Automatização do ciclo de vida integrado: HP ProLiant Gen8
O Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA tem sido instado a contratar mais especialistas de criptografia para que ele possa dizer com confiança a NSA para tomar uma caminhada.
Um relatório (PDF) do Comitê de NIST Visiting em Tecnologia Avançada (VCAT) - que analisa e informa o instituto - NIST repreende por ser muito dependente da perícia criptografia da NSA. VCAT citou a adoção e apoiando o uso de o desonesto dupla CE DRBG algoritmo , um gerador de números aleatórios NSA-defendeu que mais tarde foi encontrado para ser falho [ PDF ].
Números aleatórios são vitais em criptografia, como impedir um intruso tentando descriptografar dados cifrada interceptadas. NIST é parte do Departamento de Comércio dos Estados Unidos.
O relatório foi lançado na sequência de alegações de denunciante Edward Snowden que a NSA deliberadamente enfraquecidos dupla CE DRBG e outros algoritmos, para fins de vigilância. Apesar de ter sido avisado sobre as inseguranças de anos atrás, o relatório constatou que NIST dependia fortemente de entrada do NSA em manter o padrão.
Os membros do Comitê acreditam que para proteger-se de tais escândalos no futuro, NIST terão de se tornar mais transparente e melhor se envolver com a comunidade de segurança como um todo.
De acordo com o relatório VCAT, a falta de pessoal qualificado foi um déficit fundamental para o NIST. Sem especialistas suficientes na mão, o instituto não foi capaz de identificar e suprir as deficiências na dupla CE DRBG eo SP 800-90 padrão.
Para remediar o problema, o comitê recomenda que NIST contratar pessoal adicional versado em criptografia, bem como chegar a instituições acadêmicas e empresas de segurança na construção e análise de padrões de criptografia.
NIST também terá de cortar os laços com a NSA.
"NIST pode procurar o conselho da NSA em assuntos de criptografia, mas deve estar em uma posição para avaliá-la e rejeitá-lo quando tal se justifique", sugere o relatório. "Isso pode ser feito por si ou NIST, envolvendo a comunidade de criptografia durante o desenvolvimento e revisão de qualquer padrão particular."
O relatório chega a sugerir outras medidas de transparência, incluindo a utilização de concursos públicos para construir novos padrões e manter uma melhor documentação sobre a forma como as normas são desenvolvidas.
NIST disse que iria continuar a estudar as conclusões do conselho consultivo antes de lançar um novo processo de desenvolvimento de normas e diretrizes de criptografia até o final do ano civil. ®
Nenhum comentário:
Postar um comentário