Criptografia

Olá

Você esqueceu de dizer qual o método usa para criptografar os dados. Ninguém deve usar algum tipo de criptografia sem saber exatamente o que está usando. Já imaginou se alguém criasse um software fazendo um XORzinho da vida e passasse a idéia de que é criptografia segura?

<editado>Depois que respondi é que percebi que o Instituto não é para fins lucrativos.</editado>

[]s
Luca

Resumindo, eu codifico meu texto com uma chave que eu criei de 8 numeros e mando pra algum amigo. Na sequencia eu tenho que ligar pra ele e passar essa chave senão ele não le o e-mail?

Chaves assimétricas funcionam melhor. Eu crio minha publica, mando pra todo mundo. Quem quiser mandar mail pra mim fecha com essa chave, cujo só minha chave privada abre.

algumas perguntas:

1. Qual o algoritmo de criptografia? É algum algoritmo já conhecido ou foi vc que inventou?
2. Qual tipo de criptografia? simétrica ou assimétrica?
3. Chaves de apenas 8-bits? cara … qquer computadorzinho merreca consegue quebrar um esquema criptografico com uma chave tão pequena cara. Hoje em dia as chaves q se usa para criptografia são de 128 bits.
4. Como haverá a troca de chaves?

“Johannes Wille”:

Oi. Eu estava trabalhando com as classes de codificação do JAVA e tive a idéia de “democratizar” o acesso à criptografia. O que vocês acham disso?
Veja em http://www.avaliacao.org.br/keepsecret/
Eu acredito que só assim é possível ter garantia de que ninguém vai ler os seus e-mails e textos…

Existem padrões para enviar emails criptografados.
O padrão mais famoso é o PGP - é tão bom que até o Bin Laden usa…
O outro é o S/MIME, que requer certificados X.509. Esse padrão está implantado no Outlook Express, no Netscape Messenger, no Eudora, e nem sei mais onde. Esse eu conheço bem, porque tive de implementar um componente em C++ que suportasse S/MIME faz alguns anos atrás.
Para web mails, existe o http://www.hushmail.com, que é tão seguro quanto o próprio PGP, com a vantagem de você não ter de carregar consigo a sua chave privada.
Não é preciso criar o seu próprio padrão - já fizeram isso por você.

“thingol”:

“Johannes Wille”:

Oi. Eu estava trabalhando com as classes de codificação do JAVA e tive a idéia de “democratizar” o acesso à criptografia. O que vocês acham disso?
Veja em http://www.avaliacao.org.br/keepsecret/
Eu acredito que só assim é possível ter garantia de que ninguém vai ler os seus e-mails e textos…

Existem padrões para enviar emails criptografados.
O padrão mais famoso é o PGP - é tão bom que até o Bin Laden usa…
O outro é o S/MIME, que requer certificados X.509. Esse padrão está implantado no Outlook Express, no Netscape Messenger, no Eudora, e nem sei mais onde. Esse eu conheço bem, porque tive de implementar um componente em C++ que suportasse S/MIME faz alguns anos atrás.
Para web mails, existe o http://www.hushmail.com, que é tão seguro quanto o próprio PGP, com a vantagem de você não ter de carregar consigo a sua chave privada.
Não é preciso criar o seu próprio padrão - já fizeram isso por você.

Muito legal a opinião de vcs. Porém, às vezes percebo que o mundo da informátiva é muito cruel porque sempre existe algo melhor, mais eficiente, mais completo etc… é lógico que existe criptografia de 128 bits…mas isso é coisa para o Bin Laden, Bush, Blair etc.
A ideia e simplesmente de oferecer da maneira mais simples possivel a possibilidade de criptografar e-mails e pequenos textos para usuarios comuns. Existe ai uma relacao custo beneficio que deve ser considerada. Quem vai gastar tempo, fosfato e processamento para decodificar meus e-mails?
Eu acho que o importante e ter uma garatia de que o pessoal que tem acesso ao meu notebook (inclusive se for roubado!) ou o pessoal de manutencao dos servidores de e-mails tenham um pouco mais de dificuldade para ler o conteudo dos meus e-mails mais confidenciais…
Não é?

[] Johannes
www.avaliacao.org.br/keepsecret

De fato, tem coisas que faltam nos padrões…

Se você conhece o PGP sabe que existe uma opção com senha simples (daquelas que você passa pelo telefone, e com sorte alguém não grampeou seu telefone.)
É esse tipo de mensagem (onde as duas partes devem combinar um segredo) que você implementou.
Infelizmente, embora o S/MIME até preveja esse tipo de mensagem (é um RFC escrito por um famoso criptógrafo neozelandês, Peter Gutmann - você provavelmente já ouviu falar dele), não está implementado por aí, então você nunca viu esse tipo de recurso em softwares como o Outlook Express ou o Netscape Messenger.
É que essa parte (que é chamado em inglês de “key agreement”, ou seja, as duas partes devem concordar sobre o segredo que devem compartilhar) é bastante complicada em termos operacionais (digamos que o telefone esteja grampeado, por exemplo), por isso é que eles definiram e implementaram primeiro a parte que é mais complicada (usar criptografia com certificados digitais e outros quetais).
Se puder, leia o livro “Applied Cryptography”, de Schneier; esse livro é recomendado para todos que querem saber algo sobre criptografia.
Outra dica é o site do sr. Peter Gutmann, http://www.cs.auckland.ac.nz/~pgut001/
Veja o tutorial, http://www.cs.auckland.ac.nz/~pgut001/tutorial/index.html. É enorme (eu o traduzi, mas como foi para um curso que dei para a Serasa, não posso postar a tradução).

Olá

Acho este livro bom porém voltado para implementações (aliás um pouco antigas). Para mim o livro básico de criptografia para quem quer saber algo é o Practical Criptography de Niels Fergunson e Bruce Schneier da Wiley. É uma leitura fluente sem muitas implementações. Outro livro que gosto muito é o SSL and TLS de Eric Rescorla da Addison Wesley.

Para nós que usamos Java há uns 3 ou 4 livros muito bons em se tratando de implementações porque com Java é bem fácil trabalhar nesta área.

[]s
Luca