Artigo Java Magazine 22 - Começando com Criptografia

Esse artigo faz parte da revista Java Magazine edi��o 22. Clique aqui para ler todos os artigos desta edi��o

Aten��o: por essa edi��o ser muito antiga n�o h� arquivo PDF para download.Os artigos dessa edi��o est�o dispon�veis somente atrav�s do formato HTML.

A vida, o Universo e Tudo mais

Come�ando com Criptografia

Confidencialidade e Autenticidade de Informa��es

Conhe�a algoritmos e use APIs de criptografia e certifica��o digital na suas aplica��es Java

Bruno Souza

Seguran�a � um item priorit�rio na maioria dos projetos, com firewalls e HTTPS figurando em quase todos os diagramas de arquitetura de rede desenhados. Mas � o t�pico conceito amplo que nunca deveria ser mencionado sem qualifica��o. Usar HTTPS � seguran�a, assim como � o verificador de bytecodes de Java, mas s�o tipos e objetivos t�o distintos de seguran�a que fica dif�cil encaix�-los no mesmo item de projeto.

Dado que grande parte dos projetos em Java hoje s�o de ambiente web, � normal que a principal preocupa��o seja nos protocolos seguros para acesso � aplica��o. O uso de HTTPS ("secure http", ou http via SSL) em aplica��es web � em geral responsabilidade do servidor de aplica��es, sendo basicamente transparente para o desenvolvedor. Da mesma forma, � transparente a prote��o fornecida por um firewall.

E quando o projeto tem outros requisitos de seguran�a que precisam ser tratados pelo desenvolvedor? Se voc� est� desenvolvendo uma aplica��o desktop ou um servidor espec�fico, ou se h� requisitos de assinaturas digitais e certifica��o do cliente, quais bibliotecas Java voc� pode usar para garantir a seguran�a?

Esse artigo trata das tecnologias Java para lidar com certificados digitais, assinaturas eletr�nicas e criptografia de mensagens. Como motiva��o, vamos analisar como essas tecnologias podem ser usadas para tirar proveito de uma legisla��o brasileira relativamente recente � que talvez seja a solu��o que voc� procurava para seu pr�ximo projeto.

Nota: Gostaria de agradecer aos meus amigos no Serpro, em especial ao Jos� Maur�lio Dias e Evaldo Gomes, que est�o usando o e-CPF em aplica��es Java e me obrigando a ficar sempre por dentro dessas tecnologias.

e-CPF: assinatura real em documentos digitais

Com a promulga��o da medida provis�ria 2.200-2, em vigor desde 2001, documentos eletr�nicos passaram a ser equivalentes aos documentos em papel, possibilitando sua tramita��o. Dessa forma, documentos eletr�nicos s�o agora legalmente equivalentes e ison�micos aos documentos em papel. Isso significa que toda a legisla��o que se aplica aos documentos em papel vale, de forma id�ntica, para os documentos digitais � desde que estes sejam certificados por uma entidade certificadora vinculada � Infra-Estrutura de Chaves P�blicas Brasileira (ICP-Brasil). Diversos documentos oficiais do governo brasileiro j� tramitam hoje certificados pela ICP-Brasil, e essa infra-estrutura, que j� conta com diversas entidades certificadoras, est� dispon�vel para uso em suas aplica��es.

A certifica��o � baseada no CPF Eletr�nico (e-CPF) e no CNPJ Eletr�nico (e-CNPJ), que podem ser requeridos por qualquer cidad�o ou empresa no pa�s. Ambos s�o certificados digitais, que podem ser protegidos por hardware (com smartcards) e permitem a qualquer cidad�o confirmar legalmente sua identidade em transa��es eletr�nicas. Em um projeto em andamento, o e-CPF est� sendo usado para permitir que o usu�rio �assine� os documentos enviados ao governo, sendo reconhecido legalmente como se fosse sua assinatura propriamente dita.

N�o seria interessante que seus usu�rios fossem autenticados em seus sistemas, n�o por uma senha num formul�rio web, mas por seu certificado nacional? E se esse certificado fosse armazenado em um smartcard, quem sabe at� no cart�o do telefone celular que eles carregam? Utilizando o e-CNPJ, aplica��es podem trocar documentos eletr�nicos oficiais entre empresas; e com o e-CPF clientes podem assinar contratos sem sair de casa ou recorrer a um cart�rio para reconhecimento de firma. Com a validade t�cnica e jur�dica garantida por certificados digitais, � poss�vel realizar transa��es que exigem assinaturas f�sicas, como firmar contratos de aluguel, empr�stimos e procura��es, entre outros.

Essas transa��es podem ser feitas com seguran�a, mesmo em ambientes n�o seguros, como quiosques em shoppings e m�quinas Windows. Se voc� s� conhecia certificados digitais associados aos servidores web, j� pode ver que servem para muito mais: eles s�o parte importante de sistemas de seguran�a. Bem-vindo ao mundo da certifica��o digital!

JCA e JCE: tecnologias Java por tr�s dos certificados

Para entender os certificados digitais, precisamos conhecer alguns conceitos de criptografia que nos dar�o a base para desenvolver aplica��es seguras. Faremos isso utilizando as bibliotecas Java para a manipula��o das primitivas de criptografia e os certificados. Temos a Java Cryptography Architecture (JCA) e a Java Cryptography Extensions (JCE), al�m de outras bibliotecas importantes, como a que adiciona o suporte a SSL na plataforma Java, Java Secure Socket Extensions (JSSE), e a Java Certification Path API (CertPath), que trata da verifica��o de certificados.

A JCA fornece apenas a arquitetura b�sica. Assim como o JDBC oferece uma camada de abstra��o que permite "plugar" diversos drivers de banco de dados, a JCA traz as interfaces e objetos fundamentais de criptografia. Permite tamb�m a utiliza��o de diferentes providers, que far�o o trabalho de criptografia propriamente dito. Dessa forma, o desenvolvedor, ou mesmo o administrador da aplica��o, tem a op��o de escolher as implementa��es dos algoritmos de criptografia que melhor atenda �s suas necessidades de seguran�a.

Mas � a JCE que cont�m as implementa��es dos algoritmos de criptografia propriamente ditos. Cada funcionalidade de criptografia � realizada por algoritmos com c�lculos matem�ticos sofisticados. A literatura especializada descreve um grande n�mero desses algoritmos, que atendem �s mais diversas necessidades de desempenho e seguran�a.

A arquitetura de providers de Java possibilita que cada fornecedor inclua no seu produto os algoritmos que considerar mais importantes. Nesse artigo utilizamos alguns algoritmos mais comuns, que est�o presentes tanto no provider padr�o da Sun, o SunJCE, quanto nos inclu�dos em outras JVMs como a da IBM, e mesmo em providers open source como o BouncyCastle. Dessa forma voc� poder� executar os exemplos na maioria das JVMs existentes. Caso voc� queira fazer experi�ncias com outros algoritmos, o JDK 1.4.2 da IBM inclui uma extensa lista, provavelmente a mais completa entre as JVMs.

Assim como n�o se faz nada apenas com o JDBC, sendo necess�rio ao menos um driver, � preciso pelo menos uma implementa��o da JCE para fazer funcionar uma aplica��o que utilize criptografia via JCA. Felizmente j� faz parte da JVM uma implementa��o padr�o da JCE, e que pode ser trocada ou expandida com a instala��o de outros providers. Para demonstrar conceitos de criptografia, vamos utilizar as implementa��es padr�o da JVM.

Nota: Por quest�es de proibi��o de exporta��o de implementa��es de criptografia do governo dos Estados Unidos, o provider padr�o, chamado �SunJCE�, s� foi integrado ao JDK a partir da vers�o 1.4. Em vers�es anteriores era necess�rio baixar e instalar o provider da Sun como uma extens�o � parte.

Criptografia

A criptografia � um ramo da ci�ncia da computa��o (e da matem�tica aplicada) que pretende abordar um problema que nos acompanha historicamente: a troca de mensagens de forma segura. Desde os s�mbolos secretos utilizados pelos sacerdotes eg�pcios, � brincadeira da �l�ngua do p�, ao uso de �ndios Navajo pelos americanos na Segunda Guerra Mundial para ludibriar os Japoneses, estamos sempre buscando formas de disfar�ar ou cifrar nossas mensagens.

Com os computadores passamos a poder fazer c�lculos para transformar (�criptografar�) mensagens digitais em outras mensagens completamente irreconhec�veis � cifradas. Estas s� podem ser abertas por aqueles que conhecem o segredo � a �chave� � para desfazer (�descriptografar�) essa cifragem.

Os algoritmos utilizados para criptografar e descriptografar realizam c�lculos sofisticados baseados em alguns tipos de problemas matem�ticos muito dif�ceis de resolver, mesmo com a velocidade atual dos computadores. Sairia do escopo desse artigo discutir os algoritmos em si, mas se voc� tem interesse em se aprofundar nesse fascinante ramo da computa��o, uma boa introdu��o � o livro �Handbook of Applied Cryptography�, dispon�vel gratuitamente em PDF (veja links). O livro entra em detalhes sobre os principais algoritmos e a matem�tica por tr�s da criptografia.

MessageDigest

Para demonstrar o uso das APIs de criptografia vamos come�ar com um dos conceitos mais simples: o c�lculo de um message digest criptogr�fico. Este c�lculo visa transformar uma mensagem (conjunto de bytes) num resultado de tamanho fixo. O resultado, chamado de hash ou digest, tem as propriedades de ser muito dif�cil encontrar duas mensagens que gerem o mesmo hash, e que a partir do hash n�o deve ser poss�vel descobrir a mensagem original. Dessa forma o hash serve para fornecer uma esp�cie de identifica��o �nica da mensagem.

Os algoritmos de hash mais famosos s�o o SHA1 e o MD5. O exemplo da Listagem 1 mostra como utiliz�-los em Java; nele fazemos uso de alguns elementos comuns que veremos em toda a biblioteca. Os conceitos explicados aqui se aplicam para todos os outros exemplos.

O pacote java.security cont�m as chamadas �classes de servi�o�, que constituem a API da JCA. Ao utilizar essas classes, sua aplica��o tem acesso a todos os servi�os de criptografia: message digests, assinaturas digitais, armazenamento de chaves etc. Mas a implementa��o desses servi�os � feita pelos �Cryptography Service Providers� (CSP) ou, simplesmente, providers do JCE. Como os drivers JDBC, os providers JCE s�o conjuntos de classes, fornecidas pela Sun ou por terceiros, que implementam algoritmos de criptografia (veja nos links exemplos de providers open source e comerciais). ...

Quer ler esse conteúdo completo? Tenha acesso completo

Tecnologias:

Confira outros conte�dos:

Introdu��o ao JDBC

Novidades do Java

Teste unit�rio com JUnit

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Bruno Em 2008

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Artigo Java Magazine 22 - Come�ando com Criptografia

Conhe�a algoritmos e use APIs de criptografia e certifica��o digital na suas aplica��es Java.