O que é uma chave de sessão?
Uma chave de sessão é um método temporário de criptografar informações. Quando um usuário abre uma sessão de comunicação, uma chave para essa sessão específica é gerada. Essa chave é usada para toda a comunicação durante esse período e depois descartada quando a sessão termina. As chaves de sessão são tipicamente simétricas e relativamente simples no que diz respeito à criptografia. Essa simplicidade geralmente seria uma grande desvantagem do uso da chave, mas como muitas chaves estão em operação ao mesmo tempo e as chaves não são usadas por muito tempo, isso não representa um problema.
A criptografia opera usando chaves. Uma chave é usada para embaralhar ou criptografar dados e outra é usada para desembaralhar ou descriptografar os dados. Quando essas chaves são as mesmas, ou pelo menos muito semelhantes, elas são simétricas. Quando as teclas são muito diferentes, é um sistema assimétrico. Na maioria dos casos, uma chave simétrica é menos segura que uma assimétrica, pois a quebra de uma chave abre completamente o código.
As chaves de sessão diferem das chaves típicas de uma maneira principal; eles são criados para existir por um período muito curto. Ao contrário de uma chave normal, que pode ser usada sem alterações por anos, uma chave de sessão deve ser usada apenas por alguns segundos a algumas horas. Por exemplo, uma chave é gerada quando um usuário se conecta para verificar seu email e, em seguida, é descartada quando ele se desconecta. Isso oferece a essas chaves diversas vantagens e desvantagens exclusivas deste estilo de criptografia.
Sua principal vantagem é o seu volume. Como toda sessão de comunicação usa uma chave exclusiva, mesmo uma empresa de tamanho médio pode gerar centenas de chaves todos os dias. O grande número de chaves que um invasor em potencial precisaria examinar apenas para acessar informações importantes é imenso. Embora qualquer chave de sessão possa ser relativamente fácil de ser quebrada, a probabilidade dessa chave aleatória ter informações importantes é muito baixa.
Uma das principais influências na facilidade de quebra de chave é a quantidade de material criptografado que pode ser usado como referência. Quanto mais material disponível, mais fácil é quebrar. Como uma chave de sessão possui uma quantidade muito pequena de material de referência, a simplicidade da chave é menos importante.
Por outro lado, as chaves de sessão são bem conhecidas por algoritmos mal elaborados e códigos facilmente quebráveis. Isso se torna especialmente aparente quando os atacantes realmente começam a encontrar padrões na geração de chaves ou fazem a engenharia reversa do algoritmo real. Em qualquer um desses casos, o sistema de chaves da sessão é totalmente aberto, não fornecendo segurança.