DES, RSA, Rijndael, AES, Hã?!

Se você não conhece pelo menos metade das siglas acima e como classificá-las, pare por alguns segundos e leia este post. Todas elas referem-se a algoritmos de criptografia, alguns simétricos e outros de chave pública. O quê? Não sabe o que é isto também? Ok, explico.

Primeiro saiba que este conteúdo não está aqui  por acaso. O motivo é simples: paralelamente ao meu trabalho, continuo estudando para concursos públicos e com certeza dando muita ênfase ao conteúdo técnico, que é o que mais gosto e uso no dia-a-dia.

Quanto às siglas e termos, é simples. Os algoritmos simétricos são todos aqueles que usam a mesma chave para criptografar e descriptografar. Enquanto que os de chave pública usam chaves diferentes.

Saiba mais sobre os algoritmos de criptografia com o livro
Redes de Computadores disponível na Submarino ou no Buscapé

O DES (Data Encryption Standard) pertence à categoria de algoritmos simétricos. Foi desenvolvido pela IBM, utiliza chaves de 56 bits e blocos de 64 bits. Seu substituto, o Triple DES, também foi criado pela IBM, usa duas chaves, totalizando 128 bits e blocos de  64 bits.

Rijndael e AES (Advanced Encryption Standard) são sinônimos. O NIST (National Institute of Standards and Technology) precisava de um novo algoritmo para o Governo Federal dos Estados Unidos. Então patrocinou um concurso de criptografia com o intuito de selecionar um algoritmo que seria chamado de AES. Os vendedores foram Joan Daemen e Vincent Rijmen, com o algoritmo chamado Rijndael. Enfim, o AES ou Rijndael usa chave simétrica de 128, 192 ou 256 bits e blocos de 128 bits.

Por último e não menos importante existe também o RSA. Dos que citei no título do post, este é o único algoritmo de chave pública. Foi criado por pesquisadores do MIT e possui chaves de pelo menos 1024 bits, o que torna o seu processamento mais demorado, porém ainda assim muito eficiente.

Mas e aí, por que isso é importante?

Essa parte do post fica para os concurseiros. Em 2008 no concurso do Ministério Público do Rio Grande do Sul (MP RS), a oitava questão abordava justamente os algoritmos citados acima. Veja:

Um algoritmo de chave pública muito forte, cuja desvantagem é exigir chaves de pelo menos 1024 bits para manter um bom nível de segurança, quando comparado com os 128 bits usados pelos de chave simétrica, é o:

A) SHA-1
B) DES
C) RSA
D) Rijndael
E) AES

E aí? Já sabe a resposta?

SHA-1 podemos eliminar sem pensar muito, pois é uma função hash. DES, Rijndael e AES não são, pois como mostrei acima eles são algoritmos de chave simétrica e não pública conforme afirma a questão. Só restou a letra C, RSA, que é o único dos citados que utiliza chaves de pelo menos 1024 bits.

Fonte: livro Redes de Computadores, Andrew S. Tanenbaum

Por hoje é só.

Até +.

Segregação de responsabilidades (segregation of duties)

O princípio da segregação de responsabilidades é mais interessante do que o próprio nome.

Segregação no bom português significa separação ou isolamento. Trazendo isto para o mundo da TI temos um conceito muito bacana que define o seguinte padrão:

• Escolha uma função crítica sujeita a fraudes;
• Divida esta função em etapas sendo que somente o conjunto completo destas é suficiente para finalizar a função;
• Defina cada etapa para uma pessoa ou equipe.

Portanto SoD (segregation of duties) na prática é ter mais de uma pessoa ou equipe para completar uma tarefa.

Mas por que estou falando disto?

Talvez muitos não saibam, mas o SERPRO (Serviço Federal de Processamento de Dados) abriu concurso público para preenchimento de diversas vagas na área de TI. A idéia deste post e certamente de outros que virão é discutir alguns assuntos cobrados nas provas. Segregação de responsabilidades, por exemplo, fez parte da questão 54 do último concurso.

Agora responda a questão que caiu na prova:

54. Segundo o princípio de segregação de responsabilidades (segregation of duties), em segurança da informação, na concepção de processos de negócios que podem ser fraudados, sempre deve haver a concentração de responsabilidades em uma pessoa. Como exemplo, as ações de solicitar uma compra de produto e atestar o recebimento do mesmo devem ser feitas pela mesma pessoa.

Os trechos em negrito dão as dicas para a resposta correta. Portanto, a afirmação está errada.

Por hoje é só.

Até +.

Ps: escrever sobre um concurso não significa mudar de emprego. Sempre existem coisas interessantes que podemos absorver nestas provas.