BR-Linux.org

Enviado por Edivaldo Brito (edivaldobezerraΘgmail·com):

Enviado por Juliano Ramos (juliano·tecnologialivreΘgmail·com):

Enviado por Luiz Gustavo Costa (luizgustavoΘluizgustavo·pro·br):

O texto tem alguns anos, mas deixa clara a opinião do fundador da FSF sobre a alternativa iniciada por dissidentes dela.

Enviado por Éder S. G. (Jordan) (ederjordanΘyahoo·com·br):

Texto enviado ao BR-Linux pela assessoria de imprensa do Serpro, na tarde de hoje, em resposta à matéria “E-mail 'seguro' do governo terá 'porta dos fundos', admite Serpro”:

O Serviço Federal de Processamentos de Dados (Serpro) informa que não existe qualquer possibilidade de backdoor na suíte de comunicação Expresso, produzido pela empresa. De acordo com a declaração do coordenador estratégico de ações governamentais, Marcos Melo, responsável pelo projeto Expresso no Serpro, o acesso às informações será realizado unicamente por decisão judicial.

Visando a confidencialidade dos dados e a transparência de todo o processo, o Expresso utilizará um conceito denominado HSM (Hardware Security Module ou Hardware de Segurança Criptográfica), que determina tecnologias, processos e gestão de segurança em alto nível, para garantir que somente por meio de um fluxo altamente controlado, seguro e auditável, pessoas autorizadas tenham acesso ao conteúdo de tais dados.

Esse processo consiste na existência de uma chave mestra que será quebrada em quatro segmentos, ficando duas com o Serpro e duas com o cliente. A leitura de qualquer mensagem de e-mail somente poderá ser feita em uma sala, em ambiente seguro, com as quatro chaves reunidas e com a presença de um oficial de justiça.

O Serpro esclarece, ainda, que esse processo garante toda a transparência necessária e a segurança que o usuário somente terá o conteúdo da mensagem solicitado pela Justiça aberto na presença do referido colegiado. A mesma técnica utilizada no Expresso é aplicada por grande parte das autoridades certificadoras no mundo e no Brasil, sistemas bancários e sistemas de missão crítica, o que reforça o direcionamento tecnológico de segurança do produto.

Via g1.globo.com:

Um executivo do Serviço de Processamento de Dados do governo federal (Serpro) admitiu que o sistema de e-mail seguro do governo, chamado de Expresso, terá uma "porta dos fundos" ou "backdoor" - uma "chave mestra" que permitirá ler qualquer mensagem protegida pelo sistema.

"Por lei, pelo Marco Civil da Internet, eu tenho que garantir a auditabilidade desses meios de comunicação. Se eu uso criptografia ponto a ponto, como as boas práticas nos indicam, eu faço com que aquela criptografia seja invisível para qualquer outra pessoa. Se eu não tiver um modelo HSM de chave mestra, ela passa a ser não auditável. Ou seja, eu estou descumprindo questões legais", afirmou o coordenador de ações governamentais do Serpro.

A declaração foi feita pelo executivo durante o 12º Fórum de Certificação Digital (CertForum) nesta quarta-feira (28), em resposta a um questionamento feito por Paulo Roque, da Associação Brasileira das Empresas de Software (Abes). Há um vídeo disponível na web com a pergunta de Roque e a resposta.

O Marco Civil da Internet não determina especificações para requerimentos de auditoria de conteúdo das comunicações, apenas de registros de acesso, que normalmente não sofrem interferência de criptografia em conteúdo. A lei possui, no entanto, algumas regras específicas para administração pública. O coordenador não informou qual artigo especificamente do Marco Civil, ou de outra legislação, exige que o sistema do governo tenha a "chave mestra".

A Core Infrastructure Initiative (CII), da Linux Foundation, criada logo após a descoberta do bug Heartbleed no OpenSSL reunindo os gigantes da tecnologia para financiar o desenvolvimento seguro de componentes open source essenciais, começa a dar resultado visível.

O próprio OpenSSL está entre os primeiros contemplados, recebendo 2 desenvolvedores em tempo integral com salário pago pela CII, além de uma auditoria de segurança.

Os outros 2 projetos contemplados neste primeiro momento são o OpenSSH e o NTP, cujas entidades mantenedoras receberão recursos para seus desenvolvedores e para sua infraestrutura.

O comitê gestor da CII é formado por nomes conhecidos das comunidades open source e da criptografia, como Alan Cox, Eben Moglen, Bruce Schneier e Ted Ts'o.

A conta desses e dos futuros benefícios será rachada entre Adobe, Amazon Web Services, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, HP, Huawei, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace, Salesforce e VMware. (via arstechnica.com - “OpenSSL to get a security audit and two full-time developers | Ars Technica”)

Enviado por Aracele Torres (araceleΘkde·org):

“Há poucas semanas foi lançado o beta 1 da futura nova versão do Plasma.

Traduzimos as nota de lançamento e convidamos vocês a serem beta testers desse software que é uma peça fundamental do futuro do KDE!

O Plasma Next é construído com QML e executa sobre um stack gráfico acelerado por hardware, utilizando Qt 5, QtQuick 2, KDE Frameworks 5 e OpenGL(-ES).

Vale lembrar que a maior parte dos trabalhos no novo layout do Plasma Next ainda não estão presentes nessa versão beta 1 - ela é mais voltada para as funcionalidades e port da área de trabalho.” [referência: br.kde.org]

Enviado por Bruno Odon (admΘbrunoodon·com·br):

Enviado por Vila (digitovilaΘgmail·com):

Enviado por Leandro Pereira (leandroΘtia·mat·br):

O popular sistema de criptografia Truecrypt, disponível para várias plataformas, é uma curiosidade: seus autores são desconhecidos, e tem sido frequentes os questionamentos sobre a segurança de usá-lo.

E ontem uma nova peça se juntou ao quebra-cabeça: o site oficial do Truecrypt publicou uma nova versão do software (assinada com a mesma chave privada das demais versões), e um aviso de que usá-lo não é seguro, que ele pode conter problemas e que a página (e a nova versão) só estão lá para ajudar quem queira migrar seus dados do Truecrypt para outra solução.

A mensagem ainda mostra como os tempos mudaram: segundo seu autor, o suporte ao Truecrypt terminou junto com o fim do suporte oficial ao Windows XP, porque agora todas as principais plataformas contam com soluções integradas de criptografia de disco. (via www.phoronix.com - “[Phoronix] TrueCrypt Has Been Potentially Compromised”)

A versão 2.0 do Git, o sistema de controle de versões que é uma das maiores contribuições de Linus Torvalds aos desenvolvedores, já está disponível.

A lista de novidades não é muito longa, mas tem itens interessantes, incluindo alguns que evitam possibilidades de induzir o usuário ao erro ou a comportamentos inesperados, como a opção "-q" do comando git diff-files. (via www.phoronix.com - “[Phoronix] Git 2.0 Officially Released”)

Enviado por EverPi (everpiΘtsar·in):

Enviado por Luis Felipe Marzagao (duliΘeasylifeproject·org):