Entender a diferença entre os dois tipos de criptografia é uma tarefa simples, mas as pessoas conseguem complicar as coisas quando vão nos explicar. No post de hoje você aprenderá qual a diferença entre ambas, a utilidade de cada uma delas e um comparativo mostrando as vantagens e desvantagens de se usar um método ou outro.
Quando criptografamos qualquer dado utilizamos chaves de criptografia. Estas chaves podem ter sido geradas por um algoritmo do tipo simétrico ou por um do tipo assimétrico. Algoritmos como o RSA, Diffie-Hellman e de Curvas Elípticas são exemplos de algoritmos assimétricos. Enquanto AES, 3DES, e RC2 são algoritmos do tipo simétrico. Não se preocupe em entender a fundo como funcionam estes algoritmos. Por ora, isto não é importante.
Quando utilizamos a criptografia simétrica uma única chave de criptografia é gerada para ambos os parceiros da comunicação. Se estes dois parceiros (dois computadores) precisam estabelecer uma sessão de comunicação criptografada, um deles gerará a chave de criptografia e a enviará para o outro para que, assim, ambos possam criptografar e descriptografar os dados enviados e recebidos na comunicação.
O grande problema da criptografia simétrica gira em torno justamente dessa etapa de envio da chave de criptografia de um parceiro para o outro. Se algum malfeitor conseguir interceptar a transferência da chave e capturá-la, ele terá a capacidade de descriptografar todo o tráfego entre os dois parceiros e assim descobrir sobre o que eles estão falando. Poderíamos enviar esta chave em um pendrive, mas imagine só se precisássemos fazer isto para cada comunicação segura que quiséssemos estabelecer!
Outro problema que encontramos com a criptografia simétrica é o gerenciamento das chaves. Um computador precisará de pelo menos uma chave simétrica para cada parceiro de comunicação dele. Analisando esta informação chegaremos à conclusão de que se temos N parceiros, precisaremos de N chaves de criptografia. Gerenciar isto tudo é difícil. Podemos nos perder neste monte de chaves.
Outro ponto a ser considerado é a confiança entre os parceiros. Se um parceiro não conseguir ou comprometer a segurança do armazenamento da chave dele, a criptografia terá ido por água abaixo, pois quem conseguir a chave, poderá descriptografar a comunicação. Você precisará confiar no seu parceiro e garantir que ele garantirá a segurança da chave dele.
Agora, se você criptografa dados para serem lidos posteriormente por você mesmo, não será preciso enviar a chave para ninguém, ela ficará com você. Neste caso, a chave simétrica resolverá os seus problemas.
A chave simétrica tem como vantagens a pouca exigência de recursos computacionais para criptografar os dados e a velocidade com que ela os criptografa. Ou seja, ela costuma ser bem mais veloz que algoritmos que usam chaves assimétricas. Por isso, chaves simétricas tendem a ser usadas quando é preciso criptografar grandes volumes de dados. É comum também ver o uso delas em processos que não exigem o estabelecimento de sessões entre dois dispositivos, como a criptografia de um disco rígido, por exemplo.
Na parte dois deste post você entenderá o que é e como funciona a criptografia assimétrica que utiliza chaves públicas e privadas para cifrar os dados.
Se quiser um overview sobre algus termos relacionados à segurança da informação, sugiro a leitura da Cartilha da Segurança da Informação, do CERT.br
Dúvidas? Usem o espaço dos comentários.
