. Dr. Julio Cesar López Hernández (Supervisor/Orientador) • Prof. Dr. Hélio Pedrini

Instituto de Computa¸c˜ao - UNICAMP • Dr. Fabio Rog´erio Piva

Samsung Brasil

• Prof. Dr. Diego de Freitas Aranha

Instituto de Computa¸c˜ao - UNICAMP (Suplente) • Dra. Vanessa Sovierzoski Testoni

Samsung Brasil (Suplente)

1_{Financial support: CNPq: 03/2012 - 07/2012}

Banco do Brasil: 10/2012 - 03/2013 CAPES: 04/2013 - 07/2013

Samsung: 08/2013 - 07/2014

(8)

(9)

Abstract

Visual cryptography is a secret sharing method proposed by Naor and Shamir in the paper “Visual Cryptography”, in 1994. It split a secret image into a set of shares, so that we need to stack a minimum number of shares to visually decode the secret image without the help of hardware or computation, and analyzing the shares alone is not pos-sible to obtain any information about the secret image. The scheme is considered safe and can be compared to the one-time-pad cyphers, also called perfect cyphers, due to the difficulty of an attacker to obtain the secret or part of it. There are proposals to use visual cryptography in authentication protocols, such as in bank transactions and pro-duct’s legitimacy verification. But these methods have problems with recovered secret’s definition, low contrast and misalignment of the shares, which is the most sensitive. Our proposal shows how to use a mobile device, such as smartphone or tablet, to perform automatic alignment of the shares and to assist a user to recover a secret encrypted using visual cryptography. For this, we use the device camera to turn it into a “transparency” and image analysis techniques to locate a share that can be displayed on a monitor or printed on the packaging of a product, and overlay it with a second share present on the mobile device, allowing the visualization of the recovered secret on the device’s display. Using a mobile device brings immediate advantages, such as easy delivery of shares at the transaction’s time, without having to store information in advance.

(10)

(11)

Resumo

A criptografia visual é um método de compartilhamento de segredos proposto por Naor em Shamir no artigo “Criptografia Visual” de 1994. Nele, uma imagem secreta é dividida em um conjunto de parcelas, sendo necessário sobrepor um número m´ınimo de parcelas para decodificarmos o segredo visualmente, sem nenhum tipo de dispositivo ou cálculo criptográfico; e analisando as parcelas isoladamente, não é poss´ıvel recuperar nenhuma informa¸cão sobre a imagem secreta original. O esquema é considerado seguro e pode ser comparado com as cifras de one-time-pad, também chamadas de cifras perfeitas, de-vido à dificuldade do atacante obter o segredo ou parte dele. Existem propostas para a utiliza¸cão de criptografia visual em protocolos de autentica¸cão, como autentica¸cão de transa¸cões bancárias e verifica¸cão de legitimidade de produtos. Entretanto, esse método possui problemas como defini¸cão do segredo recuperado, baixo contraste e desvios de alinhamento, que é o problema mais sens´ıvel. Nossa proposta mostra como utilizar um dispositivo móvel, como smartphone ou tablet, para realizar o alinhamento automático de parcelas e auxiliar o usuário no processo de recupera¸cão de segredos encriptados utilizando criptografia visual. Para isso, utilizamos a câmera do dispositivo móvel para torná-lo uma “transparência” e técnicas de análise de imagens para localizar uma parcela exibida em um monitor ou impressa na embalagem de um produto, e sobrepô-la com uma parcela presente no dispositivo móvel, permitindo a visualiza¸cão do segredo recuperado na tela do dispositivo. A utiliza¸cão de um dispositivo móvel traz vantagens imediatas, como faci-lidade para a entrega de parcelas no momento da transa¸cão, sem necessidade de guardar informa¸cão previamente.

(12)

(13)

Agradecimentos

Agrade¸co, primeiramente, aos amigos e familiares, especialmente meus pais e namorada, pelo apoio incondicional em todos os passos dessa etapa da minha vida. Vocˆes foram essenciais para que tudo isso fosse poss´ıvel.

Agrade¸co também a todos os amigos, colegas de laboratório e professores que con-tribu´ıram com ideias e comentários sobre a pesquisa. Agrade¸co especialmente ao prof. Julio, pelo tempo dedicado nas conversas e paciência nos momentos dif´ıceis.

Parte dos resultados apresentados neste trabalho foram obtidos através do projeto “Ca-pacita¸cão em Tecnologia de Informa¸cão” financiado pela Samsung Eletrônica da Amazônia Ltda., utilizando recursos da Lei de Informática No 8.248/91.

(14)

(15)

(16)

(17)

Cap´ıtulo 1

Introdu¸c˜ao

Nos últimos anos, houve um grande crescimento no número de usuários que possuem dispositivos móveis, como smartphones e tablets, e que os utilizam para diversas ativi-dades, inclusive para realizar compras e transa¸cões bancárias. Considerando esse fato, aumentou também o número de solu¸cões que utilizam esses dispositivo em um protocolo de autentica¸cão, como em transa¸cões bancárias. Entretanto, algumas dessas opera¸cões são vulneráveis a ataques elaborados, do tipo homem-do-meio, onde um atacante se passa por uma das partes para realizar atividades maliciosas. No cenário de produtos, alguns fa-bricantes passaram a fornecer meios de verificar a legitimidade de um produto, utilizando um dispositivo móvel para interpretar um código QR presente na embalagem e acessar um website de valida¸cão para aquele produto. Infelizmente, esse tipo de procedimento não é forte o suficiente para garantir a legitimidade, já que podemos gerar códigos QR com facilidade, criando espa¸co para falsifica¸cões elaboradas.

Em 1994, Naor e Shamir apresentaram a criptografia visual como técnica de compar-tilhamento de segredos, onde um segredo contido em uma imagem é dividido em outras imagens, chamadas de parcelas. Analisando cada parcela isoladamente, não é poss´ıvel obter nenhuma informa¸cão sobre o segredo, mas ao sobrepormos um número suficiente de parcelas, poderemos recuperar o segredo visualmente. Assim, surge um método de compartilhamento de segredo que não exige opera¸cões criptográficas ou conhecimento em Criptografia para decifrar o segredo. Com o decorrer dos anos, foram apresentadas pro-postas para utilizar criptografia visual em protocolos de autentica¸cão, adicionando um novo fator de seguran¸ca, já que a recupera¸cão do segredo depende unicamente do sistema visual humano. Apesar de possuir ind´ıcios de elevado grau de seguran¸ca, fatores como falta de contraste e desalinhamento das parcelas podem impedir a recupera¸cão do segredo, tornando a utiliza¸cão de criptografia visual pouco atrativa até o momento.

Nesta disserta¸cão, mostraremos como utilizar um dispositivo móvel, como smartphone ou tablet, para auxiliar o usuário no processo de sobreposi¸cão e alinhamento das

(18)

las, facilitando a recupera¸cão do segredo. Para isso, utilizamos a câmera do dispositivo para capturar uma parcela, a qual está sendo exibida em um monitor ou impressa na embalagem de um produto, técnicas de análise de imagens para realizar a sobreposi¸cão automaticamente e exibir o resultado na tela do dispositivo móvel. Esse sistema de ali-nhamento automático pode fazer parte de um protocolo que utiliza criptografia visual para autentica¸cão de transa¸cões bancárias e de produtos, trazendo facilidades como a distribui¸cão de parcelas diretamente para o dispositivo móvel do usuário no momento da autentica¸cão. Nossa proposta é a primeira presente na literatura que utiliza um dispositivo móvel para realizar a sobreposi¸cão de parcelas de criptografia visual, além de ser uma das poucas que apresenta resultados práticos de sobreposi¸cão. Esses resultados podem ser de grande relevância para a área de criptografia visual, pois pode tornar o estudo de técnicas similares e protocolos de autentica¸cão utilizando criptografia visual mais atrativos.

No Cap´ıtulo 2 apresentaremos os fundamentos de criptografia visual e autentica¸cão. Na Se¸cão 2.1 fornecemos detalhes da constru¸cão de parcelas pela técnica proposta por Naor e Shamir e seus problemas mais comuns. A Se¸cão 2.2 contém um levantamento do estado da arte para essa área, incluindo propostas que visam melhorar a qualidade de recupera¸cão do segredo e resolver alguns dos problemas comuns ao método. Na Se¸cão 3.1.1 mostraremos algumas das técnicas de autentica¸cão que alguns fabricantes fornecem para que o usuário possa conferir a legitimidade de seus produtos, como cartuchos de impressoras e medicamentos. Em seguida, na Se¸cão 2.5 fornecemos um levantamento das propostas presentes na literatura que utilizam criptografia visual em um protocolo de autentica¸cão.

No Cap´ıtulo 3, apresentaremos nossa proposta, a qual utiliza um dispositivo móvel para realizar a sobreposi¸cão de parcelas automaticamente, resolvendo alguns dos pro-blemas encontrados durante o estudo. Na Se¸cão 3.2 apresentaremos detalhes das três implementa¸cões de aplicativos para dispositivos móveis para resolver nosso problema. A primeira implementa¸cão simplesmente carrega uma parcela transparente na tela do dis-positivo. A segunda implementa¸cão adiciona um sistema de alinhamento automático, que utiliza técnicas de análise de imagens para localizar os pontos extremos de parcela exibida em um monitor, calculando a transforma¸cão necessária da parcela presente no dispositivo móvel e realizando a sobreposi¸cão automaticamente. A terceira implementa¸cão utiliza a Transformada de Hough para detectar pontos de controle presente na parcela alvo, também com o objetivo de fornecer coordenadas para a sobreposi¸cão.

No Cap´ıtulo 4, indicamos a metodologia e resultados obtidos nos testes. Na Se¸cão 4.1, forneceremos detalhes de três técnicas para a gera¸cão das parcelas utilizadas nos testes do nosso sistema, indicando as etapas necessárias para a constru¸cão de cada uma. As três técnicas estudadas foram a técnica tradicional de Naor e Shamir, a técnica baseada em segmentos proposta por Borchert e uma técnica tolerante à desvios de alinhamento.

(19)

3 Na Se¸cão 4.2, mostramos e discutimos os resultados obtidos para diferentes dispositivos e métodos de gera¸cão de parcelas.

Finalmente, no Cap´ıtulo 5 escrevemos a conclus˜ao do nosso trabalho, fornecendo uma an´alise dos resultados obtidos e o que vislumbramos como trabalhos futuros.

Contribui¸c˜oes e Participa¸c˜ao em Eventos

Como contribui¸cões do nosso trabalho, submetemos uma patente para análise pela Agência de Inova¸cão da Unicamp (Inova). O Pedido de Patente de Inven¸cão foi depositado junto ao Instituto Nacional de Propriedade Industrial (INPI) em 18/12/2014, sob protocolo

BR 10 2014 032168 3. O aluno participou da se¸c˜ao de Trabalhos de Estudantes do

evento Latincrypt 2014, realizado em Florianópolis entre os dias 17 e 19 de Setembro de 2014. Também participou da Campus Party 2015, que ocorreu em São Paulo entre 03 e 08 de Fevereiro de 2015, apresentando seu projeto em um estande da se¸cão Campus

(20)

(21)

Cap´ıtulo 2

Criptograﬁa Visual e Autentica¸c˜ao

Nesse cap´ıtulo, apresentaremos os conceitos básicos de criptografia visual, utilizando uma constru¸cão simplificada como exemplo, e os problemas mais comuns da técnica, os quais podem impedir a recupera¸cão total do segredo. Apresentaremos também um breve le-vantamento sobre o estado da arte da área, indicando trabalhos que tentam contornar os problemas comuns e novas maneiras de se gerar parcelas. Em seguida, fazemos uma breve introdu¸cão à autentica¸cão de transa¸cões bancárias e de produtos, além de alguns exemplos de sua utiliza¸cão. Apresentamos, também, um levantamento de técnicas para a utiliza¸cão de criptografia visual em protocolos de autentica¸cão presentes na literatura.

2.1 Introdu¸cão à Criptografia Visual

Em 1979, Shamir apresenta no “How to share a secret”[1] um m´etodo de compartilhamento de segredos, onde um segredo ser´a dividido em n parcelas D1, ... , Dn de maneira que seja

poss´ıvel recuperar o segredo conhecend k ≤ n parcelas Di; e conhecendo k − 1 parcelas

ou menos não seja poss´ıvel obter nenhuma informa¸cão sobre o segredo. Esse método é conhecido como (n, k)-limiar de Shamir [2]. Essas parcelas são pontos gerados a partir de um polinômio de grau k−1. A recupera¸cão do segredo consiste no cálculo desse polinômio, poss´ıvel quando temos k parcelas, utilizando a interpola¸cão polinomial de Lagrange.

Em 1994, Naor e Shamir apresentam um novo método de compartilhamento de se-gredos, chamado de criptografia visual [3], que consiste em dividir uma imagem secreta em parcelas, as quais poderiam ser impressas em transparências, de maneira que seja ne-cessário um número suficiente de parcelas sobrepostas para que o segredo seja recuperado visualmente e que cada parcela analisada isoladamente não forne¸ca nenhuma informa¸cão da imagem secreta original. Como a recupera¸cão do segredo depende unicamente do sistema visual humano, os autores comentam que uma das vantagens do método é que qualquer pessoa pode decifrar a mensagem, sem qualquer conhecimento sobre

(22)

fia ou necessidade de opera¸cões computacionais. O método surge como solu¸cão para o problema de encriptar materiais como texto impresso, notas escritas a mão, fotos, etc.

Na proposta original, s˜ao geradas n parcelas Si diferentes a partir de uma imagem

secreta, de maneira que sejam necessárias pelo menos k parcelas sobrepostas para que o segredo possa ser recuperado, e que k −1 parcelas sobrepostas não forne¸cam nenhum tipo de informa¸cão sobre a imagem secreta. Tal esquema costuma ser chamado de k − de − n. Por exemplo, em um esquema 2−de−2, uma imagem secreta é dividida em duas parcelas (S1 e S2) diferentes entre si, que revelam o segredo quando sobrepostas. A Figura 2.1

ilustra um esquema 2 − de − 2. A imagem obtida pela sobreposi¸c˜ao das parcelas ser´a chamada de imagem reconstru´ıda.

Figura 2.1: Exemplo de Criptograﬁa Visual.

Para a constru¸cão das parcelas, cada pixel p da imagem secreta será codificado em uma cole¸cão de m pixels, chamados de subpixels, em cada uma das parcelas. A escolha desses subpixels deve ser feita de maneira que haja diferen¸ca de contraste na imagem reconstru´ıda, para que o sistema visual humano possa distinguir quais pixels fazem parte do segredo e quais pertencem ao fundo da imagem. Por exemplo, uma escolha de subpixels para um esquema 2 − de − 2 é apresentado na Figura 2.2, contendo dois subpixels, um preto-branco e um branco-preto, complementares entre si. Como cada pixel da imagem secreta será codificado em dois pixels na parcela, temos m = 2.

(23)

2.1. Introdu¸cão à Criptografia Visual 7

Figura 2.2: Padr˜ao de subpixels para um esquema 2-de-2.

Caso o pixel p da imagem secreta seja preto, devemos escolher um dos dois subpixels para a primeira parcela e o seu complementar para a segunda parcela. Dessa maneira, ter´ıamos um pixel resultante “preto” enquanto as parcelas estiverem sobrepostas. Caso o pixel p da imagem secreta seja branco, devemos escolher o mesmo padrão para as duas parcelas, obtendo um pixel “branco” na sobreposi¸cão. Esse pixel “branco” é reconhecido pelo sistema visual humano como um tom de cinza de intensidade 50%. A Figura 2.3 ilustra a escolha dos pixels para cada um dos casos. A diferen¸ca de contraste entre um pixel “branco” e um pixel “preto” na imagem reconstru´ıda é o que permite ao sistema visual diferenciar entre o que é segredo (em preto) e o que é o fundo da imagem (em cinza). Chamaremos esse pixel “preto” de pixel de informa¸cão, e o pixel “branco” de

pixel de fundo. Como os pixels de informa¸cão e de fundo são na verdade uma cole¸cão de

subpixels sobrepostos, chamaremos as cole¸c˜oes de subpixels de subpixels de informa¸c˜ao e

subpixels de fundo, respectivamente.

ou

Parcela 1

Parcela 2

Sobreposição

Pixel

Original

Figura 2.3: Possibilidades para a escolha dos subpixels.

Na Figura 2.4, podemos ver a imagem secreta e a imagem recuperada obtida pelo padrão de subpixels apresentado na Figura 2.3. Podemos facilmente diferenciar o segredo do fundo, porém a imagem reconstru´ıda está alongada, devido ao padrão de subpixels es-colhido. Para esse exemplo, temos m = 2, então podemos dizer que m também representa uma taxa de expansão, que relaciona o tamanho da imagem secreta e o tamanho das par-celas.

(24)

Figura 2.4: Figura alongada devido ao padr˜ao de subpixels escolhido.

Para contornar o problema de alongamento da imagem, basta escolher um padrão de subpixels mais regular, de maneira que ocorra a mesma expansão tanto na horizontal quanto na vertical. A Figura 2.5 mostra um padrão de subpixels com essa propriedade e o resultado da sobreposi¸cão de parcelas usando esse padrão. Como cada pixel da imagem secreta será codificado em quatro pixels, teremos uma taxa de expansão m = 4.

Figura 2.5: Padr˜ao de subpixels quadrado e resultado.

Os exemplos apresentados até aqui consideram o esquema 2−de−2, que é a constru¸cão mais simples de parcelas. Generalizando a constru¸cão para esquemas k−de−n, deveremos criar pelo menos n padrões de subpixels, que nos faz aumentar também a quantidade m de subpixels utilizados em cada padrão. Esses padrões devem ser quadrados e devem garantir que a diferen¸ca de contraste ao sobrepor k parcelas seja adequado para distinguir o segredo do fundo. Para cada um dos pixels da imagem secreta, teremos n versões modificadas, uma em cada parcela, que contém m pixels pretos ou brancos. A estrutura resultante pode ser representada por uma matriz booleana S = [sij] de dimensão n × m

onde sij = 1 se o j-ésimo pixel da i-ésima transparência é preto. A Figura 2.6 mostra

um exemplo da constru¸cão da matriz S. Representaremos cada padrão de subpixels como uma matriz binária, onde um pixel preto terá valor 1 e um pixel branco terá valor 0. Quando as as parcelas i1, i2, ..., ir são sobrepostas e devidamente alinhadas, veremos

o resultado da opera¸c˜ao “ou” das linhas i1, i2, ..., ir de S, e chamaremos de V o vetor

(25)

2.1. Introdu¸cão à Criptografia Visual 9 peso de Hamming H(V ), que será identificado com preto se H(V ) ≥ d e como branco se H(V ) < d − αm, para um limiar fixo d que satisfaz 1 ≤ d ≤ m e uma diferen¸ca de contraste relativa α > 0.

Figura 2.6: Representa¸c˜ao de subpixels na matriz S.

Para construir os padrões de subpixels de maneira genérica, podemos definir os con-juntos de matriz C0 e C1, sendo que as matrizes de C0 são os padrões de subpixels que

representam um pixel branco e C1 os que representam um pixel preto. Por exemplo, para

obter os padr˜oes mostrados na Figura 2.5, deﬁnimos os conjuntos de matrizes 2 × 2:

C0 =

�

todas as matrizes obtidas pela permuta¸c˜ao das colunas de

� 1 1 0 0 1 1 0 0 �� ; C1 = �

todas as matrizes obtidas pela permuta¸c˜ao das colunas de

�

1 1 0 0 0 0 1 1

��

.

Para que a constru¸cão seja válida, além da diferen¸ca de contraste adequada, devemos garantir a seguran¸ca do esquema, de maneira que não seja poss´ıvel obter nenhuma pista da imagem secreta mesmo analisando k −1 parcelas sobrepostas. Chamamos esses requisitos de condi¸cões de contraste e seguran¸ca. Dessa maneira, podemos definir nosso esquema de compartilhamento de segredo visual como:

Deﬁni¸c˜ao 1. Um esquema k −de−n de compartilhamento de segredo visual consiste em

dois conjuntos de matrizes booleanas C0 e C1 de tamanho n × m. Para representar um

pixel branco, escolhemos aleatoriamente uma das matrizes de C0, e para representar um

(26)

definem a cor dos m subpixels em cada uma das n parcelas do esquema e devem satisfazer as seguintes condi¸cões para valores d e α definidos:

1. Contraste: Para qualquer S em C0, o vetor V para qualquer sobreposi¸c˜ao de k de

n linhas deve satisfazer H(V ) < d − αm, para que seja poss´ıvel identiﬁcar aquele

ponto como branco. Da mesma maneira, para qualquer S em C1, o vetor V para

qualquer sobreposi¸c˜ao de k de n linhas deve satisfazer H(V ) ≥ d, para que seja poss´ıvel identiﬁcar aquele ponto como preto.

2. Seguran¸ca: quaisquer vetor V� obtido pela opera¸c˜ao “ou” para qualquer conjunto

de linhas i1, i2, ..., iq, com q < k, de dois subconjuntos D0 e D1 de matrizes q × m

obtidas a partir de matrizes dos conjunto C0 e C1, devem ser indistingu´ıveis entre

si, ou seja, nenhuma informa¸c˜ao sobre o segredo deve ser revelada caso menos de k parcelas sejam sobrepostas.

Para este texto, nos concentramos em esquemas 2 − de − 2 para imagens mono-cromáticas, devido à aplica¸cão proposta. Na Se¸cão 2.2 fazemos um breve levantamento sobre o estado da arte, mostrando diferentes esquemas e melhorias propostas na literatura. Com o aumento do número de parcelas e da taxa de expansão m, surgem alguns pro-blemas para a recupera¸cão do segredo, principalmente quando temos parcelas impressas em material transparente. Estes problemas são:

• Perda de Defini¸cão: relacionado à degrada¸cão do segredo reconstru´ıdo em com-para¸cão com a imagem secreta original, pois um único pixel da imagem secreta será codificado em um conjunto de vários pixels nas parcelas. Com isso, podemos ter perda de informa¸cão, devido à qualidade de contornos e defini¸cão do segredo recu-perado [4]. A Figura 2.7 mostra um exemplo de perda de defini¸cão e de informa¸cão da imagem secreta. Na imagem original, à esquerda, podemos ver uma borda fina em torno da figura, que não aparece na imagem reconstru´ıda, além das formas circu-lares tornarem-se serrilhadas. Como esse problema ocorre quando o segredo contém regiões de poucos pixels de espessura, normalmente as imagens secretas devem apre-sentar informa¸cão bem definida, com fontes espessas e negritos.

(27)

2.1. Introdu¸cão à Criptografia Visual 11

Figura 2.7: Exemplo de perda de defini¸cão e informa¸cão.

• Baixa Diferen¸ca de Contraste: ao sobrepormos as parcelas, os pixels de in-forma¸cão serão pretos, mas os pixels de fundo tornam-se cada vez mais escuros a cada nova transparência sobreposta, pois adicionamos mais subpixels pretos em cada posi¸cão, além das transparências funcionarem como um tipo de filtro de luz [5]. Uma diferen¸ca de contraste inferior a 1/10 dificulta a identifica¸cão do segredo [6] e pode ocorrer em duas situa¸cões, como mostra a Figura 2.8. À esquerda, o se-gredo está em um tom de cinza, confundindo-se com o fundo; à direita, o fundo está escuro, confundindo-se com o segredo. Esse tipo de problema ocorre com frequência em esquemas k − de − n.

Figura 2.8: Exemplo de baixa diferen¸ca de contraste.

• Desvios de Alinhamento: é o problema mais comum e sens´ıvel, pois um deslo-camento m´ınimo no alinhamento pode impedir a recupera¸cão do segredo. A dificul-dade de alinhamento torna-se mais grave quando aumentamos o número de parcelas que devem ser sobrepostas. A Figura 2.9 mostra duas transparências sobrepostas, com deslocamento de 0.5, 0.75 e 1 pixel para a direita. Passamos a ter dificuldade para identificar o segredo logo na primeira imagem. Nas outras imagens, nenhuma informa¸cão pode ser recuperada.

(28)

Figura 2.9: Desvios de 0.5, 0.75 e 1 pixel para a direita

2.2 Levantamento do Estado da Arte

Após a proposta original de Naor e Shamir em 1994, diversas melhorias foram apresenta-das. Inicialmente, as imagens secretas deveriam ser em preto-e-branco. Em [7, 8], foram propostos os primeiros esquemas que utilizam imagens secretas em tons de cinza ou colo-ridas, ampliando as possibilidades de utiliza¸cão da criptografia visual. Surgiram também esquemas que utilizam parcelas digitais e dependem de um dispositivo capaz de realizar opera¸cões matemáticas, por utilizarem opera¸cões como XOR para calcular a sobreposi¸cão. Em [9] é apresentada uma maneira de criar uma estrutura de acesso para um es-quema de criptografia visual, que contém um conjunto de participantes qualificados e não qualificados. Usando essa estrutura de acesso, podemos distribuir parcelas de maneira que uma combina¸cão de parcelas que contenha parcelas qualificadas possam recuperar o segredo, mas que qualquer combina¸cão de parcelas não qualificadas sobrepostas não revele nenhuma informa¸cão sobre a imagem secreta. Por exemplo, temos quatro partici-pantes em uma estrutura de acesso, sendo eles A, B, C e D, sendo A e B qualificados e C e D não qualificados. Qualquer sobreposi¸cão de parcelas que incluam as parcelas de A ou B irá revelar o segredo (i.e. A + B, A + C, A + D, B + C, B + D). Entre-tanto, se C e D sobrepuserem suas parcelas (i.e, C + D), o segredo não será revelado. O método chamado de criptografia visual estendida [10, 11] permitiu transformar parcelas aparentemente aleatórias em parcelas que possuem algum conteúdo, como letras e texto, permitindo identificar cada parcela. A Figura 2.10 mostra um exemplo de parcelas, iden-tificadas pelos números 1 e 2, e do resultado da sobreposi¸cão, revelando o número 3. As parcelas são constru´ıdas de maneira que, ao serem sobrepostas, a identifica¸cão desapare¸ca, não interferindo na recupera¸cão do segredo.

Ainda com o objetivo de adicionar um significado às parcelas, em [4, 13, 14] os auto-res utilizam técnicas de meios-tons digitais para transformar imagens em tons de cinza em imagens binárias e, em seguida, técnicas de difusão de erros para que imagens em meios-tons sejam hospedeiras de parcelas de criptografia visual. Da mesma maneira que os métodos estendidos, as imagens hospedeiras desaparecem quando as parcelas são

(29)

so-2.2. Levantamento do Estado da Arte 13

Figura 2.10: Parcelas e imagem recuperada para o método estendido (retirado de [12]). brepostas. A Figura 2.11 mostra três parcelas, cada uma como uma imagem. No geral, as imagens recuperadas tendem a ser escuras, devido à quantidade de informa¸cão adicional em cada parcela, para que a mesma contenha uma imagem.

Figura 2.11: Parcelas e imagem recuperada para o m´etodo de meios-tons (retirado de [15]).

Os artigos [16, 17] mostram como melhorar a qualidade das parcelas para os métodos estendidos, utilizando figuras em meios-tons digitais e subpixels cinzas nas parcelas, ob-tendo melhor contraste após a sobreposi¸cão. Em 2014, Yang et al. [12] apresentam uma nova melhoria para o método estendido, obtendo resultados como os mostrados na Figura 2.12.

Para imagens coloridas, existem dois métodos mais utilizados para gerar as parcelas: sobreposi¸cão de cores e meios-tons digitais. A sobreposi¸cão de cores funciona como o método tradicional, onde a cor de um pixel será codificada em pixels de diferentes cores nas parcelas, que quando sobrepostas, revelam a cor original do segredo [8]. Esse método apresenta uma grande perda de contraste, pois a sobreposi¸cão de transparências bloqueia parte da passagem da luz. Na técnica que utiliza meios-tons, representaremos uma cor pela combina¸cão de cores próximas, procedimento similar ao utilizado na impressão em papel. Esse método possui melhor contraste, porém há alguma perda na qualidade das cores da imagem recuperada. Houve uma melhoria significativa na qualidade das imagens recuperadas a partir dos trabalhos [18, 19, 20], visando melhorar a resolu¸cão das imagens

(30)

Figura 2.12: Novos resultados para m´etodos estendidos (retirado de [12]).

e eliminar o problema de escurecimento inerente do método de [8]. Outras propostas foram apresentadas, utilizando parcelas digitais, que devem ser sobrepostas utilizando um dispositivo capaz de realizar cálculos. Um exemplo de criptografia visual para imagens coloridas pode ser visto na Figura 2.13.

Figura 2.13: Parcelas (a,b,c) e a imagem reconstru´ıda (d) (retirado de [21]). O problema de contraste foi amplamente discutido com o passar dos anos. Após o artigo original, Naor e Shamir publicaram um novo artigo [22], focando em melhorias do contraste. Os artigos de Blundo et al. [6, 5] apresentaram diversas melhorias e limiares para que o contraste seja satisfatório para esquemas k−de−n, em especial para esquemas 3−de−n . Em 2010, [23] apresenta uma maneira de obter o contraste ótimo para qualquer

k em esquemas k − de − n.

Como a expansão de pixels pode trazer problemas na defini¸cão da imagem recuperada, alguns pesquisadores se preocuparam em reduzi-la [24, 25]. Em [26], Kuwakado et al. mostraram um método em que m = 1, ou seja, não há expansão de pixels, com uma leve perda na qualidade da imagem recuperada. Em [27], Yang et al. apresentam um método que mantém a razão de aspecto da imagem recuperada em compara¸cão com a imagem original, além de diminuir significativamente a quantidade de subpixels utilizados para representar um pixel da imagem secreta, evitando assim distor¸cões e reduzindo o tamanho das parcelas. Entretanto, esses métodos apresentam problemas de perda de

(31)

2.2. Levantamento do Estado da Arte 15 informa¸cão, como linha finas e detalhes de borda. Em 2012, Liu et al. apresentam em [28] uma melhoria para esses problemas de perda de informa¸cão, aumentando a qualidade das imagens recuperadas. Em 2013, De Prisco e De Santis [29] apresentaram um método que utiliza pixels coloridos nas parcelas para codificar uma imagem secreta binária, sem expansão de pixels e que pode ser utilizado para esquemas k−de−n com melhor qualidade da defini¸cão da figura. A Figura 2.14 mostra um exemplo desse método.

Figura 2.14: Exemplo do esquema de De Prisco e De Santis (retirado de [29]). Outra técnica sem expansão de pixels é apresentada em [30], que utiliza grades aleatórias (random grids) para gerar as parcelas. Uma grade aleatória é definida como uma matriz bidimensional de pixels, que podem ser totalmente transparentes ou opacos e a escolha entre eles é aleatória com probabilidade 50%, de maneira que não haja correla¸cão entre os valores de diferentes pixels na matriz. A constru¸cão é similar ao esquema proposto por Shamir, sendo a principal diferen¸ca é que não há mais padrões de subpixels. Melhorias e propostas de métodos k − de − n foram apresentadas em [21, 31, 32]. Em [33], os autores mostram uma maneira de transformar a grade aleatória em uma parcela com conteúdo, de maneira similar ao método estendido.

Em [34], Yang apresenta um método probabil´ıstico para gerar as parcelas. Ao contrário do método original, que é determin´ıstico, agora cada pixel da imagem recuperada (i.e. conjunto de subpixels sobrepostos) tem uma probabilidade de ser considerado um pixel de informa¸cão ou pixel de fundo. Esse método traz um aumento da qualidade da imagem recuperada, com ganho de contraste e sem expansão de pixel. Em seguida, Yang et al. [25] propuseram uma combina¸cão do método probabil´ıstico com o tradicional, a qual permite ao usuário definir a qualidade da imagem recuperada a partir de um trade-off entre contraste e tamanho da parcela. Por exemplo, se desejamos uma boa diferen¸ca de contraste para garantir a qualidade da imagem, o tamanho das parcelas será maior.

Sobre o problema de alinhamento, o primeiro artigo a propor uma solu¸cão foi [35]. Nele, os subpixels são representados como pontos circulares com grande quantidade de pixels, tornando as parcelas tolerantes a pequenos desvios de alinhamento. Entretanto, os autores citam problemas de seguran¸ca no método, além do mesmo poder ser utilizado apenas para esquemas 2-de-2. Existem propostas de métodos que inserem alguma to-lerância a desvios de alinhamento de equivalentes à taxa de expansão [36] ou desvios de

(32)

menos de um pixel [37]. Esse método será mostrado em detalhes na Se¸cão 4.1.3.

Além de propostas que utilizam pixels e imagens secretas, outras técnicas que utilizam sobreposi¸cão foram apresentadas. Em 2007, Borchert [38] apresenta um método que utiliza segmentos, semelhante a um display digital, em vez de padrões de pixels. Esse método permite codificar padrões numéricos com alguma vantagem de contraste e facilidade de sobreposi¸cão. A Figura 2.15 mostra um exemplo de parcelas e da sobreposi¸cão das mesmas. Esse método será melhor explicado na Se¸cão 4.1.2.

+

=

Figura 2.15: M´etodo baseado em segmentos de Borchert.

Em 2013, Yang et al. [39] mostram uma técnica que utiliza caracteres em vez de padrões de pixels nas parcelas. Os autores testaram diferentes tipos de caracteres, tais como caracteres romanos e ideogramas japoneses, coreanos e chineses. Os melhores resul-tados foram obtidos utilizando ideogramas chineses, devido à sua complexidade e quan-tidade de informa¸cão em cada s´ımbolo, obtendo melhor contraste nas imagens recons-tru´ıdas. Como utilizam caracteres em vez de pixels, a taxa de expansão das imagens é muito alta, gerando parcelas e imagens recuperadas de grandes dimensões. A Figura 2.16 mostra um exemplo desse método, utilizando ideogramas japoneses, que são mais simples de diferenciar do que os chineses.

Uma proposta diferenciada foi apresentada em [40], pois utiliza projetores em vez de transparências. A sobreposi¸cão das parcelas será realizada em um plano de proje¸cão comum aos projetores, mas essa sobreposi¸cão não é simplesmente alinhar as parcelas. Nesse método, parâmetros como localiza¸cão espacial, ângulo de proje¸cão e ponto focal do projetor são necessários no momento da gera¸cão das parcelas. Dessa maneira, para recuperar o segredo, os projetores devem ser dispostos de maneira que obede¸cam esses parâmetros. A Figura 2.17 mostra um diagrama do posicionamento dos projetores e dos pontos de proje¸cão. A utiliza¸cão de projetores pode trazer alguma melhoria da qualidade da imagem recuperada, principalmente para imagens secretas coloridas, pois a mistura de cores será feita diretamente pela sobreposi¸cão de feixes de luz.

(33)

2.2. Levantamento do Estado da Arte 17

Figura 2.16: Sobreposi¸c˜ao de caracteres japoneses (retirado de [39]).

Em 2011, foi lan¸cado o livro “Visual Cryptography and Visual Secret Sharing” [15], que apresenta uma compila¸cão de artigos presentes na literatura divididos por temas, além de discutir os problemas envolvidos e propostas de aplica¸cão, tornando-se uma das referências básicas para o bom entendimento da área. Um novo livro foi lan¸cado em 2014, com o t´ıtulo “Visual Cryptography for Image Processing and Security” [41], mais conciso e adicionando novos resultados em rela¸cão ao primeiro livro.

A maioria dos trabalhos estudados tiveram como objetivo melhorar a qualidade do segredo recuperado, mas não mostram resultados de sobreposi¸cões usando parcelas im-pressas em material transparente ou em outros tipos de dispositivos. Grande parte das sobreposi¸cões mostradas nos trabalhos foi realizada digitalmente, o que evita problemas reais como desvio de alinhamento e perda de contraste relacionados à qualidade das im-pressões.

(34)

Plano de Projeção

Pontos

Focais

Parcela 1

n

1

n

2

n

P

Parcela 2

Figura 2.17: Parâmetros de configura¸cão dos projetores.

2.3 Seguran¸ca dos M´etodos de Criptograﬁa Visual

Com rela¸cão à seguran¸ca dos métodos de criptografia visual, a maioria dos autores defende que a seguran¸ca do método pode ser garantida somente se cada conjunto de parcelas for utilizado uma única vez. Na maioria dos casos, os autores comparam os métodos de criptografia visual com as cifras one-time-pad, também chamadas de cifras perfeitas, já que é imposs´ıvel para um atacante recuperar qualquer informa¸cão a partir do texto cifrado sem nenhum conhecimento do texto claro [2]. Muitos autores utilizam esses argumentos para indicar a seguran¸ca do método, mas poucos fazem uma demonstra¸cão formal para suas propostas.

Em cenários de reutiliza¸cão de parcelas, o método tradicional de Naor e Shamir para o caso 2-de-2 é especialmente frágil [42]. Caso utilizemos uma parcela chave Sk para

encriptar duas imagens secretas diferentes, teremos como resultados duas parcelas, Sa e

Sb, com alto grau de dependˆencia. Ao sobrepor cada uma das parcelas com a parcela

chave, recuperar´ıamos os segredos diferentes, como desejado. Entretanto, ao sobrepor Sa

(35)

2.3. Seguran¸ca dos Métodos de Criptografia Visual 19 2.18 [42]. Podemos notar que as regiões onde os segredos se intersectam são reveladas em branco. Esse efeito está relacionado com as propriedades associativas e comutativas da opera¸cão XOR. Considerando Cae Cb a sobreposi¸cão da parcelas Sae Sb, respectivamente,

com a parcela Sk, temos: Ca⊕ Cb = (Sk⊕ Sa) ⊕ (Sk⊕ Sb) = Sa⊕ (Sk⊕ Sk) ⊕ Sb = Sa⊕ Sb

Figura 2.18: Resultado da sobreposi¸c˜ao de duas parcelas geradas a partir de uma mesma parcela chave.

Em [43] é apresentado um estudo sobre a vulnerabilidade do método tradicional e um método para gerar parcelas falsificadas, baseado em conhecimento das matrizes base escolhidas para a constru¸cão das transparências, ou seja, a fraude pode ser cometida por um dos participantes com acesso ao algoritmo e parâmetros utilizados para a constru¸cão. Os autores mostram, ainda, um método para que o sistema seja resistente à fraudes desse tipo. Entretanto, em [44] são apresentadas novas maneiras de gerar falsifica¸cões para os métodos tradicionais e estendidos, mesmo que as parcelas sejam geradas com o método de preven¸cão de fraudes proposto em [43]. Também é apresentado um método onde não é necessário conhecimento sobre a constru¸cão das parcelas, somente das parcelas em si. Outros tipos de falsifica¸cões e propostas de métodos de preven¸cão de fraudes são apresentados em [45, 46, 47]. O estudo teórico da seguran¸ca dos métodos de criptografia visual é uma das metas de trabalhos futuros, como dito na se¸cão 5.1.

(36)

2.4 Autentica¸c˜ao de Transa¸c˜oes e Produtos

Autentica¸cão é uma medida de seguran¸ca para verificar e garantir a identidade de um usuário antes de permitir o acesso a determinado servi¸co ou informa¸cão. Atualmente, o meio mais comum de autentica¸cão em servi¸cos simples, como webmail ou redes sociais, é a utiliza¸cão de um nome de usuário e senha, sendo que apenas o usuário tem conhecimento dessas informa¸cões. Entretanto, esse tipo de sistema é vulnerável a roubo de informa¸cão, via phishing ou keylogger instalado no dispositivo em que o usuário está realizando o acesso. Para aumentar o grau de seguran¸ca, outros mecanismos foram inseridos nos protocolos de autentica¸cão, como senhas impressas e um segundo dispositivo sincronizado com um servidor, fazendo com que a seguran¸ca da autentica¸cão se baseie em alguma informa¸cão que o usuário possui no momento da opera¸cão [48].

No que diz respeito a autentica¸cões de transa¸cões bancárias, existe uma grande va-riedade de solu¸cões. A mais comum é a utiliza¸cão de cartões de senha com 40 ou 50 números de 4 ou 5 d´ıgitos, que devem ser digitados quando um usuário realiza opera¸cões via internet, seja via website ou utilizando o aplicativo para dispositivos móveis fornecido pelo banco. Outra solu¸cão são dispositivos especializados que geram chaves de uso único, popularmente conhecidos como tokens de seguran¸ca, que podem ser de dois tipos: um dispositivo que exibe uma sequência numérica; um dispositivo que deve ser conectado ao computador utilizando a porta USB. Um exemplo de token de seguran¸ca é o RSA Secu-rID, mostrado na Figura 2.19 [49]. Alguns bancos substitu´ıram o token de seguran¸ca por um código numérico enviado via SMS para um telefone previamente cadastrado. Essas solu¸cões têm como objetivo realizar autentica¸cão de usuário para o banco.

Figura 2.19: Token RSA SecurID.

No caso de autentica¸cão de produtos, está se tornando uma prática comum a utiliza¸cão de códigos QR (QR Codes) [50], que são códigos de barra bidimensionais contendo in-forma¸cão alfanumérica, como uma URL para uma página da internet onde o usuário pode verificar se aquele produto é autentico. Por exemplo, a empresa Hewlett-Packard (HP) utiliza etiquetas holográficas contendo um código QR para que o usuário possa verificar

(37)

2.4. Autentica¸cão de Transa¸cões e Produtos 21 se o produto é leg´ıtimo. Para a verifica¸cão, basta o usuário utilizar seu dispositivo móvel para ler o código QR e será redirecionado para um website onde poderá verificar se o produto é autêntico. A Figura 2.20 mostra o selo presente em um cartucho de impressora.

Figura 2.20: Modelo de selo de autentica¸c˜ao da Hewlett Packard.

Um dos problemas de utilizar códigos QR é a grande facilidade de se gerar um novo código a partir de websites da internet. Uma busca simples por “qr code generator” retorna websites que permitem gerar códigos personalizados, com o conteúdo que escolhermos e sem nenhum tipo de valida¸cão. A Figura 2.21 mostra um código QR gerado a partir de um desses websites [51], contendo o t´ıtulo dessa disserta¸cão.

Figura 2.21: Exemplo de c´odigo QR gerado em website.

Infelizmente, essa facilidade em gerar códigos QR pode ser explorada para criar falsi-fica¸cões elaboradas. Utilizando um produto original para termos acesso aos detalhes do processo de autentica¸cão, podemos copiar o website da empresa e criar uma versão falsa,

(38)

com caracter´ısticas semelhantes e que fa¸ca com que o usuário acredite que está autenti-cando um produto original. Seguindo essa ideia, criamos uma cópia do site de autentica¸cão da HP, hospedada na área pessoal do aluno no servidor do Instituto de Computa¸cão. Essa cópia foi criada com propósitos unicamente acadêmicos, para mostrar a fragilidade de um protocolo que utiliza códigos QR, e teve o texto FAKE inclu´ıdo em diversos locais, como logotipos e textos, salientando que se trata de uma cópia alterada. A Figura 2.22 mostra, lado a lado, a visualiza¸cão da primeira página do sistema de verifica¸cão de legitimidade da HP em um smartphone. Já a Figura 2.23 mostra a segunda página, que deve informar ao cliente se o produto é original ou não.

Figura 2.22: Primeira página da verifica¸cão de produtos da HP (original e cópia). No caso dos medicamentos, a Agência Nacional de Vigilância Sanitária (Anvisa) reco-menda aos fabricantes o uso de alguns recursos que dificultem a falsifica¸cão, como lacres com o logotipo do fabricante, tinta reativa a material metálico na caixa do medicamento e dados de produ¸cão (data de fabrica¸cão, validade e lote) em baixo relevo. A Figura 2.24 mostra uma imagem dispon´ıvel no site da Anvisa, com indica¸cões sobre o posicionamento de cada um desses itens. Essas medidas apenas dificultam a falsifica¸cão, mas não a impe-dem. No ano de 2013 foram encontradas 134 falsifica¸cões de medicamentos ou cosméticos [52]. No ano de 2014, até o mês de Outubro, foram encontradas 9 falsifica¸cões. Essas falsifica¸cões podem ser bastante elaboradas, com boa qualidade de impressão e contendo dados de produ¸cão de produtos originais estampados nas caixas.

Foram encontrados relatos de pe¸cas automotivas falsificadas, como pastilhas de freio, limpadores de parabrisa e velas de motor. Entretanto, não encontramos maiores in-forma¸cões nos sites dos fabricantes sobre como verificar se um produto é autêntico.

(39)

2.5. Aplica¸cões de Criptografia Visual em Autentica¸cão 23

Figura 2.23: Segunda página da verifica¸cão de produtos da HP (original e cópia).

Figura 2.24: Recomenda¸c˜oes de seguran¸ca da Anvisa [52].

Para os cenários apresentados anteriormente, foram propostos esquemas que utilizam criptografia visual como solu¸cão robusta para autentica¸cão, como mostraremos na Se¸cão 2.5.

2.5 Aplica¸cões de Criptografia Visual em Autentica¸cão

A criptografia visual foi apresentada inicialmente como método de compartilhamento de segredos, porém existem propostas para sua aplica¸cão como alternativa de autentica¸cão por dois fatores. A primeira aplica¸cão em autentica¸cão envolvendo criptografia visual foi apresentada em 1997 por Naor e Pinkas em [53], com o objetivo de realizar transa¸cões bancárias com seguran¸ca mesmo se o dispositivo estiver comprometido por algum malware.

(40)

O método sugerido utiliza um conjunto de transparências distribu´ıdo para os clientes de um banco, que deve posicionar uma das transparências sobre a tela de um dispositivo, revelando informa¸cões para a valida¸cão daquela transa¸cão. Essas informa¸cões podem ser, por exemplo, código da agência bancária, número da conta e valor da transa¸cão. A Figura 2.25 mostra um exemplo de aplica¸cão em autentica¸cão, utilizando uma parcela impressa em material transparente. A Figura 2.26 mostra o resultado esperado da sobreposi¸cão de uma transparência em um monitor, exibindo o segredo revelado.

BANCO ABCD

Sobreponha a transparência para revelar o segredo

Digite aqui o TAN revelado: Agência

Conta Valor TAN

Con�rmar

Figura 2.25: Exemplo de aplica¸c˜ao de autentica¸c˜ao. BANCO ABCD

Sobreponha a transparência para revelar o segredo

Digite aqui o TAN revelado: Agência Conta Valor TAN

1234

010992679

10845

18936270

Con�rmar

Figura 2.26: Resultado da sobreposi¸c˜ao da transparˆencia em um monitor.

Após verificar as informa¸cões reveladas, o usuário poderia inserir o número de au-tentica¸cão único para aquela transa¸cão, também revelado na sobreposi¸cão, e confirmar a transa¸cão no sistema de internet banking. Esse número de autentica¸cão, normalmente chamado de TAN (transaction autentication number), pode ser gerado utilizando os dados da transa¸cão como parâmetros, tornando-se único para aquele conjunto de dados. Tais

(41)

2.5. Aplica¸cões de Criptografia Visual em Autentica¸cão 25 medidas tornam o sistema resistente contra ataques do tipo homem-no-meio

(man-in-the-middle)[2], onde um atacante intercepta informa¸c˜ao transferida pelo canal seguro e pode

substituir valores ou dados da transa¸cão, possibilitando o desvio de valores. O método torna-se mais resistente a ataques desse tipo, pois o código de autentica¸cão de transa¸cão revelado após a sobreposi¸cão é único para os dados dessa transa¸cão, ou seja, o atacante não consegue utilizar esse código para autenticar outras transa¸cões. Uma técnica similar é proposta em [54] e envolve revelar áreas clicáveis dentro da imagem recuperada, tornando o sistema seguro contra ataques de homem-do-meio que utilizam trojans e keyloggers, pois elimina a necessidade do usuário digitar códigos de autentica¸cão. Seguindo o mesmo princ´ıpio de áreas clicáveis, a imagem secreta pode conter um teclado numérico virtual, com números em posi¸cões aleatórias, para que o usuário insira alguma senha ou TAN por meio de cliques sobre os números. A Figura 2.27 mostra um exemplo de segredos revelados contendo áreas clicáveis e um teclado virtual, onde o usuário poderia clicar para informar alguma senha.

BANCO ABCD

Posicione seu dispositivo móvel para revelar o segredo:

Clique nos círculos pretos para Con�rmar a transação

Agência Conta Valor TAN

1234

010992679

10845

18936270

Figura 2.27: Propostas de aplica¸c˜oes em autentica¸c˜ao.

Considerando a parte do protocolo que depende apenas da criptografia visual, con-sideramos as seguintes etapas: gera¸cão das parcelas, entrega da parcela do usuário e da parcela exibida em um dispositivo, sobreposi¸cão das parcelas, recupera¸cão do segredo e confirma¸cão da transa¸cão. A partir dessas etapas, elaboramos o fluxograma mostrado na Figura 2.28, destacando com os números 1 e 2 onde os principais problemas práticos po-dem ocorrer, tais como problemas de entrega de parcelas ao usuário e problemas durante a sobreposi¸cão das parcelas.

Conforme dissemos na Se¸cão 2.2, a seguran¸ca do método de criptografia visual tradi-cional é garantida quando cada conjunto de parcelas é utilizado apenas uma vez. Dessa forma, um dos problemas do protocolo proposto é a quantidade de parcelas que um banco

(42)

Gerar

Parcelas EntregarParcelas Sobreposição /Recuperação

Dispositivo Transparência 1

2

Figura 2.28: Fluxograma de autentica¸c˜ao utilizando criptograﬁa visual.

deve fornecer ao usuário para que o mesmo possa autenticar um número razoável de transa¸cões antes de solicitar novas transparências. Assim, temos um problema de en-trega de parcelas ao usuário, que está representado pelo número 1 da Figura 2.28. Além da entrega, esse número de parcelas pode gerar incômodo ao usuário, fazendo com que o mesmo carregue um conjunto de transparências para que possa realizar autentica¸cões quando necessário. Em [53] Naor e Pinkas propuseram um método de reutiliza¸cão de um conjunto de parcelas, dividindo-as em áreas menores que revelam diferentes segredos de acordo com a área escolhida para realizar a sobreposi¸cão. Um dos problemas desse método é que o tamanho da imagem secreta deve ser reduzido, podendo trazer problemas durante a recupera¸cão do segredo.

Recentemente, Piva [55] apresentou uma técnica de gera¸cão que permite a reutiliza¸cão de parcelas com maior seguran¸ca. No protocolo de autentica¸cão proposto, é utilizado um dispositivo móvel e uma parcela impressa em material transparente. Essa parcela é gerada de maneira aleatória, com 50% dos pixels pretos. Com o conhecimento do conteúdo da parcela entregue ao usuário, o banco gera uma parcela digital para cada transa¸cão, seguindo critérios diferentes dos tradicionais, garantindo a seguran¸ca mesmo quando a mesma parcela impressa é utilizada para algum número de autentica¸cões. O número de vezes que uma parcela pode ser utilizada ainda não está bem definido, mas é um resultado importante para a pesquisa de reutiliza¸cão.

Além do problema da quantidade de transparências que devem ser entregues ao usuário, a utiliza¸cão de parcelas impressas traz outros problemas. Um deles está relacionado à qua-lidade da impressão, pois é dif´ıcil e custoso imprimir em material transparente com tinta totalmente opaca (que impede a passagem de luz). Se a impressão não for feita com qualidade, poderá ocorrer uma perda de contraste adicional, que pode prejudicar a recu-pera¸cão e entendimento do segredo. No fluxo da Figura 2.28, esse problema é indicado com o número 2.

(43)

2.5. Aplica¸cões de Criptografia Visual em Autentica¸cão 27 Outro problema está relacionado à etapa de sobreposi¸cão em si, já que existe uma grande variedade de dispositivos como monitores, tablets e smartphones dispon´ıveis no mercado, com diferentes tamanhos e resolu¸cões de tela, tornando a etapa de sobreposi¸cão complicada, pois o banco deveria fazer um tipo de ajuste no tamanho da parcela exibida no dispositivo para ser compat´ıvel com o tamanho da transparência impressa. Como dito na Se¸cão 2.1, o alinhamento das parcelas sobrepostas deve ser o melhor poss´ıvel, já que pequenos desvios podem impedir a recupera¸cão do segredo.

No CeBit 2014 [56], foi apresentado pela empresa inglesa Tento Technologies [57] um produto chamado Tento Cards, que incorpora uma mistura de applet Java com parcela impressa em material transparente para realizar login. Um website que utiliza o produto forneceria instru¸cões de como o usuário poderia adquirir e imprimir sua parcela em um cartão, que seria utilizado a cada login, revelando ao usuário uma nova senha a cada acesso. Para identificar o usuário, ele deve entrar com nome de usuário e sua senha para o sistema da Tento, fazendo com que o applet exiba a parcela digital na tela e permitindo ao usuário realizar a sobreposi¸cão do cartão. A empresa alega que um único cartão transparente pode ser utilizado mais de três milhões de vezes, entretanto não fornece nenhuma indica¸cão de análise formal de seguran¸ca. A Figura 2.29 mostra um exemplo do produto, obtido no site da empresa [57]. Vale ressaltar que apesar da similaridade conceitual, a produto tem pouca rela¸cão com criptografia visual.

Figura 2.29: Exemplo de Tento Cards presente no site da empresa.

No mesmo contexto, em 2013 a AT&T apresenta o EyeDecrypt [58], que não utiliza criptografia visual, mas uma codifica¸cão diferenciada onde um segredo é separado em blocos e cifrado. O usuário deve utilizar um dispositivo móvel para revelar o segredo. Nesse caso, o dispositivo funciona como uma ”lente”, decifrando o conteúdo e revelando visualmente o segredo na tela do dispositivo para o usuário, utilizando uma espécie de realidade aumentada. Os autores alegam que essa proposta é interessante principalmente para acesso de conteúdo sens´ıvel em locais públicos, como saldo de conta bancária exibido na tela de um caixa eletrônico ou até mesmo inser¸cão da senha para opera¸cões bancárias.

(44)

A Figura 2.30 mostra um exemplo de bloco de texto cifrado para o EyeDecrypt e a Figura 2.31 mostra o segredo revelado para o usu´ario.

Figura 2.30: Esquema de codiﬁca¸c˜ao de cada bloco do EyeDecrypt

Figura 2.31: Aspecto da recupera¸c˜ao de segredo via EyeDecrypt.

Em Setembro de 2014, foi lan¸cado o livro ”Authentication in Insecure Enviroments”[42], onde o autor faz uma análise da seguran¸ca de protocolos que utilizam criptografia visual e analisa formalmente um protocolo que utiliza uma codifica¸cão diferenciada para números, que o autor chama de codifica¸cão em dados (dice coding). Para isso, o autor define um modelo de ataque onde o atacante somente tem acesso ao texto cifrado escolhido, que se aproxima de um cenário de aplica¸cão real.

Diversos autores propuseram aplica¸cões que utilizam criptografia visual, mas há pou-cos ind´ıcios de resultados experimentais na literatura. Na Se¸cão 3.1, mostramos nossa proposta de aplica¸cão em autentica¸cão, que utiliza um dispositivo móvel como “trans-parência”, contornando alguns dos problemas práticos descritos na Se¸cão 2.1.

(45)

Cap´ıtulo 3

Proposta de Solu¸c˜ao

Nesse cap´ıtulo, apresentaremos nossa proposta de solu¸cão para os problemas citados na Se¸cão 2.5, transformando um dispositivo móvel em uma “transparência”, utilizando sua câmera e tela. Ao utilizarmos um dispositivo móvel, tornamos protocolos de autentica¸cão que utilizam criptografia visual mais práticos, facilitando a entrega de parcelas ao usuário em tempo real e fornecendo uma maneira de sobrepor automaticamente as parcelas.

3.1 Nossa Proposta

Nossa proposta de solu¸cão para os problemas apresentados na Se¸cão 2.5 envolve tornar o dispositivo móvel uma “transparência”, utilizando sua câmera para visualizar uma parcela presente em outro meio, como um monitor ou na embalagem de um produto, e sobrepô-la com uma parcela digital presente no dispositivo, revelando o segredo ao usuário. Até onde temos conhecimento, nossa proposta é a primeira a utilizar criptografia visual dessa maneira, explorando a grande variedade de dispositivos móveis presentes no mercado, desde que o dispositivo possua câmera e capacidade de processamento suficiente. A Figura 3.1 mostra o resultado que deve ser exibido para o usuário após o sistema de alinhamento automático sobrepor as parcelas.

A utiliza¸cão de um dispositivo móvel no protocolo de autentica¸cão traz vantagens imediatas, contornando os problemas práticos de se utilizar criptografia visual para au-tentica¸cão citados anteriormente. Uma das vantagens é a facilidade de distribui¸cão de parcelas, que podem ser geradas em tempo real por uma institui¸cão bancária e enviada para o dispositivo via internet, utilizando o dispositivo que o usuário já possui e eli-minando a necessidade de gerar parcelas impressas com qualidade. Outra vantagem é utilizar a capacidade computacional do dispositivo móvel para auxiliar no processo de ali-nhamento e sobreposi¸cão das parcelas, facilitando a recupera¸cão do segredo. Mostraremos no Cap´ıtulo 3.2 como isso é poss´ıvel.

(46)

BANCO ABCD

Digite aqui o TAN revelado:

Agência Conta Valor TAN Con�rmar Agência Conta Valor TAN 1234 010992679 10845 18936270

Figura 3.1: Resultado da sobreposi¸c˜ao utilizando dispositivo m´ovel.

Além da criptografia visual tradicional, podemos utilizar outros esquemas conhecidos, como o baseado em segmentos, já que ele apresenta algumas vantagens com rela¸cão ao método tradicional, tais como melhor contraste e maior tolerância a desvios de alinha-mento, como discutiremos na Se¸cão 4.1.2. Um exemplo de resultado esperado é mostrado na Figura 3.2.

BANCO ABCD

Digite aqui o TAN revelado:

Agência Conta Valor TAN Con�rmar Agência Conta Valor TAN

Figura 3.2: Resultado de sobreposi¸cão utilizando o método baseado em segmentos. Explorando o nosso sistema de alinhamento, podemos utilizá-lo em qualquer protocolo de autentica¸cão baseado na sobreposi¸cão de duas imagens. A Figura 3.3 mostra como utilizar nosso sistema para revelar segredos utilizando Grelhas de Cardano, que é um

(47)

3.1. Nossa Proposta 31 método clássico de esteganografia desenvolvido por Girolamo Cardano (1501-1576) [59], que utiliza uma placa de material opaco com aberturas, que quando sobreposta em um texto, destaca certas letras e revela o segredo. No nosso exemplo, exibimos um conjunto de números em uma área de um monitor e posicionamos o dispositivo móvel, que realizará a sobreposi¸cão de uma imagem que possui áreas transparentes. Após a sobreposi¸cão, alguns números seriam destacados, revelando uma ordem que o usuário deve digitá-los.

BANCO ABCD

1 4 7 2 8 4 2 9 6 1 4 8 2 5 3 9 0 4 8 1 3 5 9 2 4 5 2 6 0 2 7 3 1 4 2 7 6 3 9 5 5 3 8 5 4 1 2 6 9 0 1 4 7 2 8 4 2 9 6 1 4 8 2 5 3 9 0 4 8 1 3 5 9 2 4 5 2 6 0 2 7 3 1 4 2 7 6 3 9 5 5 3 8 5 4 1 2 6 9 0

Figura 3.3: Resultado de sobreposi¸c˜ao utilizando Grelhas de Cardano.

3.1.1 Poss´ıveis protocolos de autentica¸c˜ao

Nesta se¸cão apresentaremos poss´ıveis protocolos para o cenário de autentica¸cão de transa¸cões bancárias e para a verifica¸cão de legitimidade de produtos. Esses protocolos precisam ser melhor estudados, estabelecendo critérios necessários para manter a seguran¸ca do proto-colo e poss´ıveis ataques ao mesmo.

No cenário de autentica¸cão bancária, um banco poderia gerar duas parcelas, exibindo uma em um monitor e enviando a outra para o dispositivo móvel de um usuário. Ao receber a parcela, o usuário utilizaria nosso sistema de alinhamento para revelar o segredo, revelando um código de autentica¸cão, que deve ser digitado para realizar a confirma¸cão da transa¸cão. Supondo que o sistema de internet banking possui um módulo de gera¸cão de parcelas, que envia uma parcela para o dispositivo móvel com toda a seguran¸ca necessária. As etapas desse protocolo seriam:

1. Antes de realizar transa¸cões bancárias, o usuário deve obter o aplicativo fornecido pelo banco, que contém a seguran¸ca necessária para o envio das parcelas e o sistema de alinhamento proposto.

(48)

2. O usuário acessa o sistema de internet banking, solicitando uma transa¸cão bancária. 3. O sistema de internet banking solicita a um gerador de parcelas um conjunto de

parcelas para a autentica¸c˜ao da transa¸c˜ao.

4. O gerador de parcelas utiliza dados da transa¸c˜ao para criar uma imagem secreta e envia para o sistema de internet banking.

5. O sistema de internet banking exibe no monitor do usuário uma das parcelas; e envia para o dispositivo móvel, de maneira segura, a segunda parcela. Esse envio pode utilizar outras opera¸cões criptográficas para garantir a seguran¸ca.

6. O dispositivo móvel recebe a parcela, por meio do aplicativo fornecido pelo banco. 7. O usuário posiciona o dispositivo móvel na frente do monitor do computador,

bus-cando enquadrar na tela a parcela exibida no mesmo.

8. O aplicativo detecta a parcela exibida no monitor e sobrep˜oe automaticamente a parcela recebida, revelando o segredo.

9. O usuário reconhece o segredo visualmente, e deve digitar o código de valida¸cão da transa¸cão no sistema de internet banking após verificar os dados da transa¸cão. 10. Após receber o código de valida¸cão, o banco realiza a transa¸cão e exibe um

compro-vante para o usu´ario.

Poder´ıamos substituir o código de valida¸cão digitado por um teclado virtual ou área clicável dentro do segredo, tornando o sistema ainda mais seguro contra ataques do tipo homem-do-meio.

No caso de autentica¸cão de produtos, o fabricante poderia fornecer instru¸cões na em-balagem de como obter a parcela adequada a partir do seu website, por exemplo. Ao obter a parcela digital, o usuário utilizaria novamente nosso sistema de alinhamento para verificar se o produto é leg´ıtimo. As etapas desse protocolo seriam:

1. O fabricante do produto gera, no momento da impressão da embalagem do produto, uma parcela a partir de uma semente aleatória e a imprime na embalagem. Essa semente será utilizada para construir a parcela do usuário e pode ser um timestamp da fabrica¸cão do produto, por exemplo.

2. Ao adquirir o produto, o usu´ario acessa o website do fabricante, baixando um apli-cativo para a autentica¸c˜ao daquele produto.

(49)

3.2. Sistema de Sobreposi¸cão Automática 33 4. O aplicativo utiliza a informa¸cão para gerar a parcela correspondente e inicia o

sistema de alinhamento autom´atico de parcelas.

5. Após o alinhamento, o usuário poderá verificar as informa¸cões que permitem au-tenticar o produto, como logotipo da empresa, lote do produto, ou até mesmo um código adicional, que o usuário deverá inserir no website do fabricante, obtendo mais informa¸cões sobre o produto.

Esse protocolo é similar ao que utiliza códigos QR, citado na Se¸cão . Porém, ao utilizar criptografia visual, aumentamos muito a dificuldade e o custo de criar falsifica¸cões convincentes, tornando uma fraude menos praticável.

3.2 Sistema de Sobreposi¸c˜ao Autom´atica

Nessa se¸cão, apresentaremos detalhes da implementa¸cão de uma prova de conceito desen-volvida para Android. Utilizando a ideia de transformar o celular em uma transparência, fizemos três implementa¸cões. A primeira simplesmente insere uma transparência sobre a visualiza¸cão da câmera, que não trouxe bons resultados. Na segunda implementa¸cão, inserimos o sistema de alinhamento automático, que utiliza técnicas comuns de análise de imagens para detectar a parcela alvo. A terceira implementa¸cão utiliza pontos de controle presentes na parcela alvo para encontrar as coordenadas de sobreposi¸cão.

3.2.1 Primeira Implementa¸c˜ao

A primeira tentativa de implementa¸cão teve o objetivo de observar a viabilidade de uti-lizar um dispositivo móvel como transparência. Para isso, desenvolvemos um aplicativo em que poder´ıamos adicionar uma parcela gerada utilizando criptografia visual sobre a visualiza¸cão da câmera. Essa visualiza¸cão da câmera (camera preview) é uma estrutura que mostra na tela do dispositivo o que está sendo capturado pela câmera do dispositivo. A Figura 3.4 mostra a interface principal da nossa aplica¸cão, onde vemos a parcela trans-parente sobre a visualiza¸cão da câmera. Podemos notar que alguns pontos de controle foram adicionados à parcela, para facilitar o processo de alinhamento.

Os resultados para essa implementa¸cão não foram satisfatórios, pois havia grande dificuldade para a sobreposi¸cão das parcelas. Devido ao próprio método de captura de imagens pela câmera, pequenos movimentos da posi¸cão do dispositivo geravam dis-tor¸cões no aspecto da parcela capturada, tornando muito dif´ıcil o alinhamento preciso e a recupera¸cão do segredo. A Figura 3.5 mostra um exemplo do problema de desvio de alinhamento devido à dificuldade de sobreposi¸cão das parcelas.

(50)

Essa primeira implementa¸cão nos mostrou a necessidade do dispositivo móvel realizar a sobreposi¸cão e alinhamento das parcelas, facilitando a utiliza¸cão e recupera¸cão do segredo por parte do usuário. Na Se¸cão 3.2.2, mostraremos como isso é poss´ıvel.

Figura 3.4: Aparˆencia da primeira implementa¸c˜ao.

Figura 3.5: Problema na sobreposi¸c˜ao das parcelas utilizando a primeira implementa¸c˜ao.

3.2.2 Segunda Implementa¸c˜ao

Tendo em vista a dificuldade para realizar o alinhamento das parcelas utilizando a primeira implementa¸cão, buscamos maneiras para que o dispositivo móvel auxilie o usuário nessa tarefa. Para isso, utilizamos técnicas presentes na literatura de Análise de Imagens [60] para localizar a parcela alvo e realizar a sobreposi¸cão da parcela complementar. Essa etapa de localiza¸cão é essencial, pois o aplicativo será capaz de realizar opera¸cões de

(51)

3.2. Sistema de Sobreposi¸cão Automática 35 transforma¸cão de perspectiva, buscando o melhor ajuste para cada quadro capturado pela câmera. Vale ressaltar que o processamento de cada quadro pode ser realizado de diversas maneiras, desde que o resultado sejam as coordenadas necessárias para a sobreposi¸cão precisa das parcelas. As etapas gerais para o nosso sistema de alinhamento automático são:

1. Capturar a parcela alvo utilizando a cˆamera do dispositivo m´ovel.

2. Processar o quadro capturado, obtendo coordenadas para a sobreposi¸c˜ao precisa das parcelas.

3. Transformar e mesclar a informa¸c˜ao da parcela complementar com o quadro pro-cessado, utilizando as coordenadas obtidas.

4. Exibir o resultado da sobreposi¸c˜ao na tela do dispositivo m´ovel.

A segunda e a terceira etapas podem ser realizadas de diversas maneiras, tais como deteçcão de objetos ou reconhecimento de padrões. Para essa implementa¸cão, utilizamos deteçcão de objetos retangulares.

Para as opera¸cões de manipula¸cão de imagens, utilizamos a biblioteca OpenCV 2.4.8 [61], por ser otimizada para esse tipo de opera¸cões. Uma prova de conceito inicial foi implementada na linguagem Python 2.7.5 em um Ubuntu Linux 13.10, onde a webcam exercia o papel da câmera do dispositivo móvel. Após os testes necessários para deter-mina¸cão de parâmetros, implementamos uma prova de conceito para Android, utilizando o Android-SDK (versão de 30/10/2013) e OpenCV 2.4.8 para Android. Para a execu¸cão de aplicativos desenvolvidos utilizando OpenCV para Android, é necessário instalar o OpenCV Manager, dispon´ıvel no Google Play [62], que carrega os elementos necessários para a execu¸cão do aplicativo e faz a comunica¸cão entre as aplica¸cões e o hardware do dispositivo, visando melhor compatibilidade.

Nessa implementa¸cão utilizamos técnicas de análise de imagens para calcular os ex-tremos da parcela impressa e, a partir deles, calcular a transforma¸cão necessária para realizar a sobreposi¸cão. De maneira breve, essas etapas são:

1. Suaviza¸cão da imagem capturada, para retirar o excesso de informa¸cão para as próximas etapas.

2. Limiariza¸c˜ao da imagem suavizada, para diferenciar o conte´udo da parcela com o fundo da imagem.

3. Opera¸cões morfológicas de fechamento, para eliminar o excesso de informa¸cão para as próximas etapas.