regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 28 de janeiro de 2011

Vazamento da chave privada de proteção do Sony Playstation 3


                                                                       
Por: Professor Rafael Sarres

Nas aulas de certificação digital eu sempre falo do desastre que seria o vazamento da chave privada de um sistema de certificação digital. Já vimos o caso de se perder a chave, o que já é sério o suficiente. Pois bem, isso ocorreu com a Sony, a chave privada que garante a autenticidade dos programas e jogos do Playstation 3 e PSP foi descoberta.

O pior para a imagem da Sony é a forma que essa chave vazou: Um erro de implementação do protocolo de assinatura digital de curva elíptica. O protocolo exige que seja utilizado um número randômico em cada assinatura, mas infelizmente a Sony utilizou uma constante. 

Quando o grupo fail0verflow descobriu essa falha, foi possível decifrar a chave privada, e a técnica foi apresentada na 27 ª Chaos Communication Congress ( 27C3 )

Os detalhes da falha estão na apresentação bem humorada disponível aqui. Tenho a impressão que a Sony não achou muita graça. Eu fico pensando no que ocorreu nos escritórios da Sony com os técnicos envolvidos com esse chamado “Epic Fail”.

Pois bem, essa falha ilustra bem a catástrofe que pode se abater em um sistema de segurança caso haja o vazamento da chave privada. Agora a Sony luta para tentar conter os danos, mas é praticamente impossível de reverter o estrago. Afinal, não é possível trocar a chave, pois existem milhares de jogos e programas legítimos já assinados com essa chave, caso houvesse a troca, como os jogos antigos seriam reconhecidos? 

Além disso, qualquer mudança por software teoricamente poderia ser contornada, uma vez que um crack poderia ser desenvolvido e assinado com a chave privada, ludibriando novamente o PS3/PSP. Existem rumores que a Sony estaria trabalhando em um sistema de blacklist, listando os programas antigos, e assinando os novos com outra chave. Outra abordagem seria acrescentar números seriais em todos os jogos, como já ocorre em PCs. 

Sinceramente, essa tentativa seria desastrosa, causando a piora da experiência do usuário que compra o programa/jogo e acabando com o mercado de usados e aluguel.

A Sony insiste que pode solucionar o problema com uma atualização de software. Sinceramente, eles podem dificultar as coisas, mas a segurança do PS3/PSP está comprometida para sempre. A empresa abriu um processo contra todos os envolvidos, mas não acredito que terão sucesso, afinal, os hackers quebraram a segurança de um console que era deles, e não utilizaram a rede da Sony para quebrar a segurança. 

Então um usuário não pode utilizar seu computador/console, legitimamente adquirido, da forma que bem desejar? Será que a Sony acha que tem direitos sobre o equipamento que desenvolve após sua venda? A justiça americana está com esse embrólio.

Acho que é hora de começar a trabalhar no Playstation 4, e de todas as demais empresas revisarem seus códigos de assinatura digital. 


Fonte: Blog do Professor Rafael Sarres  

Mestre em Ciência da Computação, professor e entusiasta em informática e tecnologia em especial: Certificação Digital e Segurança de TI.

Você está no LinkedIn?

Então conheça e participe do grupo Certificação Digital

Nenhum comentário:

Postar um comentário

Agradecemos sua participação.