Pesquisar
Close this search box.
Categorias
Proteção de dados

Cipher Suites e sua importância na segurança de dados

No atual panorama digital, a segurança de dados transcende a necessidade, tornando-se uma obrigação.

A cada dia, milhões de transações ocorrem online, cada uma delas demandando um alto nível de cibersegurança nas empresas para proteger informações valiosas.

Neste contexto, as Cipher Suites emergem como elementos cruciais na construção de um ambiente digital seguro. Elas formam a espinha dorsal de muitas operações de segurança de dados na internet, garantindo que as informações se movam de maneira segura e eficiente.

Este artigo busca explorar a complexidade das Cipher Suites, desvendando sua natureza, funcionamento e a importância que possuem na segurança de dados online.

O que são as Cipher Suites? 

Cipher Suites é o conjunto de algoritmos utilizado combinado para estabelecer uma conexão segura, que incluem: 

  • Um algoritmo de chave de sessão e seu tamanho de chave: Este é o algoritmo de criptografia simétrica utilizado para cifrar os dados transmitidos na sessão, como o AES de 128 bits, por exemplo. 
  • Um algoritmo de chave pública e seu tamanho de chave: Trata-se do algoritmo de criptografia assimétrica utilizado para criptografar a chave de sessão, como o RSA de 2048 bits, por exemplo.
  • Um algoritmo de hash: É empregado para garantir a integridade dos dados, assegurando que os dados não sejam alterados na troca de informações. Um exemplo de algoritmo de hash utilizado é o SHA.
  • Um algoritmo de troca de chaves: É o método pelo qual a chave de sessão é trocada. Exemplos mais comuns são o RSA ou Diffie-Hellman.

Como resultado, temos uma constante que indica quais algoritmos foram utilizados em uma determinada sessão, como por exemplo, “TLS_RSA_WITH_AES_256_CBC_SHA”, que utiliza o protocolo TLS, com algoritmo de criptografia assimétrica RSA, o AES CBC 256 como chave de sessão e SHA para garantir a integridade dos dados.

Outro exemplo é “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384“, que utiliza ECDHE para a troca de chaves, ECDSA para autenticação, AES com 256 bits em modo GCM para criptografia e SHA384 para a função de hash.

Agora que entendemos isso, vamos examinar como as Cipher Suites funcionam em conjunto com o HTTPS/TLS.

Um outro exemplo é “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384” que utiliza ECDHE para a troca de chaves, ECDSA para autenticação, AES com 256 bits em modo GCM para criptografia e SHA384 para a função de hash. 

Entendendo isso, vamos agora ver como funcionam junto com o HTTPS/TLS. 

Como a tecnologia funciona? 

As Cipher Suites são a força motriz por trás da segurança de uma conexão HTTPS, embora seu funcionamento possa parecer um pouco complexo. No coração dessa operação está o processo de “handshake” SSL/TLS.

Vamos mergulhar um pouco mais no conceito para entender como as Cipher Suites funcionam. 

  1. Quando uma conexão é iniciada entre um cliente (por exemplo, um navegador) e um servidor, um processo de handshake SSL/TLS é deflagrado.Este processo é uma série de etapas que são realizadas para estabelecer uma conexão segura entre o cliente e o servidor. É aqui que as Cipher Suites entram em jogo.
  2. Durante este handshake, o cliente e o servidor trocam uma lista das Cipher Suites que suportam. Essas listas são comparadas para encontrar uma Cipher Suite que ambos suportam.O servidor, então, tem a responsabilidade de escolher a Cipher Suite mais segura e eficiente que ambos suportam para ser usada durante a sessão.
  3. Após a escolha da Cipher Suite, o cliente e o servidor iniciam o processo de troca de chaves, que é governado pelo algoritmo de troca de chaves presente na Cipher Suite escolhida.Aqui, é importante notar que uma chave de sessão é criada e é esta chave que será utilizada para cifrar e decifrar os dados transmitidos durante a sessão.Além disso, é definido o algoritmo de criptografia que será usado para criptografar os dados transmitidos entre o cliente e o servidor, e a função hash ou MAC que será usada para garantir a integridade dos dados. 

Ao final do handshake, a conexão é estabelecida e os dados podem ser trocados de forma segura entre o cliente e o servidor usando os algoritmos definidos pela Cipher Suite escolhida.

Isso garante que as comunicações sejam protegidas contra interceptação ou modificação por terceiros mal-intencionados.  

Há também algumas variações de protocolo, tais como o SSL, TLS 1.2 e TLS 1.3. Para fins didáticos, segue abaixo, de forma resumida, o passo a passo nos protocolos TLS 1.2 E TLS 1.3: 

Entendendo as Cipher Suites e sua importância na segurança de dados - Protocolos

Por que as Cipher Suites são importantes?

As Cipher Suites desempenham um papel crucial na configuração de uma conexão HTTPS segura, pois elas encapsulam uma variedade de funções criptográficas, cada uma desempenhando um papel específico na segurança e integridade da conexão.  

Durante o handshake SSL, o cliente e o servidor web empregam quatro elementos principais, cada um representado por um algoritmo específico dentro da Cipher Suite: 

  • Algoritmo de Troca de Chaves:

Este algoritmo determina como as chaves simétricas serão trocadas entre o cliente e o servidor.

As chaves simétricas são usadas para criptografar e descriptografar os dados transmitidos durante a sessão.

Algoritmos de criptografia assimétrica são utilizados na troca de chaves incluem: 

    • RSA: Tradicional e muito conhecido, o RSA é utilizado na troca de chaves, em resumo, utiliza-se a chave pública do destinatário para cifrar uma chave de sessão, chave que é uma chave de algoritmo simétrico, tal como o AES. 
    • Diffie-Hellman (DH): Ele é um dos algoritmos mais conhecidos e utilizados ainda hoje para troca de chaves. 
    • Diffie-Hellman Ephemeral (DHE): É uma variação do DH, no qual uma nova chave é usada a cada nova sessão. 
    • Elliptic Curve Diffie-Hellman (ECDH): É muito similar ao DH, porém ao invés de utilizar números primos, faz uso de curvas elípticas. 
    • Elliptic Curve Diffie-Hellman Ephemeral (ECDHE): É uma variação de ECDH e DHE, no qual uma nova chave, usando curvas elípticas no caso, é usada a cada nova sessão. 
  • Algoritmo de Autenticação ou Assinatura Digital:

Este algoritmo dita como a autenticação do servidor e a autenticação do cliente (se necessária) serão implementadas.

A autenticação ou Assinatura Digital permite que o cliente e o servidor confirmem a identidade um do outro, garantindo que eles estão se comunicando com a entidade correta.

Algoritmos de autenticação incluem RSA, ECDSA, e DSA. 

  • Algoritmos de criptografia simétrica utilizado para as chaves de sessão:

Este algoritmo é usado para criptografar os dados que são transmitidos entre o cliente e o servidor durante a sessão.

A criptografia simétrica ajuda a garantir a confidencialidade dos dados, com um custo computacional baixo, em se comparando com algoritmos de criptografia assimétrica, tornando-os ininteligíveis para qualquer pessoa que possa interceptar a comunicação.

Algoritmos de criptografia simétrica incluem AES, CHACHA20, Camellia, e ARIA. 

  • Função Hash/MAC:

Esta função determina como as verificações de integridade de dados serão realizadas. A integridade dos dados é importante para garantir que os dados não foram alterados durante a transmissão.

As funções Hash/MAC, como SHA-256 e POLY1305, são usadas para criar um valor de checksum único para os dados, que pode ser usado para verificar se os dados foram alterados. 

Essas funções criptográficas são necessárias em vários pontos da conexão para realizar autenticação, geração e troca de chaves, e um checksum para garantir a integridade.

Para determinar quais algoritmos específicos usar, o cliente e o servidor web começam por decidir mutuamente sobre a Cipher Suite a ser utilizada. 

Na prática, as Cipher Suites são necessárias devido à variedade de servidores, sistemas operacionais e navegadores.

Há uma necessidade de acomodar todas essas combinações, por isso as Cipher Suites são úteis para garantir a compatibilidade. 

A importância das Cipher Suites na Segurança de Dados

Na prática, as Cipher Suites desempenham um papel vital na segurança de dados em um mundo cada vez mais digital.

Como vimos no decorrer do artigo, elas são a espinha dorsal das conexões seguras na internet, permitindo que as informações sejam transmitidas de forma segura entre clientes e servidores. 

As Cipher Suites fornecem um conjunto de algoritmos que garantem a autenticação, a privacidade e a integridade dos dados durante a comunicação.

Elas ajudam a prevenir um grande conjunto de ataques, desde a interceptação de comunicações até a manipulação de dados transmitidos. 

Dado tudo que aprendemos até aqui, há um site interessante no qual ele faz um diagnóstico de quais Cipher Suites seu computador aceita.

Para saber mais entre em: https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html. Como resultado ele deve retornar algo parecido com: 

Entendendo as Cipher Suites e sua importância na segurança de dados - Capabilities

Como podemos observar, ele listou os protocolos, os algoritmos e algumas informações adicionais. No entanto, escolher a Cipher Suites correta para um servidor é uma tarefa crucial para os administradores.

Compreender a tecnologia é o primeiro passo para garantir a Segurança de Dados

Uma escolha inadequada pode resultar em conexões inseguras, ou até mesmo na incompatibilidade com alguns clientes.

Portanto, manter-se atualizado sobre as melhores práticas de seleção de Cipher Suites é uma parte essencial da gestão da segurança de dados. 

E como fazer isso? Como escolher os algoritmos, lembrando que tem que ser aceito pelos dois lados, tanto pelo cliente quanto pelo servidor?

Uma forma de aumentar a segurança do seu computador é eliminado alguns algoritmos que já se sabe que são fracos, para isso a recomendação é a leitura do artigo da Microsoft no qual ensina via PowerShell os comandos que você pode utilizar para limitar o uso de algoritmos fracos.

Clique aqui para ver mais como desabilitar algortimos no windows. 

Você também pode conferir os algoritmos que já são aceitos por padrão no Windows.

Clique aqui para ver mais no windows 11. 

Com o avanço da tecnologia e a constante evolução das ameaças à segurança, é crucial compreender a importância das Cipher Suites e como elas funcionam.

Este conhecimento permitirá que tomemos decisões mais informadas para proteger nossos dados e manter nossas comunicações online seguras. 

Em resumo, as Cipher Suites são mais do que apenas um conjunto de algoritmos, elas são a linha de frente na batalha contínua pela segurança de dados na internet​​. 

Sobre a Eval

Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas.

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Escrito por Arnaldo Miranda, Evaldo. Ai, revisado por Marcelo Tiziano e Designer de Caio.

Categorias
Proteção de dados

Diferença entre tipos de criptografia para proteção de dados

As empresas podem reduzir a probabilidade de violação de dados e, assim, reduzir o risco de multas no futuro pela Lei Geral de Proteção de Dados (LGPD), se optarem por usar criptografia para proteção de dados

O tratamento de dados pessoais está naturalmente associado a um certo grau de risco. Especialmente hoje em dia, onde os ataques cibernéticos são quase inevitáveis ​​para empresas.

Portanto, a criptografia para proteção de dados desempenha um papel cada vez maior na segurança de TI para grande parte das empresas.

Em geral, a criptografia se refere ao procedimento que converte texto não criptografado, conhecido também como texto em claro, em uma informação que é ilegível, de forma de interpretação usando uma chave, em que as informações de saída só se tornam legíveis novamente usando a chave correta.

Isso minimiza o risco de um incidente durante o processamento de dados, pois o conteúdo criptografado é basicamente ilegível para terceiros que não possuem a chave correta. 

A criptografia é a melhor maneira de proteger os dados durante a transferência e é uma forma de proteger os dados pessoais armazenados. Também reduz o risco de abuso dentro de uma empresa, pois o acesso é limitado apenas a pessoas autorizadas com a chave certa.

Criptografia para proteção de dados e a LGPD: o que você deve saber

Na era atual dos computadores, a criptografia é frequentemente associada ao processo em que um texto simples comum é convertido em texto cifrado, que é o texto feito de forma que o destinatário pretendido do texto possa apenas decodificá-lo e, portanto, esse processo é conhecido como criptografia.

O processo de conversão de texto cifrado em texto simples é conhecido como descriptografia.

Os principais usos de criptografia são as seguintes:

  • Confidencialidade: as informações só podem ser acessadas pela pessoa a quem se destinam e nenhuma outra pessoa, exceto ela, pode acessá-la;
  • Assinatura Digital: no qual as informações são assinadas para que seja possível identificar o remetente da informação, com integridade e não repúdio.
  • Integridade: as informações não podem ser modificadas no armazenamento ou na transição entre o remetente e o destinatário pretendido sem que qualquer adição à informação seja detectada;
  • Autenticação: as identidades do remetente e do destinatário são confirmadas. Bem como o destino / origem das informações é confirmado.

Tipos de criptografia para proteção de dados:

Em geral, existem três tipos de criptografia para proteção de dados:

  • Criptografia de chave simétrica

É um sistema de criptografia onde o remetente e o receptor da mensagem usam uma única chave comum para criptografar e descriptografar as mensagens.

Os sistemas de chave simétrica são mais rápidos e simples, mas o problema é que o remetente e o destinatário precisam de alguma forma trocar a chave de maneira segura.

O sistema de criptografia de chave simétrica mais popular é o Data Encryption System (DES) e o Advanced Encryption Standard (AES);

  • Funções Hash

Não há uso de nenhuma chave neste algoritmo. Um valor hash com comprimento fixo é calculado de acordo com o texto simples, o que torna impossível que o conteúdo do texto simples seja recuperado. Muitos sistemas operacionais usam funções hash para criptografar senhas;

  • Criptografia de chave assimétrica

Neste sistema, um par de chaves é usado para criptografar e descriptografar informações. Uma chave pública é usada para criptografar e uma chave privada é usada para descriptografar.

A chave pública e a chave privada são diferentes. Mesmo que a chave pública seja conhecida por todos, o receptor pretendido só pode decodificá-la porque só ele conhece a chave privada.

Para manter o sigilo no armazenamento e trânsito de dados

A criptografia permite armazenar os dados criptografados, permitindo que os usuários fiquem longe dos ataques realizados por hackers.

Confiabilidade na transmissão

Uma abordagem convencional que permite confiabilidade é realizar a criptografia do canal de transmissão, seja ela simétrica ou assimétrica ou mesmo uma combinação das duas criptografias. 

Caso seja o uso da criptografia simétrica, precisar de uma chave para cifrar a informação, depois precisa-se encontrar alguma forma de trocar a chave, que acaba sendo um problema a ser resolvido, que é a troca de chaves de forma segura.

Vale lembrar que esse método tem um bom desempenho.

Outro modo é utilizar de criptografia assimétrica, no qual pode-se utilizar a chave pública do destinatário para que a mensagem possa ser aberta apenas pelo destinatário que possui a chave correspondente, a chave privada.

O problema desse tipo de uso é o desempenho.

Autenticação de Identidade

Já para autenticidade, no qual visa-se conhecer se o remetente da mensagem é ele mesmo, faz uso de PKI, (Public Key Infrastructure).

Para isso basta cifrar a mensagem com a chave privada do remetente, assim como qualquer um pode ter a sua chave pública correspondente, ela pode ser verificado que a mensagem foi gerada pelo remetente adequado.

Por que a criptografia para proteção de dados é crucial para a conformidade com a LGPD?

Embora não haja requisitos de criptografia para proteção de dados explícitos na Lei Geral de Proteção de Dados (LGPD), a nova legislação exige que você aplique medidas de segurança e salvaguardas.

A LGPD destaca a necessidade de uso de medidas técnicas e organizacionais adequadas de segurança de dados pessoais.

Como a criptografia para proteção de dados torna as informações ilegíveis e inutilizáveis ​​para pessoas sem uma chave criptográfica válida, as estratégias de criptografia para proteção de dados podem ser extremamente benéficas para sua empresa no caso de uma violação de dados e nos requisitos previstos pela LGPD. 

Lembra da exigência feita pela LGPD de notificar os clientes afetados por um incidente de segurança?

Ao criptografar seus dados, você reduz a chance de cumprir essa obrigação devido a problemas de ataques virtuais ou outros tipos de problemas.

Nenhuma informação será tecnicamente “violada” se os dados forem ininteligíveis para o invasor.

Como escolher a forma mais adequada para garantir a segurança de dados?

A plataforma CipherTrust Data Security da Thales garante toda a estrutura e a integridade dos dados de sua empresa, e o formato dos campos no banco de dados, seja ele qual for: Oracle, SQL, MySQL, DB2, PostGrid, enfim.

De forma simples, abrangente e efetiva, a solução Cipher Trust oferece recursos para proteger e controlar o acesso a bancos de dados, arquivos e containers — e pode proteger ativos localizados em nuvem, virtuais, big data e ambientes físicos.

Com a CipherTrust, é possível proteger os dados de sua empresa e tornar anônimos seus ativos sensíveis, garantindo segurança para sua empresa e evitando problemas futuros com vazamento de dados.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.