---

Minicurso M1: Introdução à Criptografia e Segurança na Internet

---

Curso C1: Criptografia e Segurança na Informática

---

Curso C2: Infraestruturas de Chaves Públicas

---

Tornar seguro um sistema de informações  não é a mesma coisa que instalar programas de criptografia em seu ambiente, embora tal medida possa contribuir. Buscar segurança na informática é um processo semelhante à procura metafísica do ser humano por sentido na vida, premissa argumentada na apresentação deste programa. Os cursos e mini-cursos aqui oferecidos tratam de como a criptografia pode contribuir na busca por segurança na informática.

Na maioria das vezes, o interesse de quem procura um curso de segurança na informática está na proteção de sistemas de informação que já existem e sobre os quais não se sabe como bem avaliar o nível de confiança que inspiram. Nestes cursos e mini-cursos certamente não serão dadas, devido aos riscos da falácia, receitas para tornar tais sistemas seguros. As receitas apresentadas serão apenas algoritmos e protocolos criptográficos, destinados à construção de mecanismos de proteção a dados. Entretanto, o contexto em que serão apresentados deverá enriquecer a sensibilidade do interessado em avaliar a confiabilidade e a exposição a riscos desses sistemas.

As premissas apresentadas nos levam a reconhecer que a busca por segurança pressupõe um modelo bem formado de algo que existe e com o qual interagimos. No mundo da vida, por exemplo, o indivíduo deve estar sempre disposto a refinar seu modelo de mundo, para nele existir e operar com desenvoltura e confiança. No caso da busca por segurança na informática, modelamos o mundo da interação entre homens e bits, onde os primeiros atribuem valor semântico (significado) e econômico (preço, custo) aos últimos.

A Internet, com seu papel remodelador das práticas comunicativas, culturais, sociais e mercantis, nelas introduzindo mudanças que irão se refletir nas práticas jurídicas, levando-as enormes desafios, trouxe uma profunda mudança de paradigma para a segurança na informática. Isto porque numa rede global de hierarquia aberta, como é a internet, o modelo de confiança em que operam os canais semânticos de seus usuários é não-transitivo, não-associativo e não-simétrico, diferentemente dos modelos que podem descrever a utilidade de uma rede fechada.

Numa rede de computadores fechada, geralmente encontra-se refletida alguma hierarquia do mundo da vida, onde as atribuições e responsabilidades subjacentes são delegadas ou reguladas por alguma espécie de acordo ou contrato. Já na internet, confiança não se delega, não se contrata, nem se infere: deve-se confiar, em princípio, apenas na necessidade de cooperação dos participantes para que o tráfego flua. Por outro lado o modelo de risco é transitivo e distributivo, tanto numa malha "sem dono" de dispositivos que roteam pacotes IP, quanto numa hierarquia social. Riscos se propagam, estão implícitos em acordos ou em conexões, e podem ser inferidos.

A capacidade de enganar, iludir, ludibriar, mentir, trapacear e fraudar um interlocutor é observada nas ciências cognitivas como característica da inteligência humana, como também a capacidade de se reconhecer, evitar ou neutralizar tais interlocuções. Esta capacidade humana de gerar e filtrar ruídos semânticos se manifesta nas práticas sociais de comportamento coletivo. O reconhecimento, aceitação, engajamento, refutação, dissimulação ou subversão dessas ou nessas práticas permeam, portanto, nosso modelo de mundo. E nesses nossos modelos de mundo, tais práticas comunicativas podem ser classificadas sob o conceito de protocolo.

Desses protocolos, os que são praticados em meio digital não tangível, visando a proteção dos dados comunicados entre interlocutores, reais ou virtuais, serão chamados de protocolos criptográficos. Os protocolos criptográficos constituem a base para o estudo desenvolvido nos cursos e mini-cursos aqui oferecidos. No curso C1, a partir da apresentação de alguns protocolos criptográficos hoje considerados importantes abordamos, de forma entrelaçada, tópicos sobre contextos onde são aplicados, suas premissas, vulnerabilidades conhecidas, critérios de escolha, algoritmos utilizados, propriedades e detalhes de implementação, exemplos de aplicações e de falhas. Ao mesmo tempo, abordamos as implicações materiais e legais de engajamentos, desvios, boicotes, sabotagens e conluios nestas práticas. No curso C2 abordamos as especificações e padrões de interoperabilidade para a implementação de infraestruturas de chaves públicas, isto é, protocolos criptográficos para redes de hierarquia aberta, incluindo exemplos de implementações em código fonte.

Para o sucesso didático deste programa, é fundamental a boa organização dos temas expostos. Mas antes, um certo tipo de motivação do aluno é igualmente importante. Para bem investir sua capacitação em tecnologias que dão suporte a nichos emergentes da informática, tais como o comércio eletrônico, as VPNs ou outros serviços baseados na Web, o profissional desta área precisa formar uma visão coerente e equilibrada do processo evolutivo da ciência da computação, que lhe permita nela identificar fronteiras de competência para o fornecimento de segurança, dentro da dinâmica dos riscos numa sociedade em transformação. Precisa enxergar através das distorções alardeadas pela propaganda, além do marketing hype, que para tal assunto é forte devido à natureza do que se busca. Segurança é um assunto que toca as mais profundas inquietações humanas.

Ilustramos esta importância com a seguinte observação: um sistema totalmente desprotegido estará mais seguro do que um sistema cujas proteções e exposição a riscos estejam infundadamente presumidos. Por exemplo, um mecanismo de autenticação projetado para controle de acesso local (login) se torna, em geral, totalmente inseguro quando empregado para controle de acesso remoto. Sendo assim, é útil considerarmos a premissa de Gerk, segundo a qual o verdadeiro bug do milênio consiste no uso inadequado de modelos de redes fechadas para se compreender a internet, que é uma rede de hierarquia aberta. Para se corrigir esta falha de compreensão, é necessário o conhecimento do que seja e para que serve a critpografia assimétrica.

O curso e minicurso iniciais (C1 e M1) oferecidos neste programa tem como objetivo principal ajudar o interessado a desenvolver sensibilidade para avaliar, com satisfatória acurácia, os custos da exposição a riscos e das medidas de proteção oferecidos pelo cenário tecnológico em evolução, no processo de busca por segurança para os sistemas de informação pelos quais responde ou com os quais trabalhe. A experiência e o bom senso mostram que 100% de segurança é uma quimera, enquanto 100% de aceitação dos riscos que minimizem o somatório das perdas decorrentes de riscos assumidos e dos custos diretos e indiretos com mecanismos de proteção empregados, é um diferencial competitivo para o empreendedor da informática neste mundo glogalizado. Em outras palavras, a segurança possível é o risco aceitável.

Esta sensibilidade, que estará eventualmente vinculada à reputação profissional dos que assumem tais responsabilidades, terá de se harmonizar com a ciberversão da segunda lei da termodinâmica, expressa pela equação de Nemeth

Segurança     =                 1        .
                               Conveniência

cujas aplicações revelam as dimensões psicológicas no planejamento de mecanismos de segurança eficazes, responsáveis por seus custos indiretos.

Seguindo os roteiros descritos na tabela abaixo, a abordagem didática do minicurso M1 e do curso C1 empregam lousa, transparências e discussões de temas que se entrelaçam, e a do curso C2 busca uma abordagem prática, com geração de chaves, instalação de certificados, exame de código-fonte, programação e testes de interoperabilidade.

O minicurso M1 busca oferecer um panorama geral do assunto. O curso C1 busca uma abordagem geral sobre a relação entre criptografia e a segurança. Ou seja, uma abordagem das técnicas de proteção à transmissão e a armazenamento de dados digitais, incluindo técnicas de construção de geradores pseudo-randomicos criptograficamente robustos, protocolos para autenticação e distribuição de chaves criptográficas, técnicas de encadeamento de cifras de bloco, cifras encadeadas, criptoanálise, criptografia de chaves públicas, técnicas de filtragem e controle de tráfego (filrewalls), dispositivos de livre acesso (smartcards, pagers, celulares), etc. O curso C2 busca o domínio do programador sobre tais técnicas em aplicações que requeiram interoperabilidade em redes de hierarquia aberta, isto é, domínio no desenvolvimento de aplicações para infraestruturas de chaves públicas (PKIs).

O curso C1 e o C2 formam uma sequência. O Minicurso M1 é um resumo superficial do curso C1. A abordagem estará organizada sequencialmente nos seguintes temas.

Para conhecer melhor o minicurso e os cursos, verifique as ementas, ligadas abaixo, e os requisitos necessários.
Para inscrever-se em uma turma, verifique o prazo de inscrição para a próxima turma.

Atualizado em 25/02/03