📖 Resumo - Domínio 3: Implementação de Segurança
🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
- Criptografia Simétrica (AES): Mesma chave, rápida
- Criptografia Assimétrica (RSA/ECC): Par de chaves (pública/privada)
- Hashing: MD5/SHA-1 obsoletos, SHA-2/3 atuais. Salt previne rainbow tables
- PKI: CA emite certificados, CRL/OCSP para revogação
- MFA: Algo que você sabe + tem + é
- Kerberos: Protocolo do AD, usa tickets
1️⃣ Criptografia Simétrica vs Assimétrica
🔑 Simétrica
- Mesma chave para cifrar/decifrar
- Rápida - ideal para grandes volumes
- Problema: compartilhamento da chave
- AES (128/192/256 bits) - padrão atual
- DES (56 bits) - obsoleto
- 3DES - sendo substituído
- Blowfish, Twofish
🔓 Assimétrica
- Par de chaves: pública + privada
- Lenta - ineficiente para grandes dados
- Resolve compartilhamento de chaves
- RSA (2048+ bits) - mais usado
- ECC - chaves menores, mesma segurança
- Diffie-Hellman - troca de chaves
- DSA - apenas assinaturas
🔒 Hashing
- One-way: não reversível
- Tamanho fixo de saída (digest)
- Integridade: verifica alterações
- MD5 (128 bits) - obsoleto
- SHA-1 (160 bits) - obsoleto
- SHA-2 (256/512) - padrão atual
- HMAC - hash com chave
⚠️ SEGURANÇA DE CHAVES:
- AES-128: keyspace 2^128
- AES-256: NÃO é 2x maior, é trilhões de vezes maior
- RSA: mínimo 2048 bits recomendado
- ECC: 256 bits = segurança RSA 3072 bits
2️⃣ Modos de Operação de Block Cipher
| Modo | Descrição |
|---|---|
| ECB | Mais simples, blocos iguais → ciphertext igual. INSEGURO! |
| CBC | Usa IV, blocos encadeados. Mais seguro que ECB. |
| CFB | Transforma block cipher em stream cipher. Usa IV. |
| CTR | Usa nonce + contador, paralelizável. |
| GCM | Criptografia + autenticação (MAC). Usado em TLS 1.3. |
3️⃣ Hashing e Aplicações
Características do Hash
- Determinístico: Mesmo input = mesmo hash
- Efeito avalanche: Pequena mudança = hash completamente diferente
- Resistente a colisões: Difícil encontrar dois inputs com mesmo hash
Usos do Hash
- Integridade de arquivos: Verificar se arquivo foi alterado
- Armazenamento de senhas: Com salt (nunca em texto claro!)
- Assinaturas digitais: Hash é assinado, não o documento inteiro
🧂 SALT E KEY STRETCHING:
- Salt: Valor aleatório adicionado à senha antes do hash. PREVINE RAINBOW TABLES!
- Key Stretching: Múltiplas rodadas de hashing (PBKDF2, bcrypt, Argon2) - dificulta brute force
4️⃣ PKI (Public Key Infrastructure)
Cadeia de Confiança
🔒 Root CA (auto-assinado)
⬇️ assina
🔐 Intermediate CA
⬇️ assina
📜 Certificate (Leaf)
Componentes da PKI
- CA (Certificate Authority): Emite certificados (Let's Encrypt, DigiCert)
- RA (Registration Authority): Verifica identidade antes da emissão
- Certificado Digital: Liga chave pública a uma identidade (padrão X.509)
- CRL (Certificate Revocation List): Lista de certificados revogados
- OCSP (Online Certificate Status Protocol): Verifica status em tempo real
Tipos de Certificados
- Wildcard: *.dominio.com - cobre subdomínios
- SAN (Subject Alternative Name): Múltiplos domínios no mesmo certificado
- Code Signing: Assina software, prova autenticidade
- Self-Signed: Não emitido por CA confiável
5️⃣ Cryptoprocessors
| TPM | HSM | |
|---|---|---|
| O que é | Chip na placa-mãe | Dispositivo dedicado (rack, PCIe) |
| Funções | Gera hash de boot, armazena chaves (BitLocker) | Gera/armazena chaves, assinaturas digitais |
| Uso | Computadores pessoais | Bancos, CAs, grandes empresas |
6️⃣ IAM - Identity & Access Management
Princípios Fundamentais
- Menor Privilégio (PoLP): Conceder apenas as permissões mínimas necessárias
- Need to Know: Acesso apenas a informações estritamente necessárias
- Segregação de Funções (SoD): Dividir tarefas críticas entre múltiplas pessoas
Modelos de Controle de Acesso
DAC
Proprietário do recurso define permissões. Ex: NTFS.
MAC
Sistema define por rótulos/clearance. Ex: SELinux.
RBAC
Permissões por função/cargo. Mais comum.
ABAC
Atributos (tempo, local, dispositivo). Mais granular.
Fatores de Autenticação (MFA)
Tipo 1
Algo que você SABE
Senha, PIN
Tipo 2
Algo que você TEM
Token, smart card
Tipo 3
Algo que você É
Biometria
Tipo 4
Algum lugar que você ESTÁ
Geolocalização
Biometria - Métricas
- FAR (False Acceptance Rate): Taxa de aceitar impostores - MAIS GRAVE!
- FRR (False Rejection Rate): Taxa de rejeitar legítimos
- CER (Crossover Error Rate): Ponto onde FAR = FRR. Quanto menor, melhor
7️⃣ Kerberos
Componentes
- KDC (Key Distribution Center): Emite tickets
- TGT (Ticket Granting Ticket): Ticket inicial após autenticação
- Service Ticket: Acesso a recurso específico
Fluxo Kerberos
- Usuário solicita TGT ao AS (usa hash da senha)
- AS valida e retorna TGT + session key
- Usuário solicita Service Ticket ao TGS (apresenta TGT)
- TGS retorna Service Ticket
- Usuário apresenta Service Ticket ao servidor
- Acesso concedido
🔑 PONTOS CRÍTICOS DO KERBEROS:
- Senha NÃO é transmitida pela rede
- Tickets têm timestamp e validade (tolerância de 5 min)
8️⃣ Automação e Implementação
CI/CD e Automação
- CI/CD: Continuous Integration/Continuous Deployment
- Infrastructure as Code (IaC): Terraform, CloudFormation
- SOAR: Security Orchestration, Automation and Response
- Scripting: Python, PowerShell, Bash
🎯 DICAS FINAIS PARA PROVA:
- AES é o padrão atual de criptografia simétrica
- RSA 2048+ ou ECC para assimétrica
- MD5 e SHA-1 são obsoletos - NÃO USAR!
- Salt previne rainbow tables
- TPM é chip na placa-mãe, HSM é dispositivo dedicado
- CRL vs OCSP: OCSP é em tempo real
- Kerberos: tickets, NÃO transmite senha
- FAR (aceitar impostor) é MAIS GRAVE que FRR