< voltar

Notícias do Mercado

Brasil abandona padrão de criptografia maculado pela NSA


27/05/2014 - Fonte: Convergência Digital

Sem nenhum alarde, o governo brasileiro descartou, há cerca de três meses, um dos padrões criptográficos dos certificados digitais do sistema de chaves públicas ICP Brasil. Trata-se da versão 3, ou simplesmente V3, da cadeia de certificação – o que seria o namoro do sistema nacional de certificação digital com a criptografia por curvas elípticas.

Formalmente, alegou-se que não houve adesão das autoridades certificadoras. E, efetivamente, não há certificados emitidos com a V3. A decisão de revogar essa linha de certificados, no entanto, é a primeira resposta concreta às denúncias da espionagem indiscriminada dos Estados Unidos – e, especialmente, do envolvimento da NSA na padronização de sistemas criptográficos.

Entre as denúncias de Edward Snowden, uma importante tratou da participação da agência de espionagem nos processos de padronização do Instituto Nacional de Padrões e Tecnologia (NIST, na sigla em inglês). Não pelas proposições em si, visto que a NSA deve, por lei, ser ouvida nesse processo. Mas porque teria deliberadamente patrocinado falhas nos padrões criptográficos.

A V3 do sistema de certificação do ICP Brasil era baseada no sistema de criptografia identificado no ramo como “suíte B da NSA”. E foi essa suspeita de enfraquecimento que levou o Instituto Nacional de Tecnologia da Informação (ITI), órgão vinculado à Presidência da República que regula certificação digital no país, a revogar essa cadeia de certificação em fins de fevereiro.

“A V3 morreu ‘virgem’”, garante o diretor de auditoria, fiscalização e normalização do ITI, Pedro Paulo Machado, ao sustentar que não há certificados emitidos nessa ‘linha’. O Instituto, no entanto, não pretende abandonar o uso das curvas elípticas na criptografia dos certificados digitais brasileiros. “Devemos normatizar a V4 em uma ou duas semanas, baseada na Brainpool”, explica.

Na prática, portanto, o Brasil vai trocar o padrão “americano” de criptografia por curvas elípticas pelo “europeu”, hoje patrocinado especialmente pelo análogo alemão do NIST, o BSI. A expectativa é que a primeira aplicação prática do sistema de curvas elípticas venha nos certificados digitais a serem embutidos nos novos passaportes brasileiros, esperados para outubro deste ano.