Proponha uma correção, faça uma sugestão
RSA nega todas as acusações de parceria com a NSA
A notícia de ontem dava a conhecer ao mundo que a NSA teria pago à RSA para introduzir um backdoor num dos seus softwares, através da utilização de um algoritmo com uma falha, para que pudesse facilmente contornar as cifras aplicadas.
Mas a RSA já veio a terreiro defender-se alegando que não teve qualquer contacto com a NSA e que se o backdoor existe não foi provocado por esta companhia.
Depois da publicação da notícia em vários meios, a posição da RSA ficou fragilizada e a empresa sentiu a necessidade de mostrar que a utilização do algoritmo que agora se fala não partiu de uma escolha sua e que fez parte de um conjunto de recomendações que surgiram no seio do um esforço da industria em fortalecer os mecanismos de segurança existentes.
Essa resposta surgiu ontem num artigo publicado no blog da RSA e pretende esclarecer que esta empresa não teve qualquer ligação especial com a NSA, para além da sua parceria nos fóruns de discussão e de definição dos standards de segurança a serem usados nos softwares associados.
É explicado que a relação com a NSA se limitou a uma parceria, com várias outras empresas, e até ao fornecimento de software para esta agência, sendo a sua relação apenas comercial neste caso.
We have worked with the NSA, both as a vendor and an active member of the security community. We have never kept this relationship a secret and in fact have openly publicized it.
Our explicit goal has always been to strengthen commercial and government security.
Nesse artigo é ainda explicado com grande detalhe a opção de utilização do algoritmo Dual EC DRBG no software BSAFE e cada passo que foi dado até ao momento em que se detectou a fragilidade que permitia que este fosse contornado.
Mas apesar de todos os argumentos apresentados, a RSA deixou ainda muita informação por esclarecer. Em primeiro lugar nunca nega que recebeu da NSA o montante que é apresentado.
Em segundo lugar delega na National Institute of Standards a responsabilidade pelo manter do algoritmo activo e em utilização, apesar de conhecida a sua vulnerabilidade.
Por fim, mesmo com esta informação de problemas associados ao Dual EC DRBG, a RSA nunca alterou o seu software para que ou deixasse de o usar ou que o colocasse numa posição de utilização mais baixa, em vez de o manter como o default, como aconteceu.
Está difícil à RSA justificar todas as notícias que vieram a público e que dão como certa a relação entre esta empresa e NSA, para a utilização de um algoritmo de cifra com uma falha que permite que este seja contornado.
Este artigo tem mais de um ano
Loading ...
E agora, quem tem razão?
Mais uma teoria da conspiração espalhada pela net…
Se só menos tivessem uma prova plausível…
uma coisa é certa…se mesmo eles aconselham a utilização de openssl e gnutls, e desaconselham a utilização deste mecanismo…por algum motivo deve ser…
Dado este facto fica dificil perceber porque o encluem então no bSafe…
cmps
As razões para incluírem, podem variar muito (sei lá, utilização de recursos de CPU, não conheço o algoritmo), nem te obrigam a usar esse método. E há outros métodos de geração de números aleatórios com problemas ainda piores que foram descobertos, e outros com problemas que têm problemas, mas não são de domínio público… opá, estamos a falar aqui de coisas muito sérias, não estamos a falar “da bola”… governos usam estes mecanismos para a sua segurança…
De qualquer forma a geração de números pseudo-aleatórios por CPU é sempre fraca, fraca, fraca e susceptível a acontecerem estes problemas… mais tarde ou mais cedo
O meu prof. desta cadeira, mostrou-nos um aparelhinho que ele tinha feito lá para a start-up dele, e existem vários no mercado, umas pens USB até simples de usar, que geram números aleatórios por hardware, procura por “hardware random generator”, e vais ver vários modelos…
Aqui tens a tua resposta,
https://www.youtube.com/watch?v=ulg_AHBOIQU
Muito bom video, mas a questão é… pagou ou não a NSA á RSA… e pagou 10 milhões, forçou… what?
Há muito fumo, mas nunca há fogo.
Nao é preciso comentar:
https://gist.github.com/0xabad1dea/8101758
Mas já se sabe qual é a falha ao certo?
É que assim obtinham-se as keys para o metldr2 😀 Seria um presente vindo da NSA 😛
+1 🙂
A falha, segundo vários criptógrafos, está no RNG da geração de números. Ele é muito limitado, lento e há facilmente ocorrências de repetição.
O que quer dizer, que será facilmente quebrado a encriptação, bastando saber as capacidades do Range.
Por norma, nem mesmo quem criou o sistema ou o algoritmo, deverá saber este tipo de coisas.
Nestas coisas nunca acredito ate que sejam negadas 😉
Boas,
Não se sabe até que ponto é que mesmo software opensource estará ‘envenenado’ pela NSA ou outra coisa do género.
Mesmo que alguém seja programador e tenha conhecimentos avançados, não tem maneira de verificar(por exemplo o kernel linux) linha a linha pois os sistemas atingiram uma complexidade ENORME.
Muito do que se está a passar por essa net fora é culpa de muitos nós que acham que é melhor meter a password 12345 no mail e não se preocupam com quem possa aceder a esse mail porque ‘não tem nada de importante’ e desde que consigam acerder ao facebook para saber o que se está a passar com a vizinha (em vez de bater à porta do lado e falar com ela) está tudo bem.Dizem ‘E que raio é essa coisa de segurança e porque é que tenho que meter sempre a palavra chave??? Já nem me lembro estava memorizado no computador. Só não quero é que o/a ex. aceda ao meu facebook para ver o que ando a fazer…