Há muito tempo o problema da confiabilidade da criptografia tinha sido resolvido. Como as aplicações tinham uma arquitetura razoavelmente padronizada (navegador acessa servidor web) bastava adquirir um certificado e usar uma conexão TLS/SSL para garantir a segurança da comunicação.
Por Sérgio Leal – Artigo nº 50!
A ideia de criar um túnel entre o usuário e o serviço através de um ambiente hostil tornou-se uma commodity capaz de atender a quase todas as aplicações.
A partir daí as aplicações mudaram, passaram a operar orientadas a eventos, com micro serviços, multi região e o modelo anterior deixou de ser suficiente. Isso nos jogou de volta ao modelo dos anos 80 e 90 onde cada empresa criava seus algoritmos e protocolos criptográficos. Muitos achavam que a ideia de ‘segurança por obscuridade’ seria um diferencial.
Nesse modelo, acreditava-se que ao esconder o funcionamento do algoritmos criávamos uma barreira adicional de segurança. Hoje sabemos que esse tipo de contra medida não é efetiva e na verdade acaba contribuindo para fragilizar os sistemas, dado seu estreito escopo de testes.
Baseado na frase clássica de Bruce Schneier “Qualquer um pode projetar uma cifra que ele mesmo não pode quebrar.”, devemos compreender que os melhores recursos criptográficos são sempre aqueles expostos por mais tempo a mais pessoas e incansavelmente testados.
Para atender às necessidades das aplicações com arquiteturas mais avançadas em lugar de soluções de mercado passamos a nos deparar com modelos criptográficos caseiros. Por exemplo, uma aplicação de Chat poderia usar o Signal Protocol em lugar de criar seu próprio protocolo.
Podemos imaginar que essas decisões de fazer criptografia caseira não passarão impunes pelos próximos meses, pois abrimos uma porta de insegurança nas aplicações e colocamos pessoas, e empresas em risco. Ainda mais quando olhamos cenário atual com a solidificação de leis que responsabilizam as pessoas e organizações por vazamento de dados. É hora de tomar cuidado dobrado!
Não faça da criptografia uma arma, a vítima pode ser você”
*Sérgio Leal
Ativista de longa data no meio da criptografia e certificação digital.
Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil
Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
Bacharel em Ciências da Computação pela UERJ desde 1997.
Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)
Sérgio Leal é colunista e membro do conselho editorial do CRYPTO ID.
Fonte: CryptoID