O que é criptografia simétrica?

Criptografia é o processo de transformar texto simples legível em texto cifrado ilegível para mascarar dados confidenciais de usuários não autorizados. De acordo com o relatório do custo das violações de dados da IBM, as organizações que usam criptografia podem reduzir o impacto financeiro de uma violação de dados em mais de US$ 200.000.

Quase tudo o que as pessoas fazem em seus computadores, telefones e dispositivos de IoT depende da criptografia para proteger os dados e as comunicações seguras. A criptografia pode proteger os dados em repouso, em trânsito e durante o processamento, o que a torna fundamental para a postura de cibersegurança de quase todas as organizações.

A criptografia simétrica, também conhecida como criptografia de chave simétrica ou criptografia de chave secreta, é um dos dois principais métodos de criptografia ao lado da criptografia assimétrica. Na criptografia simétrica é criada uma única chave compartilhada para criptografar e descriptografar os dados confidenciais. A principal vantagem da criptografia simétrica é que ela é simples e eficiente na proteção dos dados.

No entanto, a criptografia simétrica é frequentemente considerada menos segura do que a assimétrica, em grande parte porque depende da troca segura de chaves e do gerenciamento meticuloso de chaves. Qualquer pessoa que intercepte ou obtenha a chave simétrica pode acessar os dados.

Por esse motivo, as organizações e os aplicativos de mensagens dependem cada vez mais de um método de criptografia híbrida, que usa a criptografia assimétrica para distribuição segura de chaves e a criptografia simétrica para trocas de dados subsequentes.

Além disso, como os avanços na inteligência artificial (IA) e na computação quântica ameaçam desfazer os métodos tradicionais de criptografia, muitas organizações dependem de soluções integradas para proteger dados confidenciais.

Os dois tipos de criptografia têm características e casos de uso distintos. A criptografia assimétrica usa duas chaves, uma pública e uma privada, para criptografar e descriptografar dados, enquanto a criptografia simétrica usa apenas uma.

Ter duas chaves diferentes geralmente torna a criptografia assimétrica (também conhecida como criptografia de chave pública e codificação de chave pública) mais segura e versátil.

A criptografia de chave assimétrica pode facilitar a criação de assinaturas digitais e garantir princípios fundamentais de segurança da informação, como integridade, autenticação e não repúdio. A integridade confirma que partes não autorizadas não adulteram os dados, a autenticação verifica as origens dos dados e o não repúdio impede que os usuários neguem atividades legítimas.

No entanto, a desvantagem da criptografia assimétrica é que ela, muitas vezes, exige maior poder de processamento para operar, o que a torna relativamente inviável para grandes quantidades de dados.

Por esse motivo, as organizações geralmente escolhem a criptografia simétrica quando a eficiência é essencial, como criptografar grandes volumes de dados ou proteger as comunicações internas em um sistema fechado. A criptografia assimétrica é escolhida quando a segurança é fundamental, como criptografar dados confidenciais ou proteger a comunicação em um sistema aberto.

A criptografia simétrica começa com a geração de chaves, com a criação de uma única chave secreta que todas as partes envolvidas devem manter em sigilo.

Durante o processo de criptografia, o sistema alimenta o texto simples (dados originais) e a chave secreta em um algoritmo de criptografia de dados. Esse processo usa operações matemáticas para transformar texto simples em texto cifrado (dados criptografados). Sem uma chave de decriptografia, decifrar mensagens criptografadas torna-se impossível.

O sistema, então, transmite o texto cifrado ao destinatário, que usa a mesma chave secreta para descriptografá-lo de volta em texto simples, revertendo o processo de criptografia.

A criptografia simétrica envolve dois tipos principais de cifras simétricas: cifras de bloco e cifras de fluxo.

• Cifras de bloco, como o Advanced Encryption Standard (AES), criptografam dados em blocos de tamanho fixo.
  
  
• Cifras de fluxo, como o RC4, criptografam dados de um bit ou byte de cada vez, o que os torna adequados para processamento de dados em tempo real.

Os usuários frequentemente usam cifras de bloco para garantir a integridade e a segurança de grandes quantidades de dados. As cifras de fluxo são usadas para criptografar fluxos de dados menores e contínuos de forma eficiente, como comunicações em tempo real.

As organizações estão, cada vez mais, fazendo combinações entre criptografia simétrica e assimétrica para segurança e eficiência. Esse processo híbrido começa com uma troca segura de chaves, em que a criptografia assimétrica é usada para trocar com segurança uma chave simétrica.

Por exemplo, os navegadores e servidores web estabelecem comunicações seguras por meio de um handshake SSL/TLS. Esse processo envolve a geração de uma chave simétrica compartilhada, chamada de chave de sessão, e o uso da chave pública do servidor para criptografar e compartilhar essa chave de sessão entre as duas partes.

Uma terceira parte confiável, conhecida como autoridade certificadora (AC), confirma a validade da chave pública do servidor e emite um certificado digital, garantindo a autenticidade do servidor e evitando ataques de intermediários.

Uma vez compartilhada, a chave simétrica lida com toda a criptografia e descriptografia de dados de forma eficiente. Por exemplo, um serviço de streaming de vídeo ao vivo pode usar criptografia assimétrica para proteger a troca de chaves e cifras de fluxo simétricas para criptografia de dados em tempo real. Esse uso eficiente da chave simétrica é uma vantagem essencial dessa abordagem de criptografia combinada.

Dois métodos comuns usados na troca segura de chaves são Diffie-Hellman e Rivest-Shamir-Adleman (RSA). O Diffie-Hellman é um algoritmo de criptografia assimétrica que leva o nome de seus inventores. Ambos ajudam a estabelecer uma troca de chaves segura e garantem que a chave simétrica permaneça confidencial.

• O Diffie-Hellman permite que duas partes gerem um segredo compartilhado, como uma chave simétrica, em um canal inseguro sem ter segredos anteriores compartilhados. Esse método garante que, mesmo que um invasor intercepte a troca, ele não conseguirá decifrar o segredo compartilhado sem resolver um problema matemático complexo.
  
  
• Como alternativa, a RSA usa um par de chaves pública e privada. O remetente criptografa a chave simétrica com a chave pública do destinatário e somente o destinatário consegue descriptografar usando sua chave privada. Este método garante que somente o destinatário real possa acessar a chave simétrica.

Imagine que Alice queira enviar um documento confidencial para Bob. Nesse cenário, a criptografia simétrica funcionaria da seguinte maneira:

1. Alice e Bob estabelecem uma chave secreta ou usam a criptografia assimétrica para uma troca segura de chaves.
2. Alice criptografa o documento usando a chave secreta, transformando-o em um texto cifrado ilegível.
3. Alice envia o texto cifrado para Bob.
4. Ao receber o documento criptografado, Bob usa a mesma chave secreta para descriptografá-lo de volta à sua forma original, garantindo a confidencialidade durante a transmissão.
   

O gerenciamento de chaves de criptografia é o processo de geração, troca e gerenciamento de chaves criptográficas para garantir a segurança dos dados.

O gerenciamento de chaves eficaz é crucial para todos os métodos de criptografia. No entanto, é especialmente crítico para a criptografia simétrica, que muitos especialistas consideram menos seguros devido à sua única chave compartilhada e à necessidade de uma troca segura de chaves.

Se o processo de criptografia funcionar como um cofre para informações confidenciais, uma chave de criptografia será o segredo necessário para abrir o cofre. Se esse código cair em mãos erradas ou for interceptado, você corre o risco de perder o acesso aos seus objetos de valor ou de perdê-los para roubo. Da mesma forma, as organizações que não gerenciam adequadamente suas chaves criptográficas podem perder o acesso aos seus dados criptografados ou ficarem expostas a violações de dados.

Por exemplo, a Microsoft revelou recentemente que um grupo de hackers apoiado pela China havia roubado uma chave criptográfica crítica para seus sistemas.¹ Essa chave permitiu que hackers gerassem tokens de autenticação legítimos e acessassem os sistemas de e-mail Outlook baseados em nuvem em 25 organizações, incluindo diversas agências do governo dos EUA.

Para se protegerem contra ataques como estes, as organizações costumam investir em sistemas de gerenciamento de chaves. Esses serviços são críticos, pois as organizações frequentemente gerenciam uma rede complexa de chaves criptográficas, e muitos agentes de ameaças sabem onde procurá-las.

As soluções de gerenciamento de chaves de criptografia geralmente incluem funcionalidades como:

• Um console de gerenciamento centralizado para políticas e configurações de criptografia e chaves de criptografia

• Criptografia nos níveis de arquivo, banco de dados e aplicação para dados locais e na nuvem

• Controles de acesso baseados em função e grupo e registro de auditoria para ajudar a lidar com a conformidade

• Processos automatizados do ciclo de vida de chaves

• Integração com as tecnologias mais recentes, como IA, para melhorar o gerenciamento de chaves usando análise de dados e automação

As organizações estão, cada vez mais, usando sistemas de IA para ajudar na automatização de processos de gerenciamento de chaves, como geração, distribuição e rotação de chaves.

Por exemplo, as soluções de gerenciamento de chaves orientadas por IA podem gerar e distribuir dinamicamente chaves de criptografia com base em padrões de uso de dados em tempo real e avaliações de ameaças.

Através da automação dos processos de gerenciamento de chaves, a IA pode reduzir significativamente o risco de erro humano e garantir que as chaves de criptografia sejam atualizadas regularmente e estejam seguras. A rotação automatizada de chaves também dificulta o uso das chaves gerenciadas por agentes de ameaças para roubo.

A criptografia simétrica é essencial para as práticas modernas de segurança de dados. Sua eficiência e simplicidade fazem dela a escolha preferida para várias aplicações. Os usos mais comuns da criptografia simétrica são:

• Segurança de dados (especialmente para grandes quantidades de dados)

• Comunicação e navegação seguras na web

• Segurança na nuvem

• Criptografia de banco de dados

• Integridade dos dados

• Criptografia de arquivos, pastas e discos

• Criptografia baseada em hardware

• Gerenciamento de conformidade

A criptografia simétrica está entre as ferramentas de segurança de dados mais importantes e difundidas. Inclusive, um relatório recente da TechTarget constatou que o principal fator que contribuiu para a perda de dados foi a falta de criptografia.²

Ao codificar texto simples como texto cifrado, a criptografia pode ajudar as organizações a proteger os dados contra uma variedade de ataques cibernéticos, incluindo ransomware e outros malwares.

Notavelmente, o uso de malware infostealer que exfiltra dados confidenciais está aumentando, de acordo com o IBM X-Force Threat Intelligence Index. A criptografia ajuda a combater essa ameaça ao tornar os dados inutilizáveis para os hackers, frustrando o objetivo de roubá-los.

A criptografia simétrica é eficaz para criptografar grandes quantidades de dados porque é computacionalmente eficiente e pode processar grandes volumes de dados rapidamente.

As organizações usam muito a criptografia simétrica para proteger os canais de comunicação. Protocolos como o Transport Layer Security (TLS) usam criptografia simétrica para proteger com eficiência a integridade e a confidencialidade dos dados transmitidos pela internet, incluindo e-mails, mensagens instantâneas e navegação na web.

Durante um handshake SSL/TLS, o cliente obtém a chave pública do site a partir de seu certificado SSL/TLS para estabelecer uma chave de sessão segura, enquanto o site mantém sua chave privada em segredo.

O handshake inicial usa a criptografia assimétrica para trocar informações e estabelecer uma chave de sessão segura antes de fazer a transição para a criptografia simétrica, para uma transmissão de dados mais eficiente. Essa combinação garante que os dados confidenciais permaneçam privados e invioláveis durante a transmissão.

Enquanto os provedores de serviços de nuvem (CSPs) são responsáveis pela segurança da nuvem, os clientes são responsáveis pela segurança na nuvem, incluindo a segurança de quaisquer dados.

A criptografia de dados em toda a empresa pode ajudar as organizações a proteger seus dados confidenciais tanto localmente quanto na nuvem, garantindo que dados roubados permaneçam inacessíveis sem a chave de criptografia, mesmo se ocorrer uma violação de dados.

Pesquisas recentes indicam que, atualmente, a maioria das organizações emprega uma infraestrutura de criptografia híbrida por meio de soluções criptográficas baseadas na nuvem e locais.²

Os bancos de dados geralmente armazenam grandes quantidades de informações confidenciais, desde informações pessoais até registros financeiros. A criptografia simétrica pode ajudar a criptografar esses bancos de dados ou campos específicos dentro deles, como números de cartão de crédito e previdência social.

Ao criptografar dados em repouso, as organizações podem garantir que os dados confidenciais permaneçam protegidos, ainda que o banco de dados esteja comprometido.

Os algoritmos de criptografia simétrica não apenas garantem a confidencialidade, como também a integridade dos dados, um fator crítico nas transações financeiras. Ao gerar códigos de autenticação de mensagem (MACs), as chaves simétricas podem ajudar a confirmar que ninguém alterou os dados durante a transmissão.

As funções de hash também desempenham um papel importante na verificação da integridade dos dados. Elas geram um valor de hash de tamanho fixo a partir dos dados de input. Essas "impressões digitais" podem ser comparadas antes e depois da transmissão. Se o hash mudou, isso significa que ele foi adulterado.

As organizações geralmente usam a criptografia simétrica para proteger arquivos armazenados em sistemas locais, unidades compartilhadas e mídias removíveis.

A criptografia de arquivos garante que os dados sensíveis permaneçam confidenciais, mesmo que a mídia de armazenamento seja perdida ou roubada. A criptografia de disco inteiro estende essa proteção ao criptografar dispositivos de armazenamento inteiros, protegendo dados sensíveis em endpoints como notebooks e dispositivos móveis.

Para maior proteção de dados confidenciais, especialmente quando a criptografia baseada em software pode não ser suficiente, as organizações geralmente usam componentes de hardware especializados, como chips ou módulos de criptografia. Essas soluções de criptografia baseadas em hardware são bastante comuns em smartphones, notebooks e dispositivos de armazenamento.

Muitos segmentos e jurisdições têm requisitos regulatórios que exigem que as organizações usem determinados tipos de criptografia para proteger dados confidenciais. A conformidade com essas regulamentações ajuda as organizações a evitar penalidades legais e a manter a confiança do cliente.

Os Padrões de Processamento de Informações Federais (FIPS) são um conjunto de padrões desenvolvidos pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) para sistemas de computador usados por agências e contratados não militares do Governo dos EUA. Eles objetivam garantir a segurança e a interoperabilidade dos dados e dos processos de criptografia.

Os algoritmos de chave simétrica mais conhecidos incluem:

• Padrão de criptografia de dados (DES) e Triple DES (3DES)

• Padrão de criptografia avançada (AES)
  

• Twofish

• Blowfish

A IBM apresentou o DES pela primeira vez na década de 1970 como o algoritmo de criptografia padrão, função que desempenhou por muitos anos. No entanto, seu comprimento de chave relativamente curto (56 bits) o tornava vulnerável a ataques de força bruta, em que agentes de ameaças tentam diferentes chaves até encontrar uma que funcione.

O Triple DES, desenvolvido como um aprimoramento, aplica o algoritmo DES três vezes a cada bloco de dados, aumentando de forma significativa o tamanho da chave e a segurança geral.

Por fim, algoritmos simétricos mais seguros substituíram tanto o DES quanto o Triple DES.

O AES é considerado o padrão ouro de algoritmos de criptografia simétrica. É comumente usado por organizações e governos em todo o mundo, incluindo o governo dos EUA. O AES oferece segurança forte, com comprimentos de chave de 128, 192 ou 256 bits. Comprimentos de chave maiores são mais resistentes à quebra.

O AES-256, que usa uma chave de 256 bits, é conhecido por seu alto nível de segurança e é frequentemente usado em situações altamente sensíveis. O AES também é muito eficiente em implementações de software e hardware, o que o torna adequado para uma ampla gama de aplicações.

O Twofish é uma cifra de blocos de chaves simétrica conhecida por sua velocidade e segurança. Ele opera em blocos de dados com um tamanho de bloco de 128 bits e é compatível com comprimentos de chave de 128, 192 ou 256 bits.

O Twofish é de código aberto e resistente à criptoanálise, o que o torna uma opção confiável para aplicações seguras. Sua flexibilidade e desempenho são adequados para implementações de software e hardware, especialmente quando a segurança e o desempenho são críticos.

O Blowfish é uma cifra de blocos de chave simétrica projetada para fornecer uma boa taxa de criptografia em software, além de criptografia segura de dados. Ele suporta comprimentos de chave de 32 a 448 bits, o que o torna flexível e adequado para várias aplicações.

O Blowfish é conhecido por sua velocidade e eficácia e é popular na criptografia de software. Ele também é muito popular em aplicações que precisam de um algoritmo de criptografia simples e rápido, embora algoritmos mais recentes, como o Twofish e o AES, o tenham substituído na maioria dos casos de uso.