Nas aulas de certificação digital eu sempre falo do desastre que seria o vazamento da chave privada de um sistema de certificação digital. Já vimos o caso de se perder a chave, o que já é sério o suficiente. Pois bem, isso ocorreu com a Sony, a chave privada que garante a autenticidade dos programas e jogos do Playstation 3 e PSP foi descoberta.
O pior para a imagem da Sony é a forma que essa chave vazou: Um erro de implementação do protocolo de assinatura digital de curva elíptica. O protocolo exige que seja utilizado um número randômico em cada assinatura, mas infelizmente a Sony utilizou uma constante.
Quando o grupo fail0verflow descobriu essa falha, foi possível decifrar a chave privada, e a técnica foi apresentada na 27 ª Chaos Communication Congress ( 27C3 ).
Os detalhes da falha estão na apresentação bem humorada disponível aqui. Tenho a impressão que a Sony não achou muita graça. Eu fico pensando no que ocorreu nos escritórios da Sony com os técnicos envolvidos com esse chamado “Epic Fail”.
Pois bem, essa falha ilustra bem a catástrofe que pode se abater em um sistema de segurança caso haja o vazamento da chave privada. Agora a Sony luta para tentar conter os danos, mas é praticamente impossível de reverter o estrago. Afinal, não é possível trocar a chave, pois existem milhares de jogos e programas legítimos já assinados com essa chave, caso houvesse a troca, como os jogos antigos seriam reconhecidos?
Além disso, qualquer mudança por software teoricamente poderia ser contornada, uma vez que um crack poderia ser desenvolvido e assinado com a chave privada, ludibriando novamente o PS3/PSP. Existem rumores que a Sony estaria trabalhando em um sistema de blacklist, listando os programas antigos, e assinando os novos com outra chave. Outra abordagem seria acrescentar números seriais em todos os jogos, como já ocorre em PCs.
Sinceramente, essa tentativa seria desastrosa, causando a piora da experiência do usuário que compra o programa/jogo e acabando com o mercado de usados e aluguel.
A Sony insiste que pode solucionar o problema com uma atualização de software. Sinceramente, eles podem dificultar as coisas, mas a segurança do PS3/PSP está comprometida para sempre. A empresa abriu um processo contra todos os envolvidos, mas não acredito que terão sucesso, afinal, os hackers quebraram a segurança de um console que era deles, e não utilizaram a rede da Sony para quebrar a segurança.
Então um usuário não pode utilizar seu computador/console, legitimamente adquirido, da forma que bem desejar? Será que a Sony acha que tem direitos sobre o equipamento que desenvolve após sua venda? A justiça americana está com esse embrólio.
Acho que é hora de começar a trabalhar no Playstation 4, e de todas as demais empresas revisarem seus códigos de assinatura digital.
Fonte: Blog do Professor Rafael Sarres
Mestre em Ciência da Computação, professor e entusiasta em informática e tecnologia em especial: Certificação Digital e Segurança de TI.
Você está no LinkedIn?
Então conheça e participe do grupo Certificação Digital
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.