Backdoors são ineficazes contra criminosos?

Um documento muito interessante, "A Worldwide Survey of Encryption Products" (encontrado aqui), uma pesquisa feita por Bruce Schneier (o Papa da criptografia mundial) em nível mundial sobre as ferramentas de criptografia disponibilizadas pelo mundo, chegou a algumas conclusões interessantes, as quais eu gostaria de traçar alguns comentários.



O texto em preto a seguir é uma tradução livre dos tópicos deste documento:


  • Foram identificados 865 produtos de criptografia em hardware e software, num total de 55 países pesquisados. Destes, 546 produtos são de fora dos EUA.


  • Dos 546 produtos, 56% são vendidos e 44% são gratuitos. Ainda nestes, 34% são open-source e 66% são de código proprietário, ou seja, com Diretos Comerciais, não com algoritmos proprietários.


  • O potencial dos algoritmos conterem uma backdoor da NSA é raramente mencionada nos materiais de marketing.


  • Não há diferença de segurança/força entre estes programas e os vendidos nos EUA, já que regularmente utilizam o AES (Advanced Encryption Standard) norte-americano.


  • Vários são os produtos que "rodam" em diferentes países e jurisdições, o que pode ser legalmente um entrave às Ordens Judiciais para abertura da informação.



Fica claro nestas linhas que:

  1. Os produtos em questão compartilham o AES como algoritmo de criptografia (vide nota 1 ao final da página);

  2. Reconhece-se que a NSA "plantou" vulnerabilidades no AES;

  3. Todos os produtos são, em termos de segurança, iguais (vide nota 2 ao final da página);

  4. O fato deles rodarem em diferentes jurisdições não cria, de fato, um entrave à espionagem não autorizada (ou mesmo a legalmente autorizada por Cortes norte-americanas).


Continuando...


  • Com certeza, não acreditamos que tanto algoritmos americanos e não-americanos são livres de vulnerabilidades. Nós também acreditamos que os produtos com ambos os algoritmos americanos e não-americanos possam ser comprometidos por erros do usuário. O que acreditamos é que não existem diferenças de qualidade entre ambos. Ambos usam o mesmo algoritmo criptográfico ... (vide notas 1 e 4 ao final da página);


  • No que diz respeito a backdoors, tanto a Alemanha (113 produtos) como os Países Baixos (20 produtos) desmentem publicamente esta característica em seus produtos.


  • Já países como Reino-Unido (54 produtos) e França (41 produtos) parecem muito interessados em backdoors legalmente obrigatórias.



Interessante notar que:

  1. Sendo a Alemanha um dos grandes parceiros dos EUA na questão da espionagem digital e eletrônica, é conflitante a afirmativa que seus produtos são realmente seguros. E uma vez que tais produtos usam o AES, como afirmar que os deles são seguros e os outros não? (vide notas 3 e 4 ao final da página)

  2. Há um movimento mundial, estimulado pelos EUA e UK, no sentido de vulnerabilizar ou mesmo impedir toda e qualquer criptografia de alta-segurança. A França, após os atentados recentes, aderiu a esta ideia, assim como a Canadá, Nova Zelândia e Austrália (os Five Eyes ou FVEY). Entendo que um "parceiro" ds EUA na Europa não tenha força para reagir contra.

  3. Porque os produtos alemães não usam um algoritmo "made in Germany"? Eles existem? Obviamente.


Prosseguindo...


  • Atualmente nos EUA e UK, em em outros países, há discussões políticas sobre backdoors mandatórias em produtos de criptografia.


  • As backdoors mandatórias sempre serão sobre modificar produtos de criptografia usados por todos, para espionar uns poucos "bad guys" (criminosos).


  • O uso de backdoors permite apenas a prisão de criminosos estúpidos, que por desleixo ou preguiça, deixariam de usar produtos seguros.


  • Qualquer um que queira de evadir de uma criptografia com backdoor em produtos dos EUA ou UK tem uma ampla variedade de produtos estrangeiros que podem usar ao invés destes.




Muito bem, é aqui que quero chegar. Esta última afirmação contradiz 99% do que foi dito até então! Vejamos:


Todos os programas não oferecem o mesmo nível de proteção via AES?


Como utilizar um produto de criptografia sem backdoor se as linguagens só oferecem o AES?


Se é tão simples e fácil assim criar "produtos de criptografia sem backdoors", porque se gastaria tempo e dinheiro nos EUA e UK neste debate?


Portanto, sim, a preocupação é real com Leis que possam obrigar o uso de mecanismos que permitam INICIALMENTE Governos e Leis a abrirem dados codificados, com a INEVITÁVEL CONSEQUÊNCIA de que tais acessos serão explorados em pouco tempo por atores maliciosos.


Mas o texto se perde dos fatos concretos para depois sugerir que os criminosos TÊM ACESSO a metodologias seguras - o que entendo que possa ser "um tiro no pé", estimulando Leis mais amplas e profundas sobre acessos em dados criptografados.


O debate ainda está sendo travado e nada ainda é certo. Enquanto a comunidade científica repudia veementemente a aplicação de tais Leis, os Governos interessados as defendem com o mesmo vigor.


Lembro que a maior parte da espionagem da NSA é sobre assuntos de ordem comercial e econômica em nível de "Segurança Nacional" (vantagem comercial e industrial, patentes, tecnologia de ponta, etc.), pouco tendo a ver com terrorismo ou grupos radicais - um trabalho da CIA em offshore e do FBI e Homeland Security dentro das fronteiras norte-americanas.


Como nota final, não posso deixar de mencionar que:


  • CIFRA EXTREMA não usa o AES;

  • CIFRA EXTREMA não usa algoritmos das linguagens;

  • CIFRA EXTREMA não usa Certificados ou Chaves PKI;

  • Todo este conjunto de algoritmos é fundamental para a criptografia e confidencialidade.


Portanto, os nossos são 100% nacionais e livres da espionagem da NSA!


Talvez por este motivo CIFRA EXTREMA nem apareça no dito relatório.

O que para nós é ótimo!




Nota 1: isso é compreensível na medida que criar algoritmos é um trabalho extremamente especializado e complexo, e pelo fato de todas as linguagens disponibilizarem bibliotecas de criptografia e HASH contendo o AES. Até mesmo algumas CPU's da Intel disponibilizam instruções específicas de AES dentro da CPU (AES-Ni). Isso pode ser interpretado como um desejo norte-americano de universalizar este algoritmo a todos. A pergunta é: por quê?


Nota 2: Não há muito o que fazer com o AES. A versão liberada nas bibliotecas é de blocos de 128 bits e chaves de 128, 192 e 256 bits (esta a mais vulnerável). Logo, não causa surpresa que todos apresentem a mesma capacidade matemática de segurança criptográfica.


Nota 3: A Alemanha é uma grande parceira dos EUA na questão da espionagem eletrônica e digital, contendo até mesmo escritórios e equipes da CIA e NSA em seu território - motivo pelo qual Angela Merkel se sentiu aviltada com as revelações de grampos efetuados pelos EUA até em seu celular particular. Esta parceria remonta de muitos anos devido à Guerra Fria, e traz diversos benefícios estratégicos e comerciais.


Nota 4: Não há diferença de qualidade e segurança pois, mais uma vez, fica claro que todos os produtos usam o mesmo AES.


Destaques
Posts Recentes
Arquivo
Busca por Tags
Siga-nos
  • LinkedIn Social Icon

Copyright © 2014-2017 Big Blue Serviços Ltda  - Todos os Direitos Reservados                                                                          Arte/Criação: OASYS