BR-Linux.org

Via g1.globo.com:

Um executivo do Serviço de Processamento de Dados do governo federal (Serpro) admitiu que o sistema de e-mail seguro do governo, chamado de Expresso, terá uma "porta dos fundos" ou "backdoor" - uma "chave mestra" que permitirá ler qualquer mensagem protegida pelo sistema.

"Por lei, pelo Marco Civil da Internet, eu tenho que garantir a auditabilidade desses meios de comunicação. Se eu uso criptografia ponto a ponto, como as boas práticas nos indicam, eu faço com que aquela criptografia seja invisível para qualquer outra pessoa. Se eu não tiver um modelo HSM de chave mestra, ela passa a ser não auditável. Ou seja, eu estou descumprindo questões legais", afirmou o coordenador de ações governamentais do Serpro.

A declaração foi feita pelo executivo durante o 12º Fórum de Certificação Digital (CertForum) nesta quarta-feira (28), em resposta a um questionamento feito por Paulo Roque, da Associação Brasileira das Empresas de Software (Abes). Há um vídeo disponível na web com a pergunta de Roque e a resposta.

O Marco Civil da Internet não determina especificações para requerimentos de auditoria de conteúdo das comunicações, apenas de registros de acesso, que normalmente não sofrem interferência de criptografia em conteúdo. A lei possui, no entanto, algumas regras específicas para administração pública. O coordenador não informou qual artigo especificamente do Marco Civil, ou de outra legislação, exige que o sistema do governo tenha a "chave mestra".

A Core Infrastructure Initiative (CII), da Linux Foundation, criada logo após a descoberta do bug Heartbleed no OpenSSL reunindo os gigantes da tecnologia para financiar o desenvolvimento seguro de componentes open source essenciais, começa a dar resultado visível.

O próprio OpenSSL está entre os primeiros contemplados, recebendo 2 desenvolvedores em tempo integral com salário pago pela CII, além de uma auditoria de segurança.

Os outros 2 projetos contemplados neste primeiro momento são o OpenSSH e o NTP, cujas entidades mantenedoras receberão recursos para seus desenvolvedores e para sua infraestrutura.

O comitê gestor da CII é formado por nomes conhecidos das comunidades open source e da criptografia, como Alan Cox, Eben Moglen, Bruce Schneier e Ted Ts'o.

A conta desses e dos futuros benefícios será rachada entre Adobe, Amazon Web Services, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, HP, Huawei, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace, Salesforce e VMware. (via arstechnica.com - “OpenSSL to get a security audit and two full-time developers | Ars Technica”)