O HTTPS (Hypertext Transfer Protocol Secure) é a versão segura do HTTP (Hypertext Transfer Protocol). Ele protege a comunicação na web, criptografando o tráfego entre o navegador do usuário e o servidor web. O HTTPS utiliza SSL (Secure Sockets Layer) ou seu sucessor, TLS (Transport Layer Security), para estabelecer uma comunicação segura.
-
SSL/TLS Handshake:
O SSL/TLS Handshake é um processo essencial que ocorre quando um cliente se conecta a um serviço habilitado para TLS. Envolve várias mensagens entre o cliente e o servidor para estabelecer uma conexão segura. O processo inclui ClientHello, ServerHello, troca de certificados, seleção de algoritmos de criptografia e estabelecimento de uma chave de sessão segura.
-
Chave de Sessão:
A chave de sessão é uma chave de criptografia simétrica compartilhada, derivada da chave público-privada. Ela é usada para criptografar os dados transmitidos durante a sessão TLS. O conceito de sigilo antecipado garante que, mesmo se a chave privada for comprometida, as chaves de sessão permaneçam seguras.
SSH (Secure Shell):
O SSH é um protocolo de rede seguro que utiliza criptografia para fornecer acesso a serviços de rede em ambientes não seguros. Ele é comumente usado para login remoto em sistemas baseados em linha de comando. O SSH utiliza criptografia de chave pública para autenticar a máquina remota e pode autenticar usuários por meio de certificados de cliente. Seu protocolo flexível suporta vários mecanismos de troca de chaves e cifras de criptografia simétrica.
PGP (Pretty Good Privacy):
O PGP é um aplicativo de criptografia desenvolvido por Phil Zimmerman em 1991. Inicialmente concebido para comunicação de e-mails criptografados, o PGP também oferece soluções de criptografia de disco e arquivos. O PGP utiliza criptografia assimétrica para autenticação e privacidade. Zimmerman enfrentou desafios legais devido às restrições de exportação dos EUA relacionadas ao uso de criptografia.
-
Restrições de Exportação:
As normas federais dos EUA para exportação classificavam criptografia com chaves acima de 40 bits como munições. O PGP, usando chaves maiores, enfrentou restrições semelhantes às aplicáveis a armas e munições. Zimmerman desafiou essas restrições publicando o código fonte em um livro de capa dura, alegando proteção pela primeira emenda.
-
Segurança do PGP:
O PGP é altamente considerado em termos de segurança, sem violações conhecidas por meios computacionais. Sua robustez é comparável à criptografia militar. Casos documentados mostram que as autoridades muitas vezes recorrem a mandados judiciais para obter senhas ou chaves, já que não conseguem quebrar a criptografia PGP.
Esses aplicativos e protocolos ilustram a aplicação prática de conceitos criptográficos para garantir a confidencialidade, autenticidade e integridade das comunicações em diferentes contextos.