Respostas

Aqui estão as dúvidas enviadas através do formulário que já foram respondidas.


Proteção de arquivos de música contra cópia

postado em 19 de mai de 2010 05:49 por Cristian Thiago Moecke   [ 19 de mai de 2010 05:58 atualizado‎(s)‎ ]

Fernando - "Olá. 
Tenho lido alguns de seus artigos e, como leigo no assunto criptografia, posso garantir que foram muito úteis. Parabéns pela iniciativa.
Aproveitando o contato, falo sobre um projeto que estou desenvolvendo.
O projeto conciste em fornecer músicas no formato mp3 gravadas em HD externo ou cartões de memória, mas que não poderiam ser extraídas, só executadas. Ou seja, gostaríamos que o comprador pudesse comprar o pacote de músicas e ouví-las, porém, não copiá-las e distribuí-las livremente. Neste caso, o comprador só teria permissão para leitura dos arquivos.
Como não temos encontrado uma solução interessante, pedimos sua indicação ou informações sobre se a criptografia não pode nos ajudar neste caso. A gravação ou exclusão de arquivos só poderia ser feita por nós, mediante senha de criptografia. O usuário comum, só poderia ler, executar as músicas em qualquer player.
Se puder ajudar, agradeço muitíssimo.
Um abraço."

Olá Fernando. Desculpe a demora nas respostas, por um problema técnico acabei não sendo informado mais sobre novas perguntas pelo sistema por algum tempo. 

O que você quer é impossível, exceto em soluções que envolvam todo o hardware. Convenhamos que no pior caso o usuário usaria um software de terceiros como player que, em algum momento, precisaria ter acesso a música decifrada (o que será "jogado" para a caixa de som) e poderia assim pegar isso e gravar em um novo arquivo. 

Normalmente se terá que ter um software específico para tocar as músicas, de forma que esse software cuida da decifragem da música e toque ela. Mas como vocês falaram "qualquer player", isso não se aplica. Note que ainda assim um software de terceiros pode se colocar entre o seu software e a caixa de som, e gravar o material em um novo arquivo. 

Existe muito trabalho já nessa área, eu confesso não ser conhecedor de muitos deles, mas vale a pena você pesquisar. A dica é pesquisar por DRM, Digital Rights Management. Você encontrará muitas propostas que tentam solucionar este mesmo problema. Mas resolver totalmente, é muito difícil.

Perguntas sobre o TrueCrypt

postado em 21 de jul de 2009 07:10 por Cristian Thiago Moecke   [ 19 de mai de 2010 05:57 atualizado‎(s)‎ ]

Raphael - "Bom Tarde.
Antes de fazer uma pergunta eu queria parabenizá-lo pela iniciativa de colocar um site sobre criptografia pois aqui no Brasil temos poucos informação sobre este assunto.
Eu utilizo aqui no meu computador o True Crypt e criptografei toda a minha partição do Windows para testar (claro tenho dois HD's e tenho uma imagem da partição normal [descriptografada] pro caso de dar bug)  e estou utizando o método AES-256 bits. Tenho algumas perguntas:
1) Por que uma chave RSA-2048 bits equilavale a uma AES-256?
2) Do que adianta a chave mais forte e "inquebrável do mundo" se dá para descobrir a senha realizando ataque de força bruta?
3) Realmente um disco criptografado pelo TrueCrypt é inquebrável? Um computador poderoso como a da PF (pelo menos acredito que seja) demoraria quando para quebrar?
4) Você conhece algum outro programa equilavente o TrueCrypt porém que tenha uma criptografia mais "forte"?'

Olá Raphael. Respondendo suas perguntas:
1) Quando se fala na "equivalência" entre um algoritmo de criptografia assimétrica (RSA) com um de criptografia simétrica (AES), normalmente está se falando da resistência a ataques de força bruta. Uma cifragem simétrica precisa de chaves muito menores do que uma cifragem assimétrica para ser segura (e aí é um dos motivos para o fato da criptografia assimétrica ser muito mais "cara" e lenta).
2) Você está certo, é necessário usar uma senha boa. A chave é derivada da senha, e realmente, de nada adianta a chave ser grande se a senha for fácil de adivinhar. Agora, quando as senhas não são óbvias ou de dicionário, o ataque de força bruta acaba se tornando inviável e o tamanho da chave é importante para garantir a segurança contra outros ataques sobre os dados cifrados.
3) Considerando que a senha seja boa, e o sistema seja bem utilizado, pode-se dizer que sim. Um bom algoritmo de criptografia tem sua quebra inviável pois exigiria um imenso poder computacional e milhares, milhões ou mais de anos. Mas existem ataques alternativos para se obter informações. Por exemplo, obter informações da memória do computador enquanto está se cifrando/decifrando o HD, e por aí vai. A segurança vai depender da implementação do TrueCrypt e da segurança do seu computador quando você usa ele.
4) O TrueCrypt trabalha com algoritmos excelentes, e é aberto (o que te dá mais segurança de que não existem "backdoors", por exemplo). Não sei se existem sistemas acessíveis aos "mortais" com maior qualidade. Mas também, nem vejo necessidade para isso.

Como quebrar uma criptografia que não conheço?

postado em 20 de jul de 2009 07:51 por Cristian Thiago Moecke   [ 19 de mai de 2010 05:57 atualizado‎(s)‎ ]

Sergio - "Ola amigo eu admirei como voçe lida com criptografia e por isso eu estou postando essa duvida estou com uma criptografia que eu nao conheço que queria decriptarolha
•2&Ü por favor amigo me responda obrigado"

Olá Sergio! Se fosse assim fácil "quebrar uma criptografia", concordas que a criptografia não seria uma coisa muito útil, correto?
De maneira geral, algumas coisas são importantes para se conseguir quebrar um texto:
  • Informações sobre o texto que está cifrado (idioma, padrões presentes no texto, etc.)
  • Uma quantidade grande de texto cifrado
Com isso, você poderá fazer análise estatística em cima do que você tem e possivelmente obter algumas informações ou decifrar o texto. Mas se o algoritmo de cifragem for bom, será muito difícil ou impossível quebrar mesmo assim.
Você forneceu apenas 4 caracteres de texto, e nenhuma informação extra. É muito difícil decifrar algo tão pequeno sem conhecimento algum sobre o que pode estar ali.
Aliás, o que te faz ter tanta certeza que se trata de criptografia, e não apenas uma informação codificada em outra base numérica, caracteres aleatórios, ou qualquer outra coisa?

O SHA-1 não é mais tão seguro? Porque ainda é usado?

postado em 11 de jun de 2009 06:21 por Cristian Thiago Moecke   [ 19 de mai de 2010 05:57 atualizado‎(s)‎ ]

Parte II - Criptografia Assimétrica

Rafael - "Olá! É verdade que o SHA1 não é mais seguro como antes? Por que ele ainda é usado? Depois de configurar o meu programa de e-mail (Thunderbird) e instalar o Enigmail, notei que ao assinar ele usa o SHA1. Você sabe como fazer para mudar para o SHA256 ou SHA512? Obrigado."

Olá Rafael. Sim, pra começar, é verdade. Ele não é mais tão seguro quanto era no começo.  Desde 2005 estão sendo feitos progressos no sentido de encontrar colisões cada vez mais rápidas para SHA-1. Entretanto, ainda não é um algoritmos que esteja quebrado na prática, e obter colisões ainda é um processo difícil e comutacionalmente muito pesado, de forma que ainda não se considera que o algoritmos esteja realmente quebrado. O algoritmo continua ainda suficientemente seguro mas todo mundo está (ou devia estar) pensando em migrar pra novos algoritmos. O NIST inclusive lançou a competição pro desenvolvimento do SHA-3 já, afinal os outros SHA (256 e etc.) são apenas variantes do SHA-1, não algoritmos realmente novos.
Você mesmo de certa forma respondeu sua pergunta de porque ainda se usa SHA-1. A resposta principal, pra mim, é: interoperabilidade. Muitos softwares simplesmente apenas trabalham com SHA-1. Não tem implementado funções mais novas. Se você assinar com outras funções, pouca gente vai conseguir validar sua assinatura (especialmente em plataformas fechadas).

1-4 of 4