Por Dr. Taher Elgamal | Criptógrafo e empreendedor egípcio
A criptografia tem sido a espinha dorsal da segurança no nosso mundo digital e continua a crescer em importância à medida que mais serviços, capacidades e, de fato, nossas vidas se tornam cada vez mais digitais. Não apenas aumenta em importância, mas quase todos os dias vemos um novo artigo sobre outra violação. Hospitais, lojas de varejo, grandes empresas – todos estão sob constante ameaça de algum tipo de ataque para exfiltrar dados ou para outros propósitos nefastos.
Uma nova ameaça vem crescendo. De fato, vimos a grande e complexa empreitada com apenas uma pequena amostra dessa ameaça quando esses ataques sobre os quais lemos são bem-sucedidos. Estou, claro, me referindo à fundação de toda a segurança digital. A base na qual todos os modelos de segurança são baseados: que a criptografia usada para proteger nossos dados, nossos serviços e nossas vidas digitais é, de fato, segura. Imagine se a criptografia for quebrada.
No passado, permitimos que nossos provedores de software incluíssem os pacotes de segurança relevantes e confiamos neles para implementar esses pacotes nos serviços que consumimos. Agora temos dados suficientes para saber sobre riscos ocultos que não eram imediatamente óbvios. Além disso, novos métodos de criptografia proprietária estão sendo inventados, desenvolvidos e utilizados. À medida que implantamos soluções de próxima geração, incluindo algoritmos criptográficos resilientes a quantuns, faz sentido continuar a confiar apenas em nossos fornecedores e provedores para atualizar, implementar e proteger o software que usamos?
Desvendando o passado para trazer clareza ao futuro
Estamos à beira de uma transição, uma que levará tempo significativo, e uma que acredito que deve começar com a compreensão do que está em uso hoje. Por exemplo, quais são os padrões que estão em vigor agora? Acho que todos nós experimentamos a dor de mover de algoritmos falhos do passado, como o MD5 ou SHA-1. Alguns de vocês podem ainda estar usando esses hoje e nem saber! Estas são algumas das áreas problemáticas que precisam ser resolvidas internamente para trazer segurança aprimorada e implementar mudanças futuras na criptografia.
É difícil pensar em uma área do seu negócio que não seja tocada pela criptografia. Desde dados em trânsito com TLS, SSH, IPSEC… a criptografia está embutida em nossos balanceadores de carga, navegadores e servidores. Ela também está nos dados em repouso em nossos bancos de dados e matrizes de armazenamento e até mesmo em nossas aplicações, carteiras e serviços empresariais. Cada uma dessas áreas foi desenvolvida e entregue por diferentes fornecedores ou pacotes de software que frequentemente carecem de escrutínio.
Hoje, a maioria desses serviços é protegida por fornecedores que usam bibliotecas de código aberto ou outras que sua empresa raramente gerencia ou mantém, apesar da dependência crítica deles. Continuamos com essa suposição de que eles são seguros. Há muito pouco suporte para clientes ou usuários desses sistemas para “confiar, mas verificar”.
A importância da agilidade criptográfica
As empresas precisam ter mais propriedade na gestão de seus ativos criptográficos. Devemos todos esperar que qualquer método criptográfico específico, biblioteca ou implementação possa ser considerado fraco ou quebrado. Até mesmo protocolos de próxima geração podem já ser vulneráveis, se acreditarmos nos relatórios das notícias. À medida que a pós-quântica continua a amadurecer, podemos nos encontrar em situações onde mudar tecnologias de criptografia pode ser mais frequente e rápido do que anteriormente esperado.
Nossas implementações tecnológicas precisarão ser mais ágeis para acomodar mudanças mais rápidas. CISOs e Oficiais de Risco em uma empresa precisam observar ativamente quais soluções criptográficas estão em uso hoje para que possam responder às ameaças em evolução. No futuro, podemos simplificar essa resposta com soluções arquitetadas para permitir que uma empresa controle a criptografia usada, projetada para ser ágil e mudar conforme as necessidades da indústria evoluem.
Quer preparar sua organização para o futuro com agilidade criptográfica?
Saiba mais sobre a importância da agilidade criptográfica no e-book PQC da Thales ou dê uma olhada nas soluções atuais para ajudá-lo a se preparar para a PQC e trazer agilidade criptográfica para sua organização, permitindo que você seja flexível e esteja preparado para ajustar sua criptografia com facilidade.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.