quinta-feira, 4 de setembro de 2014

Pesquisa descobre nova forma de quebrar criptografias


Pesquisadores da Universidade de Tel Aviv, em Israel, afirmam ter encontrado um novo método para quebrar criptografias. A pesquisa mostra que dados protegidos por criptografia podem ser acessados "tocando o computador", após copiar chaves que destravam o arquivo.

A vulnerabilidade descoberta usa da diferença de potencial gerada enquanto o computador trabalha nos cálculos para a desencriptação para burlar o processo. Essa diferença pode ser medida com um cabo tocando partes metálicas do computador, como entradas para dispositivos VGA, USB e até a ponta de um cabo qualquer já conectado. Assim é possível copiar a chave de encriptação utilizando aparelhos especiais para esta medição.

Os testes mostraram que o método foi bem sucedido em chaves como a RSA de 4096 bits e ElGamal de 3072 bits, consideradas de alta segurança. Mas para amenizar esse fato, o que torna o problema um pouco menos preocupante, é que para o método funcionar é preciso conseguir acesso físico ao computador no exato momento em que ele realiza a desencriptação junto aos aparelhos especiais necessários, o que deve ser um pouco dificil de não ser notado. UFA!!

Para resolver o problema, desenvolvedores do encriptador de código aberto GnuPG introduziram a geração de dados randômicos em seu software, o que torna impossível a descoberta da chave.

retirado de: http://www.technologyreview.com/news/530251/how-to-break-cryptography-with-your-bare-hands/
Postado por às Nenhum comentário:

GNU Privacy Guard

O GNUPG é uma implementação do OpenPGP desenvolvido pela GNU. Sendo uma alternativa ao software proprietario PGP, o GNUPG permiti criptografar mensagens e arquivos utilizado criptografia assimétrica, é um software gratuito e está disponível para varias plataformas. 

Desde sua concepção enfrentou diversos obstaculos,  sendo um dos maiores o governo dos Estados Unidos. Surgiu na década de 90, numa época em que o governo americano rechaçava toda forma de criptografia não analisada pelos mesmos, permitindo até então apenas criptografias fracas.

Como uma forma de driblar as leis locais, os fundadores decidiram publicar a aplicação em servidores na Europa. Sua primeira versão estável foi lançada em 7 de Setembro de 1999. No mesmo ano, como uma forma de apoiar o livre desenvolvimento de novas criptografias o governo Alemão decidiu financiar uma versão para windows do projeto.

Em 2001 foi fundada a G10-Code, uma empresa voltada para manutenir o GNUPG. Em 2010 a g10 disponibilizou o gpg4win, uma implementação do gpg para windows, acesso para o site oficial.

O GNUPG também chegou ao android, em 2012 foi lançado sua primeira versão. O aplicativo pode ser adquirido na loja de aplicativos da Google e promete trazer privacidade para emails e arquivos do dispositivo móvel.


Referencias:
  1. http://www.openpgp.org/members/gnupg.shtml
  2. http://lists.gnupg.org/pipermail/gnupg-announce/2007q4/000268.html
  3. http://www.gpg4win.org/
Postado por às Nenhum comentário:

quarta-feira, 3 de setembro de 2014

Heartbleed

O Heartbleed é uma vulnerabilidade critica na biblioteca de criptografia OpenSSL, a falha encontrada permite o acesso a uma parte da memoria ram, possibilitando, dessa forma, o acesso as chaves de acesso e consequentemente a diversas informações.
O OpenSSL é uma variação em código aberto do SSL. Você pode saber mais sobre SSL clicando aqui. O Open é uma biblioteca altamente utilizada na web para a comunicação segura de dados, muita utilizada em mensageiros e aplicações web.

O problema foi encontrado por um grupo de pesquisadores do Google, nesse ano de 2014, é sabido que o erro estava presente desde 2012. Diversas empresas como Amazon, Facebook, Twitter, Yahoo e etc, entraram na corrida para disponibilizar uma solução para a falha.

Em pouco tempo uma correção foi lançada, restando as prestadoras de serviços atualizarem sua versão para evitar ataques. Uma campanha de marketing foi iniciada para explicar os danos relacionados a falha e assim agilizar o processo de atualização. Segue um vídeo da campanha aqui no Brasil, o link para o site da campanha se encontra nas referencias.



 Pela gravidade da ocorrência, uma campanha tornou-se realmente necessária. O OpenSSL está presente na vida de milhões de usuários, que na maioria das vezes utilizam o canal de criptografia para realizar transações comerciais. Uma vulnerabilidade que poderia expor cartões de créditos, senhas bancarias e dados pessoais.

Referencias:
  1. http://www1.folha.uol.com.br/tec/2014/04/1438015-especialistas-encontram-falha-de-seguranca-que-compromete-multiplos-servicos-de-internet.shtml
  2. http://www.heartbleed.com.br/
  3. http://idgnow.com.br/blog/circuito/2014/04/15/heartbleed-tudo-o-que-voce-precisa-saber-sobre-a-falha-no-openssl/
Postado por às Nenhum comentário:
Assinar: Postagens (Atom)