Criptografia on Defesa em profundidade

Criptografia homomórfica: processando dados sem os decifrar

Tue, 05 Aug 2025 00:00:00 +0000

#!/intro

A criptografia homomórfica é uma técnica criptográfica que permite realizar cálculos diretamente sobre dados cifrados, sem nunca ser necessário decifrá-los. Esta característica desafia o modelo tradicional de segurança da informação, no qual os dados devem ser previamente decifrados para serem processados, expondo-os temporariamente a riscos de fuga ou manipulação.

Este paradigma tem implicações profundas para a segurança digital, especialmente em contextos em que a privacidade é crítica. Ao eliminar a necessidade de confiar no ambiente de processamento, a criptografia homomórfica introduz um novo nível de separação entre o operador do sistema e os dados manipulados.

Criptografia pós-quântica no OpenSSH

Sat, 12 Jul 2025 00:00:00 +0000

#!/intro

O SSH é um dos pilares da segurança na infraestrutura digital moderna. Utilizado para acesso remoto seguro, transferência protegida de ficheiros e encaminhamento cifrado de tráfego de rede, o protocolo tornou-se essencial em contextos onde a integridade e a confidencialidade das comunicações são requisitos críticos. A sua fiabilidade e versatilidade fazem dele uma ferramenta robusta para suportar operações seguras em ambientes distribuídos.

A computação quântica ameaça comprometer os fundamentos da criptografia clássica, tornando viável a quebra dos algoritmos criptográficos utilizados pelos protocolos que sustentam a segurança do SSH. Este risco, agravado exposição ao modelo de ataque store now, decrypt later, que pode já estar a ser utilizado para recolher e armazenar comunicações cifradas com vista à sua futura quebra, exige uma transição urgente para esquemas resistentes a ataques quânticos (veja também A ameaça quântica: o fim da criptografia clássica).

Hashing de palavras-passe: segurança no armazenamento de credenciais

Tue, 20 May 2025 00:00:00 +0000

#!/intro

A autenticação por palavra-passe continua a ser um dos métodos mais comum de controlo de acesso a sistemas digitais. A sua popularidade deve-se à facilidade de implementação e à familiaridade junto dos utilizadores. No entanto, esta simplicidade acarreta um conjunto de fragilidades que, se não forem devidamente tratadas, podem comprometer seriamente a segurança dos sistemas.

A robustez deste método de autenticação depende, em grande medida, da forma como as palavras-passe são protegidas. Entre os diversos mecanismos de proteção disponíveis, a dispersão criptográfica, ou hashing, destaca-se como uma técnica essencial para impedir a exposição direta de dados de acesso em caso de violação.

Criptografia pós-quântica no OpenSSL

Thu, 08 May 2025 00:00:00 +0000

#!/intro

A criptografia pós-quântica representa uma resposta direta às ameaças que a computação quântica representa para criptografia clássica, dado que a sua capacidade de cálculo tem o potencial de comprometer os sistemas baseados em algoritmos como RSA, DSA ou curvas elípticas.

Para mitigar este risco, o NIST conduziu um longo processo de padronização de algoritmos resistentes a ataques quânticos, culminando na padronização dos novos standards como os ML-KEM, ML-DSA e SLH-DSA (veja também Criptografia pós-quântica: os novos algoritmos).

Formatos criptográficos em OpenSSL: carateristicas e aplicação

Tue, 08 Apr 2025 00:00:00 +0000

#!/intro

A utilização segura de criptografia depende não só dos algoritmos escolhidos, mas também da forma como os dados criptográficos, como chaves, certificados e assinaturas, são representados, armazenados e transferidos.

O OpenSSL suporta diversos formatos criptográficos, cada um com estrutura própria, suporte a diferentes tipos de conteúdo, mecanismos de proteção distintos e níveis variados de compatibilidade com outras ferramentas e normas. Essas diferenças afetam diretamente a segurança e a interoperabilidade dos sistemas onde são aplicados.

Migração para criptografia pós-quântica: desafios e estratégias

Thu, 27 Mar 2025 00:00:00 +0000

#!/intro

A transição para algoritmos criptográficos resistentes a ataques com recurso a computação quântica (PQC) constitui um dos maiores desafios tecnológicos da década. À medida que se aproxima o ponto de inflexão no desenvolvimento de computadores quânticos criptograficamente relevantes, conhecido como “Q-Day”, aumenta a urgência em mitigar os riscos relacionados com a vulnerabilidade dos algoritmos atualmente utilizados.

Os novos algoritmos (veja também Criptografia pós-quântica: os novos algoritmos) já foram normalizados, mas a sua adoção generalizada vai requerer uma transformação profunda da infraestrutura tecnológica e dos processos organizacionais.

Gerir keystores em Java

Tue, 11 Mar 2025 00:00:00 +0000

#!/intro

No ecossistema Java, os keystores desempenham um papel fundamental no armazenamento de ativos criptográficos. Servem como repositórios seguros para armazenar chaves privadas, certificados e, nalguns casos, chaves simétricas. Estes são essenciais em aplicações que utilizam SSL/TLS, assinatura digital, autenticação mútua e outros mecanismos de segurança.

> keystore_vs_truststore

Apesar de frequentemente confundidos, keystores e truststores têm papéis distintos dentro do ecossistema de segurança em Java. Um keystore armazena chaves privadas e os respetivos certificados, normalmente utilizados para autenticar a aplicação ou servidor. Um truststore, por outro lado, contém apenas certificados de terceiros confiáveis, geralmente autoridades certificadoras (CA). Embora possam partilhar o mesmo formato de ficheiro, é prática recomendada mantê-los separados por razões de segurança e gestão.

Confiança e identidade em Java: formatos de keystore

Sat, 08 Feb 2025 00:00:00 +0000

#!/intro

A segurança da informação é um pilar essencial em qualquer aplicação moderna, especialmente no contexto de armazenamento e gestão de ativos criptográficos.

No ecossistema Java, os keystores desempenham um papel fundamental nesta tarefa, servindo como repositórios seguros para chaves privadas, certificados e, em alguns casos, chaves simétricas. A sua utilização é essencial para garantir a autenticidade, confidencialidade e integridade das comunicações e operações criptográficas. A escolha do formato adequado de keystore pode ter implicações significativas tanto em termos de segurança como de interoperabilidade.

Criptografia pós-quântica: os novos algoritmos

Tue, 07 Jan 2025 00:00:00 +0000

#!/intro

Com o avanço inevitável da computação quântica, os algoritmos criptográficos atualmente utilizados tornam-se progressivamente inseguros (veja também A ameaça quântica: o fim da criptografia clássica). Para enfrentar este desafio, o NIST (Instituto Nacional de Padrões e Tecnologia dos Estados Unidos) selecionou três algoritmos baseados em diferentes paradigmas matemáticos, capazes de resistir a este novo tipo de ameaça.

O novos algoritmos pós-quânticos, ML-KEM, ML-DSA e SLH-DSA, foram concebidos não apenas para resistir a ataques com recurso a computadores quânticos, mas também para assegurar eficiência computacional, escalabilidade, compatibilidade com sistemas existentes, resistência a ataques clássicos e viabilidade de implementação em ambientes com recursos limitados.

Utilização de certificados SSH

Wed, 21 Aug 2024 00:00:00 +0000

#!/intro

A autenticação por chaves assimétricas no SSH baseia-se na distribuição manual de chaves públicas para autenticação. Embora eficaz, este método apresenta limitações quando aplicado em ambientes de larga escala ou com necessidade de gestão centralizada. Os certificados SSH oferecem uma solução mais flexível e controlada, permitindo validar a identidade de utilizadores ou hosts sem depender exclusivamente da troca manual de chaves públicas.

> conceito

No modelo com certificados, existe uma entidade de confiança, denominada Certificate Authority (CA), responsável por assinar as chaves públicas. O processo envolve:

Gerar um CSR com OpenSSL

Mon, 01 Jul 2024 00:00:00 +0000

#!/intro

Gerar um Certificate Signing Request (CSR) em conformidade com o formato PKCS#10 é um passo essencial para solicitar um certificado digital assinado por uma Autoridade Certificadora (CA). Este pedido contém a chave pública e os dados de identificação da entidade requerente, sendo assinado com a respetiva chave privada.

> gerar_csr

Para gerar um CSR com base numa chave privada existente, pode utilizar o seguinte comando OpenSSL:

openssl req -new -key chave_privada.key -out pedido.csr

O OpenSSL irá pedir-lhe que introduza manualmente os campos da identificação:

Conversão de chaves com OpenSSL

Sun, 19 May 2024 00:00:00 +0000

#!/intro

A gestão adequada de chaves privadas requer, muitas vezes, a sua conversão entre diferentes formatos, seja por requisitos de compatibilidade com aplicações específicas, integração com diferentes plataformas ou necessidade de exportação controlada.

O OpenSSL disponibiliza um conjunto de comandos para converter chaves privadas entre os formatos mais utilizados, garantindo a preservação da integridade criptográfica do material sensível.

> formatos

Os formatos mais comuns de chaves privadas incluem:

PEM (Privacy Enhanced Mail)
Formato textual, codificado em Base64, muito usado em Unix/Linux. Os dados são encapsulados entre cabeçalhos e rodapés legíveis. Ideal para transporte e fácil leitura. Por ser um formato baseado em texto, é também mais facilmente integrado em ficheiros de configuração e scripts.
Extensões comuns: .pem, .key, .crt, .cer, .cert

Gerar chaves privadas com OpenSSL

Fri, 15 Mar 2024 00:00:00 +0000

#!/intro

A geração de chaves privadas com diferentes algoritmos é essencial em múltiplos contextos: certificados digitais, VPNs, assinaturas, entre outros.

Seguem os comandos essenciais para gerar chaves privadas utilizando o OpenSSL, organizados por algoritmo e acompanhados de explicações detalhadas.

> RSA

O RSA é um dos algoritmos de chave pública mais amplamente utilizados. A sua longevidade e compatibilidade com uma vasta gama de sistemas e protocolos garantem-lhe um papel central em muitos ambientes operacionais. Apesar de exigir chaves significativamente maiores do que as curvas elípticas para oferecer níveis de segurança equivalentes, continua a ser uma opção fiável, sobretudo quando a interoperabilidade com sistemas legacy é um requisito.

A ameaça quântica: o fim da criptografia clássica

Fri, 08 Mar 2024 00:00:00 +0000

#!/intro

A computação quântica representa uma revolução tecnológica que desafia profundamente a segurança dos sistemas criptográficos tradicionais. Explorando princípios da mecânica quântica, como a superposição e o entrelaçamento, os computadores quânticos têm a capacidade de processar informações com uma eficiência exponencialmente superior à dos computadores clássicos. Essa capacidade permite-lhes resolver, em tempos drasticamente reduzidos, os problemas matemáticos nos quais se baseia a segurança de alguns dos algoritmos criptográficos utilizados atualmente.

Gerar pares de chaves SSH

Sat, 20 Jan 2024 00:00:00 +0000

#!/intro

O SSH permite autenticação através de palavra-passe ou baseada em chaves assimétricas. A autenticação por palavra-passe, embora funcional, apresenta vulnerabilidades como a suscetibilidade a ataques de força bruta, a reutilização de credenciais, a possível exposição através de servidores maliciosos e a ausência de controlo granular sobre os acessos. É recomendável desativar o acesso por palavra-passe no servidor SSH sempre que possível.

Na autenticação por chaves, o cliente detém uma chave privada local e fornece ao servidor a chave pública correspondente. Este método garante que apenas quem possui a chave privada pode autenticar-se, permitindo um controlo de acessos mais granular, dado que as chaves podem ser geridas individualmente por utilizador e associadas a restrições específicas.

Níveis de segurança em criptografia: conceitos e aplicações

Thu, 19 Oct 2023 00:00:00 +0000

#!/intro

O conceito de nível de segurança permite quantificar a resistência de um sistema criptográfico face a diferentes tipos de ataques tanto práticos como teóricos. Esta métrica, expressa em bits de segurança, corresponde ao esforço computacional necessário para quebrar um algoritmo por meios exaustivos. Um nível de segurança de n bits implica que o ataque mais eficiente conhecido exigiria aproximadamente 2^n operações para comprometer a confidencialidade ou integridade do sistema.