Mais uma da NSA, agora envolvendo a RSA

Uma coisa que muita gente ainda não aprendeu é: ouça a comunidade hacker. Se esta comunidade falar alguma coisa ouça com o coração aberto pois eles não são simples neuróticos com segurança e privacidade, eles em geral tem as comprovações para o que dizem.

E, a anos a comunidade hacker vinha dizendo que o monitoramento pelos governos acontece. Que o monitoramento pelos governos é feito e que nossas liberdades individuais são somente um discurso das forças do estado e do próprio estado para fingir que acham que você é merecedor disto.

Quem vem sofrendo em muito com estas indagações nos últimos tempos são os EUA, principalmente depois que o agente duplo Snowden começou a soltar alguns podres das agências de inteligência americanas.

NSA

NSA Troll

De acordo com uma notícia que eu li hoje desde o final de semana surgiram alguns rumores que a RSA teria recebido por volta de 10 milhões de dólares para permitir uma falha no seu sistema de encriptação BSAFE. O valor teria sido pago pela NSA para ter acesso fácil a documentos encriptados.

Em 2004 a RSA adotou o algoritmo Dual_EC_DRBG como padrão de encriptação do BSAFE apesar da comunidade ter dito que ele é quebrável e que não era o mais forte existente no mercado. O algoritmo era defendido pela NSA ( possivelmente porque na época iriam usar ele como base para o algoritmo oficial dos EUA ) e foi recomendado também pelo National Institude of Standards and Tecnhology ( NIST ).

Em documentos vazados pelo maior X9 do mundo, Edward Snowden, há declarações de que o algoritmo Dual_EC_DRBG teria um backdoor de conhecimento da NSA ( eu entenderia este backdoor como algum trigger que tornaria mais fácil a desencriptação pela NSA, o que, a meu ver, não é nenhuma novidade desde o 11 de setembro ). Apenas em setembro deste ano o próprio NIST suspendeu a recomendação e a RSA desabilitou como opção padrão.

Em um comunicado divulgado pela RSA hoje, a RSA se defendeu das acusações alegando estar seguindo estritamente as recomendações do NIST em relação ao algoritmo e que o BSAFE possuía outros algoritmos disponíveis para seus usuários escolherem. A empresa não nega nem confirma ter recebido verba da NSA para aprovar o uso do Dual_EC_DRBG, assim como não confirma nem nega ter conhecimento prévio da falha do algoritmo.

Não que eu duvide do que está sendo falado por aí mas é meio que estranho notarmos que há algumas coisas que devem ser lembradas. As agências de inteligência do governo americano tem uma relação com diversas empresas da iniciativa privada, principalmente na área de segurança da informação, pois lá a pesquisa é um padrão nestas empresas.

Pode parecer bizarro para o brasileiro, mas lá as empresas investem em pesquisa ( preferem não copiar ) e assim, prestam diversos serviços nesta área para o governo americano. Como disse em um artigo aqui o orçamento da NSA para a quebra de algoritmos criptográficos é enorme e, sendo a RSA uma das maiores neste segmento, o simples fato de recebimento de dinheiro da NSA não é diretamente uma comprovação de falha intencional no algoritmo de criptografia.

O que é sim sabidamente uma possibilidade, é que desde o 11 de setembro que todas as empresas americanas são obrigadas a colocar um backdoor em seus equipamentos permitindo fácil acesso das autoridades americanas no caso de suspeita sobre aquela empresa/pessoa. E entenda que o backdoor é a menor das preocupações porque sim, você perde todos os seus direitos civis, podendo o governo americano fazer de você o que bem entender ( e quando se trata de governo você sabe que respeito é o que menos ocorre né ? ).

Ou seja, neste caso da RSA ainda me é nebuloso ter uma opinião totalmente formada. Vou acompanhar mais e logicamente, ao longo da semana e no próximo ano teremos mais e mais informações sobre isto e mais coisas, trazidas logicamente pelo maior X9 da história mundial.

Fontes:

  1. RSA pode ter recebido dinheiro da NSA para permitir falha em sistema de encriptação
  2. Security firm RSA “categorically denies” accepting money from NSA to use flawed crypto code
  3. Report on NSA ‘secret’ payments to RSA fuels encryption controversy