Exame Logo

NSA se infiltrou em software mais a fundo do que se pensava

Segundo estudo, RSA foi provedora não apenas de uma, mas de duas ferramentas de criptografia desenvolvidas pela agência americana

Mulher usando uma máscara do ex-agente da NSA Edward Snowden em frente a embaixada dos EUA em Berlim, na Alemanha (Thomas Peter/Reuters)
DR

Da Redação

Publicado em 31 de março de 2014 às 17h56.

San Francisco - A RSA, empresa pioneira no setor de segurança, foi provedora não apenas de uma, mas de duas ferramentas de criptografia desenvolvidas pela Agência de Segurança Nacional dos Estados Unidos, aumentando a capacidade da agência de espionagem de vigiar algumas comunicações via Internet, de acordo com uma equipe de pesquisadores acadêmicos.

A Reuters informou em dezembro que a NSA havia pago à RSA 10 milhões de dólares para desenvolver um sistema de criptografia, agora desacreditado, que se tornasse o software padrão usado por uma ampla gama de programas de Internet e segurança de computadores.

O sistema, chamado Dupla Curva Elíptica, era um gerador de números aleatórios, mas tinha uma falha deliberada - ou "porta dos fundos" - que permitia à NSA violar a criptografia.

Uma equipe de professores da Universidade Johns Hopkins, da Universidade de Wisconsin, da Universidade de Illinois e de outros lugares diz agora ter descoberto que uma segunda ferramenta da NSA exacerbava a vulnerabilidade do software da RSA.

Os professores descobriram que a ferramenta, conhecida como extensão para sites seguros Extended Random (aleatório ampliado), poderia ajudar a romper uma versão do software da Dupla Curva Elíptica da RSA dezenas de milhares de vezes mais rápido, de acordo com uma cópia antecipada de sua investigação compartilhada com a Reuters.

Enquanto o Extended Random não era amplamente adotado, a nova pesquisa mostra como a NSA ampliou o alcance de sua espionagem tendo como disfarce o assessoramento de empresas sobre segurança.

A RSA, agora propriedade da EMC Corp, não contestou a pesquisa quando contatada pela Reuters para comentar o assunto.

A empresa afirmou que não buscou intencionalmente enfraquecer a segurança em nenhum produto e disse que o Extended Random não se tornou popular e tinha sido removido do software de proteção da RSA nos últimos seis meses.

"Nós poderíamos ter sido mais céticos quanto às intenções da NSA", declarou à Reuters o chefe da área tecnológica da RSA, Sam Curry. "Nós confiamos neles, porque eles são encarregados da segurança do governo dos EUA e da infraestrutura crítica dos EUA." Curry não quis responder sobre se o governo tinha pago à RSA para incorporar o Extended Random em seu pacote de segurança BSafe, que abriga a Dupla Curva Elíptica. Uma porta-voz da NSA não quis fazer comentários sobre o estudo ou os motivos da agência de inteligência no desenvolvimento do Extended Random.

A agência tem trabalhado há décadas com empresas privadas para melhorar a segurança cibernética, em grande parte por meio de seu Diretório de Garantia de Informação. Após os ataques de 11/9, a NSA aumentou a vigilância, incluindo no interior dos Estados Unidos, onde antes enfrentava rígidas restrições.

Documentos vazados pelo ex-prestador de serviços da NSA Edward Snowden mostraram que a agência também teve como objetivo subverter os padrões de criptografia. Em dezembro, um grupo consultivo presidencial disse que a prática teria de acabar, embora especialistas que examinaram o caso da Dupla Curva Elíptica tenham tido algum alívio ao concluir que só a NSA provavelmente poderia quebrá-lo.

"É certamente bem projetado", disse o especialista em segurança Bruce Schneier, um crítico costumeiro da NSA. "O gerador de números aleatórios é um dos melhores." Especialistas em criptografia têm demonstrado suspeitas em relação à Dupla Curva Elíptica, mas o Instituto Nacional de Padrões e Tecnologia e a RSA só renunciaram à tecnologia depois de Snowden vazar documentos sobre isso no ano passado.

Veja também

San Francisco - A RSA, empresa pioneira no setor de segurança, foi provedora não apenas de uma, mas de duas ferramentas de criptografia desenvolvidas pela Agência de Segurança Nacional dos Estados Unidos, aumentando a capacidade da agência de espionagem de vigiar algumas comunicações via Internet, de acordo com uma equipe de pesquisadores acadêmicos.

A Reuters informou em dezembro que a NSA havia pago à RSA 10 milhões de dólares para desenvolver um sistema de criptografia, agora desacreditado, que se tornasse o software padrão usado por uma ampla gama de programas de Internet e segurança de computadores.

O sistema, chamado Dupla Curva Elíptica, era um gerador de números aleatórios, mas tinha uma falha deliberada - ou "porta dos fundos" - que permitia à NSA violar a criptografia.

Uma equipe de professores da Universidade Johns Hopkins, da Universidade de Wisconsin, da Universidade de Illinois e de outros lugares diz agora ter descoberto que uma segunda ferramenta da NSA exacerbava a vulnerabilidade do software da RSA.

Os professores descobriram que a ferramenta, conhecida como extensão para sites seguros Extended Random (aleatório ampliado), poderia ajudar a romper uma versão do software da Dupla Curva Elíptica da RSA dezenas de milhares de vezes mais rápido, de acordo com uma cópia antecipada de sua investigação compartilhada com a Reuters.

Enquanto o Extended Random não era amplamente adotado, a nova pesquisa mostra como a NSA ampliou o alcance de sua espionagem tendo como disfarce o assessoramento de empresas sobre segurança.

A RSA, agora propriedade da EMC Corp, não contestou a pesquisa quando contatada pela Reuters para comentar o assunto.

A empresa afirmou que não buscou intencionalmente enfraquecer a segurança em nenhum produto e disse que o Extended Random não se tornou popular e tinha sido removido do software de proteção da RSA nos últimos seis meses.

"Nós poderíamos ter sido mais céticos quanto às intenções da NSA", declarou à Reuters o chefe da área tecnológica da RSA, Sam Curry. "Nós confiamos neles, porque eles são encarregados da segurança do governo dos EUA e da infraestrutura crítica dos EUA." Curry não quis responder sobre se o governo tinha pago à RSA para incorporar o Extended Random em seu pacote de segurança BSafe, que abriga a Dupla Curva Elíptica. Uma porta-voz da NSA não quis fazer comentários sobre o estudo ou os motivos da agência de inteligência no desenvolvimento do Extended Random.

A agência tem trabalhado há décadas com empresas privadas para melhorar a segurança cibernética, em grande parte por meio de seu Diretório de Garantia de Informação. Após os ataques de 11/9, a NSA aumentou a vigilância, incluindo no interior dos Estados Unidos, onde antes enfrentava rígidas restrições.

Documentos vazados pelo ex-prestador de serviços da NSA Edward Snowden mostraram que a agência também teve como objetivo subverter os padrões de criptografia. Em dezembro, um grupo consultivo presidencial disse que a prática teria de acabar, embora especialistas que examinaram o caso da Dupla Curva Elíptica tenham tido algum alívio ao concluir que só a NSA provavelmente poderia quebrá-lo.

"É certamente bem projetado", disse o especialista em segurança Bruce Schneier, um crítico costumeiro da NSA. "O gerador de números aleatórios é um dos melhores." Especialistas em criptografia têm demonstrado suspeitas em relação à Dupla Curva Elíptica, mas o Instituto Nacional de Padrões e Tecnologia e a RSA só renunciaram à tecnologia depois de Snowden vazar documentos sobre isso no ano passado.

Acompanhe tudo sobre:Edward SnowdenEspionagemNSAseguranca-digital

Mais lidas

exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Tecnologia

Mais na Exame