RenatoMartini.Net

Category: criptografia (page 2 of 5)

ICP-Brasil passa a operar a V4, nova cadeia de certificação digital

Dando sequência a implementação de soluções em Curvas Elípticas (ECC) na ICP-Brasil, já documentada fartamente no blog. O ITI emitiu semana passada uma nova raiz usando o conjunto de curvas chamadas brainpool. De imediato, esta nova raiz emitida com ECC será usada na nova Autoridade Certificadora do Ministério das Relações Internacionais, para assinar os dados contidos no passaporte eletrônico do país, obedecendo dinamicamente os padrões da ICP-Brasil e do organismo internacional que regula os documentos de viagens, a ICAO.

---


"A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil iniciou as atividades de sua nova cadeia de certificação, a v4. A emissão do novo Certificado ocorreu na tarde desta quinta-feira, 23, em Brasília. Trata-se de um momento importante para a ICP-Brasil uma vez que a nova versão de raíz com algoritmo criptográfico é diferente do comumente utilizado RSA. O novo algoritmo segue a lógica da criptografia assimétrica, no entanto faz uso da tecnologia europeia de Curvas Elípticas – brainpool e usa chaves criptográficas menores e mais robustas.

Recém inaugurada, a v4 já emitiu, momentos depois de efetivada, o certificado de Autoridade Certificadora do Ministério de Relações Exteriores – AC MRE, viabilizando a assinatura do novo passaporte brasileiro, aderente ao diretório Public Key Directory – PKD da Organização da Aviação Civil Internacional – ICAO, agência especializada das Nações Unidas que promove a segurança e padroniza os aeroportos e passaportes no mundo.

No próximo Boletim Digital traremos uma cobertura completa do tema e entrevista com o diretor da Infraestrutura de Chaves Púbicas Brasileira do ITI, Maurício Coelho. Se você ainda não recebe o Boletim Digital, envie um e-mail para comunicacao@iti.gov.br".

Consultar: http://www.iti.gov.br/noticias/indice-de-noticias/4797-icp-brasil-passa-a-operar-a-v4-nova-cadeia-de-certificacao-digital

 
Revisão v. 1.0a
 

Desmaterialização: Processo Judicial chega a Varas do Trabalho


O Processo Judicial Eletrônico da Justiça do Trabalho – PJe-JT foi implantado, no último dia 9, na Vara do Trabalho de Itapetinga, Bahia. O Pje-JT foi desenvolvido pelo Conselho Nacional de Justiça – CNJ, o Conselho Superior da Justiça do Trabalho – CSJT e diversos tribunais brasileiros. O sistema traz maior comodidade aos usuários, pois os processos passam a ser realizados pela internet com o uso do certificado digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.

O Pje-JT também deve ser iniciado nas Varas do Trabalho de Vitória da Conquista ainda este ano. Com o sistema, o uso do papel fica restrito às ações antigas e pagamentos. O PJe-JT já funciona em dez cidades da Bahia, Salvador, Itabuna, Ilhéus, Candeias, Santo Amaro, Alagoinhas, Camaçari, Feira de Santana, Senhor do Bonfim e Juazeiro.

O PJe-JT permite uma melhor visão do fluxo de procedimentos. Além disso, o sistema promove mudanças em toda a estrutura da Justiça do Trabalho, uma vez que extingue tarefas como carimbar e manusear a papelada. Além de agilizar os processos, essa nova forma de trabalho traz vantagens para os cofres públicos e para o meio ambiente.

Fonte: ITI

 
Revisão v. 1.0
 

2014: a Falha Heartbleed

A conhecida falha Heartbleed, detectada em abril na suite OpenSSL, uma suite « open source » utilizada por um grande número de sites no mundo, assim como plataformas e hardware criptográficos, seis novas vulnerabilidades foram atualizadas em abril e maio por um especialista do Japão, e publicadas 5 junho pela Fundação OpenSSL.

Segundo a Fundação, o bug é um tipo de « man in the middle », ou seja, que abre uma conexão entre dois pontos encriptados graças a uma ferramenta OpenSSL e pode assim permitir a uma pessoa interceptar uma troca de dados entre os pontos da conexão. Um cenário arriscado mais comum é o uso de uma rede pública onde uma das pontas se mostra vulnerável, e basta apenas que uma delas seja desvelada. Tal falha era ainda menos perigosa que o bug Heartbleed tornado público em abril, até então presente na biblioteca OpenSSL, ainda que nenhum código para explorar esta falha tenha sido apresentado imediatamente1. O bug consiste em toda sua singeleza no mecanismo TLS Heartbeat que é construído para preservar conexões vivas ainda que nenhum dado seja efetivamente trocado. As Heartbeat messages enviadas numa rede contém dados aleatórios e um tamanho de payload. A outra ponta da rede deve responder espelhando exatamente com os mesmos dados.

Em pseudo-código a estrutura de dados assim se apresenta (note-se ainda o tamanho de 2-byte do payload):

  1. struct {
  2. HeartbeatMessageType type;
  3. uint16 payload_length;
  4. opaque payload[HeartbeatMessage.payload_length];
  5. opaque padding[padding_length];
  6. } HeartbeatMessage;

A expressão heartbeat, « batida de coração », representa este desejo manter viva a conexão na rede, por assim dizer, como na sequência de várias « batidas » que nos mantém vivos. A batida transforma-se, desgraçadamente, em hemorragia, heartbleed, porque a falta de verificação do correto perímetro (o atacante) pode desvelar uma determinada quantidade de memória (64K) armazenada entre cliente & servidor. Ali podem estar, cookies, senhas e tantas outras informações sensíveis. Resumidamente, NSFOCUS Secutity Labs: « the OpenSSL TLS Heartbeat Extension protocol implements blind trust from the length of payload in the communicating field. Lacking correct perimeter checks, this protocol may allow disclosure of data amounts up to 64K memory to any connected clients or server and with this, sensitive information contained in that memory data can also be exposed. This Heatbeat defect can be exploited to access sensitive user data stored in millions of servers or by clients—data such as licenses, cookies, and user passwords. An attacker may even eavesdrop on communications using acquired secret keys, and thereby steal data from service providers by impersonating the service providers and users ». O bug foi introduzido originalmente nesta inserção na plataforma GIT do projeto OpenSSL.

Em especial, podemos ver aqui:

2427                 /* Allocate memory for the response, size is 1 bytes

2428                  * message type, plus 2 bytes payload length, plus

2429                  * payload, plus padding

2430                  */

2431                 buffer = OPENSSL_malloc(1 + 2 + payload + padding);

2432                 bp = buffer;

2433                 

2434                 /* Enter response type, length and copy payload */

2435                 *bp++ = TLS1_HB_RESPONSE;

2436                 s2n(payload, bp);

2437                 memcpy(bp, pl, payload);

2438                 

2439                 r = ssl3_write_bytes(s, TLS1_RT_HEARTBEAT, buffer, 3 + payload + padding); 

O dados gerados maliciosamente contém um payload, que incorretamente o software confia cegamente sem as devidas verificações. O OpenSSL assim procede a resposta com o buffer, copiando os dados presentes no ponteiro « pl »:


memcpy(bp, pl, payload);

Apesar do tom quase sempre bombástico da mídia não-especializada (por exemplo: Falha 'Heartbleed' é uma catástrofe2, , e mesmo naquela que trata do tema tecnologia, tais vulnerabilidade e falhas são sempre passíveis de serem encontradas, não há engenharia e implementação perfeita -, seja no mundo open source seja no de softwares não abertos. Encontrado o bug, seja qual for, tão logo possa, deve o o responsável pela infraestrutura aplicar as devidas correções e atualizações.

Enfim, não foi o armagedom, todos continuamos usando a Rede, aproveitando seus recursos, fazendo negócios, política, interação em redes sociais, até que uma próxima falha seja encontrada.


Referências:
1. http://www.lemonde.fr/economie/article/2014/06/06/apres-heartbleed-une-nouvelle-faille-de-securite-dans-openssl_4433841_3234.html
2. http://www.heartbleed.com.br/
3. http://www.nsfocus.com/2014/SecurityView_0417/169.html

 
Revisão v. 1.9a
 
  1. Alguns scripts logo apareceram para que se testassem a vulnerabilidade Heartbleed, o mais conhecido foi o ssltest.py, que pode ser visto aqui []
  2. http://g1.globo.com/tecnologia/blog/seguranca-digital/post/falha-heartbleed-e-uma-catastrofe.html []

PGP foi um fracasso, Vida longa ao pEp…

p≡p – pretty Easy privacy

Volker Birk é anarquista. Militante do Chaos Computer Club, organização que defende as liberdades digitais e o direito de todos de « bidouiller », diz o Le Monde, que é a palavra que os franceses usam para to hack, já tão badalada e repetida. Não gosta da ingerência estatal na vida das pessoas, como é próprio ao ideário anarquista, nem das transnacionais. Leon Schumacher dirige um grupo que foi responsável pela informatização de vários grupos internacionais, como Novartis ou ArcelorMittal.

Nada ou muito pouco levaria os dois a juntos trabalharem – e menos ainda a elaborarem conjuntamente um projeto que deseja impedir à espionagem de comunicações. Trata-se do « Pretty Easy Privacy » (pEp). O nome não é por acaso, é uma alfinetada no velho PGP, o « Pretty Good Privacy », reconhecido padrão de cifragem de chaves assimétricas. Sistema de chaves públicas poderoso, mas com certa complexidade, e limitado pelo sua falta de escalabilidade.

« PGP é um fracasso »
« PGP é um fracasso, diz Voler Birk, porque as pessoas não sabem dele se servir ». Para os desenvolvedores do pEp os sistemas OpenPGP são demasiadamente complexos, dependende de inúmeras configurações, e chegando mesmo Birk a falar em tédio. O alvo principal de crítica é, por conseguinte, o uso irritante da senha. Por isso mesmo, conclui o desenvolvedor: « Abandonamos completamente a senha ... é uma das razões pelas quais as pessoas não usam o PGP. » O pEp parte de um outro principio, é a segurança da ferramenta usada pata a comunicação – código PIN num tefefone, senha de sessão num post compartilhado, acesso ao micro pessoal – que fornece a segurança.

Ler no Le Monde - França Info suplementar: http://www.pep-project.org Vídeo YT: p≡p ­– reclaim your privacy

 
Revisão v. 1.0
 
Olderposts Newerposts

Copyright © 2018 RenatoMartini.Net

Theme by Anders NorenUp ↑