NSA pode ter criado código defeituoso

Rui Damião,

A RSA, que faz parte da EMC Corp., enviou um e-mail aos clientes a avisar que um toolkit para developers tinha um default random-number generator a usar uma fórmula “fraca” e que os clientes deviam mudar para um com várias outras fórmulas no produto.

Lock and network cable with computer keyboard backgroundFoi noticiado na semana passada que a cache de documentos de Edward Snowden, no seu tempo na NSA, mostrava que a agência tinha usado a sua participação pública no processo para criar standards de criptografia voluntária, geridos pelo National Institute of Standards and Technology, para uma fórmula que sabiam que podiam quebrar.

A NIST, que aceitou a proposta da NSA em 2006 como um dos quatros sistemas aceitáveis para uso do governo, anunciou esta semana que ia reconsiderar a inclusão da agência no decorrer das questões sobre a segurança.

O aviso da RSA sublinha que o processo lento dos standards e as práticas da indústrias podem deixar vários utilizadores expostos a “hacking” por parte da NSA ou outros que podem explorar a falha nos próximos anos.

Os developers que usaram o “BSAFE” da RSA, escreveram códigos para Web browsers, outros softwares e componentes de hardware para aumentar a segurança.

O código promovido pela NSA era estranho o suficiente para que os especialistas especulassem durante alguns anos que era defeituoso de fabrico. Uma pessoa familiar com o processo, revelou que a NIST aceitou, em parte, porque várias agências governamentais já a usavam.