critpokwyQuatorze especialistas em segurança e criptografia assinaram uma carta aberta dirigida a fabricantes de tecnologia, desafiando-os a tomarem medidas para recuperar a confiança dos usuários, após as revelações das operações de espionagem e vigilância em massa da da National Security Agency (NSA). Na opinião deles, a imagem de vários fabricantes ficou prejudicada.

Os pesquisadores consideram alarmantes, por exemplo, as alegações de que a RSA, divisão de segurança da EMC, tinha um acordo com a NSA para manter um algoritmo de criptografia vulnerável ‒ mesmo após a RSA ter negado essa parceria.

A carta aberta foi assinada por conhecidos cientistas da computação, criptógrafos, programadores e pesquisadores de segurança, como  Matthew Green (Universidade Johns Hopkins), Tanja Lange (Universidade de Tecnologia de Eindhoven), Bruce Schneier , Roger Dingledine e Nick Mathewson (Projeto Tor), Brian Warner e Zooko Wilcox – O’Hearn (Projeto Tahoe ‒ LAFS); Christopher Soghoian (American Civil Liberties Union) e Brendan Eich  (Mozilla Corporation).

A carta foi uma iniciativa do grupo de defesa da Electronic Frontier Foundation e apresenta 10 princípios, técnicos e legais, que as empresas de tecnologia devem respeitar.

O primeiro princípio tem a ver com a integridade do código: não há um forma fácil de verificar se um algoritmo criptográfico foi implantado em software de código fechado, portanto os fabricantes devem fornecer o acesso ao código fonte, sempre que possível.

“Tanto software de código aberto quanto fechado devem ser distribuídos com assinaturas verificáveis ​​de uma entidade confiável e um caminho para que os usuários possam verificar se a sua cópia do software é funcionalmente idêntica a todas as outras cópias ( uma propriedade conhecida como ” transparência binária ‘) “, disseram.

O segundo princípio exige que as empresas expliquem as suas escolhas de criptografia e porque certos algoritmos e parâmetros foram utilizados nos seus produtos.

Outras exigências e princípios para os fabricantes são:

‒ os dados em trânsito devem estar protegidos em todos os momentos com criptografia forte para evitar a vigilância;
‒ os dados dos usuários, desnecessários para as operações de negócios, devem ser descartados;
‒  manter um diálogo aberto e produtivo com pesquisadores de segurança e privacidade;
‒ fornecer um método claro para os pesquisadores revelarem vulnerabilidades;
‒ corrigir prontamente as vulnerabilidades reveladas;
‒ publicar regularmente “relatórios de transparência ” sobre os pedidos de dados de usuários feitos pelo governo;
‒ oporem-se publicamente à vigilância em massa e aos esforços para abrir acessos dissimulados em software, ou enfraquecer ferramentas de segurança;
‒ lutar nos tribunais contra tentativas por parte dos governos ou terceiros de comprometer a segurança do usuário.

Fonte: IDG News!