O que é criptografia?

A criptografia tem origem no envio de informações confidenciais entre figuras militares e políticas. As mensagens deveriam ser criptografadas para parecerem textos aleatórios para qualquer pessoa, exceto para o destinatário pretendido.

Atualmente, as técnicas originais de encriptação foram completamente rompidas. Elas foram rompidas a ponto de serem encontradas apenas nas seções de enigmas de alguns jornais. Felizmente, o campo fez grandes avanços em segurança, e os algoritmos usados hoje dependem de análises e matemática rigorosas para sua segurança.

À medida que a segurança avançou, o campo da criptografia se expandiu para incluir uma gama mais ampla de objetivos de segurança. Isso inclui autenticação de mensagens, integridade de dados, computação segura e muito mais.

A criptografia compõe a base da sociedade moderna. É a base de inúmeras aplicações de Internet através do Secure Hypertext Transfer Protocol (HTTPS), da comunicação segura de texto e voz e até de moedas digitais.

Os algoritmos criptográficos de chave simétrica usam as mesmas chaves de encriptação tanto para a encriptação do texto não criptografado quanto para a desencriptação do texto cifrado. A encriptação simétrica requer que todos os destinatários da mensagem tenham acesso a uma chave compartilhada.

As ilustrações a seguir mostram como a encriptação e a desencriptação funcionam com chaves e algoritmos simétricos, presumindo que todas as partes compartilhem a mesma chave.

Na primeira ilustração, uma chave simétrica e um algoritmo são usados para converter uma mensagem de texto não criptografado em texto cifrado. A segunda ilustração mostra a mesma chave secreta e algoritmo simétrico sendo usados para transformar o texto cifrado em texto não criptografado.                

Uma das cifras de bloco mais populares é o Advanced Encryption Standard (AES - Padrão Avançado de Criptografia). Essa cifra de bloco oferece suporte para chaves de 128, 192 ou 256 bits. O AES geralmente é combinado com o Galois/Counter Mode (GCM) e é conhecido como AES-GCM para criar um algoritmo de encriptação autenticado.

O AES é o padrão da indústria para encriptações realizadas em todo o mundo. Sua segurança é bem compreendida e implementações eficientes de software e hardware estão amplamente disponíveis.

Em razão de algoritmos de chave pública, como RSA-OAEP, serem menos eficientes do que suas contrapartes simétricas, eles não são comumente usados para criptografar dados diretamente. No entanto, desempenham um papel importante no ecossistema criptográfico ao fornecer um meio para trocas de chaves.

Para usar a encriptação simétrica, as partes devem compartilhar uma chave. Embora essa chave possa ser enviada por um canal criptografado existente, não haveria necessidade de uma nova chave se já tivéssemos um canal seguro. Em vez disso, resolvemos o problema de trocas de chaves usando criptografia de chave pública.

Aqui estão dois métodos comuns para a troca de chaves simétricas.

• Encriptação assimétrica. Uma das partes gera uma chave simétrica e, em seguida, criptografa a chave usando um algoritmo, como o RSA-OAEP, para a chave pública da outra parte. O destinatário pode decodificar o texto cifrado usando a chave privada para recuperar a chave simétrica.
• Troca de chaves de Diffie-Hellman (DH). O Diffie-Hellman é um tipo diferente de algoritmo criptográfico de chave pública. Ele foi projetado especificamente para ajudar as partes a concordar com uma chave simétrica na ausência de um canal seguro. O Diffie-Hellman é baseado em um problema matemático diferente quando comparado à função RSA e é menos flexível. No entanto, possui construções mais eficientes, o que o torna preferível em alguns casos de uso.

Essa combinação de criptografia de chave pública para trocas de chaves e criptografia simétrica para criptografia de dados em massa é conhecida como encriptação híbrida.

A encriptação híbrida usa as propriedades exclusivas da criptografia de chave pública para trocar informações secretas em um canal não confiável com a eficiência da encriptação simétrica. Isso garante uma solução prática completa para privacidade de dados.

A encriptação híbrida é usada extensivamente em protocolos de transferência de dados para a Web, como no Transport Layer Security (TLS). Quando você se conecta a um site que usa HTTPS (HTTP seguro com TLS), o navegador negociará os algoritmos criptográficos que protegem sua conexão. Isso inclui algoritmos para trocas de chaves, encriptação simétrica e assinaturas digitais.

Um código de autenticação de mensagem (MAC) corresponde à versão simétrica de uma assinatura digital. Com um MAC, duas ou mais partes compartilham uma chave. Uma das partes cria uma etiqueta do MAC, que corresponde à versão simétrica de uma assinatura digital, e a anexa ao documento. Outra parte pode verificar a integridade da mensagem ao usar a mesma chave utilizada na criação da etiqueta.

Observe que diversas partes compartilham a chave utilizada na criação das etiquetas do MAC, portanto, os MACs não podem ser usados para autenticação ou não repúdio, pois não está claro qual parte criou a etiqueta.

Os MACs podem ser algoritmos autônomos, como o código de autenticação de mensagens por hash (HMAC). No entanto, como a integridade da mensagem é quase sempre uma garantia valiosa, ela é frequentemente integrada a algoritmos de encriptação simétrica como o AES-GCM.

A criptografia de curva elíptica (ECC) é uma técnica de criptografia de chave pública baseada na teoria matemática das curvas elípticas.

A maior vantagem da ECC é que ela pode fornecer um nível de proteção semelhante às técnicas mais tradicionais, porém com chaves menores e operações mais rápidas. A eficiência da ECC a torna adequada para uso em dispositivos com poder computacional relativamente baixo, como telefones celulares.

A ECC pode ser usada para trocas de chaves eficientes ao utilizar uma variante da curva elíptica de Diffie-Hellman (ECDH) ou para assinaturas digitais ao utilizar o algoritmo de assinatura digital com curvas elípticas (ECDSA). Devido à sua velocidade e flexibilidade, a ECC é amplamente utilizada em aplicações na Internet.

Nas últimas décadas, houve um investimento significativo em computação quântica. Computadores quânticos usam física quântica e podem resolver problemas matemáticos, como o problema de fatoração, que são computacionalmente inviáveis para computadores clássicos.

Um computador quântico de grande escala quebraria os criptossistemas de chave pública usados atualmente, incluindo criptossistemas baseados nas funções de Rivest-Shamir-Adleman (RSA). Uma quebra nesses algoritmos significaria a perda de confidencialidade e autenticação de diversas aplicações e protocolos usados.

Embora existam, atualmente, pequenos computadores quânticos, eles são pequenos demais para quebrar algoritmos criptográficos. Não se sabe se ou quando um computador quântico criptograficamente relevante (CRQC) estará disponível. São necessários avanços científicos significativos para o desenvolvimento de um CRQC.

A criptografia pós-quântica (PQC) refere-se a algoritmos criptográficos executados nos computadores usados atualmente, os quais não são conhecidos por serem vulneráveis a um computador quântico de grande escala.

Saiba mais sobre a participação da pesquisa e engenharia da AWS em projetos de criptografia de resistência quântica e grupos de trabalho com a comunidade criptográfica global em criptografia pós-quântica da AWS.

Os serviços criptográficos da AWS utilizam uma ampla variedade de tecnologias de encriptação e armazenamento que podem garantir a integridade de seus dados em repouso ou em trânsito. A AWS oferece diversas ferramentas para operações criptográficas:

• O AWS CloudHSM fornece módulos de segurança de hardware (HSMs) que podem armazenar com segurança uma variedade de chaves criptográficas, incluindo chaves raiz e chaves de dados.
• O AWS Key Management Service (KMS) fornece ferramentas para a geração de chaves-raiz e outras chaves de dados. O AWS KMS também interage com muitos outros produtos da AWS para criptografar os dados específicos do produto.
• O SDK de criptografia da AWS fornece uma biblioteca de criptografia do lado do cliente para implementar operações de encriptação e desencriptação em todos os tipos de dados.
• O Amazon DynamoDB Encryption Client fornece uma biblioteca de criptografia do lado do cliente para codificar tabelas de dados antes de enviá-las para um serviço de banco de dados, como o Amazon DynamoDB.
• O AWS Secrets Manager fornece encriptação e alternância de segredos criptografados usados com bancos de dados compatíveis com a AWS.

Muitos produtos da AWS dependem desses serviços criptográficos durante a transferência ou armazenamento de dados. Para obter uma lista desses produtos e uma visão geral de como eles usam práticas criptográficas, consulte Other AWS Services (Outros produtos da AWS).

A AWS também fornece bibliotecas criptográficas de código aberto:

• O AWS libcrypto (AWS-LC) fornece uma biblioteca criptográfica de uso geral mantida pela equipe de criptografia da AWS para a AWS e seus clientes. A base são o código do projeto Google BoringSSL e do projeto OpenSSL. O AWS-LC contém implementações C portáteis de algoritmos necessários para aplicações TLS e comuns. Para execução de algoritmos complexos, versões de conjuntos otimizadas estão inclusas para x86 e para ARM.
• O s2n-tls fornece uma implementação dos protocolos TLS/SSL projetada para ser simples, pequena, rápida e ter a segurança como prioridade.

Você também pode conferir o Amazon Science Blog e o AWS Security Blog. Neles, detalhamos o que estamos fazendo para desenvolver, comparar e criar protótipos de pesquisas criptográficas. Escrevemos sobre computação criptográfica, criptografia pós-quântica, código criptográfico verificado e muito mais.