Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Criptografia
A criptografia utiliza código para converter dados para que apenas um destinatário específico possa lê-lo com uma chave. A criptografia impõe privacidade para impedir que qualquer pessoa, exceto o destinatário pretendido, leia dados, integridade para garantir que os dados estão livres de adulteração e autenticação que verifica a identidade para garantir que a comunicação é segura. A pilha de criptografia no Windows estende-se desde o chip até à cloud que permite que o Windows, as aplicações e os serviços protejam os segredos do sistema e do utilizador.
A criptografia no Windows tem certificação FIPS (Federal Information Processing Standards) 140. A certificação FIPS 140 garante que os algoritmos aprovados pelo governo dos EUA estão a ser utilizados (RSA para assinatura, ECDH com curvas NIST para o contrato-chave, AES para encriptação simétrica e SHA2 para hashing), testa a integridade do módulo para provar que não ocorreu nenhuma adulteração e prova a aleatoriedade para fontes de entropia.
Os módulos criptográficos do Windows fornecem primitivos de baixo nível, tais como:
- Geradores de números aleatórios (RNG)
- Encriptação simétrica e assimétrica (suporte para AES 128/256 e RSA 512 a 16384, em incrementos de 64 bits e ECDSA sobre curvas prime padrão NIST P-256, P-384, P-521)
- Hashing (suporte para SHA-256, SHA-384, SHA-512 e SHA-3*)
- Assinatura e verificação (suporte de preenchimento para OAEP, PSS, PKCS1)
- Contrato-chave e derivação chave (suporte paraECDH sobre curvas prime padrão NIST P-256, P-384, P-521 e HKDF)
Estes módulos são expostos nativamente no Windows através da API Criptográfica (CAPI) e da API cryptography de próxima geração (CNG), que é suportada pela biblioteca criptográfica open source da Microsoft SymCrypt. Os programadores de aplicações podem utilizar estas APIs para realizar operações criptográficas de baixo nível (BCrypt), operações de armazenamento de chaves (NCrypt), proteger dados estáticos (DPAPI) e partilhar segredos de forma segura (DPAPI-NG).
*Com esta versão, adicionámos suporte para a família SHA-3 de funções hash e funções derivadas sha-3 (SHAKE, cSHAKE e KMAC). Estas são as mais recentes funções hash padronizadas do National Institute of Standards and Technology (NIST) e podem ser aproveitadas através da biblioteca de CNG do Windows. Segue-se uma lista das funções SHA-3 suportadas:
Funções hash SHA-3 suportadas: SHA3-256, SHA3-384, SHA3-512 (SHA3-224 não é suportado) Algoritmos SHA-3 HMAC suportados: HMAC-SHA3-256, HMAC-SHA3-384, HMAC-SHA3-512 Algoritmos derivados sha-3 suportados: funções de saída expansível (XOF) (SHAKE128, SHAKE256), XOFs personalizáveis (cSHAKE128, cSHAKE256) e KMAC (KMAC128, KMAC256, KMACXOF128, KMACXOF256).
Gerenciamento de certificados
O Windows oferece várias APIs para operar e gerir certificados. Os certificados são cruciais para a infraestrutura de chaves públicas (PKI), uma vez que fornecem os meios para salvaguardar e autenticar informações. Os certificados são documentos eletrónicos utilizados para reclamar a propriedade de uma chave pública. As chaves públicas são utilizadas para provar a identidade do servidor e do cliente, validar a integridade do código e utilizadas em e-mails seguros. O Windows oferece aos utilizadores a capacidade de inscrição automática e renovação de certificados no Active Directory com Política de Grupo para reduzir o risco de potenciais falhas devido à expiração ou configuração incorreta do certificado. O Windows valida certificados através de um mecanismo de atualização automática que transfere diariamente listas de fidedignidade de certificados (CTL). Os certificados de raiz fidedigna são utilizados pelas aplicações como referência para hierarquias PKI fidedignas e certificados digitais. A lista de certificados fidedignos e não fidedignos é armazenada na CTL e pode ser atualizada pelos administradores. No caso da revogação do certificado, um certificado é adicionado como um certificado não fidedigno na CTL, fazendo com que seja revogado globalmente em todos os dispositivos do utilizador imediatamente.
O Windows também oferece afixação de certificados empresariais para ajudar a reduzir os ataques man-in-the-middle ao permitir que os utilizadores protejam os respetivos nomes de domínio internos de encadear a certificados indesejados. A cadeia de certificados de autenticação de servidor de uma aplicação Web é verificada para garantir que corresponde a um conjunto restrito de certificados. Qualquer aplicação Web que acione um erro de correspondência de nomes inicia o registo de eventos e impede o acesso do utilizador a partir do Microsoft Edge.