Saturday, November 25, 2017

Limites da criptografia, comentários

Estive na situação infeliz onde tive que lidar com esse pesadelo legal. O novo acordo que regula a exportação de criptografia internacionalmente é chamado de Wassenaar. Se o seu produto é o que é chamado de produto de mercado de massa, ou seja, disponível para compra ao público em geral sem restrições, você pode ignorar quaisquer restrições de exportação. Você também pode ignorar isso se o seu software for de código aberto e disponível gratuitamente para todos. Há mais exclusões, DRM, se a entrada para os algoritmos criptográficos não puder ser alterada...

Se você restringir suas vendas a um subconjunto selecionado de clientes ou se o seu produto for exclutivo em algum atributo, por exemplo, o preço é muito alto para ser considerado mercado de massa, você precisa entrar em contato com o órgão do governo local responsável pela conformidade de Wassenaar.

Se sua criptografia é baseada em um algoritmo simétrico, mantenha o tamanho da chave em 56 bits ou menos. (por exemplo, AES, DES, Blowfish ...) Se a sua criptografia for baseada na dificuldade de factorizar números inteiros, mantenha o tamanho da chave em 512 bits ou menos. (por exemplo, RSA) Se sua criptografia é baseada na dificuldade de computar logaritmos discretos em um grupo multiplicativo de um campo finito, mantenha o tamanho em 512 bits ou menos. (por exemplo, Diffie Hellman)
Se sua criptografia for baseada em logaritmos discretos em um grupo mencionado anteriormente, mantenha o tamanho em 112 bits ou menos. (por exemplo, Diffie-Hellman sobre uma curva elíptica)


O que é extremamente provável que se torne um enorme encargo burocrático na sua organização, uma vez que os controles de exportação são extremamente mal configurados para lidar com coisas como o software onde você pode ter muitos milhares de clientes. É melhor evitá-lo, a menos que a criptografia seja parte integrante do seu produto. A maioria das empresas e indivíduos não são afetados pelo acordo, pois tenta ser suficientemente estreito para apenas capturar as empresas que negociam com governos estrangeiros.

Se o seu sistema faz algum tipo de trabalho criptoanalítico, geralmente é considerado ainda mais sensível e suas chances de estarem em território controlado por exportação aumentam.

No comments:

Post a Comment

Remote Hybrid and Office work