Foi visto que o processo de identificação de usuários, autenticação, autorização e auditoria é fundamental para garantir a segurança de aplicações e serviços, de modo que somente usuários previamente cadastrados, identificados e autenticados podem ter acesso aos recursos computacionais que lhes foram autorizados pelo responsável.
Resumidamente, podemos dizer que o Sistema AAA consiste de:
O processo de controlar o acesso, garantindo que a origem dos dados é a de quem alega ser, é um dos objetivos da autenticação. Garantir o uso autorizado de recursos e o registro de todas as atividades dentro de um sistema são tarefas dos sistemas conhecidos por: Autenticação, Autorização e Auditoria (AAA).
Neste módulo foram apresentados os protocolos e técnicas para trabalhar com cada um desses três As. Autenticação é algo que você sabe, por exemplo:
Com relação à criptografia, foram vistas a criptografia Simétrica: também conhecida por criptografia convencional e depois a criptografia Assimétrica: criptografia por chaves pública e privada e por fim o Algoritmo de Hash: os cinco fundamentos para um bom algoritmo de Hash.
Basicamente, um processo criptográfico envolve a aplicação de três conceitos elementares:
A mensagem consiste, pura e simplesmente, na informação que se deseja transmitir de forma segura; o algoritmo é a forma que será utilizada para cifrar e decifrar uma mensagem; e a chave, em alguns modelos computacionais, pode ser entendida como o segredo compartilhado que deve ser conhecido apenas pelas duas partes envolvidas no processo de comunicação.
A criptografia simétrica utiliza a mesma chave para criptografar e descriptografar uma informação. Essa chave tem de ser compartilhada entre o emissor e o receptor da informação. Entretanto, o uso de criptografia simétrica dificulta o gerenciamento de chaves e não permite a autenticação e o não repúdio do remetente. Atualmente o algoritmo simétrico recomendado é o AES-256, que utiliza chaves de 256 bits.