Essa eh a questao, vcs estao falando de fato de um metodo de assinatura q associa os dados a ela.
Nao tinhamos idealizado isso, por isso as coisas estao sendo requisitadas separadamente. Como eu disse, a assinatura seria com a intencao de validar a aplicacao somente e nao teria relacao com os dados, sera q fui claro ou ninguem entendeu nada?...hehe Os dados entao seriam criptografados separadamente. Vcs estao falando de fato de um metodo de assinatura q seria usado num sistema real, mas nao precisaria disso pro projeto, por isso estao descritas separadamente. Eu sei como funciona a chave publica/privada e entendi finalmente o q vcs estavam falando =P So nao lembrava de uns detalhes e nao sabia se estavam falando realmente do q pensava......hehe Mas se vcs vao implementar assim, entao nao veria necessidade mesmo de criptografar ainda os dados. Porem, perceba q esse metodo eh muito mais complexo e elaborado do q como esta descrito no projeto. Imagine um arquivo assim: 1 CSVOP Se o 1 fosse a assinatura e CSVOP correspondesse a BRUNO, so q incrementada cada letra em 1, resultando em CSVOP, ja teriamos uma assinatura e uma criptografia bem simples e funcionaria e atenderia a descricao do projeto. O que queriamos era algo simples assim mesmo. Nao era para testar se vcs sabiam assinatura/criptografia. Era algo so pra ilustrar como uma aplicacao deve ser portar com relacao a seguranca e que devem se preocupar com isso. Deu pra pegar a ideia ou viajei demais xD? []'s 2008/11/27 Gabriel Pires <[EMAIL PROTECTED]> > Complementando o que o Pedro disse e que o Zaedy perguntou. > > A assinatura não é reaproveitável, pois ela é gerada de acordo com as > informações que se pretende enviar. Supondo que alguém intercepte as > informações no meio do caminho: > > Ele irá encontrar a assinatura e as informações do documento. Se ele > alterar as informações e mandar com a mesma assinatura para o servidor, o > servidor irá checar a assinatura e as informações. Como elas foram alteradas > e a assinatura depende dos dados, ele vai verificar que a assinatura não > bate com os dados, e portanto não vai aceitar o documento. > > > > > 2008/11/27 Pedro Philippe Rosanes <[EMAIL PROTECTED]> > >> >> Quando se fala de assinatura de chave privada/publica, essa assinatura >> está associada ao documento que vc esta enviando. >> Você cria somente uma vez, sua chava privada e publica. Ai toda vez que >> você for enviar um documento, vc cria uma nova assinatura. Porque essa >> assinatura é associada ao documento. >> Então a assinatura serve como validação de documento tambem. >> Da uma olhada na figura da pagina da wiki. >> >> E como a assinatura trata-se de "criptografar" os dados com a sua chave >> _privada_ (que só vc tem). Ninguem pode 'saber' sua assinatura. >> Portanto, só vc pode ter enviado aquele documento. >> Pra validar a assinatura, as pessaos "descriptografam" a sua assinatura, >> com a chave publica (que todo mundo tem). >> >> >> Zaedy Sayão escreveu: >> > Acho q estamos falando de coisas diferentes ou entao eu nao entendi xD >> > >> > Eu pensei no seguinte, vc usar a assinatura pra dizer q a aplicacao >> > pode conectar no servidor. >> > Como se vc dissesse pro servidor, eu sou a aplicacao X. >> > >> > Outra coisa eh vc criptografar os dados. >> > >> > Imagine o seguinte. Vc vai levar um documento a uma empresa. >> > Chegando la vc se identifica. A assinatura seria essa identificacao. >> > Se vc levou o documento certo ou nao, eh outra coisa. Isso seria a >> > validacao dos dados. >> > >> > Se uma pessoa souber a assinatura da aplicacao, ela pode criar um dado >> > qualquer com a mesma assinatura e enviar dados falsos. >> > >> > Se eu nao entendi nada, me explica novamente please :) >> > >> > Mas fica chateado nao, so cobramos isso mesmo pra vcs exercitarem algo >> > distinto. >> > >> > Como eu disse, nao tinhamos pensado nesse nivel de cobranca de chave >> > publica e privada. Vc poderia no arquivo q vai enviar com os dados, >> > colocar uma assinatura simples, algo como o primeiro byte da primeira >> > linha do arquivo tem q ser 1. Ja eh uma assinatura, tosca mas eh. So >> > pra exercitar, nao vamos avaliar o nivel de criptografia e seguranca q >> > vc usou. Claro q se for bem elaborado, sera melhor visto, mas quem nao >> > fizer, nao sera mal visto. >> > >> > []'s >> > >> > 2008/11/27 Pedro Philippe Rosanes <[EMAIL PROTECTED] >> > <mailto:[EMAIL PROTECTED]>> >> > >> > >> > Se você usar uma assinatura de chave privada e publica, vc garante >> que >> > os dados nao foram forjados sim. >> > O remetente pega a hash do documento, e "criptografa" essa hash com >> a >> > chave privada, depois envia o documento original e o hash >> > "criptografado" (Assinatura). >> > O destinatario vai usar a chave publica na assinatura, >> > "descriptografando" a hash. então ele vai pegar o documento enviado >> > junto (supostamente original), o transformara em hash. >> > Agora ele tem hash "criptografada" (assinatura) e a hash do >> documento. >> > Se as duas forem iguais não houve alteração. Porém se forem >> > diferentes, >> > significa que alguem trocou alguma coisa no documento, o que altera >> a >> > sua hash. >> > http://en.wikipedia.org/wiki/Digital_signature >> > Olhe a figura deste artigo, que vai da pra entender bem mais >> > facilmente. >> > >> > Eu não transfiro quem votou em quem. Eu nem guardo a informação de >> > quem >> > votou em quem. Só guardo a informação de quem foi votado. >> > Portanto não haveria a menor necessidade de criptografar esses >> dados, >> > somente assinando eu garanto que ngm vai alterar. >> > >> > Mas ok, se tem que fazer pq ta no projeto, farei. >> > >> > Se eu estiver errado quanto a assinatura garantir que os dados nao >> > foram >> > forjados, por favor me avise. >> > >> > Abraços. >> > >> > Zaedy Sayão escreveu: >> > > 1 - Pq esta na especificacao do projeto. Simples assim e nao eh >> > > palhacada nem grosseria minha :) >> > > Mas o resultado eh secreto sim, como quem votou em quem. O total >> de >> > > votos nao eh mesmo. >> > > A assinatura garante q as aplicacoes q estao se comunicando sao as >> > > corretas e tem permissao pra isso, nao q os dados nao foram >> > forjados. >> > > >> > > 2 - Vc faz do jeito q quiser. Na verdade, nem precisaria uma chave >> > > publica e privada, mas ja q fez melhor. A assinatura poderia ser >> > algo >> > > extremamente trivial. >> > > >> > > []'s >> > > >> > > On Thu, Nov 27, 2008 at 12:56 AM, Pedro Rosanes >> > > <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]> >> > <mailto:[EMAIL PROTECTED] >> > <mailto:[EMAIL PROTECTED]>>> wrote: >> > > >> > > >> > > 1. Porque é necessario criptografar o resultado parcial de >> > cada urna ? >> > > Esse resultado não é secreto. Somente a assinatura garante >> > que este >> > > não será falsificado. >> > > 2. Em relação a assinatura em si: Eu tenho que criar novas >> > chaves >> > > privadas e públicas toda vez que eu rodo a urna >> > cliente/servidor ? Ou >> > > eu crio um programa a parte para gerar as chaves e uso as >> mesmas >> > > chaves sempre (as escrevendo no codigo fonte do programa) ? >> > > >> > > >> > > >> > > >> > > -- >> > > Zaedy Dantas Sayão >> > > Graduando em Ciência da Computação DCC/UFRJ >> > > http://www.manufato.com.br/ >> > > MSN: [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]> >> > <mailto:[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>> >> > > >> > > > >> > >> > >> > >> > >> > >> > >> > -- >> > Zaedy Dantas Sayão >> > Graduando em Ciência da Computação DCC/UFRJ >> > http://www.manufato.com.br/ >> > MSN: [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]> >> > >> > > >> >> >> >> > > > > -- Zaedy Dantas Sayão Graduando em Ciência da Computação DCC/UFRJ http://www.manufato.com.br/ MSN: [EMAIL PROTECTED] --~--~---------~--~----~------------~-------~--~----~ You received this message because you are subscribed to the Google Groups "Comp 2 - Geral" group. To post to this group, send email to [email protected] To unsubscribe from this group, send email to [EMAIL PROTECTED] For more options, visit this group at http://groups.google.com/group/comp2-geral?hl=en -~----------~----~----~----~------~----~------~--~---
