Área de Atuação
A seguir será abordado
brevemente o assunto segurança computacional para que depois sejam
apresentados meus assuntos de interesse e alguns links relacionados.
A segurança computacional esta baseada em 4 propriedades fundamentais:
confidencialidade, integridade, disponibilidade e autenticidade. A confidencialidade
evitando o vazamento da informação, a integridade prevenindo a
alteração indevida, a disponibilidade coibido principalmente a
negação de serviço e a autenticidade eliminando as fraudes de
identificação. Para garantir as propriedades fundamentais de segurança controles
são necessários, dentre os controles mais comuns estão os criptográficos e
os de acesso.
Os controles
criptográficos atribuem sua segurança a pose de um segredo (chave) e a
robustez computacional de técnicas baseadas, principalmente, em problemas
matemáticos complexos. O uso destas técnicas fazem com que se possa
obter dos controles criptográficos as propriedades de confidencialidade,
integridade e autenticidade. A gerência da chave criptográfica, porém é
sempre um desafio. A infra‑estrutura de chave pública (ICP/PKI
- Public Key Infrastructure) viabiliza o uso de chaves em um
ambiente mais complexo como a Internet, por exemplo, sendo que PKI
propiciou, também, a certificação digital.
O controle
de acesso esta baseado em autorização, autenticação e na
efetivação do controle de acesso. A autorização é composta de duas
fases, especificação e verificação. Na fase de especificação de autorização
o propritário do recurso ou administrador do sistema define quem tem
direito (permissão) de efetivação de ações (operação) sobre recursos
(objeto) e quais são estes direitos; esta fase é também denominada de
escrita (especificação) da política de autorização. Durante a verificação
da autorização uma entidade (monitor de referência) que intermedia os
acessos decide a partir da política e dos atributos (direitos) do sujeito
se o acesso será permitido ou negado. Para obter a autenticidade do sujeito
tentando o acesso, a autorização se vale da autenticação - processo
que visa garantir que o detentor de uma identificação possa comprová-la. A efetivação
do controle de acesso (enforcement) é feita pelo guardião do
recurso que se vale do resultado da avaliação de autorização para liberar
ou bloquear o acesso do sujeito ao recurso.
Os
controles necessários para obter segurança computacional estão baseados num
conjunto de regras definindo requisitos que o sujeito precisa satisfazer
para acessar um recurso. Estas regras definem as chamadas políticas de
segurança. A representação formal/abstrata (independente de tecnologia)
dos aspectos relacionados a política de segurança é feita através de modelos
de segurança. O modelo de segurança é efetivado no mecanismo de
segurança (implementação usando alguma tecnologia) com o maior grau
possível de compatibilidade com o mesmo.
A
segurança computacional pode assumir uma abordagem mais acadêmica ou
tecnológica. Trabalhar apenas com os aspectos tecnológicos (ponto de vista
de mecanismo) pode induzir a equívocos, pois a tecnologia limita os
recursos disponíveis para implementação de segurança. Porém, considerar
apenas os modelos de segurança pode não ser prático o suficiente para que a
segurança possa ser implementada. Assim, uma boa abordagem para fazer
pesquisa com segurança computacional é envolver a tecnologia na
experimentação dos modelos de segurança.
Meus
projetos de pesquisa estão baseados, principalmente, no estudo,
utilização e proposição de modelos de segurança e na sua implementação em
mecanismos de segurança para avaliação e testes. Todas as proposições e
implementações que desenvolvo se baseiam em normas (standardization)
especificadas pelos respectivos órgãos de competência ou em padrões de
fato.
Fazer
pesquisas com segurança computacional é trabalhar com uma grande área
composta de uma vasta literatura cientifica produzida por muitos
pesquisadores ao longo de aproximadamente 40 anos, não é apenas fazer
implementações de "funcionalidades de segurança" visando algum
controle em uma tecnologia.
Meus
principais assuntos de interesse no momento são: autenticação, autorização
e controle de acesso (modelos, políticas e mecanismos), PKI /
SPKI e seguranças de sistemas em ambiente distribuído
e de larga escala. Ponteiros para alguns destes assuntos:
¬ Publications
¬ Criptografia : Tutorial
¬ Generic
Acess-Control Autorization / Framework for
Distributed Autorization ou Networking
Research Laboratory
¬ SPKI/SDSI
Certificates e Simple
Distributed Security Infrastructure
¬ RBAC
¬ Kerberos
/ SESAME
¬ OpenPGP / OpenCA / OpenSSL
¬ Projeto
Cadeias de Confiança / JacoWeb
: LCMI/UFSC
¬ CorbaSec
/ Java Security
¬ Grupo
de Sistemas Distribuídos
¬ Disciplina
na Especialização de Redes e Segurança de Sistemas
¬ Disciplina
no Mestrado
¬ Dissertação de
Mestrado
¬ Tese
de Doutorado
¬ SisVotare
– Sistema Seguro de Votação Eletrônica Multi-Cédulas (Three-Ballot-Based)
¬ Entrevista
para o Globo Comunidade (09/12/2006)
Além dos
assuntos comentados acima estou desenvolvendo atividade em projetos de
pesquisa multidisciplinares, atuando com: segurança em sistemas embutidos (embedded
systems)
e em redes não cabeadas (wireless) e, forense
computacional (computer
forensics).
|