Segunda reportagem do especial avalia dificuldades para implementar projetos de criptografia e aponta ações da Microsoft no segmento

Os métodos de chaves evoluíram muito e, para entender como isso aconteceu, avaliamos um artigo publicado em 2007, quando esses métodos foram identificados como um sério problema e descobrimos que, uma vez mais, não progredimos muito. Cerca de metade dos entrevistados da pesquisa InformationWeek Analytics State of Encryption atual usa serviços de gerenciamento de chaves de produtos de criptografia individual, enquanto 39% gerenciam chaves manualmente.

A maioria ainda usa a capacidade nativa de gerenciamento de chaves do produto, mesmo que as empresas continuem interessadas em um sistema de gerenciamento de chaves especializado, padronizado e único. Que isso seja, de fato, uma boa opção, é algo que muitos pesquisadores concordam e nossa experiência confirma. Esse modelo é conhecido como “plataforma de criptografia”, em que um único aplicativo central gerencia diferentes tipos de chaves de criptografia (disco, backup, banco de dados).

O principal fator que leva à abordagem dessa plataforma é a promessa na redução de gastos operacionais e o aumento na eficiência, já que essas são as principais barreiras contra a adoção. Os fornecedores desse mercado, incluindo a PGP e a Sophos, dizem que seus produtos estão vendendo como água. Talvez, e porque o custo dessas plataformas são tão altos, o desafio seja vender aos CIOs e CISOs a ideia de que ter um fornecedor e uma única ferramenta de gerenciamento para todas as diferentes (e também caras) tecnologias de criptografia vale mais a pena.

Agora, há necessidade de chamar a atenção para um detalhe nesse modelo: precisamos chegar a um acordo sobre o termo “plataforma”. Digamos que você usa um único fornecedor para criptografia de e-mail e a empresa tem uma opção de criptografia para backup que você pode usar por uma taxa extra. Se você aciona a criptografia de backup, teoricamente, você está usando uma plataforma para criptografar e-mail e backup. No entanto, no nosso modo de pensar, isso não chega a ser uma plataforma, mas um sistema de fornecedor único. Para ser uma plataforma de verdade você precisa de suporte de vários fornecedores, como o oferecido pela Thales.

É uma distinção meramente acadêmica, hoje, porque nenhuma plataforma de gerenciamento de chave domina o mercado corporativo, provavelmente por uma questão de custo. Esses sistemas custam cerca de US$ 40 mil, só pelo gerenciador de chaves, e ainda é necessário comprar todos os produtos individuais e suas devidas licenças. Vimos muitos projetos corporativos chegarem, rapidamente, a custar centenas de milhares de dólares.

Dito isso, não podemos culpar as áreas de TI por não almejarem, agressivamente, uma abordagem mais ampla. Usar as capacidades nativas de gerenciamento de chaves de cada aplicativo de criptografia era a forma mais realista de agir em 2007 e, nos últimos anos, a consolidação da indústria de criptografia e o desenvolvimento contínuo criaram um ambiente em que a maioria dos fornecedores vende vários produtos de criptografia como plataformas unificadas. Os orçamentos andaram apertados e, por isso, utilizar as funções nativas de gerenciamento se tornou a abordagem dominante.

Acreditamos, entretanto, que uma abordagem de plataforma unificada por vários fornecedores será garantida no futuro. Para tornar esses sistemas uma opção realista dentro da empresa o quanto antes, os fornecedores precisam parar de discutir e implementar, de uma vez por todas, um padrão de interoperabilidade. O leque de opções é amplo: a Oasis tem seu Protocolo para Interoperabilidade no Gerenciamento de Chaves (KMIP), o IEEE (Instituto de Engenheiros Elétricos e Eletrônicos) tem o projeto P1619, que parece ganhar espaço mesmo sendo apenas para dispositivos móveis. O projeto sequencial, P1619.3, contém detalhes sobre gerenciamento de chaves, mas ainda está em forma de rascunho. O problema? O P1619.3 e o KMIP fazem, basicamente, a mesma coisa.

Pesquisa com 500 profissionais de tecnologia revela pouco uso da criptografia de ponta-a-ponta. Empresas apenas cumprem regras de compliance

Se considerarmos apenas as estatísticas de alto nível sobre o uso de criptografia, ficaríamos satisfeitos em saber que 86% dos 499 profissionais de tecnologia de negócios que responderam à pesquisa InformationWeek Analytics State of Encryption, usam algum tipo de criptografia. Mas esse fato não chega a ser relevante se comparado ao que realmente acontece. Apenas 14% dos entrevistados disseram que a criptografia predomina em suas empresas. A criptografia básica em banco de dados em uso é feita em 26%, enquanto 38% usam a tecnologia em dispositivos móveis. E 31% – mais do que qualquer outra resposta – caracterizam seu uso extensivo como o suficiente para suprir exigências legislativas.

As razões por trás dessa triste descoberta vão desde custos e desafios de integração até a forte resistência corporativa exacerbada pela falta de liderança. O foco em compliance é o que mais atormenta. Criptografar um sub-sistema de dados seria como conseguir um “passe para a liberdade” porque, assim, as empresas não precisariam notificar seus clientes sobre possíveis brechas. Mas fazer o mínimo para garantir estar em dia com as regras, conscientemente, não é segurança; é escapatória.

Abertamente, os profissionais de TI enfrentam, com frequência, uma forte resistência cada vez que tentam fazer mais. “Nossa equipe de TI vem trabalhando para aumentar o uso da criptografia, mas, sinceramente, os usuários estão mais interessados em acesso rápido e fácil aos seus dados e não levam segurança em conta”, declarou um dos entrevistados. “A idéia de ter seus dados em um disco removível ou laptop criptografado não entra na cabeça da maioria das pessoas da equipe, do diretor pra baixo.”

Falamos em forte resistência porque não se trata de um novo fenômeno. Em 2007, uma pesquisa realizada pelo Instituto Ponemon revelou que apenas 16% das empresas nos Estados Unidos tinham um esquema de criptografia que cobrisse toda a companhia. Na época, a Network Computing examinou o estado da criptografia corporativa e concluiu que a adoção era um processo gradual que, geralmente, se iniciava nas fitas de backup e se espalhava a partir dali. Uma abordagem fragmentada era a norma da época e ainda se move aos trancos, apesar do momento criado por estruturas de compliance, como PCI, que requer a criptografia de dados de cartões de crédito em trânsito.

Fator Interoperabilidade

Parte do problema é que os esforços padrão não renderam em nada onde mais precisávamos: em interoperabilidade, que tornaria o gerenciamento de criptografia mais fácil e barato. E não esperamos que essa situação melhore tão cedo.

Quando perguntamos aos profissionais de TI o que aumentaria o uso de criptografia em suas empresas, as respostas foram desde suporte a sistema operacional desenvolvido internamente, até a criação de pastas e arquivos criptografados (algo em que a Microsoft está trabalhando) para aperfeiçoar o uso e a performance, baixar o custo e melhorar o gerenciamento central. Algumas poucas almas desesperadas desejavam a regulamentação, ou até mesmo uma brecha que exigisse aviso aos clientes, para conseguir alguma vantagem que rendesse fundos e gerenciamento de adesão.

“Eu gosto de pensar que basta força de vontade para fazer a coisa certa”, disse um diretor de rede em uma instituição educacional. “Na verdade, provavelmente, seria necessário alguma brecha ou exposição para destacar o problema.” Nossa resposta favorita: “gostaria de saber para poder explorar.”

Essa atitude “protetora” que prevalece demonstra porque compliance legislativa é o carro chefe da criptografia, hoje e ainda por muitos anos. Atualmente, 44 estados (nos EUA) têm leis contra brechas de dados e muitos dizem que, basicamente, mesmo que jogue uma fita de backup carregada de informações pessoais em uma lata de lixo, em Black Hat, desde que sejam dados criptografados, você não precisa avisar seus clientes.

As empresas que implementam criptografia podem evitar – literalmente – gastar milhões de dólares em notificações caso haja brecha, sem calcular os gastos causados pela perda da confiança dos clientes.

Não estamos dizendo que se defender não é um investimento válido. Definitivamente, isso permitiu que alguns líderes de TI conseguissem colocar em andamento projetos de redução de risco muito bons. Mas, em nossa experiência, responsabilizar-se por uma iniciativa tão abrangente e complexa como a criptografia somente para respeitar as regras de compliance pode resultar em um projeto mal planejado e com grandes chances de custar mais do que mapear um programa completo de redução de risco.

Por um lado mais positivo, 28% dos entrevistados disseram que querem expandir o uso de criptografia além do mínimo. Isso é bom porque a criptografia em si não é a solução absoluta; em algum ponto, alguma parte de um aplicativo crítico irá precisar acessar dados não-criptografados e se um aplicativo pode acessar um dado não-criptografado, um meliante também poderá.

A Gold Lock, especializada no segmento de criptografia celular, acaba de anunciar o campeonato mundial de decriptação telefônica que premiará com US$ 100 mil em ouro e um cargo na companhia.

O desafio propõe ao público fazer a transcrição de uma conversa por telefone, com duração de 10 minutos, gravada pela empresa.

Para participar, os interessados devem baixar a conversa decriptada acessando o link relacionado abaixo e enviar para a empresa a transcrição até 01 de fevereiro de 2010.

O participante está livre para usar qualquer ferramenta ou tecnologia que tenha a disposição.

“Por cerca de oito anos, nós temos falado aos nossos clientes que os nossos algoritmos de criptografia são inquebráveis, essa é a chance de provar que estamos errados. Porém, estou 100% confiante de que o premio não será dado, não importando os seus níveis de habilidade”, afirma Noam Copel, CIO da empresa.

fonte: Criptografia: U$ 100 mil e cargo na GoldLock.

Criptografia

Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para:

• autenticar a identidade de usuários;
• autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais e bancárias;
• proteger a integridade de transferências eletrônicas de fundos.

Uma mensagem codificada por um método de criptografia deve ser privada, ou seja, somente aquele que enviou e aquele que recebeu devem ter acesso ao conteúdo da mensagem. Além disso, uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o remetente é mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada.

Os métodos de criptografia atuais são seguros e eficientes e baseiam-se no uso de uma ou mais chaves. A chave é uma seqüência de caracteres, que pode conter letras, dígitos e símbolos (como uma senha), e que é convertida em um número, utilizado pelos métodos de criptografia para codificar e decodificar mensagens.

Atualmente, os métodos criptográficos podem ser subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada: a criptografia de chave única e a criptografia de chave pública e privada.

8.1. O que é criptografia de chave única?

A criptografia de chave única utiliza a mesma chave tanto para codificar quanto para decodificar mensagens. Apesar deste método ser bastante eficiente em relação ao tempo de processamento, ou seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a necessidade de utilização de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades que desejem trocar informações criptografadas.

8.2. O que é criptografia de chaves pública e privada?

A criptografia de chaves pública e privada utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens. Neste método cada pessoa ou entidade mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente.

Seja o exemplo, onde José e Maria querem se comunicar de maneira sigilosa. Então, eles terão que realizar os seguintes procedimentos:

1. José codifica uma mensagem utilizando a chave pública de Maria, que está disponível para o uso de qualquer pessoa;
2. Depois de criptografada, José envia a mensagem para Maria, através da Internet;
3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que é apenas de seu conhecimento;
4. Se Maria quiser responder a mensagem, deverá realizar o mesmo procedimento, mas utilizando a chave pública de José.

Apesar deste método ter o desempenho bem inferior em relação ao tempo de processamento, quando comparado ao método de criptografia de chave única, apresenta como principal vantagem a livre distribuição de chaves públicas, não necessitando de um meio seguro para que chaves sejam combinadas antecipadamente. Além disso, pode ser utilizado na geração de assinaturas digitais.

8.3. O que é assinatura digital?

A assinatura digital consiste na criação de um código, através da utilização de uma chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada.

Desta forma, é utilizado o método de criptografia de chaves pública e privada, mas em um processo inverso ao apresentado no exemplo da seção 8.2.

Se José quiser enviar uma mensagem assinada para Maria, ele codificará a mensagem com sua chave privada. Neste processo será gerada uma assinatura digital, que será adicionada à mensagem enviada para Maria. Ao receber a mensagem, Maria utilizará a chave pública de José para decodificar a mensagem. Neste processo será gerada uma segunda assinatura digital, que será comparada à primeira. Se as assinaturas forem idênticas, Maria terá certeza que o remetente da mensagem foi o José e que a mensagem não foi modificada.

É importante ressaltar que a segurança do método baseia-se no fato de que a chave privada é conhecida apenas pelo seu dono. Também é importante ressaltar que o fato de assinar uma mensagem não significa gerar uma mensagem sigilosa. Para o exemplo anterior, se José quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu conteúdo, seria preciso codificá-la com a chave pública de Maria, depois de assiná-la.

8.4. Que exemplos podem ser citados sobre o uso de criptografia de chave única e de chaves pública e privada?

Exemplos que combinam a utilização dos métodos de criptografia de chave única e de chaves pública e privada são as conexões seguras, estabelecidas entre o browser de um usuário e um site, em transações comerciais ou bancárias via Web.

Estas conexões seguras via Web utilizam o método de criptografia de chave única, implementado pelo protocolo SSL (Secure Socket Layer). O browser do usuário precisa informar ao site qual será a chave única utilizada na conexão segura, antes de iniciar a transmissão de dados sigilosos.

Para isto, o browser obtém a chave pública do certificado⁴ da instituição que mantém o site. Então, ele utiliza esta chave pública para codificar e enviar uma mensagem para o site, contendo a chave única a ser utilizada na conexão segura. O site utiliza sua chave privada para decodificar a mensagem e identificar a chave única que será utilizada.

A partir deste ponto, o browser do usuário e o site podem transmitir informações, de forma sigilosa e segura, através da utilização do método de criptografia de chave única. A chave única pode ser trocada em intervalos de tempo determinados, através da repetição dos procedimentos descritos anteriormente, aumentando assim o nível de segurança de todo o processo.

8.5. Que tamanho de chave deve ser utilizado?

Os métodos de criptografia atualmente utilizados, e que apresentam bons níveis de segurança, são publicamente conhecidos e são seguros pela robustez de seus algoritmos e pelo tamanho das chaves que utilizam.

Para que um atacante descubra uma chave ele precisa utilizar algum método de força bruta, ou seja, testar combinações de chaves até que a correta seja descoberta. Portanto, quanto maior for a chave, maior será o número de combinações a testar, inviabilizando assim a descoberta de uma chave em tempo hábil. Além disso, chaves podem ser trocadas regularmente, tornando os métodos de criptografia ainda mais seguros.

Atualmente, para se obter um bom nível de segurança na utilização do método de criptografia de chave única, é aconselhável utilizar chaves de no mínimo 128 bits. E para o método de criptografia de chaves pública e privada é aconselhável utilizar chaves de 2048 bits, sendo o mínimo aceitável de 1024 bits. Dependendo dos fins para os quais os métodos criptográficos serão utilizados, deve-se considerar a utilização de chaves maiores: 256 ou 512 bits para chave única e 4096 ou 8192 bits para chaves pública e privada.

Mais informações de como usar criptografia em sua empresa, acesse

Appliance Proofpoint

Por que comprar outra solução pontual? A plataforma unificada da Proofpoint para a segurança de correio eletrônico e prevenção da perda de dados, fornece proteção integral contra os riscos de segurança presentes nas ameaças recebidas e nos conteúdos de saída. A arquitetura modular da Proofpoint permite facilmente implantar novas defesas e se adaptar as novas ameaças.

Proteção integrada Email Firewall

O Proofpoint Email Firewall™ proporciona uma primeira linha de defesa contra spam e conexões maliciosas, sem modificar o estado da transação em curso, através da prova de pontos de dados em diversos níveis de conexões, incluídos DNS, verificações de registro MX, SPF, verificação do receptor, informação da Proofpoint Dynamic Reputation e dados netMLX opcionais.

Inovadora Gestão de Conexões

A Proofpoint Dynamic Reputation™ com a tecnologia da Proofpoint netMLX™ agrega as mais poderosas funções para gestão de conexões da industria ao instalar o Proofpoint. É o único serviço de reputação de correio eletrônico que utiliza uma combinação de dados locais de comportamento previsível com a reputação observada em forma global, analisada por poderosos algoritmos de aprendizagem automática, para bloquear as conexões de entrada dos direcionamentos de IP maliciosos.

Todas as implementações de appliances e software da Proofpoint proporcionam uma análise de comportamento previsível incorporado do tráfego do IP local que responde em tempo real para eliminar os picos de tráfego de mensagens de correio eletrônico ocasionados por ataques a objetivos e para bloquear ou restringir as conexões maliciosas de botnets.

Mais informações, acesse aqui