Está aqui

NSA pagou milhões para ter porta aberta em software de segurança

Agência norte-americana pagou à mítica empresa de segurança RSA para que lhe garantisse uma “porta traseira” no algoritmo do software BSAFE, usado por milhares de empresas para proteger os seus computadores e datacenters.
Empresa deitou fora o seu prestígio por uma negociata com o governo dos EUA.

Em setembro deste ano, algo de muito bizarro aconteceu: a RSA, uma das mais importantes empresas de segurança informática dos Estados Unidos, aconselhou os clientes a não usarem o principal algoritmo gerador de chaves de criptografia para o seu software de segurança BSAFE. Traduzindo em linguagem mais simples, a empresa reconhecia que o seu software de segurança não era seguro. É que um artigo do New York Times baseado nas revelações de Edward Snowden informava que a empresa tinha introduzido nesse software uma “porta traseira” para permitir a livre circulação da NSA, que tinha a “chave” da dita “porta”.

Agora, uma investigação exclusiva da agência Reuters revela que a NSA pagou à RSA dez milhões para garantir que a dita porta fosse introduzida no algoritmo Dual Elliptic Curve. Assim, empresas que se consideravam protegidas, bem como os seus clientes, da bisbilhotice da espionagem governamental, eram na verdade um local de livre acesso aos espiões governamentais.

Nem a NSA nem a RSA quiseram comentar a nova revelação da Reuters.

Empresa mítica

A confiança na RSA fica agora seriamente abalada, depois de revelada a negociata com o governo, que nem sequer foi tão bem paga – dez milhões de dólares é pouco diante do prestígio da RSA. Que confiança se pode ter agora na empresa?

A RSA deitou fora um histórico de luta a favor da defesa da privacidade dos cidadãos contra o governo americano, que passou por várias batalhas decisivas.

Fundada nos anos 70 por professores do MIT, a RSA desenvolveu uma técnica engenhosa para proteger os dados das pessoas, sejam eles documentos, emails ou ficheiros: a técnica de duas chaves de criptografia, uma pública, outra privada. Assim, se eu quero mandar para outra pessoa um documento cifrado, uso para cifrá-lo uma chave dessa pessoa que é pública e disponível na net. A partir desse momento, só a própria pessoa, com uma outra chave, a sua chave privada, pode decifrar o documento.

Esta técnica revolucionária preocupou o governo americano, que sabendo que seria difícil quebrar a criptografia feita desta forma, decidiu introduzir em todos os equipamentos um chip, o Clipper Chip, que permitiriam o acesso aos espiões do governo a todos os equipamentos, fossem computadores ou telefones. Foram os tempos da administração Clinton. A RSA esteve na vanguarda do combate à imposição do Clipper Chip, e o governo americano acabou por desistir dele.

Depois disso, o governo decidiu impedir que a tecnologia da criptografia fosse exportada, e a RSA mais uma vez se opôs e abriu uma sucursal na Austrália que podia vender para qualquer país os seus produtos de segurança.

Foi nessa mesma época que o fundador de um software de criptografia, o PGP, que usa o mesmo sistema de chave pública-chave privada, Phill Zimmerman, descobriu que a lei americana impedia a exportação de software de criptografia, mas não os seus códigos fonte em papel. Imprimiu tudo – milhares de páginas! – e levou para fora do país. O código seria depois novamente digitalizado e o PGP tornou-se uma ferramenta chave na defesa das liberdades civis.

Entretanto a RSA mudou, ao ponto de se vender desta forma ao governo americano. Se não fosse Snowden, milhares de computadores cujos administradores consideravam seguros continuariam a ser uma verdadeiro pátio de recreio para os espiões das agências americanas.

Artigos relacionados: 

Termos relacionados Sociedade
(...)