Pessoal, estou desenvolvendo meu TCC “Segurança an internet: criptografia e assinatura digital” e estou utilizando RSA.
O problema é o seguinte, a aplicação que estou desenvolvendo é baseada em cadastro de clientes, onde um envia mensagem para outro, ela é criptografada do lado cliente com a chave pública do receptor (applet), enviada e gravada num banco de dados. Quando o cliente receptor quiser ler a mensagem, ele recebe-a criptografada e decriptografa com sua chave privada…
A dúvida é, há algum tipo de aplicação mais interessante que este para se fazer? como utilizar assinatura digital neste caso?
Estou utilizando JSP/Servlet, banco de dados mysql e servidor tomcat 6.
sempre existem coisas boas a se fazerem, veja dentro das suas condições o que você pode fazer algo que consiga realizar
geralmente tenho visto utilizar em algo que você queira garantir autenticidade de quem o gerou. lembre-se que localmente o cara pode tudo, mas remotamente você deve gerenciar o controle.
você pode aproveitar e efetuar uma assinatura digital padrão ou especificada pelo próprio cliente no cadastro, garantindo que do outro lado o documento que ele enviou disponível para download é de autenticidade digital garantida pelo seu sistema, permitindo que o cara altere algo no documento para depois ler e atualizar a base de dados por exemplo.
O
oyama
Como é para um TCC, recomendo você a ler livros sobre o assunto.
Um que eu recomendo é “Cryptography and Network Security - Principle and Pratices” - William Stallings (second edition).
Não precisa ler a parte que ele explica cada um dos algoritmos de criptografia, mas o primeiro capitulo e o capitulo 14 podem te ajudar a entender os aspectos de segurança de sistemas computacionais.
jpcasati
oyama:
Como é para um TCC, recomendo você a ler livros sobre o assunto.
Um que eu recomendo é “Cryptography and Network Security - Principle and Pratices” - William Stallings (second edition).
Não precisa ler a parte que ele explica cada um dos algoritmos de criptografia, mas o primeiro capitulo e o capitulo 14 podem te ajudar a entender os aspectos de segurança de sistemas computacionais.
Eu tenho este livro, está me ajudando bastante, mas minha dúvida eh mesmo quanto a aplicação em si. A implementação que eu vou fazer utilizando a tecnologia.
por enquanto estou pensando em um applet tipo o do BB, que envia os dados pro servidor utilizando criptografia de chave pública e algoritmo de hash para assinatura digital.
O
oyama
Acho que a melhor maneira de demonstrar a utilização de mecanismos de criptografia e segurança é ter um cenário com e sem ela e indicar o que cada componente garante: confidencialidade, autenticidade, integridade, controle de acesso, disponibilidade e “nonrepudiation”. A maioria das pessoas só vê segurança na parte de confidencialidade: encrypt e decrypt.
Utilizando somente uma chave pública para criptografar e uma chave privada para decriptografar você está apenas demonstrando a parte de confidencialidade também. Pode ser que para a sua aplicação isto seja suficiente. Se você estudar o protocolo SSL vai verificar que isto não é suficiente, pois existem outros riscos envolvidos em uma transmissão de dados por meio inseguro. A assinatura digital neste caso vai garantir autenticidade e integridade.
Bem isto tudo é uma parte de teoria de segurança. Não sei exatamente quais são os pontos que você quer demonstrar no seu TCC. não existe muito o que inventar…
jpcasati
oyama:
Acho que a melhor maneira de demonstrar a utilização de mecanismos de criptografia e segurança é ter um cenário com e sem ela e indicar o que cada componente garante: confidencialidade, autenticidade, integridade, controle de acesso, disponibilidade e “nonrepudiation”. A maioria das pessoas só vê segurança na parte de confidencialidade: encrypt e decrypt.
Utilizando somente uma chave pública para criptografar e uma chave privada para decriptografar você está apenas demonstrando a parte de confidencialidade também. Pode ser que para a sua aplicação isto seja suficiente. Se você estudar o protocolo SSL vai verificar que isto não é suficiente, pois existem outros riscos envolvidos em uma transmissão de dados por meio inseguro. A assinatura digital neste caso vai garantir autenticidade e integridade.
Bem isto tudo é uma parte de teoria de segurança. Não sei exatamente quais são os pontos que você quer demonstrar no seu TCC. não existe muito o que inventar…
Realmente… o que quero demonstrar é que apenas confidencialidade não é o suficiente, quero implementar um mecanismo de assinatura digital. Demonstrando autenticidade e integridade. Este é o escopo do trabalho. Vou fazer oque disse, a mesma aplicação sem os mecanismos de segurança, e simular uns ataques e tal. Depois com a segurança e simulá-los também.
