Acabamos de sofrer mais um ataque contra o SSL, chamado FREAK. Ele é um resquício da época que o Governo Americano proibia a exportação de criptografia forte. São muitas as consequencias nefastas de iniciativas desse tipo, e elas acabam nos perseguindo por muito tempo, como nesse caso.
Mesmo sabendo dos problemas devemos que aceitar que existe uma lógica dos Governos de tentar enfraquecer os processos criptográficos de comunicação entre outras entidades para facilitar a interceptação.
Tiro no pé
Mas quando os Governo enfraquecer seus próprios processos criptográficos passamos a beirar o nonsense. Sei que vai parecer uma piada, mas basta olhar o link do IRS (Receita Federal Americana). O projeto IDES (International Data Exchange Service) oferece um canal para troca de informações com instituições financeiras e autoridades de impostos em outros países.
Obviamente esses documentos são trocados em forma criptografada, sendo do interesse do Governo Americano que o processo seja o mais forte possível, certo? Por mais, que eles queiram enfraquecer a criptografia usada por outros Governos, querem manter seus mecanismos no nível mais alto de qualidade.
Utilizando o algoritmo AES (padrão do Governo) analisamos os parâmetros escolhidos, encontramos:
Primeiro, devemos lembrar que o ECB é o modo de uso do AES considerado mais fraco, veja esse exemplo. O Salt é mesmo dispensável, mas o IV é usado para evitar os problemas de criptografia deterministica tornando o processo probabilístico. O resto é padrão de mercado.
- Cipher Mode: ECB (Electronic Code Book).
- Salt: No salt value
- Initialization Vector: No Initialization Vector (IV). If an IV is present, set to all zeros to avoid affecting the encryption.
- Key Size: 256 bits / 32 bytes Key size should be verified and moving the key across operating systems can affect the key size.
- Encoding: There can be no special encoding. The file will contain only the raw encrypted bytes.
- Padding: PKCS#7 or PKCS#5.
O que podemos entender quando vemos algo assim? Ou as pessoas ficaram tão viciadas em enfraquecer criptografia, que esquecerão que isso só deve ser feito com o “inimigo”, ou alguém não tem a menor ideia do que tá fazendo.
Sérgio Leal
- Ativista de longa data no meio da criptografia e certificação digital.
- Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
- Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
- Bacharel em Ciências da Computação pea UERJ desde 1997.
- Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)- Sérgio Leal é colunista e membro do conselho editorial do Instituto CryptoID.