Criptografia: guia com perguntas e respostas
A criptografia é um recurso da matemática e da informática utilizado para a proteção das informações no ambiente digital.
Neste artigo, cujos tópicos foram construídos em formato de perguntas e respostas, vamos buscar esclarecer de forma simplificada algumas das principais dúvidas sobre este assunto.
O que é criptografia?
A criptografia é um tipo de tecnologia utilizada para a proteção de dados de maneira que apenas pessoas devidamente autorizadas consigam acessá-los.
Para isso, é necessária uma chave de acesso. Somente com ela os usuários autorizados poderão acessar determinados grupos de dados.
Assim, o princípio que rege a criptografia é a codificação de mensagens para que elas sejam enviadas sem serem interceptadas em seu trânsito ou armazenamento.
Caso haja uma tentativa de acesso indevido a esses dados, o invasor não conseguirá decifrá-los, pois somente o receptor e o emissor da mensagem contam com a chave de acesso.
Ao interceptar uma troca de mensagens criptografadas, tudo o que o cibercriminoso vai visualizar é uma sequência desordenada de caracteres que não fazem nenhum sentido sem a chave para decodificação.
Para entender o funcionamento da criptografia, pense nela como o ato de embaralhar ou cifrar com um alto nível de complexidade as informações enviadas.
Assim, depois da codificação, os dados são ocultados e, no lugar deles, um código é gerado. Posteriormente, o emissor e o receptor recebem a chave de que necessitam para decifrar o código.
As chamadas chaves criptográficas têm os bits como base de sua formação. Um algoritmo com oito bits conta com 256 combinações de chaves.
E quando o algoritmo tem 16 bits, o número de chaves sobe para 65.535, ou seja, quanto maior for o número de bits maiores serão a quantidade de combinações possíveis para as chaves e a segurança dos dados.
Nesse contexto, os estudiosos do assunto consideram a criptografia uma parte da matemática e também da informática.
Portanto, seu conceito pode ser resumido como um conjunto de técnicas de codificação de informações que são utilizadas para o estabelecimento de uma comunicação segura na presença de terceiros.
Em termos mais simplificados: criptografia é o processo de transformação de dados em códigos que utiliza chaves para que somente pessoas autorizadas possam decifrar essas mensagens.
Todo esse processo é utilizado para combater os numerosos crimes digitais relacionados ao acesso indevido a determinados dados, missão que está dentro do pilar de confidencialidade da segurança da informação e que também pode ser um recurso para a busca da privacidade.
Como surgiu a criptografia?
Como é um recurso relacionado à tecnologia e ao combate aos cibercrimes, você pode achar que a criptografia surgiu recentemente.
Esse raciocínio pode até estar certo quanto se pensa no aperfeiçoamento das codificações, mas a criptografia não é tão jovem assim.
Os primeiros sinais da utilização desse tipo de estratégia de proteção de mensagens estão presentes na Idade Média.
O hábito de elaborar mensagens escritas enroladas em um bastão era cultivado pelos gregos. Quando essas mensagens chegavam a seus destinatários, eles só poderiam lê-las se contassem com um bastão igual ao utilizado para enrolar as mensagens.
Nesse sentido, os bastões eram as chaves de acesso dos gregos. E é claro que a complexidade da codificação das mensagens foi evoluindo ao longo do tempo.
Na época do Império Romano, o exército desenvolveu um processo de substituição de letras para que apenas os conhecedores do sistema compreendessem as mensagens.
Mas, como ainda ocorre hoje, a decodificação das mensagens por pessoas não autorizadas era apenas uma questão de tempo e estudo.
Esse é o fator que até os tempos atuais leva os sistemas de codificação e decodificação de mensagens a continuarem em constante evolução.
Com a invenção das máquinas e dos computadores, a criptografia pôde dar passos mais rápidos em seu desenvolvimento e seu potencial passou a ser muito melhor aproveitado.
Por que utilizar criptografia no contexto empresarial?
Como vimos até aqui, a criptografia é um recurso essencial entre as estratégias para a segurança dos dados em uma empresa. Vamos ver a seguir os principais benefícios da sua utilização.
Manutenção de processos sigilosos
Informações sobre os seus colaboradores, dados de clientes e informações necessárias para a realização e registro de transações bancárias são alguns dos exemplos de conteúdos que precisam ser criptografados para que os gestores de uma empresa sintam-se seguros em relação ao tratamento de cada dado considerado sigiloso em algum grau.
Com a utilização da criptografia, quando você realiza ou recebe pagamentos, por exemplo, todo o processo é protegido, diminuindo muito os riscos de que alguma pessoa não autorizada tenha acesso às informações envolvidas.
Proteção no trânsito de informações
Este benefício está diretamente ligado ao anterior. Para manterem suas atividades, as empresas precisam enviar e receber informações, que normalmente transitam através da internet. E os dados em trânsito são os mais comumente passíveis de vazamento.
Por isso, a recomendação é de que eles só façam esse caminho depois de serem devidamente criptografados, para que apenas o destinatário das informações consiga decifrá-los.
A manutenção da integridade dos dados é muito mais viável quando se pensa na proteção dos mesmos enquanto trafegam pela internet. Dessa forma, tanto a empresa quanto os titulares dos dados são beneficiados.
Segurança das informações
No tópico anterior, falamos sobre a proteção dos dados em trânsito, mas também é importante proteger os dados que estão “parados”.
Quando se pensa no armazenamento de dados em nuvem, é importante lembrar que, ainda que eles não estejam sendo enviados a alguém, eles estão disponíveis on-line, mesmo que de maneira privada.
Então, a criptografia também se faz necessária nesse caso, para evitar o acesso indevido ou o vazamento de informações sensíveis.
É por este motivo que serviços como o OneDrive e o Google Drive também são protegidos por criptografia.
O banco de dados da sua empresa também precisa contar com a devida segurança, pois muitas informações não podem ser divulgadas. A utilização indevida de dados pessoais de um cliente poderá acarretar um processo judicial contra a empresa.
Imagem institucional positiva
A segurança da informação é um assunto de grande importância no momento e muitas organizações pautam o seu posicionamento exatamente nessa preocupação.
Observe os anúncios publicitários nos mais diversos meios de comunicação e você vai perceber que alguns deles fazem menção ou falam abertamente sobre a proteção de dados.
Em uma época de muitos ataques cibernéticos e vários problemas institucionais referentes aos vazamentos de dados, ainda que as pessoas não entendam muito sobre segurança, elas tendem a confiar mais em empresas que demonstram habilidades em lidar com dados sigilosos.
Qual é a diferença entre criptografia simétrica e assimétrica?
A criptografia é classificada em dois grupos: a simétrica e a assimétrica. Essa classificação tem a ver com as chaves de acesso.
Como vimos, os códigos criptográficos só podem ser decifrados por quem possui a chave de acesso.
Para a transformação das mensagens em um conjunto de caracteres aparentemente aleatórios que não serão compreendidos por um possível invasor, a criptografia recorre aos algoritmos matemáticos.
Assim, existem vários algoritmos para cada um dos dois tipos de criptografia.
Criptografia simétrica
Nesse contexto, a criptografia simétrica utiliza uma mesma chave para codificar e decodificar determinado grupo de dados.
Ela é chamada também de criptografia de chave secreta ou de chave privada. Isso significa que a mesma chave utilizada pelo emissor para codificar uma mensagem é também utilizada em sua decifração pelo receptor.
As cifras da criptografia simétrica podem ser de blocos ou de fluxo. Enquanto as primeiras utilizam tamanhos fixos de blocos, as últimas podem utilizar qualquer corrente de bits.
O algoritmo mais utilizado para as cifras de bloco é o AES (Advanced Encryption Standard), que trabalha com blocos de 128 bits e pode utilizar chaves de 128, 192 e 256 bits (sendo a última mais segura)
Como as cifras de fluxo não precisam de blocos de tamanhos fixos, o algoritmo mais recomendado é o ChaCha20, presente em algumas etapas do TLS, protocolo presente em várias outras aplicações seguras.
Criptografia assimétrica
Vamos agora à criptografia assimétrica. Sua diferença em relação à criptografia simétrica diz respeito à utilização de uma chave para criptografar e outra chave para descriptografar a mensagem.
Ela também é chamada de criptografia de chave pública ou criptografia de ponta a ponta, pois as chaves utilizadas para cifrar e decifrar os dados são complementares.
Assim, a criptografia assimétrica usa uma chave pública para cifrar os dados e uma chave privada para decifrá-los. Esse processo garante um alto nível de segurança.
Um dos principais algoritmos utilizados na criptografia assimétrica é o RSA, que também está presente em versões do protocolo TLS.
Em resumo: a diferença entre criptografia simétrica e criptografia assimétrica é que a primeira utiliza apenas uma chave para cifrar e decifrar os dados e a segunda utiliza uma chave pública para cifrá-los e uma chave privada para decifrá-los.
O que é criptografia de ponta-a-ponta?
Certamente você já leu alguma frase como “as mensagens trocadas neste aplicativo são protegidas por criptografia de ponta-a-ponta”.
Com certeza, este tipo de afirmação traz uma sensação de segurança em uma troca de mensagens ou dados. Mas o que realmente significa isso?
A criptografia de ponta-a-ponta, end-to-end encryption ou E2EE é um tipo de criptografia assimétrica em que a codificação da mensagem é realizada durante todo o caminho que ela percorre.
Assim, a mensagem fica criptografada durante o trajeto entre os servidores intermediários para que nenhum usuário sem autorização tenha acesso a ela.
Sem a criptografia de ponta-a-ponta, as mensagens são criptografadas quando chegam a pontos intermediários específicos do servidor e não durante todo o percurso.
Dessa forma, quando não há criptografia de ponta-a-ponta, quem controla os servidores consegue visualizar as mensagens.
Portanto, faz mesmo sentido considerar a criptografia de ponta-a-ponta mais segura do que a criptografia simples. Ela é utilizada em aplicativos de trocas de mensagens, como o WhatsApp, o Skype e o Telegram.
A utilização desse tipo de criptografia é vantajosa tanto para o usuário quanto para as empresas fornecedoras dessas aplicações.
Isso ocorre porque, muitas vezes, as empresas são pressionadas por autoridades para fornecer informações sobre trocas de mensagens envolvidas em investigações.
Caso as empresas tivessem acesso a esses dados e os revelassem, toda a sensação que os usuários têm de privacidade ao utilizar os aplicativos iria por água abaixo.
Assim, as empresas se protegem por não terem acesso às trocas de informações entre os usuários e os usuários têm a segurança de não terem suas mensagens reveladas a outras pessoas que não sejam os seus destinatários.
Qual é a relação entre a criptografia e a LGPD?
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é uma legislação brasileira recente criada para regulamentar as atividades relacionadas ao tratamento de dados pessoais.
Com a LGPD, as empresas precisam ser mais cuidadosas quando lidam com os dados de seus clientes e seguir uma série de regras, como informar ao cliente com qual finalidade um determinado dado será utilizado, obter a autorização deste cliente e garantir a segurança do dado em questão.
Caso os requisitos da Lei não sejam cumpridos, a empresa fica sujeita a uma série de punições que podem envolver inclusive o pagamento de multas e outras sanções de alto impacto.
Ou seja, a proteção dos dados, que são um importante ativo empresarial, ganhou ainda mais relevância com a vigência da LGPD.
Mas o que a criptografia, que é um tecnologia e não um dispositivo legal, tem a ver com tudo isso?
É simples. A criptografia é um dos recursos essenciais que uma empresa precisa utilizar para cumprir suas obrigações relacionadas ao tratamento de dados.
Ou seja, a criptografia é uma importante aliada das empresas quando o objetivo é atender à demanda imposta pela LGPD.
Isso nos leva a entender que, em muitos casos, a criptografia não é apenas uma opção. Sua utilização é obrigatória na garantia da segurança de dados, sobretudo no contexto organizacional.
Quais são os riscos de um vazamento de dados?
Não é novidade que os ciberataques são cada vez mais comuns e mais elaborados na atualidade.
Esse tipo de crime tem se tornado mais frequente exatamente por conta do grande valor que os dados vêm adquirindo. Eles são importantes ativos de uma empresa e é por isso que sua segurança precisa ser garantida.
O roubo de informações valiosas pode culminar em sérios prejuízos e colocar em risco, inclusive, a própria existência da empresa.
Para começar, quando isso ocorre, a imagem da empresa fica comprometida junto aos clientes e parceiros, porque eles esperam que ela tenha condições de garantir a segurança e o sigilo dos dados colocados sob sua responsabilidade.
Havendo a violação dessa confiança, há também uma rachadura no relacionamento com os clientes e fornecedores. A empresa passa então a ser vista como incapaz de lidar com registros privados de terceiros, o que também dificulta a conquista de novos clientes.
A queda da produtividade é outra das consequências possíveis para um vazamento de dados, já que muitas vezes ele provoca uma interrupção das atividades em função da inacessibilidade de documentos primordiais, o que também prejudica sua operação, ou até as vendas.
Tudo isso representa, é claro, muitas perdas financeiras, diretas e indiretas. Além da perda de clientes e da dificuldade de conquista de novos, que prejudica e muito as receitas, a empresa pode ter que pagar multas estabelecidas por leis como a LGPD.
Isso sem falar nos processos judiciais que podem ser abertos pelas pessoas que se sentirem prejudicadas pelo vazamento de dados.
Nesse contexto, a busca de informações sobre o assunto e os investimentos em cibersegurança têm sido duas das principais prioridades dos gestores.
A expectativa é que as soluções relacionadas à proteção de dados sejam cada vez mais empregadas e que haja um aprimoramento constante dessas soluções.
E é claro que as soluções baseadas na criptografia estão no topo das aquisições que precisam ser feitas por uma empresa para assegurar a proteção da enorme quantidade de dados sob sua responsabilidade.
A criptografia é totalmente segura?
Diante dos avanços do cibercrime, dizer que a criptografia é 100% segura seria uma inverdade.
Além disso, são vários os tipos de criptografia e as mensagens podem ser codificadas em diferentes níveis, sendo assim, há também diversos níveis de segurança envolvendo a criptografia.
Os hackers já contam com recursos que servem para burlar os algoritmos e quebrar as sequências das chaves de acesso.
Mas, se de um lado os cibercriminosos buscam recursos que os ajudem a ter acesso mesmo aos dados criptografados, do outro lado, os processos de criptografia vêm evoluindo e continuam sendo aprimorados constantemente.
Essa é uma necessidade que dificilmente vai cessar. Os sistemas de criptografia precisam ser constantemente atualizados para dificultar a decodificação por usuários não autorizados.
Se mesmo com a utilização da criptografia os hackers ainda podem interceptar os dados, você pode estar se perguntando: vale a pena utilizá-la?
Sim. A criptografia precisa ser utilizada e é enorme a quantidade de crimes de sucesso que ela já evitou.
Em outras palavras, a criptografia não garante 100% de segurança, mas com ela os dados da sua empresa ficam muito mais protegidos do que sem ela. Agora que tiramos todas as dúvidas sobre criptografia, te convidamos a ler o artigo: Como criar uma Política de Privacidade em conformidade com a LGPD, que ajudará sua empresa na missão de aumentar sua maturidade em cibersegurança.