RenatoMartini.Net

Tag: criptografia (page 1 of 3)

Participe da Consulta Pública sobre Carteira de Identificação Estudantil

Participe da Consulta Pública sobre a padronização da Carteira de Identificação Estudantil

O Instituto Nacional de Tecnologia da Informação – ITI abre a toda sociedade Consulta Pública sobre os requisitos para padronização da nova Carteira de Identificação Estudantil – CIE, prevista na Lei nº 12.933, de 26 de dezembro de 2013, que trata das novas regras para concessão de meia-entrada para estudantes, idosos, pessoas com deficiência e jovens de 15 a 29 anos comprovadamente carentes em espetáculos artístico-culturais e esportivos.

Todos os interessados em participar da consulta, como pessoas físicas, estabelecimentos de ensino, associações e entidades emissoras de carteiras estudantis, indústrias de cartões e de tecnologia da informação, órgãos públicos, indústria do entretenimento, dentre outros, têm 60 dias, até 10 de abril, para enviar suas sugestões e comentários, através deste formulário. Após a análise das eventuais sugestões, o ITI publicará o padrão oficial da CIE, conforme definido na lei.

A nova identidade estudantil deverá seguir modelo único, padronizado e publicamente disponibilizado. A carteira deverá possuir certificação digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, tecnologia que garante a segurança e a autenticidade do documento.

Confira a documentação:

Requisitos para padronização da Carteira de Identificação Estudantil – CIE

Para encaminhar suas considerações acesse o Formulário: Consulta Pública - Identidade Estudantil

 
Revisão v. 1.0
 

ICP-Brasil passa a operar a V4, nova cadeia de certificação digital

Dando sequência a implementação de soluções em Curvas Elípticas (ECC) na ICP-Brasil, já documentada fartamente no blog. O ITI emitiu semana passada uma nova raiz usando o conjunto de curvas chamadas brainpool. De imediato, esta nova raiz emitida com ECC será usada na nova Autoridade Certificadora do Ministério das Relações Internacionais, para assinar os dados contidos no passaporte eletrônico do país, obedecendo dinamicamente os padrões da ICP-Brasil e do organismo internacional que regula os documentos de viagens, a ICAO.

---


"A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil iniciou as atividades de sua nova cadeia de certificação, a v4. A emissão do novo Certificado ocorreu na tarde desta quinta-feira, 23, em Brasília. Trata-se de um momento importante para a ICP-Brasil uma vez que a nova versão de raíz com algoritmo criptográfico é diferente do comumente utilizado RSA. O novo algoritmo segue a lógica da criptografia assimétrica, no entanto faz uso da tecnologia europeia de Curvas Elípticas – brainpool e usa chaves criptográficas menores e mais robustas.

Recém inaugurada, a v4 já emitiu, momentos depois de efetivada, o certificado de Autoridade Certificadora do Ministério de Relações Exteriores – AC MRE, viabilizando a assinatura do novo passaporte brasileiro, aderente ao diretório Public Key Directory – PKD da Organização da Aviação Civil Internacional – ICAO, agência especializada das Nações Unidas que promove a segurança e padroniza os aeroportos e passaportes no mundo.

No próximo Boletim Digital traremos uma cobertura completa do tema e entrevista com o diretor da Infraestrutura de Chaves Púbicas Brasileira do ITI, Maurício Coelho. Se você ainda não recebe o Boletim Digital, envie um e-mail para comunicacao@iti.gov.br".

Consultar: http://www.iti.gov.br/noticias/indice-de-noticias/4797-icp-brasil-passa-a-operar-a-v4-nova-cadeia-de-certificacao-digital

 
Revisão v. 1.0a
 

2014: a Falha Heartbleed

A conhecida falha Heartbleed, detectada em abril na suite OpenSSL, uma suite « open source » utilizada por um grande número de sites no mundo, assim como plataformas e hardware criptográficos, seis novas vulnerabilidades foram atualizadas em abril e maio por um especialista do Japão, e publicadas 5 junho pela Fundação OpenSSL.

Segundo a Fundação, o bug é um tipo de « man in the middle », ou seja, que abre uma conexão entre dois pontos encriptados graças a uma ferramenta OpenSSL e pode assim permitir a uma pessoa interceptar uma troca de dados entre os pontos da conexão. Um cenário arriscado mais comum é o uso de uma rede pública onde uma das pontas se mostra vulnerável, e basta apenas que uma delas seja desvelada. Tal falha era ainda menos perigosa que o bug Heartbleed tornado público em abril, até então presente na biblioteca OpenSSL, ainda que nenhum código para explorar esta falha tenha sido apresentado imediatamente1. O bug consiste em toda sua singeleza no mecanismo TLS Heartbeat que é construído para preservar conexões vivas ainda que nenhum dado seja efetivamente trocado. As Heartbeat messages enviadas numa rede contém dados aleatórios e um tamanho de payload. A outra ponta da rede deve responder espelhando exatamente com os mesmos dados.

Em pseudo-código a estrutura de dados assim se apresenta (note-se ainda o tamanho de 2-byte do payload):

  1. struct {
  2. HeartbeatMessageType type;
  3. uint16 payload_length;
  4. opaque payload[HeartbeatMessage.payload_length];
  5. opaque padding[padding_length];
  6. } HeartbeatMessage;

A expressão heartbeat, « batida de coração », representa este desejo manter viva a conexão na rede, por assim dizer, como na sequência de várias « batidas » que nos mantém vivos. A batida transforma-se, desgraçadamente, em hemorragia, heartbleed, porque a falta de verificação do correto perímetro (o atacante) pode desvelar uma determinada quantidade de memória (64K) armazenada entre cliente & servidor. Ali podem estar, cookies, senhas e tantas outras informações sensíveis. Resumidamente, NSFOCUS Secutity Labs: « the OpenSSL TLS Heartbeat Extension protocol implements blind trust from the length of payload in the communicating field. Lacking correct perimeter checks, this protocol may allow disclosure of data amounts up to 64K memory to any connected clients or server and with this, sensitive information contained in that memory data can also be exposed. This Heatbeat defect can be exploited to access sensitive user data stored in millions of servers or by clients—data such as licenses, cookies, and user passwords. An attacker may even eavesdrop on communications using acquired secret keys, and thereby steal data from service providers by impersonating the service providers and users ». O bug foi introduzido originalmente nesta inserção na plataforma GIT do projeto OpenSSL.

Em especial, podemos ver aqui:

2427                 /* Allocate memory for the response, size is 1 bytes

2428                  * message type, plus 2 bytes payload length, plus

2429                  * payload, plus padding

2430                  */

2431                 buffer = OPENSSL_malloc(1 + 2 + payload + padding);

2432                 bp = buffer;

2433                 

2434                 /* Enter response type, length and copy payload */

2435                 *bp++ = TLS1_HB_RESPONSE;

2436                 s2n(payload, bp);

2437                 memcpy(bp, pl, payload);

2438                 

2439                 r = ssl3_write_bytes(s, TLS1_RT_HEARTBEAT, buffer, 3 + payload + padding); 

O dados gerados maliciosamente contém um payload, que incorretamente o software confia cegamente sem as devidas verificações. O OpenSSL assim procede a resposta com o buffer, copiando os dados presentes no ponteiro « pl »:


memcpy(bp, pl, payload);

Apesar do tom quase sempre bombástico da mídia não-especializada (por exemplo: Falha 'Heartbleed' é uma catástrofe2, , e mesmo naquela que trata do tema tecnologia, tais vulnerabilidade e falhas são sempre passíveis de serem encontradas, não há engenharia e implementação perfeita -, seja no mundo open source seja no de softwares não abertos. Encontrado o bug, seja qual for, tão logo possa, deve o o responsável pela infraestrutura aplicar as devidas correções e atualizações.

Enfim, não foi o armagedom, todos continuamos usando a Rede, aproveitando seus recursos, fazendo negócios, política, interação em redes sociais, até que uma próxima falha seja encontrada.


Referências:
1. http://www.lemonde.fr/economie/article/2014/06/06/apres-heartbleed-une-nouvelle-faille-de-securite-dans-openssl_4433841_3234.html
2. http://www.heartbleed.com.br/
3. http://www.nsfocus.com/2014/SecurityView_0417/169.html

 
Revisão v. 1.9a
 
  1. Alguns scripts logo apareceram para que se testassem a vulnerabilidade Heartbleed, o mais conhecido foi o ssltest.py, que pode ser visto aqui []
  2. http://g1.globo.com/tecnologia/blog/seguranca-digital/post/falha-heartbleed-e-uma-catastrofe.html []

PGP foi um fracasso, Vida longa ao pEp…

p≡p – pretty Easy privacy

Volker Birk é anarquista. Militante do Chaos Computer Club, organização que defende as liberdades digitais e o direito de todos de « bidouiller », diz o Le Monde, que é a palavra que os franceses usam para to hack, já tão badalada e repetida. Não gosta da ingerência estatal na vida das pessoas, como é próprio ao ideário anarquista, nem das transnacionais. Leon Schumacher dirige um grupo que foi responsável pela informatização de vários grupos internacionais, como Novartis ou ArcelorMittal.

Nada ou muito pouco levaria os dois a juntos trabalharem – e menos ainda a elaborarem conjuntamente um projeto que deseja impedir à espionagem de comunicações. Trata-se do « Pretty Easy Privacy » (pEp). O nome não é por acaso, é uma alfinetada no velho PGP, o « Pretty Good Privacy », reconhecido padrão de cifragem de chaves assimétricas. Sistema de chaves públicas poderoso, mas com certa complexidade, e limitado pelo sua falta de escalabilidade.

« PGP é um fracasso »
« PGP é um fracasso, diz Voler Birk, porque as pessoas não sabem dele se servir ». Para os desenvolvedores do pEp os sistemas OpenPGP são demasiadamente complexos, dependende de inúmeras configurações, e chegando mesmo Birk a falar em tédio. O alvo principal de crítica é, por conseguinte, o uso irritante da senha. Por isso mesmo, conclui o desenvolvedor: « Abandonamos completamente a senha ... é uma das razões pelas quais as pessoas não usam o PGP. » O pEp parte de um outro principio, é a segurança da ferramenta usada pata a comunicação – código PIN num tefefone, senha de sessão num post compartilhado, acesso ao micro pessoal – que fornece a segurança.

Ler no Le Monde - França Info suplementar: http://www.pep-project.org Vídeo YT: p≡p ­– reclaim your privacy

 
Revisão v. 1.0
 
Olderposts

Copyright © 2017 RenatoMartini.Net

Theme by Anders NorenUp ↑