Forem: Daniel

Autenticação offline de baixo custo

Daniel — Mon, 07 Jul 2025 20:54:04 +0000

Introdução

Imagine se você tivesse uma chave física para ler arquivos ultra secretos que foram endereçados apenas a você — e somente você pudesse acessá-los.

Neste artigo técnico livre, quero apresentar um sistema de controle de acesso a arquivos locais baseado em identidade digital armazenada em um dispositivo físico, onde a segurança se baseia principalmente no uso de criptografia assimétrica.

O dispositivo físico

A peça central do sistema é um token USB criptográfico. Dentro dele, gravamos uma identidade digital gerada com o software open source KeyStore Explorer. Esse token funciona como uma chave privada protegida fisicamente, que será usada para descriptografar dados locais sem expor a chave — o que torna a operação extremamente segura.

O dispositivo usado é o StarSign Crypto USB Token S, da G&D, um token certificado FIPS 140-2 nível 3, que suporta criptografia RSA de até 2048 bits e é compatível com o padrão PKCS#11 — uma interface universal para uso de módulos criptográficos em aplicações. Além disso, é um dispositivo de baixo custo, o que torna toda a solução acessível.

Na prática o token faz o seguinte:

Armazena com segurança uma identidade digital (incluindo a sua chave privada);
Protege o acesso via PIN;
Garante que as operações de assinatura e descriptografia ocorram dentro do hardware, sem expor a chave.

Como funciona

A ideia é simples e muito poderosa: os dados são criptografados com a chave pública associada ao certificado auto assinado (ID digital) que está dentro do token. Somente o detentor do token físico (e que conhece o PIN) pode descriptografar os arquivos.

Fluxo de uso

Você gera um par de chaves RSA (pública e privada) de até 2048 bits;
A chave privada é armazenada dentro do token USB;
A chave pública é usada para criptografar os arquivos;
Para ler o conteúdo, é necessário:
- Conectar o token ao computador;
- Informar o PIN;
- Executar o comando de descriptografia.

⚠️ Importante: Os arquivos criptografados podem ser armazenados, transportados ou enviados por e-mail — mas somente quem possui o token físico poderá abri-los.

Exemplos de uso

Armazenamento seguro de seed phrases (frases-semente) de carteiras de criptomoedas;
Arquivos .json com logins e senhas;
Backups sensíveis, como configurações de sistemas;
Informações privadas que não devem ser armazenadas na nuvem.

Qual a novidade de tudo isso?

Existem dispositivos no mercado que fazem algo semelhante ao que proponho aqui — mas nenhum é tão acessível quanto o StarSign Crypto USB Token S. O objetivo ao compartilhar este artigo é:

Estimular o uso de criptografia assimétrica de forma prática;
Mostrar como uma solução de alta segurança pode ser barata e funcional;
Popularizar o uso de identidade digital offline com hardware acessível.

Conclusão

Neste artigo, mostrei uma forma prática e acessível de proteger dados pessoais com criptografia assimétrica e dispositivos físicos. Essa abordagem dispensa serviços externos, autenticações em nuvem ou dependência de terceiros.

Se você busca controle local, segurança real e simplicidade, essa pode ser a solução ideal para seus dados sensíveis.

Importando certificado SSL no cacerts, via KeyStore Explorer

Daniel — Mon, 06 Jan 2025 15:59:44 +0000

1. Baixe e instale o KeyStore Explorer

Acesse o site oficial do KeyStore Explorer: https://keystore-explorer.org/;
Baixe a versão mais recente para o seu sistema operacional;
Instale o programa seguindo as instruções do instalador.

2. Abra o arquivo cacerts

Abra o KeyStore Explorer:
Clique em File > Open.
- Navegue até o arquivo cacerts do seu ambiente. O caminho padrão é: sua_jdk\lib\security\cacerts;
- Insira a senha do keystore. A senha padrão é changeit.

3. Obtenha o certificado
Se você ainda não tiver o certificado, siga estes passos:

Acesse o site do endpoint HTTPS no navegador;
Clique no cadeado ao lado da URL > Certificado > Exportar;
Salve o certificado no formato PEM (.crt) ou DER (.cer).

4. Importe o certificado

No KeyStore Explorer, clique com o botão direito na área em branco e selecione Import Trusted Certificate;
Escolha o arquivo de certificado salvo (formato .crt ou .cer);
Insira um alias para identificar o certificado no keystore;
Clique em OK.

5. Salve as alterações no cacert

Após importar o certificado, clique em File > Save para salvar as alterações no cacerts;
Insira a senha novamente (changeit) para confirmar.

6. Testar a configuração

Reinicie sua aplicação para garantir que ela carregue o cacerts atualizado.

Dicas e Cuidados

Antes de fazer qualquer alteração, crie uma cópia de segurança do arquivo original;
Se você alterar a senha do cacerts, atualize qualquer configuração da JVM que dependa dele;
Certifique-se de que o certificado importado é o correto para o endpoint que deseja acessar.

Protegendo seu servidor contra acessos indevidos

Daniel — Wed, 03 Feb 2021 16:08:30 +0000

Se você precisa de segurança extra em um servidor Linux/Debian, e você sempre precisa, lá vai uma dica de ouro, desative acesso SSH por meio de senhas, assim você evitará qualquer ataque do tipo força bruta, vamos a prática.

No servidor

Crie um par de chaves SSH;

ssh-keygen -b 4096

Generating public/private rsa key pair.
Enter file in which to save the key (/home/pi/.ssh/id_rsa):

Tecle enter para confirmar;

Created directory '/home/pi/.ssh'.

Crie uma senha para sua chave SSH e confirme;

Enter passphrase (empty for no passphrase):
Enter same passphrase again:

A chave foi gerada com sucesso, veja o resultado abaixo;

The key fingerprint is:
SHA256:oVHrP/nGj3umYFkKRvnC/SKk8nSgHmeZ/OTUAQS+gvs pi@raspberrypi
The key's randomart image is:
+---[RSA 4096]----+
|      ..o        |
|     . o o       |
|      o *        |
|   .   B =       |
|  . . + S + .    |
|   . + B = B     |
|  . + O = @..    |
|   o B * o =o.o  |
|    E . o  .=*.  |
+----[SHA256]-----+

Chaves SSH ficam salvas na pasta oculta .ssh na raiz do seu usuário Linux, no meu caso estão em:

/home/pi/.ssh

Digitando o comando ls dá pra ver o seu par de chaves(pública, privada), do lado do servidor o trabalho está terminado.

id_rsa  id_rsa.pub

No cliente

Autorize a sua máquina cliente a se conectar ao servidor sem precisar digitar uma senha, para isso vamos copiar a chave pública do cliente para dentro do servidor, e autorizar o acesso, basta um simples comando pra isso:

cat ~/.ssh/id_rsa.pub | ssh pi@192.168.15.2 'mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys'

Na próxima etapa digite yes, assim você está informando que reconhece o servidor;

The authenticity of host '192.168.15.2 (192.168.15.2)' can't be established.
ECDSA key fingerprint is SHA256:g1gtgJgDd24rXR0KJTTBjdLUI+SX829GTwQ1CYgVCiQ.
Are you sure you want to continue connecting (yes/no/[fingerprint])?
Warning: Permanently added '192.168.15.2' (ECDSA) to the list of known hosts.

Neste momento um arquivo chamado .ssh/authorized_keys será criado no servidor, esse arquivo tem a chave pública do cliente, indicando assim que o mesmo possui autorização de acesso ao servidor.

Digite a senha do servidor;

pi@192.168.15.2's password:

Conecte-se ao servidor;

ssh <USERNAME>@<IP-ADDRESS>

No meu caso o comando será;

ssh pi@192.168.15.2

Pra mim a mensagem de boas-vindas foi a seguinte:

Linux raspberrypi 5.4.83-v7+ #1379 SMP Mon Dec 13 20:08:57 GMT 2020 armv7l

Passo final, o "pulo do gato"

O último passo é desativar a autenticação por senha no servidor, para isso basta editar o arquivo com as configurações de ssh no servidor, use o comando:

sudo nano /etc/ssh/sshd_config

O arquivo será aberto e estará pronto para edição, apenas procure o seguinte trecho:

#PasswordAuthentication yes

Edite o trecho removendo o comentário # deixando assim:

PasswordAuthentication no

Reinicie o servidor

sudo reboot

Tudo certo, a partir de agora você não precisa mais digitar senhas para ter acesso ao servidor, e ainda garante que apenas acessos via SSH e autorizados serão aceitos, desta forma a segurança está garantida no seu servidor

Assinando commits com uma chave GPG

Daniel — Thu, 17 Dec 2020 16:16:02 +0000

O Git tem a opção de assinar e verificar seus commits utilizando-se de chave GPG, para isso basta seguir os passos a seguir

Passo 1 - Gere uma nova chave GPG

1 - Digite o comando para gerar a chave GPG;

gpg --full-generate-key

2 - Selecione a opção: (1) RSA e RSA (padrão);

gpg (GnuPG) 2.2.4; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Por favor selecione o tipo de chave desejado:
   (1) RSA e RSA (padrão)
   (2) DSA e Elgamal
   (3) DSA (apenas assinatura)
   (4) RSA (apenas assinar)
Sua opção?

3 - Digite o maior comprimento(4096), para sua nova chave GPG;

RSA chaves podem ter o seu comprimento entre 1024 e 4096 bits.
Que tamanho de chave você quer? (3072) 4096

4 - Decida qual o prazo de expiração para sua chave;

Por favor especifique por quanto tempo a chave deve ser válida.
         0 = chave não expira
      <n>  = chave expira em n dias
      <n>w = chave expira em n semanas
      <n>m = chave expira em n meses
      <n>y = chave expira em n anos
A chave é valida por? (0)

5 - Confirme o tempo de expiração da chave;

A chave não expira nunca
Está correto (s/N)?

6 - Digite seu nome completo;

GnuPG precisa construir uma ID de usuário para identificar sua chave.

Nome completo:

7 - Digite seu email;

Endereço de correio eletrônico:

8 - Crie um comentário para sua chave caso seja necessário;

Comentário:

9 - Confirme as informações que você acabou de preencher, basta digitar o para OK;

Você selecionou este identificador de usuário:
    "Joao Ninguem <joao@ninguem.nada>"

Muda (N)ome, (C)omentário, (E)ndereço ou (O)k/(S)air?

10 - Digite uma senha segura para sua chave GPG e confirme a senha;

11 - Aguarde o processo de criação de sua chave finalizar;

Precisamos gerar muitos bytes aleatórios. É uma boa idéia realizar outra
atividade (digitar no teclado, mover o mouse, usar os discos) durante a
geração dos números primos; isso dá ao gerador de números aleatórios
uma chance melhor de conseguir entropia suficiente.
gpg: chave FD2B172CC4C9F3E4 marcada como plenamente confiável
gpg: revocation certificate stored as '/home/geekcom/.gnupg/openpgp-revocs.d/92518C10D23E004325112DB9FD2B172CC4C9F3E4.rev'
chaves pública e privada criadas e assinadas.

pub   rsa4096 2020-04-28 [SC]
      92518C10D23E004325112DB9FD2B172CC4C9F3E4
uid                      Joao Ninguem <joao@ninguem.nada>
sub   rsa4096 2020-04-28 [E]

Neste momento sua chave GPG foi gerado com sucesso, agora é necessário adiciona-la ao GitHub.

Passo 2 - Adicionando uma chave GPG ao GitHub

1 - Use o seguinte comando para listar a chave GPG privada que você acabou de criar:

gpg --list-secret-keys --keyid-format LONG joao@ninguem.nada

Substitua joao@ninguem.nada pelo e-mail que você usou para criar a chave.

2 - Copie o ID da chave GPG que começa com sec. No exemplo a seguir, é FD2B172CC4C9F3E4:

sec   rsa4096/FD2B172CC4C9F3E4 2020-04-28 [SC]
      92518C10D23E004325112DB9FD2B172CC4C9F3E4
uid                 [final] Joao Ninguem <joao@ninguem.nada>
ssb   rsa4096/AB9EC40EA9DE16E3 2020-04-28 [E]

3 - Exporte a chave pública desse ID (substitua pelo seu ID da chave da etapa anterior):

gpg --armor --export FD2B172CC4C9F3E4

4 - Por fim, copie a chave pública e adicione-a nas configurações do seu perfil do GitHub em https://github.com/settings/keys

Passo 3 - Associando sua chave GPG ao Git

1 - Depois de criar sua chave GPG e adicioná-la à sua conta GitLab, é hora de informar ao Git qual chave usar.

gpg --list-secret-keys --keyid-format LONG joao@ninguem.nada

Substitua joao@ninguem.nada pelo seu email.

2 - Copie o ID da chave GPG que começa com sec. No exemplo a seguir, é FD2B172CC4C9F3E4:

sec   rsa4096/FD2B172CC4C9F3E4 2020-04-28 [SC]
      92518C10D23E004325112DB9FD2B172CC4C9F3E4
uid                 [final] Joao Ninguem <joao@ninguem.nada>
ssb   rsa4096/AB9EC40EA9DE16E3 2020-04-28 [E]

3 - Diga ao Git que deseja usar essa chave para assinar os seus commits:

git config --global user.signingkey FD2B172CC4C9F3E4

Substitua FD2B172CC4C9F3E4 pelo ID da sua chave GPG.

Passo 4 - Assinando commits com sua chave GPG

Depois de criar sua chave GPG e adicioná-la à sua conta, você pode começar a assinar seus commits:

1 - Continua como você costumava fazer, a única diferença é a adição da flag -S:

git commit -S -m "mensagem do meu commit"

2 - Digite a senha da sua chave GPG quando solicitada.

A partir de agora seus commits podem assinados com sua chave GPG sempre que desejar, no GitHub você poderá ver que seus commits estão assinados.

Como o PHP lida com a questão da segurança

Daniel — Tue, 29 Sep 2020 19:04:28 +0000

O que é um problema de segurança?

O time do PHP classifica como problemas de segurança, bugs que:

Permitem que os usuários executem ações não autorizadas;
Cruzam os limites de segurança;
Acessam dados que não deveriam ser acessíveis;
Impactam severamente a acessibilidade ou desempenho do sistema.

O objetivo desta classificação é alertar os usuários e desenvolvedores sobre problemas que precisam ser tratados como prioridade.

O PHP é seguro

Esta afirmação é possível com base no conhecimento do ciclo de vida de uma vulnerabilidade no PHP, em resumo o processo funciona assim:

Uma possível vulnerabilidade é reportada;
Então ela é avaliada por alguém do time ou um contribuidor externo/você que está lendo;
Acontecerá uma discussão sobre o suposto bug;
O problema é resolvido;
Uma versão menor (por exemplo: 7.4.9), é criada contendo a solução, depois é possível ver no log de mudanças tudo que foi resolvido;
Novas versões, são criadas em média a cada 4 semanas.

Cuidando da segurança

Mantenha-se informado, fique atento aos materiais que a comunidade disponibiliza;
Sempre que possível atualize a versão;
Observe todos os outros aspectos de segurança (códigos, sistemas operacionais, configurações, infra estrutura e o fator humano/engenharia social).

Conclusão

Nenhum sistema é invulnerável, pois o fator humano sempre existirá. Entretanto é possível mitigar a maioria dos problemas que acontecem em softwares, mas isso requer um pouco de atenção e cuidados por parte de todos os envolvidos.

Deixe nos comentários o que você acha disso.

Referências e links úteis

https://bugs.php.net/
https://wiki.php.net/security
https://www.php.net/supported-versions.php
https://www.php.net/eol.php

Query Log Laravel, understanding what happens behind the “rags”.

Daniel — Tue, 01 Oct 2019 13:36:58 +0000

So you’re writing some querys in Eloquent Laravel and suddenly someone asks what actually happens behind the “curtains” that involve the abstraction of your favorite Framework and you don’t know how to respond, find out how below.

knowing `getQueryLog() method`

This method has been available since version 4.2 of Laravel, meaning it is nothing new, but many developers are unaware. What he does is very simple; it generates a complete log with very interesting information about the behavior of a query, to use it’s simple, just look below:

<?php

namespace API\Repositories;

use API\Repositories\Contracts\WorkoutPlanRepositoryInterface;
use API\WorkoutPlan;
use Illuminate\Support\Facades\Validator;
use DB;

final class WorkoutPlanRepository
{

    public function workoutPlanByUser($id)
    {
        DB::enableQueryLog();

        $workoutPlansByUser = WorkoutPlan::with('user', 'workoutType')
            ->where('fk_user', $id)
            ->get();

        dd(DB::getQueryLog());
    }
}

array:3 [

    0 => array:3 [
      "query" => "select * from "workout_plan" where "fk_user"=?"
      "bindings" => array:1 [
          0 => "1"
    ]
      "time" => 4.57
  ]
    1 => array:3 [
      "query" => "select * from "user" where "user"."id" in (?)"
      "bindings" => array:1 [
          0 => 1
    ]
      "time" => 3.22
  ]
    2 => array:3 [
      "query" => "select * from "workout_type" where "workout_type"."id" in (?, ?, ?)"
      "bindings" => array:3 [
          0 => 1
          1 => 2
          2 => 3
      ]
      "time" => 3.55
     ]
]

Here we have some really important information for our application, our query was written using the Eager Loading technique through the Laravel with () method that defines the relationships that must be loaded.

The first information is the query executed, note that we are executing three querys, the second information refers to the values used in the querys, in our case values for the where and in clauses , and finally the time spent to “rotate” our search .

After this article you will never be “awkward” when asked what happens when such a query is executed, I hope this tip will be useful for you until the next.

Forem: Daniel

Autenticação offline de baixo custo

Introdução

O dispositivo físico

Como funciona

Fluxo de uso

Exemplos de uso

Qual a novidade de tudo isso?

Conclusão

Importando certificado SSL no cacerts, via KeyStore Explorer

Protegendo seu servidor contra acessos indevidos

No servidor

No cliente

Passo final, o "pulo do gato"

Assinando commits com uma chave GPG

Passo 1 - Gere uma nova chave GPG

Passo 2 - Adicionando uma chave GPG ao GitHub

Passo 3 - Associando sua chave GPG ao Git

Passo 4 - Assinando commits com sua chave GPG

Como o PHP lida com a questão da segurança

O que é um problema de segurança?

O PHP é seguro

Cuidando da segurança

Conclusão

Referências e links úteis

Query Log Laravel, understanding what happens behind the “rags”.

knowing getQueryLog() method

knowing `getQueryLog() method`