Revista MSDN Magazine Edição 14 - Criptografia forte nos aplicativos

Clique aqui para ler todos os artigos desta edi��o

Criptografia forte nos aplicativos

por Michael Stuart e J Sawyer

Este artigo discute

Este artigo usa as seguintes tecnologias:

� Um pr�tico utilit�rio de criptografia

� Informa��es b�sicas sobre algoritmos de criptografia

� Prote��o de chaves

� Poss�veis armadilhas

Visual Basic , COM+ e .NET

Download:

CryptoUtility.exe (1,491KB)

Chap�u

Criptografia

Todos n�s j� fomos alertados para n�o armazenarmos informa��es em nossos computadores. Voc� sabe que armazenar senhas, n�meros de cart�es de cr�dito ou de CPF no sistema � arriscado, e pode abrir as portas para algu�m que queira roubar essas informa��es. Contudo, � bem poss�vel que voc� precise armazenar esse tipo de informa��o cr�tica em sistemas de computadores.

Vamos supor que voc� esteja executando um sistema banc�rio de processamento de pagamentos. Tal sistema precisa armazenar n�meros de cart�o de cr�dito para processar cobran�as recorrentes, para estornar cobran�as e realizar auditorias de contas. Nesse caso, uma metodologia n�o revers�vel (como um algoritmo hash aplicado a uma senha) simplesmente n�o � apropriada. Al�m disso, ambos os cen�rios exigem criptografia e decriptografia em v�rias m�quinas independentes.

Neste artigo, examinaremos algumas das quest�es envolvidas no desenvolvimento de componentes de criptografia forte para aplicativos. Os componentes poder�o ser usados em casos como o que descrevemos. Al�m disso, temos alguns outros objetivos para um programa que criamos, chamado CryptoUtility. Primeiro, queremos o n�vel mais alto poss�vel de seguran�a que seja pr�tico para aplicativos de servidores Web. Segundo, a instala��o deve ser relativamente f�cil, do ponto de vista do administrador, de modo a permitir a implementa��o de diversos servidores sem precisar passar por dez p�ginas de instru��es de instala��o. Terceiro, a criptografia revers�vel (que abordaremos mais tarde) deve estar dispon�vel, com as chaves protegidas e armazenadas em seguran�a. � claro que, como se trata de um aplicativo de servidor, este dever� ser altamente expans�vel e funcionar durante meses sem a necessidade de cuidados administrativos ou de reinicializa��o. Finalmente, esse componente deve ser acess�vel a aplicativos COM de legado (como ASP cl�ssico) assim como a aplicativos baseados no .NET (como Web Services e aplicativos executados no ASP.NET).

Todo aplicativo apresenta algum tipo de poss�vel vulnerabilidade. No caso de aplicativos que lidam com informa��es extremamente cr�ticas, esses perigos s�o ainda maiores e voc� dever� ter o conhecimento mais completo poss�vel sobre eles. Voc� deve determinar como as amea�as identific�veis interagem umas com as outras e como diversos problemas independentes podem se combinar para formar uma vulnerabilidade. De posse dessas informa��es, voc� poder� identificar riscos de seguran�a, definir a prioridade dos riscos poss�veis e decidir sobre os n�veis aceit�veis de risco.

Vamos explorar amea�as usando os modelos STRIDE e DREAD, conforme descritos por Michael Howard em Writing Secure Code, Second Edition (Microsoft Press�, 2003). O STRIDE � um modelo para categorizar amea�as; significa Spoofing (falsifica��o de identidade), Tampering (viola��o), Information disclosure (libera��o de informa��es), Denial of service (nega��o de servi�o) e Elevation of privilege (eleva��o de privil�gio). DREAD � um modelo para c�lculo do risco total associado a uma amea�a; significa Damage potential (potencial de danos), Reproducibility (reprodutibilidade), Exploitability (possibilidade de explora��o), Affected users (usu�rios afetados) e Discoverability (possibilidade de descobrimento). A modelagem e a an�lise de amea�as est�o al�m dos objetivos deste artigo, mas faremos refer�ncia aos termos associados aos modelos STRIDE e DREAD ao descrevermos as medidas de seguran�a de sistemas.

Arquitetura do CryptoUtility

As decis�es de arquitetura afetam todas as solu��es. Nosso primeiro ponto de decis�o � se vamos implementar o CryptoUtility como uma DLL em processo, um servi�o do Windows� ou um Serviced Component utilizando Enterprise Services. O desenvolvimento do componente como uma DLL em processo apresenta diversos problemas de seguran�a. Primeiro, o CryptoUtility � executado como a conta do ASP.NET. Muito embora ainda n�o tenhamos decidido sobre uma estrat�gia b�sica de gerenciamento, sabemos que n�o devemos fazer com que a conta do ASP.NET tenha acesso � chave. Isso criaria a possibilidade de um agressor explorar uma vulnerabilidade e obter informa��es confidenciais por meio do Web site. Enquanto houver probabilidades contra n�s, os dados que deveremos proteger s�o de tal n�vel que o potencial de danos � extremamente alto. Esse tipo de invas�o poderia afetar todos os usu�rios, ent�o sempre tentamos evitar essa op��o. ...

Quer ler esse conteúdo completo? Tenha acesso completo

Confira outros conte�dos:

Teste unit�rio com NUnit

Como migrar projetos do ASP.NET MVC...

Crie relat�rios com o Stimulsoft...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Michael Em 2009

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Revista MSDN Magazine Edi��o 14 - Criptografia forte nos aplicativos

Artigo Originalmente Publicado na MSDN Magazine Edi��o 14