Investigadores desafiam empresas a explicarem opções de cifra

Um conjunto de especialistas em segurança assinou uma carta aberta, onde define dez princípios de transparência sobre encriptação, para as empresas recuperarem a confiança dos utilizadores.

cifra_morguefileQuatorze especialistas em segurança e criptografia assinaram uma carta aberta dirigida a fabricantes de tecnologia, desafiando-os a tomar medidas para recuperar a confiança dos utilizadores. Após as revelações publicadas durante o ano passado sobre a colaboração daquelas organizações com agências governamentais, em operações de  vigilância em massa, a imagem de vários fabricantes ficou prejudicada.

Os investigadores apontam como alarmantes as alegações como aquelas de que a RSA, a divisão de segurança da EMC, estabeleceu um acord com a NSA para manter um algoritmo de cifra vulnerável ‒ mesmo tendo a RSA negado essa parceria.

A carta aberta foi assinada por conhecidos cientistas da computação , criptógrafos, programadores e investigadores de segurança: estão Matthew Green (Universidade Johns Hopkins), Tanja Lange (Universidade de Tecnologia de Eindhoven), Bruce Schneier , Roger Dingledine e Nick Mathewson (Projecto Tor), Brian Warner e Zooko Wilcox – O’Hearn (Projecto Tahoe ‒ LAFS) ; Christopher Soghoian (American Civil Liberties Union) e Brendan Eich  (Mozilla Corporation).

A carta foi uma iniciativa do grupo de defesa da Electronic Frontier Foundation e apresenta 10 princípios, técnicos e legais, que as empresas de tecnologia devem respeitar. O primeiro princípio tem a ver com a integridade do código: não há um forma fácil de verificar se um algoritmo criptográfico foi implantado em software de código fechado, portanto os fabricantes devem fornecer o acesso a código fonte, sempre que possível.

“Tanto aberto e software de código fechado devem ser distribuídos com assinaturas verificáveis ​​de uma entidade confiável e um caminho para os usuários para verificar se a sua cópia do software é funcionalmente idêntico a todos os outros de cópia ( uma propriedade conhecida como ” transparência binário ‘) “, eles disse.

O segundo princípio exige às empresas que expliquem as suas escolhas de criptografia e porque certos algoritmos e parâmetros foram utilizados nos seus produtos. Outras exigências e princípios para os fabricantes:

‒ os dados em trânsito devem estar protegidos em todos os momentos com criptografia forte para evitar a vigilância;

‒ os dados dos utlizadores desnecessários para as operações de negócios, devem ser descartados;

‒  manter um diálogo aberto e produtivo com investigadores de segurança e privacidade;

‒ fornecer um método claro para os investigadores revelarem vulnerabilidades;

‒ corrigir prontamente as vulnerabilidades reveladas;

‒ publicar regularmente “relatórios de transparência ” sobre os pedidos de dados de utilizador, feitos pelo governo;

‒ oporem-se publicamente à vigilância em massa e aos esforços para abrir acessos dissimulados em software, ou enfraquecer ferramentas de segurança;

‒ lutar nos tribunais contra tentativas por parte dos governos ou terceiras partes de comprometer a segurança do utilizador.




Deixe um comentário

O seu email não será publicado