regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

terça-feira, 1 de abril de 2014

Certificado Digital SSL | O que é e seus benefícios - Vídeo da Certisign

Pesquisadores encontram nova abertura em sistema de criptografia da RSA

segurança
                                                                                                            Foto:dencg/Shutterstock
Entre as diversas denúncias de espionagem feitas pelo ex-analista Edward Snowden, está a informação de que a NSA teria pagado US$ 10 milhões à RSA para inclusão de uma backdoor em seus sistemas de criptografia. Agora, cientistas de três universidades americanas descobriram brechas em outro sistema de segurança da companhia, permitindo uma entrada fácil de agências de segurança no que deveria ser um bloqueio de intrusos.

Os achados foram publicados pela agência Reuters e estarão presentes em um estudo que ainda deverá ser publicado pelas universidades de Wisconsin, Illinois e Johns Hopkins. Os achados revelaram que o já desacreditado sistema Dual Elliptic Curve não era o único a manter as portas abertas para a NSA, com um segundo protocolo conhecido como Extended Random também possuindo backdoorspara a agência.

A tecnologia acabou não se tornando popular e a RSA, quando procurada para comentários, negou ter reduzido a segurança de suas aplicações sob ordens da NSA. Além disso, a companhia informou que essa não foi a primeira falha de segurança encontrada na proteção Extended Random, que há seis meses não está mais disponível em nenhum dos produtos fabricados e vendidos por eles.

De acordo com os pesquisadores, a NSA teria atuado como consultora da RSA com o intuito de melhorar seus sistemas de segurança, mas teria agido ao contrário, implementando soluções que a permitissem espionar os pacotes trocados entre os usuários e a internet. A própria empresa de segurança não negou tais atos e admitiu que deveria ter sido mais cética quanto às intenções da agência.

O lado bom dessa história, se é que ele existe, é o fato de que, teoricamente, apenas os analistas da própria NSA possuíam os meios para quebrar a encriptação dos dados a partir de tais backdoors. Sendo assim, tirando a espionagem governamental, os usuários dos sistemas da RSA estavam protegidos contra ações de terceiros.
Geradores de aleatoriedade

Os protocolos de segurança quebrados pela NSA se baseavam em números randômicos, que eram processados por um software. As chaves de acesso, então, deveriam ser as mesmas criadas pelo provedor do serviço. Alguns destes sistemas, porém, se provaram previsíveis, e foi exatamente aí que a RSA, juntamente com a agência de segurança, criou a proteção Extended Random.

Além de revelar as brechas obtidas pelo órgão americano, os pesquisadores foram além, afirmando que a Extended Random nem sempre significava uma camada a mais de proteção. Eles ainda chamam atenção para o fato do protocolo ter sido criado pouco após a queda de popularidade da Dual Elliptic Curve.

A ideia da RSA era que a Extended Random fosse adotada como um padrão da indústria, assim como outras de suas soluções. Quando os esforços para esse fim não demonstraram frutos, porém, a RSA partiu para outras iniciativas e deixou o protocolo de lado.

Esse abandono, na opinião dos pesquisadores, foi a melhor coisa a se fazer. Os responsáveis pelo estudo se dizem capazes de quebrar a segurança de redes protegidas pela solução em cerca de uma hora, com equipamento computacional no valor de US$ 40 mil. Foi justamente esse baixo valor e o pouco tempo necessário que trouxe a tecnologia aos olhos da NSA e a transformou em um ótimo foco para espionagem.


Matéria completa: http://canaltech.com.br

O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção. 


segunda-feira, 31 de março de 2014

Criptografia em dois terços dos endereços do correio eletrônico da Alemanha

So können Sie auch ab 1. April noch E-Mails lesen



Über die Hälfte des deutschen E-Mail-Verkehrs wird ab dem 1. April SSL-verschlüsselt abgewickelt

Sites da AP terão autenticação que combina ID e número móvel


O Governo está a preparar um sistema de autenticação que vai simplificar o acesso a serviços públicos online. A alternativa combina o número de identificação com o número de telemóvel do cidadão.

O novo sistema de autenticação deverá estar disponível depois do verão. A proposta de lei foi aprovada ontem em conselho de ministros e segue agora para apresentação na Assembleia da República, algo que deverá acontecer na próxima semana, antecipou esta manhã Joaquim Costa, secretário de Estado para a modernização administrativa, em conferência de imprensa. 

Batizado pelo Governo como Chave Móvel Digital, o sistema não pretende substituir a autenticação com recurso ao Cartão de Cidadão, é antes apresentada como uma ferramenta complementar e alternativa, que tira partido de uma metodologia "com sucesso em vários países" e utilização regular em sectores como a banca, ou o comércio eletrónico. 

Na nota que resultou da reunião do conselho de ministros de ontem, onde foi aprovada a proposta da lei, o Governo reconhecia a fraca utilização dos serviços públicos online, mesmo com a disponibilidade de uma oferta abrangente destes serviços, e relacionava esses níveis de utilização com a complexidade dos sistemas de autenticação disponíveis. 

Recorde-se que o Cartão de Cidadão veio introduzir um novo mecanismo de autenticação nos serviços online do Estado, baseado em certificados digitais, um formatos que tem mantido baixos níveis de adesão, que o Governo não quantifica. 

O novo sistema pretende ajudar a massificar a utilização dos serviços públicos digitais, uma alternativa que continuará a ser incentivada com uma discriminação positiva de preços. Ou seja, os novos serviços online, previstos pelo Governo, terão preços mais baixos que os serviços correspondentes nos canais de acesso presencial. 

O desenvolvimento técnico da Chave móvel Digital já está em marcha, garantiu Joaquim Costa. 

Escrito ao abrigo do novo Acordo Ortográfico 

Fonte: Sapo Cristina A. Ferreira

Sobre Cartão Cidadão http://www.cartaodecidadao.pt