O que é criptografia: tipos, algoritmos e aplicações em cibersegurança
O que é criptografia: tipos, algoritmos e aplicações em cibersegurança
A criptografia é um dos pilares fundamentais da segurança da informação moderna. Sem ela, transações bancarias, comunicações corporativas e até a navegação cotidiana na internet seriam vulneráveis a interceptação e manipulação. Neste guia completo, exploramos o que é criptografia, seus principais tipos e algoritmos, aplicações práticas em cibersegurança e como garantir que sua organização mantenha uma postura criptografica robusta.
Definição: o que é criptografia?
Criptografia e a ciencia e prática de proteger informações por meio da transformação de dados legíveis (texto claro) em um formato ininteligivel (texto cifrado), utilizando algoritmos matemáticos e chaves, de modo que somente partes autorizadas consigam reverter o processo e acessar o conteúdo original.
Em termos operacionais, a criptografia garante quatro propriedades essenciais da segurança da informação:
- Confidencialidade, somente destinatarios autorizados acessam o conteúdo.
- Integridade, qualquer alteração nos dados e detectável.
- Autenticidade, a identidade do remetente pode ser verificada.
- Não repudio, o autor não pode negar a autoria de uma mensagem ou transação.
Breve historia da criptografia
Leia também: LLMs e IA na cibersegurança: aplicações, riscos e o camin...
A criptografia não é uma invencao da era digital. Seus princípios remontam a milhares de anos:
- Cifra de Cesar (circa 100 a.C.), Julio Cesar substituia cada letra por outra deslocada um número fixo de posições no alfabeto. Simples, mas eficaz contra adversários da epoca.
- Máquina Enigma (1918-1945), utilizada pelas forças alémas na Segunda Guerra Mundial, representou um salto em complexidade. Sua quebra pela equipe de Alan Turing em Bletchley Park é considerada um marco na criptanálise.
- DES (1977), o Data Encryption Standard foi o primeiro algoritmo criptográfico padronizado pelo governo dos Estados Unidos, inaugurando a era da criptografia computacional.
- RSA (1977), Rivest, Shamir e Adleman públicaram o primeiro sistema prático de criptografia assimétrica, revolucionando a troca segura de chaves.
- AES (2001), o Advanced Encryption Standard substituiu o DES como padrão global, oferecendo segurança robusta com desempenho superior.
- Era pós-quantica (2020s em diante), com o avanco da computação quantica, novos algoritmos resistentes a ataques quanticos estão sendo padronizados pelo NIST.
Tipos de criptografia
Leia também: GDPR e leis de proteção de dados no mundo: o que émpresas...
A criptografia moderna se divide em três categorias principais. Compreender suas diferenças é fundamental para escolher a abordagem correta em cada cenário.
1. Criptografia simétrica
Na criptografia simétrica, a mesma chave é utilizada tanto para cifrar quanto para decifrar os dados. E rápida e eficiente, sendo ideal para criptografar grandes volumes de informação.
Vantagens:
- Alta performance computacional.
- Implementação relativamente simples.
- Ideal para criptografia de dados em repouso e em transito dentro de ambientes controlados.
Desafios:
- A distribuição segura da chave entre as partes é um problema clássico.
- Se a chave for comprometida, toda a comunicação está exposta.
Principaís algoritmos: AES, ChaCha20, Twofish.
2. Criptografia assimétrica
Também chamada de criptografia de chave pública, utiliza um par de chaves matemáticamente relacionadas: uma chave pública (para cifrar ou verificar) é uma chave privada (para decifrar ou assinar).
Vantagens:
- Resolve o problema da distribuição de chaves.
- Possibilita assinaturas digitais e certificados.
- Fundamental para estabelecer canais seguros entre partes desconhecidas.
Desafios:
- Significativamente mais lenta que a criptografia simétrica.
- Chaves precisam ser maiores para garantir o mesmo nível de segurança.
Principaís algoritmos: RSA, ECC (Elliptic Curve Cryptography), Diffie-Hellman.
3. Funções hash criptográficas
Funções hash transformam dados de qualquer tamanho em um resumo de tamanho fixo (digest). São funções unidirecionais, não é possível reverter o hash para obter os dados originais.
Aplicações:
- Verificação de integridade de arquivos.
- Armazenamento seguro de senhas.
- Assinaturas digitais.
- Blockchain e criptomoedas.
Principaís algoritmos: SHA-256, SHA-3, BLAKE2.
Comparativo dos principais algoritmos criptográficos
| Algoritmo | Tipo | Tamanho de chave | Uso principal | Status de segurança |
|---|---|---|---|---|
| AES-256 | Simetrico | 128, 192 ou 256 bits | Criptografia de dados em repouso e em transito | Considerado seguro; padrão global |
| RSA | Assimetrico | 2048-4096 bits | Troca de chaves, assinaturas digitais, certificados | Seguro com chaves >= 2048 bits; vulnerável a computação quantica |
| ECC | Assimetrico | 256-521 bits | TLS, dispositivos IoT, certificados | Seguro; mesmo nível de segurança que RSA com chaves menores |
| SHA-256 | Hash | Saida de 256 bits | Integridade de dados, assinaturas, blockchain | Considerado seguro |
| SHA-3 | Hash | Saida de 224-512 bits | Alternativa ao SHA-2, verificação de integridade | Considerado seguro; arquitetura distinta do SHA-2 |
| ChaCha20 | Simetrico | 256 bits | TLS em dispositivos móveis e embarcados | Considerado seguro; alternativa ao AES em software |
| 3DES | Simetrico | 168 bits efetivos | Sistemas legados | Depreciado; não recomendado para novos projetos |
| MD5 | Hash | Saida de 128 bits | Legado | Inseguro; vulnerável a colisoes |
Aplicações práticas da criptografia em cibersegurança
A criptografia permeia praticamente toda a infraestrutura digital moderna. As aplicações a seguir são as mais relevantes para profissionais de segurança.
1. TLS/SSL, proteção de dados em transito
O protocolo TLS (Transport Layer Security) protege a comunicação entre navegadores e servidores, APIs, serviços de e-mail e outros sistemas. Ele combina criptografia assimétrica (para a troca de chaves) com criptografia simétrica (para a transferência de dados), garantindo eficiência e segurança.
Pontos críticos para monitoramento:
- Versões depreciadas (TLS 1.0 e 1.1 devem ser desativadas).
- Certificados expirados ou com cadeia de confiança quebrada.
- Cipher suites fracas configuradas no servidor.
2. Criptografia de dados em repouso
Dados armazenados em bancos de dados, discos, backups e armazenamento em nuvem devem ser cifrados para protege-los em caso de acesso físico ou lógico não autorizado.
Tecnologias comuns incluem:
- Criptografia de disco completo (BitLocker, LUKS).
- Criptografia em nível de banco de dados (TDE, Transparent Data Encryption).
- Criptografia em nível de aplicação para campos sensíveis.
3. Criptografia de e-mail
Protocolos como S/MIME e PGP/GPG protegem o conteúdo de e-mails contra interceptação, garantindo confidencialidade e autenticidade. Para organizações que lidam com dados sensíveis, a criptografia de e-mail é um controle essencial.
4. VPN, redes privadas virtuais
VPNs utilizam protocolos criptográficos (IPsec, WireGuard, OpenVPN) para criar tuneis seguros entre redes ou entre um usuário remoto e a infraestrutura corporativa. A força da criptografia da VPN determina diretamente a segurança do canal.
5. Assinaturas digitais e certificados
Assinaturas digitais utilizam criptografia assimétrica para garantir a autenticidade e integridade de documentos, código-fonte, atualizações de software e transações eletrônicas. Certificados digitais, emitidos por Autoridades Certificadoras (CAs), vinculam uma chave pública a uma identidade verificada.
6. Criptografia em APIs e microsserviços
Em arquiteturas modernas de microsserviços, a comunicação entre serviços deve ser criptografada com mTLS (mutual TLS), garantindo que ambas as partes se autentiquem mutuamente. Tokens JWT (JSON Web Tokens) assinados criptograficamente protegem a autorização entre serviços.
7. Criptografia em ambientes de nuvem
Provedores de nuvem oferecem criptografia gerenciada (server-side encryption) e opções de BYOK (Bring Your Own Key) ou HYOK (Hold Your Own Key). A gestão adequada de chaves em ambientes multi-cloud é um desafio crescente.
Criptografia e conformidade com a LGPD
A Lei Geral de Proteção de Dados (Lei 13.709/2018) não menciona explicitamente a criptografia como requisito obrigatório, mas a referência de forma indireta em varios artigos:
- Art. 46, determina que agentes de tratamento adotem medidas de segurança, técnicas e administrativas, aptas a proteger dados pessoais de acessos não autorizados e de situações acidentais ou ilicitas.
- Art. 48, em caso de incidente de segurança, o controlador deve comunicar a ANPD. Se os dados estiverem criptografados e as chaves não tiverem sido comprometidas, o impacto real do incidente e significativamente reduzido.
- Art. 6, VII, o princípio de segurança exige a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais.
Na prática, a criptografia é considerada pela ANPD e pelo mercado como uma medida técnica esperada para a proteção de dados pessoais. Organizações que não a implementam enfrentam maior exposição regulatória em caso de incidentes.
Recomendações para conformidade:
- Criptografar dados pessoais em repouso e em transito.
- Manter certificados TLS/SSL atualizados em todas as aplicações expostas.
- Documentar a política de gestão de chaves criptográficas.
- Monitorar continuamente a saúde criptografica da superfície de ataque.
Fraquezas criptográficas comuns: o que monitorar
Mesmo com algoritmos robustos, a implementação inadequada da criptografia é uma das vulnerabilidades mais frequentes em ambientes corporativos. As fraquezas a seguir devem ser monitoradas continuamente.
Certificados SSL/TLS expirados ou mal configurados
Certificados expirados geram alertas no navegador, prejudicam a confiança do usuário e podem expor dados em transito. Além disso, certificados com cadeia de confiança incompleta ou emitidos por CAs não reconhecidas representam riscos reais.
Algoritmos depreciados ainda em uso
Organizações frequentemente mantém algoritmos obsoletos por compatibilidade com sistemas legados. Exemplos críticos incluem:
- MD5 e SHA-1 para hashing.
- 3DES e RC4 para criptografia simétrica.
- RSA com chaves inferiores a 2048 bits.
- TLS 1.0 e 1.1.
Gestão inadequada de chaves
A força de qualquer sistema criptográfico depende da segurança das chaves. Falhas comuns incluem:
- Chaves armazenadas em texto claro em repositorios de código.
- Ausência de rotação periódica de chaves.
- Falta de controle de acesso a chaves privadas.
- Uso de chaves compartilhadas entre ambientes de produção e desenvolvimento.
Cipher suites fracas
Servidores configurados para aceitar cipher suites fracas podem ser forçados por atacantes a negociar uma conexão com segurança reduzida (ataques de downgrade). É essencial configurar servidores para aceitar apenas cipher suites robustas e na ordem correta de preferência.
Criptografia pós-quantica: o futuro que já exige atenção
Computadores quanticos de grande escala, quando disponíveis, serão capazes de quebrar os algoritmos assimetricos mais utilizados hoje (RSA, ECC, Diffie-Hellman) por meio do algoritmo de Shor. Embora computadores quanticos com capacidade suficiente para isso ainda não existam em escala prática, a ameaça "harvest now, decrypt later" e real: adversários podem capturar dados cifrados hoje para decifra-los no futuro.
Em resposta, o NIST finalizou em 2024 a padronização dos primeiros algoritmos pós-quanticos:
- ML-KEM (CRYSTALS-Kyber), para encapsulamento de chaves.
- ML-DSA (CRYSTALS-Dilithium), para assinaturas digitais.
- SLH-DSA (SPHINCS+), para assinaturas digitais baseadas em hash.
O que as organizações devem fazer agora:
- Realizar um inventário dos algoritmos criptográficos em uso.
- Identificar sistemas que utilizam criptografia vulnerável a ataques quanticos.
- Acompanhar a evolução dos padrões pós-quanticos do NIST.
- Iniciar pilotos de migração para algoritmos híbridos (clássico + pós-quantico).
- Priorizar a migração de dados com longa vida útil de confidencialidade.
Como a EcoTrust monitora a saúde criptografica da sua organização
A EcoTrust é uma plataforma de IA Agêntica para Continuous Threat Exposure Management (CTEM) que oferece visibilidade contínua sobre a postura criptografica da sua superfície de ataque. Diferentes módulos atuam em conjunto para identificar, priorizar e orientar a remediação de fraquezas criptográficas.
CRS-EASM: visibilidade externa de certificados e protocolos
O módulo CRS-EASM (Cyber Risk Score, External Attack Surface Management) mapeia continuamente a superfície de ataque externa da organização e detecta:
- Certificados SSL/TLS expirados ou próximos da expiração.
- Certificados com algoritmos de assinatura fracos (SHA-1, por exemplo).
- Versões depreciadas de TLS (1.0, 1.1).
- Cipher suites fracas ou configurações inseguras.
- Certificados autoassinados em serviços expostos a internet.
Essa visibilidade permite que equipes de segurança priorizem a correção antes que um atacante explore a fraqueza ou que um certificado expirado cause indisponibilidade.
VulScan: identificação de configurações criptográficas fracas
O módulo VulScan realiza varreduras de vulnerabilidades que identificam configurações criptográficas inadequadas em hosts, serviços e aplicações:
- Protocolos SSH com algoritmos depreciados.
- Servidores web aceitando cipher suites inseguras.
- Serviços utilizando versões vulneráveis de bibliotecas criptográficas (OpenSSL, GnuTLS).
- Configurações de HSTS (HTTP Strict Transport Security) ausentes ou incorretas.
WebAppScan: criptografia em aplicações web
O módulo WebAppScan analisa aplicações web e identifica vulnerabilidades relacionadas a criptografia na camada de aplicação:
- Transmissão de dados sensíveis sem criptografia.
- Cookies sem atributos Secure e HttpOnly.
- Armazenamento inseguro de credenciais.
- Headers de segurança ausentes.
Priorização inteligente com IA Agêntica
A plataforma EcoTrust utiliza IA Agêntica para correlacionar achados criptográficos com o contexto de negócio, atribuindo prioridade com base em:
- Criticidade do ativo afetado.
- Exposição a internet.
- Presença de exploits conhecidos.
- Impacto regulatório (LGPD, PCI DSS, ISO 27001).
Isso garante que analistas foquem primeiro nas fraquezas criptográficas que representam maior risco real para a organização.
Quer descobrir quantos certificados expirados e configurações criptográficas fracas existem na sua superfície de ataque? Solicite uma demonstração da plataforma EcoTrust e obtenha visibilidade completa em minutos.
Perguntas frequentes (FAQ)
O que é criptografia de ponta a ponta?
Criptografia de ponta a ponta (E2EE) é um modelo no qual os dados são cifrados no dispositivo do remetente e somente decifrados no dispositivo do destinatario. Nem mesmo o provedor do serviço tem acesso ao conteúdo. Aplicativos como Signal e WhatsApp utilizam esse modelo.
Qual a diferença entre criptografia simétrica e assimétrica?
Na criptografia simétrica, a mesma chave cifra e decifra os dados, oferecendo alta performance. Na assimétrica, utilizam-se duas chaves distintas (pública e privada), resolvendo o problema da distribuição de chaves mas com custo computacional maior. Na prática, protocolos como TLS combinam ambos os tipos.
A criptografia é obrigatória pela LGPD?
A LGPD não menciona a criptografia como obrigação explícita, mas exige medidas técnicas de segurança adequadas. A criptografia e amplamente reconhecida como uma dessas medidas e sua ausência pode agravar a responsabilidade da organização em caso de incidente.
O que são algoritmos pós-quanticos?
São algoritmos criptográficos projetados para resistir a ataques de computadores quanticos. Os primeiros padrões foram publicados pelo NIST em 2024 (ML-KEM, ML-DSA, SLH-DSA). Organizações devem iniciar o planejamento de migração para esses algoritmos.
Como saber se minha organização tem fraquezas criptográficas?
Ferramentas de gestão de superfície de ataque externa (EASM) e scanners de vulnerabilidades podem identificar certificados expirados, algoritmos depreciados e configurações inseguras. A plataforma EcoTrust oferece essa visibilidade de forma contínua e automatizada por meio dos módulos CRS-EASM e VulScan.
AES-128 ou AES-256: qual escolher?
Ambos são considerados seguros para aplicações atuais. O AES-256 oferece uma margem de segurança maior e e recomendado para dados com requisitos de confidencialidade de longo prazo ou em contextos regulatórios mais exigentes. O AES-128 pode ser preferido quando a performance e crítica é o nível de segurança já é suficiente.
Proteja sua organização com visibilidade criptografica contínua. Conheça os módulos CRS-EASM, VulScan e WebAppScan da plataforma EcoTrust e mantenha sua postura criptografica sob controle.
Conheça o módulo CTEM
Veja como a EcoTrust aplica IA agêntica para resolver os desafios apresentados neste artigo.
Explorar CTEMArtigos Relacionados
As 5 Fases do CTEM: Do Escopo a Mobilização: Guia Prático para Implementar o Ciclo Completo
Se a sua organização ainda trata gestão de exposições como um projeto com início e fim, o resultado é previsível: relatórios que envelhecem antes de serem lidos, *backlogs* de vulnerabilidades que só …
Ameaças Cibernéticas: guia completo com os 12 tipos mais perigosos e como o CTEM protege sua empresa
O volume de ataques cibernéticos a empresas brasileiras cresceu 38% em 2024 segundo o relatório da Check Point Research, e a tendência para 2025-2026 é de aceleração. Ransomware como serviço (RaaS), a…
Automação vs IA Agêntica: Por Que Scripts Fixos Não Bastam Para Segurança
Automação foi, sem duvida, um dos maiores avancos das operações de segurança na última década. Playbooks SOAR, scripts de resposta a incidentes e regras de orquestração tiraram das equipes de SOC uma …