...

Como a tecnologia P2P impede "Ataques de Repetição" usando Chaves Dinâmicas?

16 de maio de 2026 Por Han

Já vi hackers assumirem o controle de câmeras PTZ simplesmente repetindo pacotes de comando antigos. É uma ameaça real, e a maioria dos integradores nem sabe que isso está acontecendo até que seja tarde demais.

A tecnologia P2P impede ataques de repetição combinando três defesas dinâmicas: verificação de timestamp que rejeita comandos desatualizados, valores nonce de uso único que bloqueiam pacotes duplicados e chaves de sessão geradas novas para cada conexão usando troca de chaves Diffie-Hellman. Juntas, essas camadas tornam os pacotes de dados capturados completamente inúteis para os atacantes.

P2P chave dinâmica prevenção de ataque de repetição câmera de segurança P2P chave dinâmica prevenção de ataque de repetição câmera de segurança

Neste artigo, detalharei cada camada deste sistema de defesa. Explicarei como timestamps, nonces e chaves de sessão funcionam juntos. Também abordarei o que acontece quando as coisas dão errado — como um sinal 4G interrompido no meio de uma sessão. Se você implanta câmeras em locais remotos ou sensíveis, este é o material que você precisa entender antes do seu próximo projeto.

Uma Chave de Sessão Única é Gerada para Cada Tentativa de Login do Meu Aplicativo Móvel?

Um dos meus clientes me perguntou uma vez: “Se um hacker roubar minhas credenciais de login, ele poderá assistir minhas câmeras para sempre?” A resposta o surpreendeu. Não se trata da senha.

Sim. Toda vez que seu aplicativo móvel se conecta a uma câmera, o protocolo P2P executa uma troca de chaves Diffie-Hellman (DH) para criar uma chave de sessão totalmente nova. Essa chave é exclusiva para essa única sessão. Mesmo que alguém a capture, ela não poderá usá-la para descriptografar nenhuma conexão passada ou futura.

Geração de chave de sessão P2P troca Diffie-Hellman Geração de chave de sessão P2P troca Diffie-Hellman

Como a Troca de Chaves Diffie-Hellman Realmente Funciona

Deixe-me simplificar isso. Quando seu aplicativo abre e se conecta a uma câmera, nenhum dos lados envia uma senha pela rede. Em vez disso, eles fazem contas.

O aplicativo escolhe um número aleatório secreto. A câmera escolhe seu próprio número aleatório secreto. Ambos os lados trocam um valor público calculado. Em seguida, usando seu próprio número secreto e o valor público do outro lado, ambos chegam ao mesmo segredo compartilhado — sem nunca transmiti-lo.

Esse segredo compartilhado se torna a chave de sessão3. Criptografa tudo naquela sessão: fluxos de vídeo, comandos PTZ, áudio e atualizações de status.

Por que isso importa para integradores de segurança

Aqui está o ponto crucial. A chave de sessão só existe durante a duração de uma conexão. No momento em que você fecha o aplicativo, essa chave é destruída. Quando você abre o aplicativo novamente cinco minutos depois, uma chave completamente nova é negociada.

Isso lhe dá algo chamado sigilo de encaminhamento2. Mesmo que um invasor, de alguma forma, quebre a chave de sessão de hoje (o que exigiria um poder computacional enorme contra AES-256), ele não obterá nada das gravações de ontem. E ele também não obterá nada das sessões de amanhã.

Cenário Sistema de Senha Estática Sistema de Chave de Sessão Dinâmica
Hacker captura os dados de hoje Pode descriptografar todos os dados passados e futuros Só pode tentar descriptografar a sessão de hoje
Senha mestra é vazada Acesso total a todos os dispositivos Ainda não pode descriptografar sem a troca DH por sessão
Dispositivo é roubado fisicamente Credenciais armazenadas expõem a rede As chaves de sessão não são armazenadas no dispositivo

O que Acontece no Lado da Câmera

Dentro do SoC (System on Chip) da câmera, o cálculo DH ocorre em um espaço de memória seguro. Em nossas câmeras PTZ Loyalty-Secu, o chipset lida com essa negociação no nível de hardware. Isso significa que a chave de sessão nunca toca na memória principal do aplicativo, onde exploits de firmware poderiam potencialmente lê-la.

Para integradores como David, que implantam centenas de câmeras em uma cidade ou em um canteiro de obras, isso não é apenas um recurso agradável. É um requisito. Se uma câmera for comprometida, o invasor não poderá usar essa violação para descriptografar o tráfego de qualquer outra câmera na rede. Cada dispositivo, cada sessão, cada chave — completamente isolados.

Um Aviso Prático Sobre Câmeras Baratas

Preciso ser direto aqui. Nem todas as “câmeras P2P” implementam troca de chaves DH real. Alguns fabricantes de baixo custo pulam essa etapa completamente. Eles usam uma chave de criptografia fixa que está codificada no firmware. Testei pessoalmente unidades concorrentes onde a mesma chave AES foi usada em todos os dispositivos do mesmo lote de produção. Isso não é segurança. Isso é um risco.

Antes de se comprometer com um fornecedor, faça uma pergunta: “A sua chave de sessão é derivada de uma troca DH por conexão, ou é estática?” Se eles não conseguirem responder claramente, desista.

O Protocolo P2P Inclui Verificação de Timestamp para Invalidar Pacotes Antigos?

Imagine que um hacker captura um comando legítimo de “girar para a esquerda” que você enviou para sua câmera PTZ na terça-feira passada. Sem verificação de carimbo de data/hora, eles poderiam enviar exatamente o mesmo pacote hoje, e sua câmera obedeceria.

Sim. O protocolo P2P anexa um carimbo de data/hora de precisão de milissegundo a cada pacote de comando. A câmera compara esse carimbo de data/hora com seu próprio relógio RTC de hardware. Se a diferença exceder um limite predefinido — geralmente 5 segundos — a câmera rejeita o pacote imediatamente, mesmo que a assinatura de criptografia seja perfeitamente válida.

verificação de carimbo de data/hora segurança P2P câmera anti-replay verificação de carimbo de data/hora segurança P2P câmera anti-replay

A Lógica Por Trás da Validação de Carimbo de Data/Hora

O conceito é simples. Cada comando que seu aplicativo envia carrega um rótulo que diz: “Fui criado neste exato momento.” Quando a câmera o recebe, ela verifica seu próprio relógio. Se o comando for muito antigo, ele é descartado.

Esta é a camada mais fundamental de defesa anti-replay. Funciona porque o tempo só anda para frente. Um hacker não pode alterar o carimbo de data/hora dentro do pacote criptografado sem quebrar a criptografia. E eles não podem enviar o pacote original mais tarde porque o carimbo de data/hora estará desatualizado.

A Janela de 5 Segundos

Por que 5 segundos? É um equilíbrio entre segurança e usabilidade.

A latência de rede existe em todas as implantações do mundo real. Um comando enviado via 4G de um telefone em Nova York para uma câmera movida a energia solar em um rancho no Texas pode levar de 200 a 800 milissegundos para chegar. Você precisa de tolerância suficiente para lidar com atrasos normais. Mas você também precisa que a janela seja apertada o suficiente para que um hacker não consiga interceptar, decodificar e reproduzir um pacote a tempo.

Tipo de Rede Latência Típica Cabe na Janela de 5s?
4G LTE 50–300 ms Sim
Retorno 3G 200–800 ms Sim
Backhaul por Satélite 600–2500 ms Sim, mas apertado
Replay armazenado (minutos/horas depois) N/A Não — sempre rejeitado

Para a maioria das implantações 4G, a janela de 5 segundos é mais do que generosa. O verdadeiro alvo é o atacante que captura um pacote e tenta reproduzi-lo minutos, horas ou dias depois. Esse pacote está morto na chegada.

O Problema do RTC: Quando Sua Câmera Acha Que Está em 1970

É aqui que a teoria encontra a realidade. A verificação de carimbo de data/hora só funciona se a câmera souber que horas são.

A maioria das câmeras PTZ profissionais inclui um RTC de hardware4 (Relógio de Tempo Real) com uma pequena bateria de backup. Este chip mantém o tempo preciso mesmo quando a energia principal está desligada. Mas algumas câmeras de baixo custo pulam o RTC para economizar US$ 0,30 no BOM. Quando essas câmeras perdem energia e reiniciam, seu relógio interno é redefinido para 1º de janeiro de 1970 (a época Unix).

O que acontece então? Cada carimbo de data/hora de entrada parece ser de mais de 50 anos no futuro. Dependendo da implementação do firmware, a câmera pode:

  • Rejeitar todos os comandos (seguro, mas inutilizável)
  • Aceitar todos os comandos, independentemente do carimbo de data/hora (perigoso)
  • Aguardar uma sincronização NTP antes de aceitar comandos (inteligente, mas requer internet)

Em nossos sistemas PTZ solares Loyalty-Secu 4G, incluímos um RTC de hardware com uma bateria de backup CR20328 classificada para mais de 5 anos. Para locais fora da rede onde os servidores NTP são inacessíveis, isso não é opcional. É a base de toda a sua defesa anti-replay.

Meu Conselho para Implantações Fora da Rede

Se você estiver implantando câmeras em canteiros de obras, fazendas ou campos de petróleo sem internet confiável, verifique duas coisas antes de comprar:

  1. A câmera possui um chip RTC dedicado (não apenas um relógio de software)?
  2. O RTC tem uma bateria de reserva que sobrevive a ciclos de energia?

Se a resposta a qualquer uma das perguntas for não, sua proteção de repetição baseada em carimbo de data/hora é essencialmente decorativa.

Como a Câmera Lida com a Sincronização de Chaves se o Sinal 4G For Interrompido no Meio da Sessão?

Esta é a pergunta que tira o sono dos engenheiros de campo. Você está transmitindo vídeo ao vivo de uma câmera solar remota via 4G. O sinal cai por 30 segundos. Quando ele volta, a câmera simplesmente retoma? Ou tudo quebra?

Quando um sinal 4G cai no meio da sessão, a câmera e o aplicativo devem renegociar uma nova chave de sessão através de um novo handshake DH. A chave de sessão antiga é descartada. Isso impede que um invasor sequestre uma sessão expirada. A maioria das implementações P2P profissionais lida com isso automaticamente com um tempo limite de reconexão e um processo de reautenticação transparente.

Interrupção de sinal 4G Sincronização de chave P2P Câmera Interrupção de sinal 4G Sincronização de chave P2P Câmera

O que Acontece Durante uma Queda de Sinal

Deixe-me guiá-lo pela sequência passo a passo.

  1. Sinal perdido: O modem 4G perde sua conexão com a torre de celular. Os pacotes param de fluir em ambas as direções.
  2. Tempo limite acionado: Após um período configurável (geralmente 10–30 segundos), tanto o aplicativo quanto a câmera marcam independentemente a sessão como “morta”.”
  3. Chave antiga destruída: A chave de sessão da sessão interrompida é apagada da memória em ambos os lados.
  4. Sinal restaurado: O modem 4G reconecta-se à rede.
  5. Novo handshake: O aplicativo inicia uma conexão P2P totalmente nova. Uma nova troca de chave DH ocorre. Uma nova chave de sessão é gerada.
  6. Vídeo retoma: A transmissão ao vivo é reiniciada sob a proteção da nova chave.

Por que não simplesmente retomar a sessão antiga?

Esta é uma pergunta justa. Retomar seria mais rápido. Mas também seria perigoso.

Durante os 30 segundos em que sua conexão ficou inativa, um invasor poderia ter feito várias coisas:

  • Capturando os últimos pacotes da sessão inativa para analisar o padrão de criptografia
  • Tentando uma posição man-in-the-middle falsificando a torre de celular (capturadores de IMSI são reais e disponíveis)
  • Preparando um sequestro de sessão tentando se inserir na conexão retomada

Ao forçar uma reautenticação completa, o protocolo P2P elimina todos esses vetores de ataque. A sessão antiga se foi. A nova sessão começa limpa.

O Custo da Reautenticação

Há uma troca. Um handshake DH completo leva tempo. Em uma conexão 4G, o processo de reautenticação geralmente adiciona 1–3 segundos de atraso antes que o fluxo de vídeo seja retomado. Para a maioria das aplicações de vigilância, isso é aceitável. Você vê uma breve mensagem “Reconectando...” em seu aplicativo, e então o feed volta.

No entanto, para aplicações de missão crítica — como detecção de intrusão de perímetro em tempo real — mesmo 3 segundos de cegueira podem importar. Nesses casos, recomendo uma configuração 4G dual-SIM. Se uma operadora cair, a câmera muda para o SIM de backup sem perder a sessão inteiramente. Nossas câmeras Loyalty-Secu 4G PTZ suportam failover dual-SIM5 exatamente por esse motivo.

Caso extremo: Flutuação repetida de sinal

Em áreas com pouca cobertura 4G, o sinal pode cair e reconectar a cada poucos minutos. Isso cria um problema: a reautenticação constante consome ciclos de CPU e drena a bateria em sistemas alimentados por energia solar.

Um bom firmware lida com isso com uma estratégia de tempo limite adaptável7:

  • Primeira queda: reconecte imediatamente
  • Segunda queda em 5 minutos: aguarde 10 segundos antes de reconectar
  • Terceira queda em 5 minutos: aguarde 30 segundos e mude para standby de baixo consumo

Isso impede que a câmera desperdice sua bateria carregada por energia solar em loops de handshake intermináveis durante um período de conectividade instável.

Evento de Sinal Resposta da Câmera Impacto na Segurança
Queda breve (<5 segundos) Mantenha a sessão, verifique com pacote de heartbeat Risco mínimo, chave permanece válida
Queda estendida (>10 segundos) Termine a sessão, destrua a chave Reautenticação completa necessária
Flutuação repetida (>3 quedas em 5 min) Backoff adaptativo, modo de baixo consumo Preserva a bateria, mantém a segurança na reconexão

O Sistema de Chave Dinâmica Impedirá Hackers de Interceptar e Re-transmitir Meu Vídeo?

Esta é a pergunta que mais ouço de integradores que atendem clientes governamentais ou industriais. Eles não estão apenas preocupados com alguém enviando comandos falsos. Eles estão preocupados com alguém assistindo ao feed — ou pior, gravando-o e transmitindo-o para outro lugar.

Chaves dinâmicas tornam os dados de vídeo interceptados ilegíveis. Como a chave de sessão muda a cada conexão e nunca é transmitida pela rede, um hacker que captura pacotes de vídeo criptografados não obtém nada além de ruído aleatório. Eles não podem decodificar o fluxo sem a chave de sessão, e não podem obter a chave de sessão sem fazer parte do handshake DH original.

segurança anti-interceptação de criptografia de vídeo com chave dinâmica segurança anti-interceptação de criptografia de vídeo com chave dinâmica

Compreendendo a Diferença Entre Interceptação e Decriptografia

Deixe-me esclarecer algo. Qualquer pessoa pode interceptar seus dados. Se sua câmera envia pacotes por uma rede 4G, esses pacotes viajam através de torres de celular, roteadores de ISP e infraestrutura de backbone da internet. Em qualquer um desses pontos, alguém com o equipamento certo pode capturar os pacotes brutos.

Mas capturar pacotes não é o mesmo que lê-los.

Com criptografia AES-256 e uma chave de sessão dinâmica, os pacotes capturados são sem sentido. Eles parecem dados aleatórios. Sem a chave de sessão — que foi calculada independentemente pelo aplicativo e pela câmera usando matemática DH e nunca enviada pela rede — não há maneira prática de decriptografá-los.

A Camada Nonce: Impedindo Replays em Nível de Pacote

Mesmo com criptografia, um atacante sofisticado pode tentar algo inteligente. Eles podem não tentar decriptografar o vídeo. Em vez disso, eles podem tentar reproduzir os pacotes criptografados para um dispositivo diferente ou de volta para a mesma câmera para causar confusão.

É aqui que o Nonce (Número Usado Uma Vez) entra.

Durante o handshake P2P, a câmera e o aplicativo trocam um nonce1. aleatório. Este nonce é misturado ao processo de criptografia para cada pacote individual. Cada pacote também recebe um número de sequência. A câmera rastreia quais números de sequência já processou.

Se um atacante reproduzir um pacote:

  • O nonce não corresponderá à sessão atual (se for uma sessão diferente)
  • O número de sequência será marcado como “já recebido” (se for a mesma sessão)

De qualquer forma, o pacote repetido é descartado.

E Quanto aos Ataques Man-in-the-Middle?

Um ataque man-in-the-middle (MITM) é mais avançado do que uma simples repetição. Aqui, o atacante se posiciona entre o aplicativo e a câmera. Eles interceptam o handshake DH e tentam negociar chaves separadas com cada lado.

Para evitar isso, implementações P2P profissionais adicionam uma camada de autenticação sobre a troca DH. O UID exclusivo da câmera e um segredo pré-compartilhado (definido durante o emparelhamento inicial do dispositivo) são usados para verificar se ambos os lados estão falando com quem pensam que estão falando.

Em nossas câmeras Loyalty-Secu, o processo de emparelhamento inicial vincula o UID da câmera à conta do usuário em nosso servidor em nuvem. Mesmo que um atacante intercepte a troca DH, ele não poderá forjar a autenticação do UID sem acesso ao banco de dados de verificação do lado da nuvem.

Minhas Recomendações para Implantações de Alta Segurança

Para integradores como David, que trabalham em projetos sensíveis — edifícios governamentais, infraestrutura crítica, instalações industriais — sempre recomendo estas etapas adicionais:

  1. Habilite a criptografia AES-256. Algumas câmeras usam AES-128 por padrão ou cifras ainda mais fracas para economizar poder de processamento. Verifique suas configurações. Em nossas câmeras, AES-256 é o padrão e não pode ser rebaixado sem uma alteração no nível do firmware.

  2. Usar 2FA no nível do dispositivo6. Mesmo que alguém clone seu UID P2P, ele ainda precisará de um código de verificação dinâmico do seu telefone para estabelecer uma sessão. Isso adiciona uma camada que existe completamente fora do próprio protocolo P2P.

  3. Audite seu processo de atualização de firmware. Se sua câmera aceitar atualizações de firmware não assinadas, um atacante poderá instalar um firmware modificado que desabilita toda a criptografia. Certifique-se de que seu fornecedor assine seu firmware com uma chave privada que a câmera verifica antes da instalação.

  4. Segmente sua rede. Não coloque suas câmeras na mesma rede que os computadores do seu escritório. Use VLANs ou SIMs 4G dedicados para que uma violação em um sistema não exponha o outro.

Conclusão

Chaves dinâmicas, timestamps, nonces e trocas DH por sessão funcionam juntas para tornar os ataques de repetição inúteis. Mas essas defesas só funcionam quando seu hardware — especialmente o relógio RTC e o chipset de criptografia — é construído para suportá-las adequadamente.

1. Compreenda como um nonce (número usado uma vez) garante a exclusividade do pacote e impede a repetição. ︎↩︎ 2. Saiba por que a confidencialidade direta protege sessões passadas e futuras, mesmo que uma chave seja comprometida. ︎↩︎ 3. Definição e importância das chaves de sessão efêmeras em criptografia. ︎↩︎ 4. Compreenda como um relógio de tempo real de hardware mantém o tempo preciso para funções de segurança. ︎↩︎ 5. Página do fabricante explicando a redundância dual-SIM para conectividade 4G ininterrupta. ︎↩︎ 6. Orientações da OWASP sobre a implementação da autenticação de dois fatores para acesso ao dispositivo. ︎↩︎ 7. Algoritmos de backoff exponencial evitam a exaustão de recursos em redes não confiáveis. ︎↩︎ 8. Especificações padrão de bateria tipo moeda usadas para backup de RTC em sistemas embarcados. ︎↩︎

Pronto para proteger seu projeto?

Obtenha especificações técnicas completas, preços de atacado e uma solução personalizada para suas necessidades específicas de PTZ e Solar.

Resposta em 24 horas

Precisa de uma solução solar sob medida para seu projeto?

Consulte nossos guias técnicos revisados por especialistas ou solicite um plano de configuração personalizado. Nossa equipe de engenharia o ajuda a encontrar o kit de energia solar perfeito para os requisitos específicos de sua câmera PTZ.

ENTRE EM CONTATO COM NOSSOS ENGENHEIROS