Segundo estudo, RSA foi provedora não apenas de uma, mas de duas ferramentas de criptografia desenvolvidas pela agência americana.

San Francisco – A RSA, empresa pioneira no setor de segurança, foi provedora não apenas de uma, mas de duas ferramentas de criptografia desenvolvidas pela Agência de Segurança Nacional dos Estados Unidos, aumentando a capacidade da agência de espionagem de vigiar algumas comunicações via Internet, de acordo com uma equipe de pesquisadores acadêmicos.
A Reuters informou em dezembro que a NSA havia pago à RSA 10 milhões de dólares para desenvolver um sistema de criptografia, agora desacreditado, que se tornasse o software padrão usado por uma ampla gama de programas de Internet e segurança de computadores.
O sistema, chamado Dupla Curva Elíptica, era um gerador de números aleatórios, mas tinha uma falha deliberada – ou “porta dos fundos” – que permitia à NSA violar a criptografia.
Uma equipe de professores da Universidade Johns Hopkins, da Universidade de Wisconsin, da Universidade de Illinois e de outros lugares diz agora ter descoberto que uma segunda ferramenta da NSA exacerbava a vulnerabilidade do software da RSA.
Os professores descobriram que a ferramenta, conhecida como extensão para sites seguros Extended Random (aleatório ampliado), poderia ajudar a romper uma versão do software da Dupla Curva Elíptica da RSA dezenas de milhares de vezes mais rápido, de acordo com uma cópia antecipada de sua investigação compartilhada com a Reuters.
Enquanto o Extended Random não era amplamente adotado, a nova pesquisa mostra como a NSA ampliou o alcance de sua espionagem tendo como disfarce o assessoramento de empresas sobre segurança.
A RSA, agora propriedade da EMC Corp, não contestou a pesquisa quando contatada pela Reuters para comentar o assunto.

A empresa afirmou que não buscou intencionalmente enfraquecer a segurança em nenhum produto e disse que o Extended Random não se tornou popular e tinha sido removido do software de proteção da RSA nos últimos seis meses.
“Nós poderíamos ter sido mais céticos quanto às intenções da NSA”, declarou à Reuters o chefe da área tecnológica da RSA, Sam Curry. “Nós confiamos neles, porque eles são encarregados da segurança do governo dos EUA e da infraestrutura crítica dos EUA.” Curry não quis responder sobre se o governo tinha pago à RSA para incorporar o Extended Random em seu pacote de segurança BSafe, que abriga a Dupla Curva Elíptica. Uma porta-voz da NSA não quis fazer comentários sobre o estudo ou os motivos da agência de inteligência no desenvolvimento do Extended Random.
A agência tem trabalhado há décadas com empresas privadas para melhorar a segurança cibernética, em grande parte por meio de seu Diretório de Garantia de Informação. Após os ataques de 11/9, a NSA aumentou a vigilância, incluindo no interior dos Estados Unidos, onde antes enfrentava rígidas restrições.
Documentos vazados pelo ex-prestador de serviços da NSA Edward Snowden mostraram que a agência também teve como objetivo subverter os padrões de criptografia. Em dezembro, um grupo consultivo presidencial disse que a prática teria de acabar, embora especialistas que examinaram o caso da Dupla Curva Elíptica tenham tido algum alívio ao concluir que só a NSA provavelmente poderia quebrá-lo.
“É certamente bem projetado”, disse o especialista em segurança Bruce Schneier, um crítico costumeiro da NSA. “O gerador de números aleatórios é um dos melhores.” Especialistas em criptografia têm demonstrado suspeitas em relação à Dupla Curva Elíptica, mas o Instituto Nacional de Padrões e Tecnologia e a RSA só renunciaram à tecnologia depois de Snowden vazar documentos sobre isso no ano passado.

Fonte: exame.abril

Rodolfo

Rodolfo

Rodolfo Cr é Engenheiro da Computação, especialista em Pentester em aplicações e Proteção em Servidores Linux e programador em algumas Linguagens. Membro da Roothc com intuito de divulgar e acrescentar conhecimento na área da computação com foco em segurança da informação.
Rodolfo

Latest posts by Rodolfo (see all)