Etiquetas

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

” 1 bilião de computadores, a fazer 1 bilião de tentativas por segundo, não são capazes de descobrir a password para 1 ficheiro, antes do fim do Universo ”

O livro que acabei de ler sobre criptografia fala sobre como a criptografia torna as nossas comunicações perfeitamente seguras e impossiveis de serem lidas ou ouvidas por alguem que não tenha a passoword. Tudo isso á distância de um programa de encriptação como o pgp.

Aprendi que encriptação moderna existem dois tipos de encriptação: a de chave publica e a de chave privada. Cada uma tem as suas vantagens e desvantages. Na de chave privada a mesma password é usada para encriptar e desencriptar a informação. É o tipo de encriptação que usamos no Winzip por exemplo. A mesma password encripta e desencripta a informação. Na de chave publica as coisas são um bocado diferentes. A informação é encriptada usando uma chave publica que toda a gente pode ter acesso, mas para desencriptar a password apenas a chave ou password secreta é capaz de o fazer. A encriptação de chave publica não tem o problema de ter de se levar a password em segurança até ao destinatário, mas tem a desvantagem de ser de 500 a 1000 vezes mais lenta a funcionar, ou seja, se tem de encriptar um ficheiro que demora apenas 3.6 segundos a ser encriptado com um software de chave privada, o mesmo ficheiro vai demorar a ser encriptado nada mais do que 1 hora inteira.

Aprendi também que a informação que é comprimida usando software antes de ser encriptada é mais segura visto que os programas de brute force vão ter muito mais dificuldade em descobrir se o texto comprimido foi de facto desbloqueado ou descoberto visto que informação comprimida é completamente ilegível antes de ser descomprimida.

Uau.

Que tenha lido, só o programa pgp comprime informação antes de encriptar.

Aprendi também sobre a importancia de ter a certeza que as chaves que estou a receber são de facto autênticas e que estão a ser enviadas por quem eu confio e que não foram snifadas por ninguem, isto graças aos certificados de segurança.

Sabiam que o governo dos EUA sob a administração do primeiro Bush queria que toda a encriptação do país fosse feita usando chips feitos por eles e que como é obviou o governo poderia usar a sua password para espiar toda a informação encriptada por esse chip? Claro que ninguem aceitou e mesmo o FBI tomou medidas legais contra tal sistema.

Antes do programa de encriptação pgp apenas os maiores traficantes de droga e armas tinha acesso a verdadeira encriptação a sério, mas agora até o cidadão comum pode proteger toda a sua encriptação de modo 1o0% seguro (desde que a password esteja 100% segura).

Uma empressa chamada AccessData tem um pacote de software que quebra todas as passwords do Microsoft Office e produtos similares em menos de 1 segundo. Não porque tenta todas as combinações, mas porque estuda o texto encriptado e descobre 1 padrão e quebra-o. Da próxima que usar a encriptação do Excel para assuntos pesados, ex trafico, pense 2 vezes.

Depois da segunda guerra mundial os EUA fizeram sujeira mais uma vez, só para variar um pouco e desanubiar… e venderam a máquina Alemã Enigma a países de terceiro mundo, aos seus governos, como uma boa máquina de encriptação, mas “esqueceram-se” de dizer que já haviam descoberto como quebrar os códigos gerados por elas, e essa informção foi classificada até alguns anos depois.

O autor do software pgp, esteve 3 anos sobre investigação criminal pelo governo dos EUA por lançar o seu software fora dos EUA. Os EUA raramente ficam fulos e vermelhos com outro software de encriptação. Isto mostra como o pgp é realmente bom.

“If all the personal computers in the world—260 million—were put to work on a
single PGP-encrypted message, it would still take an estimated 12 million times the
age of the universe, on average, to break a single message.”

Devemos ter muito cuidado com o ficheiro original depois de encriptado, apagar usando o DEL não apaga fisicamente o ficheiro do disco, apenas o marca como eliminado mas este continua no disco e pode ser recuperado até com software graruito. Temos de usar software que elimine fisicamente o ficheiro do computador para termos a certeza que o original foi-se de vez. Outra coisa com que temos de ter cuidado é com a memória virtual do computador, como a maioria dos programas que utilizamos são maiores do que a memória RAM fisica do computador, o windows cria um ficheiro no computador de paginação que é usado como RAM virtual, e mesmo depois de apagado o ficheiro original, este pode continuar na RAM fisica ou virtual, e claro, pode ser capturado por quem tiver acesso ao computador. Como se resolve esse problema? Não usando RAM virtual e desligando o computador e esperando algum tempo sob vigia para ver se ninguem toca nele ou ainda usar software de limpeza de RAM.

O software pgp não deixa dados á solta mais do que o tempo necessário, mas claro, existem sempre a hipótese de o sistema operativo, windows e não só, escrever o ficheiro original noutro local qualquer, como ficheiros temporários, sim, esqueci-me de acrescentar esses á lista de lá de cima.

Devemos também ter cuidado com a segurança fisica dos dados. De nada serve ter a melhor encriptação se o intruso pode aceder fisicamente ao nosso computador, ou papeis, através de assaltos, sabotagem, pagando a um nosso empregado para roubar informação e sim estas ameaças são bem reais neste mundo de informação, visto que ficam muito mais baratas do qe um ataque de brute force ao pgp.

Existe ainda outro ataque muito sofisticado chamado “Tempest”. Funciona da seguinte maneira, o intruso captura informação electro magnética do computador, como todas as teclas que pressionamos e ainda toda a informação que aparece no ecra. Apesar de parecer ficção cientifica, estes ataque são bem reais e os governos grandes tipo governo dos EUA estão bem protegidos contra isso com escudos magnéticos.

Existe ainda outra ameaça, um intruso pode vigiar os dados encriptados da seguinte maneira: pode snifar quantos MB de dados enviamos, de onde, para onde, quando e como. Apesar de não conseguir ver o conteúdo pode facilmente adquirir um alvo a atingir como por exemplo, ver como funciona o seu sistema de comunicações, com quem comunica, a que horas, a quantidade de informação, de onde, até onde. Neste tipo de situação temos de usar sistemas de comunicação que contornem esta situação. Nota: O livro não foi bem específico nesta protecção.

O algoritmo AES é aprovado como sendo seguro para os próximos 30 anos.

Fazer download! 

Advertisements