Criptografia da RSA é vulnerável a espionagem da NSA

Pra quem usa esses tokens de banco ...

---

RSA e NSA: As siglas são similares, mas têm neste momento interesses antagónicos. A RSA, que gere um dos mais famosos sistemas de criptografia, confirma que um dos seus serviços pode ser descodificado pelos especialistas da Agência Nacional de Segurança dos EUA (NSA).

A RSA, empresa criada por três pesquisadores do MIT que desenvolveram o sistema de criptografia homónimo, está aconselhando seus clientes a abandonarem um dos seus serviços de encriptação de comunicações. O motivo: a NSA pode descodificar os algoritmos que suportam o sistema de criptografia, do serviço Dual Elliptic Curve Deterministic Random Bit Generation, através de um backdoor.

Os algoritmos de criptografia RSA foram criados por Ron Rivest, Adi Shamir, e Leonard Adleman. Em 1982, criaram a empresa RSA Security que viria a ser adquirida em 2006 pela EMC. A criptografia RSA é a mais bem sucedida forma de geração de chaves assimétricas em uso nas comunicações eletrónicas.

---

NSA Paid a Huge Security Firm $10 Million to Keep Encryption Weak

http://gizmodo.com/nsa-paid-security-firm-10-million-bribe-to-keep-encryp-1487442397

Eu uso na minha empresa para entrar na conta do banco, será que preciso me preocupar?

Alguém podia explicar em linguagem comum? A Nsa pode entrar na minha conta bancária? Será que eles podem me ajudar a sair do cheque especial?

carimbass escreveu:A Nsa pode entrar na minha conta bancária?

Sim.

carimbass escreveu: Será que eles podem me ajudar a sair do cheque especial?

Não, o seu cheque especial é problema seu e não deles.

Eliseumohr escreveu:Eu uso  na minha empresa para entrar  na conta do banco, será  que preciso me preocupar?

Neste momento, teoricamente, não ... mas, usar esse dispositivo (que o banco obriga) não significa que você está seguro/protegido.

Significa também, que a NSA não vai precisar de uma ordem judicial de quebra de sigilo bancário, pra bisbilhotar a sua conta, caso isso seja necessário.

Boss2K escreveu:

carimbass escreveu:A Nsa pode entrar na minha conta bancária?

Sim.

carimbass escreveu: Será que eles podem me ajudar a sair do cheque especial?

Não, o seu cheque especial é problema seu e não deles.

Droga...

Agora na boa, eu não acredito que algum dia tivemos privacidade, mesmo antes da internet... O lance é, eu tenho uma vida desinteressante o suficiente para me preocupar se alguém vai ver minha conta bancária, e constatar que tenho dificuldades de manter minhas contas em dia, que vez ou outra faço um capricho para algumas pessoas... Eu me preocupo muito mais com aqueles vírus meia tigela que deixam meu pc mais lento e fica mudando minha página inicial do navegador do que se a NSA está monitorando meus passos...

carimbass escreveu:(...) Eu me preocupo muito mais com aqueles vírus meia tigela que deixam meu pc mais lento e fica mudando minha página inicial do navegador do que se a NSA está monitorando meus passos...

É isso aí ... a grande/avassaladora maioria das pessoas pensa assim mesmo. Todo mundo acha que a NSA não vai monitorar um pessoa simples, de hábitos simples, etc e etc e tal ... E é isso mesmo, não vai e nem está fazendo isso. Mas, no dia que isso for necessário, e não sou eu que estou dizendo que é ... nada vai ser impecilho, nem seu, nem de seus parentes, seus amigos, etc ... nada. Eles vão achar qualquer informação sobre você ... ou melhor, eles já tem acesso a isso, há muito tempo.

Quanto ao vírus, aquele com que você se preocupa, pode ter sido desenvolvido pela NSA. ou por hackers contratados. São trojans ... leia sobre trojans ... "denorex" ...

^Blz, vou dar uma olhada sim... Sei que pode ser uma visão egoísta e simplista mas acho que o que tiver de ser será e ficar neurado com isso não ajuda em nada...

Eles estão aconselhando seus clientes a abandonarem um dos seus serviços de encriptação de comunicações só porque a NSA conseguiu quebrar a segurança de seus dispositivos? Então ninguém deveria ter mais celulares, computadores, internet, contas em banco, casa própria , carro, bilhete único (cartão de serviço de transporte público de sp pois tem chip), andar na rua (pois o satélite deles está vendo), etc.

Carimbass: Acho que ninguém algum dia teve privacidade em nada antes em lugar algum, seja internet ou o que seja. É melhor levarmos nossas vidas normalmente como sempre levamos. Mesmo com todas essas denúncias nada mudará mesmo. Quem espiona continuará espionando, vazando documentos ou não.

Vamos lá ...

A NSA não "quebrou" a criptografia.

A NSA pagou para a RSA colocar uma "porta" no processo de descriptografia, para ter acesso ao conteúdo sem a necessidade de conhecer a chave de acesso. Ou seja, a NSA não "quebrou" a chave, ela "burlou" o processo.

Criptografia pode ser "quebrada"? Pode, mas os algorítmos e o tamanho das chaves atuais, praticamente, tornam esse processo impossível. A menos que se queira passar algumas centenas de anos, com o auxílio de algumas toneladas de computadores auxiliando nesse processo.

Criptografia é e ainda será o processo mais confiável para proteger a comunicação por vias inseguras. Tem princípio matemático e utiliza fórmulas e cálculos complexos para estabelecer essa segurança.

No mundo, existem vários algorítimos criptográficos desenvolvidos. Não existe somente o da RSA. A RSA, digamos que é uma das mais utilizadas pelos EUA. Muitas empresas, fábricas e softwares usam os algorítmos de criptografia da RSA. O que se sabe até agora (publicamente), é que a NSA consegue ter acesso a qualquer coisa criptografada pela RSA. Existem muitas outras, que usam algorítimos diferentes. Você mesmo pode criar seu próprio algorítimo, porém a sua contraparte só poderá saber do conteúdo criptografado, se usar o mesmo algorítimo.

Quando se trata de tecnologia sensível, o governo americano obriga os fabricantes a estabelecer certas condições para utilização/compra desse produto.  Por exemplo, a Cisco, fabricante de equipamentos de rede (roteadores, switches, etc), vende para alguma empresa, no Brasil, um roteador com capacidade de criptografar os links de dados. Ele é dotado de criptografia forte (chave de 128 bits) e patenteado. Antes do equipamento sair do EUA, o responsável pela empresa, é obrigado a assinar um documento do governo americano, de que não usará o roteador para outros propósitos.

RSA não faz criptografia, faz chave para autenticação de acesso. A grande maioria das vezes é usado SSL ou IPSEC para o transito de dados criptografados, dentro desses padrões são utilizados diferentes combinações que dificultam a quebra da criptografia. Agora, do que adianta criptografia no transito dos dados se os Servidores que armazenam as informações são acessados pelos Administradores de Sistema e arbitrariamente pelos filhos do Tio Sam? Esqueça a sua privacidade digital, estamos em 2014 e isso não existe.

jameh escreveu:RSA não faz criptografia, faz chave para autenticação de acesso. (...)

O termo RSA, como citado no tópico, se refere à empresa RSA Data Security, Inc., fundada por Ronald Rivest, Adi Shamir e Leonard Adleman. Esta empresa dedica-se, sobretudo, à criptografia. Dos seus vários produtos e invenções destacam-se as bibliotecas criptográficas B-SAFE, os mecanismos de autenticação SecurID, e o algoritmo criptográfico RSA.

O termo RSA, também é um algoritmo de criptografia de dados, que deve o seu nome aos três professores do Instituto MIT citados acima.

A criação da chave é apenas um dos processos do sistema de criptografia de chave pública ou criptografia assimétrica, onde uma de suas aplicações é a autenticidade.

O algorítimo criptográfico RSA é utilizado, *apenas* no processo chamado key exchange (troca de chaves). Ou seja, se você tem acesso à chave utilizada para criptografar a mensagem, então, você pode descriptografar a mensagem.

Boss2K escreveu:

jameh escreveu:RSA não faz criptografia, faz chave para autenticação de acesso. (...)

O termo RSA, como citado no tópico, se refere à empresa RSA Data Security, Inc., fundada por Ronald Rivest, Adi Shamir e Leonard Adleman. Esta empresa dedica-se, sobretudo, à criptografia. Dos seus vários produtos e invenções destacam-se as bibliotecas criptográficas B-SAFE, os mecanismos de autenticação SecurID, e o algoritmo criptográfico RSA.

O termo RSA, também é um algoritmo de criptografia de dados, que deve o seu nome aos três professores do Instituto MIT citados acima.

A criação da chave é apenas um dos processos do sistema de criptografia de chave pública ou criptografia assimétrica, onde uma de suas aplicações é a autenticidade.

O algorítimo criptográfico RSA é utilizado, *apenas* no processo chamado key exchange (troca de chaves). Ou seja, se você tem acesso à chave utilizada para criptografar a mensagem, então, você pode descriptografar a mensagem.

Tá bom Boss, eu não vou discutir isso.

Essa pecinha com ecrã digital sei que o Banco Itaú usa, é o Itoken. Só não sei se é o mesmo sistema da RSA.

Pesquisando para um trabalho de Segurança da Informação, eu tinha achado uma notícia de um vírus que invadiu um cockpit de um caça da Lockheed Martin, através de uma falha de um token de segurança da RSA. Não sei se o cracker que é f**a ou esse tolken da RSA que é bastante vulnerável

Boss2K escreveu:O termo RSA, como citado no tópico, se refere à empresa RSA Data Security, Inc., fundada por Ronald Rivest, Adi Shamir e Leonard Adleman.

Por que o "R" é de Ronald e não de Rivest?   

Achei algumas notícias:

http://www.dailytech.com/Reports+Hackers+Use+Stolen+RSA+Information+to+Hack+Lockheed+Martin/article21757.htm

http://gcn.com/articles/2011/06/07/rsa-confirms-tokens-used-to-hack-lockheed.aspx

Sapão¹³ escreveu:Pesquisando para um trabalho de Segurança da Informação, eu tinha achado uma notícia de um vírus que invadiu um cockpit de um caça da Lockheed Martin, através de uma falha de um token de segurança da RSA. Não sei se o cracker que é f**a ou esse tolken da RSA que é bastante vulnerável

Bom, a história não é bem essa não.

Não foi hacker/cracker ou vírus. Um grupo de pesquisadores publicou um estudo (exercício acadêmico) sobre essa vulnerabilidade. O documento da pesquisa está aqui.

O dispositivo afetado não é o mesmo da foto deste tópico, que é *apenas*, um gerador de senhas únicas. O token com problema é este (e só o modelo 800):



Que, além das mesmas funções do outro acima, pode guardar certificados digitais e outras funções.

O primeiro dispositivo mostrado não tem como ser violado e/ou burlado (não tem interface e nem memória). O método de autenticação por senha única consiste de duas partes: a primeira é a parte fixa, a senha que você criou e está na sua memória. A segunda é a parte variável, composta por números aleatórios mostrados no visor do dispositivo e que mudam a cada minuto. Essas partes são checadas com a informação no servidor de autenticação.

Sam Curry, diretor de tecnologia da RSA, publicou no blog da empresa, esclarecimentos sobre o assunto. O texto, intitulado "Não acredite em tudo que lê", também critica a imprensa por fornecer informações incorretas.

https://blogs.rsa.com/dont-believe-everything-you-read-your-rsa-securid-token-is-not-cracked/

allexcosta escreveu:Por que o "R" é de Ronald e não de Rivest?  

Pode ser, os algorítimos inventados por ele, de nomes RC1, RC2, etc, também são chamados de Rivest Cipher ou Ron's Code ...

Boss2K escreveu:
Sam Curry, diretor de tecnologia da RSA, publicou no blog da empresa, esclarecimentos sobre o assunto. O texto, intitulado "Não acredite em tudo que lê", também critica a imprensa por fornecer informações incorretas.

Pode ser isso mesmo, achei poucas fontes a respeito