[GT Recursos Criptograficos] RES: ERRATA: Nova versão da proposta de revisão da NC09 - 30/10/2013

JOSÉ CARRIJO carrijo em abin.gov.br
Segunda Novembro 18 20:26:56 BRST 2013 

Oi Bruno, 'listas' , Muniz e Tiago

Tudo bem?

Entendo seus argumentos, depois do último email há alguns dias eu tenho pensado nesse assunto. Assim como, durantes esses dias que se passaram, eu passei a ter o sentimento de que esses fossem justificativas compatíveis às propostas que eu havia lido naquelas versões anteriores da nc09, antes mesmo de voce me encaminhar esses argumentos de agora.

O que eu tenho questionado é, e isso deveria ser pensado pela abin, gsi e órgãos do governo, se há foi levantando alguns quesitos como:

1) O que a ABIN acha dessa proposta?

2) Quais as implicações dessas proposta? digo, não estou levantando apenas o problema da flexibilização de uso de algoritmo criptográfico.

3) O que os Órgãos de Governo acham? ou acharão?

4) Vantagens e desvantagens?

5) Há possibilidade de haver algum 'ruído' (negativo) ?

6) Essa proposta resolve Um problema (de um ou outro órgão específico) ou resolve de forma genérica 'vários' problemas?

7) Há algum sentimento de que os órgãos de governo querem algo sermelhante à essa proposta?

Divirtam-se,

Carrijo.
Agência Brasileira de inteligência - ABIN

________________________________
De: Bruno Pereira Pontes [bruno.pontes em presidencia.gov.br]
Enviado: segunda-feira, 18 de novembro de 2013 14:59
Para: JOSÉ CARRIJO
Cc: criptografia em listas.planalto.gov.br
Assunto: RES: ERRATA: Nova versão da proposta de revisão da NC09 - 30/10/2013

Olá Carrijo,

Creio que o ponto mais  “polêmico” da proposta seja a questão do Algoritmo “Registrado”. Sendo assim tentarei clarear qual o objetivo da proposta e o porque precisamos da ajuda da ABIN para refinar essa proposta.

Se não me falhe a memória na reunião do CGSI de setembro foi levantada uma proposta de “flexibilização”  do uso de algoritmo de estado para as informações classificadas como reservada. Essa proposta foi deixada de lado pois seria necessário alterar decretos já publicados.

No entanto, a NC09 da forma como está escrita agora, recomenda o uso do Algoritmo de Estado para as informações sigilosas (texto abaixo).  Recomendar para o Gestor de TI do órgão é quase que obrigar o uso. Dessa maneira deveremos ter uma alta demanda por recurso criptográfico baseado em algoritmo, o que poderá comprometer sua segurança e dificultar bastante o controle. Limitar o uso de algoritmo de estado apenas para informações classificadas poderia minimizar o problema, visto que a maioria dos órgão possui bem mais informações sigilosas do que classificadas.


5.1 Informações Sigilosas

5.1.1 Recomenda-se o uso de recursos criptográficos baseados em algoritmo de Estado para cifração e decifração;

A grande questão é como fazer essa limitação. Um opção seria retirar da NC09 essa recomendação e deixar cada órgão se virar para usar o algoritmo que quiser para cifrar/decifrar as informações sigilosas. Achamos que seria adequado orientar minimamente o órgão para que ele tenha controle quanto ao algoritmo que irá usar (possibilidade de auditar código fonte principalmente). Veja que a proposta consiste em orientar o órgão para que exija o código fonte para que o mesmo possa ser auditado quando necessário.

Como não temos a melhor solução de como fazer esse controle, surgiu a proposta de “registrar” o algoritmo e depositar o seu código fonte em algum local, de forma que ele possa ser auditado e cause um certo receio à empresa que irá vender/desenvolver quanto a inserção de backdoors. Como o CEPESC é o órgão especialista em criptografia, a proposta foi de registrar nele. Mas é só uma proposta. Podemos também depositar o código no próprio órgão. Mas não sabemos qual seria a melhor forma de fazer.  Por isso a importância da ABIN na construção dessa proposta.

O importante é não perder o foco dos objetivos da revisão da NC09, que seriam:

- permitir o uso de algoritmo que não seja de estado para informações sigilosas;
- orientar minimamente quanto a forma de comprar/desenvolver esse algoritmo;
- ter a posse do código fonte desse algoritmo, de forma que ele possa ser auditado.

Abraços.

De: JOSÉ CARRIJO [mailto:carrijo em abin.gov.br]
Enviada em: quarta-feira, 30 de outubro de 2013 22:10
Para: Bruno Pereira Pontes; criptografia em listas.planalto.gov.br
Assunto: ERRATA: Nova versão da proposta de revisão da NC09 - 30/10/2013

Oi Bruno, 'lista' e Muniz

Tudo bem?

Acho que encaminhei email com anexo anterior, agora a pouco, segue agora com anexo correto.

Encaminho comentários sobre a versão v4 da nc09 que voce me encaminhou hoje, 30out2013.

Divirtam-se,

Carrijo.
Agência Brasileira de Inteligência - ABIN
________________________________
De: Bruno Pereira Pontes [bruno.pontes em presidencia.gov.br]
Enviado: quarta-feira, 30 de outubro de 2013 17:57
Para: criptografia em listas.planalto.gov.br<mailto:criptografia em listas.planalto.gov.br>
Cc: JOSÉ CARRIJO
Assunto: Nova versão da proposta de revisão da NC09 - 30/10/2013
Caros,

Segue a versão praticamente finalizada da proposta de revisão da NC09. Observem que muita coisa mudou desde a última proposta que enviei. Fizemos algumas discussões internas e achamos por bem propor a revisão de uma outra forma.

Peço que avaliem a proposta e enviem sugestões de melhoria ou correções que por ventura achem necessárias.

Abraços.

--
Bruno Pereira Pontes
Departamento de Segurança da Informação e Comunicações
DSIC/GSI/PR
Brasília/DF
Site: http://docente.ifb.edu.br/brunopontes
Currículo Lattes: http://lattes.cnpq.br/6635259952735344

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://www1.planalto.gov.br/pipermail/criptografia/attachments/20131118/987e2458/attachment-0001.html

Mais detalhes sobre a lista de discussão Criptografia