NSA se infiltrou em software mais a fundo do que se pensava
Segundo estudo, RSA foi provedora não apenas de uma, mas de duas ferramentas de criptografia desenvolvidas pela agência americana
Da Redação
Publicado em 31 de março de 2014 às 17h56.
San Francisco - A RSA, empresa pioneira no setor de segurança, foi provedora não apenas de uma, mas de duas ferramentas de criptografia desenvolvidas pela Agência de Segurança Nacional dos Estados Unidos, aumentando a capacidade da agência de espionagem de vigiar algumas comunicações via Internet, de acordo com uma equipe de pesquisadores acadêmicos.
A Reuters informou em dezembro que a NSA havia pago à RSA 10 milhões de dólares para desenvolver um sistema de criptografia, agora desacreditado, que se tornasse o software padrão usado por uma ampla gama de programas de Internet e segurança de computadores.
O sistema, chamado Dupla Curva Elíptica, era um gerador de números aleatórios, mas tinha uma falha deliberada - ou "porta dos fundos" - que permitia à NSA violar a criptografia.
Uma equipe de professores da Universidade Johns Hopkins, da Universidade de Wisconsin, da Universidade de Illinois e de outros lugares diz agora ter descoberto que uma segunda ferramenta da NSA exacerbava a vulnerabilidade do software da RSA.
Os professores descobriram que a ferramenta, conhecida como extensão para sites seguros Extended Random (aleatório ampliado), poderia ajudar a romper uma versão do software da Dupla Curva Elíptica da RSA dezenas de milhares de vezes mais rápido, de acordo com uma cópia antecipada de sua investigação compartilhada com a Reuters.
Enquanto o Extended Random não era amplamente adotado, a nova pesquisa mostra como a NSA ampliou o alcance de sua espionagem tendo como disfarce o assessoramento de empresas sobre segurança.
A RSA, agora propriedade da EMC Corp, não contestou a pesquisa quando contatada pela Reuters para comentar o assunto.
A empresa afirmou que não buscou intencionalmente enfraquecer a segurança em nenhum produto e disse que o Extended Random não se tornou popular e tinha sido removido do software de proteção da RSA nos últimos seis meses.
"Nós poderíamos ter sido mais céticos quanto às intenções da NSA", declarou à Reuters o chefe da área tecnológica da RSA, Sam Curry. "Nós confiamos neles, porque eles são encarregados da segurança do governo dos EUA e da infraestrutura crítica dos EUA." Curry não quis responder sobre se o governo tinha pago à RSA para incorporar o Extended Random em seu pacote de segurança BSafe, que abriga a Dupla Curva Elíptica. Uma porta-voz da NSA não quis fazer comentários sobre o estudo ou os motivos da agência de inteligência no desenvolvimento do Extended Random.
A agência tem trabalhado há décadas com empresas privadas para melhorar a segurança cibernética, em grande parte por meio de seu Diretório de Garantia de Informação. Após os ataques de 11/9, a NSA aumentou a vigilância, incluindo no interior dos Estados Unidos, onde antes enfrentava rígidas restrições.
Documentos vazados pelo ex-prestador de serviços da NSA Edward Snowden mostraram que a agência também teve como objetivo subverter os padrões de criptografia. Em dezembro, um grupo consultivo presidencial disse que a prática teria de acabar, embora especialistas que examinaram o caso da Dupla Curva Elíptica tenham tido algum alívio ao concluir que só a NSA provavelmente poderia quebrá-lo.
"É certamente bem projetado", disse o especialista em segurança Bruce Schneier, um crítico costumeiro da NSA. "O gerador de números aleatórios é um dos melhores." Especialistas em criptografia têm demonstrado suspeitas em relação à Dupla Curva Elíptica, mas o Instituto Nacional de Padrões e Tecnologia e a RSA só renunciaram à tecnologia depois de Snowden vazar documentos sobre isso no ano passado.
San Francisco - A RSA, empresa pioneira no setor de segurança, foi provedora não apenas de uma, mas de duas ferramentas de criptografia desenvolvidas pela Agência de Segurança Nacional dos Estados Unidos, aumentando a capacidade da agência de espionagem de vigiar algumas comunicações via Internet, de acordo com uma equipe de pesquisadores acadêmicos.
A Reuters informou em dezembro que a NSA havia pago à RSA 10 milhões de dólares para desenvolver um sistema de criptografia, agora desacreditado, que se tornasse o software padrão usado por uma ampla gama de programas de Internet e segurança de computadores.
O sistema, chamado Dupla Curva Elíptica, era um gerador de números aleatórios, mas tinha uma falha deliberada - ou "porta dos fundos" - que permitia à NSA violar a criptografia.
Uma equipe de professores da Universidade Johns Hopkins, da Universidade de Wisconsin, da Universidade de Illinois e de outros lugares diz agora ter descoberto que uma segunda ferramenta da NSA exacerbava a vulnerabilidade do software da RSA.
Os professores descobriram que a ferramenta, conhecida como extensão para sites seguros Extended Random (aleatório ampliado), poderia ajudar a romper uma versão do software da Dupla Curva Elíptica da RSA dezenas de milhares de vezes mais rápido, de acordo com uma cópia antecipada de sua investigação compartilhada com a Reuters.
Enquanto o Extended Random não era amplamente adotado, a nova pesquisa mostra como a NSA ampliou o alcance de sua espionagem tendo como disfarce o assessoramento de empresas sobre segurança.
A RSA, agora propriedade da EMC Corp, não contestou a pesquisa quando contatada pela Reuters para comentar o assunto.
A empresa afirmou que não buscou intencionalmente enfraquecer a segurança em nenhum produto e disse que o Extended Random não se tornou popular e tinha sido removido do software de proteção da RSA nos últimos seis meses.
"Nós poderíamos ter sido mais céticos quanto às intenções da NSA", declarou à Reuters o chefe da área tecnológica da RSA, Sam Curry. "Nós confiamos neles, porque eles são encarregados da segurança do governo dos EUA e da infraestrutura crítica dos EUA." Curry não quis responder sobre se o governo tinha pago à RSA para incorporar o Extended Random em seu pacote de segurança BSafe, que abriga a Dupla Curva Elíptica. Uma porta-voz da NSA não quis fazer comentários sobre o estudo ou os motivos da agência de inteligência no desenvolvimento do Extended Random.
A agência tem trabalhado há décadas com empresas privadas para melhorar a segurança cibernética, em grande parte por meio de seu Diretório de Garantia de Informação. Após os ataques de 11/9, a NSA aumentou a vigilância, incluindo no interior dos Estados Unidos, onde antes enfrentava rígidas restrições.
Documentos vazados pelo ex-prestador de serviços da NSA Edward Snowden mostraram que a agência também teve como objetivo subverter os padrões de criptografia. Em dezembro, um grupo consultivo presidencial disse que a prática teria de acabar, embora especialistas que examinaram o caso da Dupla Curva Elíptica tenham tido algum alívio ao concluir que só a NSA provavelmente poderia quebrá-lo.
"É certamente bem projetado", disse o especialista em segurança Bruce Schneier, um crítico costumeiro da NSA. "O gerador de números aleatórios é um dos melhores." Especialistas em criptografia têm demonstrado suspeitas em relação à Dupla Curva Elíptica, mas o Instituto Nacional de Padrões e Tecnologia e a RSA só renunciaram à tecnologia depois de Snowden vazar documentos sobre isso no ano passado.