Não há bala de prata quando se trata de criptografia. Mesmo a mais complexa, invulnerável delas hoje poderia se tornar uma brincadeira de criança no futuro. O NIST (National Institute of Standards and Technology, ou Instituto Nacional de Padrões e Tecnologia, em tradução livre) está publicando novos padrões de criptografia para revisão pública, na tentativa de ficar um passo à frente do cibercime.
O NIST é uma agência governamental, e suas diretrizes só afetam realmente outras agências governamentais. No entanto, muitos especialistas em segurança e organizações olham para os padrões NIST como uma referência.
Tudo sobre segurança é mais ou menos um jogo de gato e rato. Medidas de segurança são colocadas no lugar, e funcionam por um tempo até que os crackers encontram os pontos fracos, ou descobrem como comprometê-los ou contorná-los. Em seguida, especialistas em segurança têm de inventar novos métodos de proteção e o jogo recomeça. Criptografias para sites e os certificados que utilizamos para provar que um site é legítimo estão sujeitos a esta mesma lei de causa e efeito.
Sites seguros contam com certificados digitais emitidos por Autoridades Certificadoras (CA) confiáveis, responsáveis por verificar a sua autenticidade. Basicamente, terceiros confiáveis atuam como uma Autoridade Certificadora (AC). O CA valida que um indivíduo ou organização é autêntica, e emite um certificado.
Quando você se conecta a um site, o navegador verifica se o site possui um certificado válido emitido por uma Autoridade de Certificação confiável, e na maioria dos casos irá avisá-lo se o certificado está expirado ou se houver outros problemas.
O sistema de certificados digitais é o que permite aos usuários não-tecnológicos navegar na Web e realizar transações via internet banking e compras por e-commerce com uma quantidade relativa de confiança de que não serão hackeados.
Certificados digitais têm funcionado por anos, mas crackers perceberam que eles são a chave para burlar sites e atrair usuários a compartilhar informações confidenciais involuntariamente.
Durante o ano passado, os certificados digitais estiveram sob ataque, e o compromisso desses tradicionais protetores resultou em vários dados e falhas de segurança. É hora de mudar o sistema para se adaptar aos novos tempos.
Um dos elementos centrais da proposta de padrão de criptografia do NIST é incluir suporte para certificação Extended Validation (EV). As organizações devem fornecer uma verificação mais ampla da identidade para adquirir certificados EV, tornando significativamente mais difíceis de falsificar, ou obter certificados fraudulentos.
As pessoas precisam de alguma garantia de que os sites aos quais estão conectando são legítimos, e os certificados EV fornecem esse sentimento de proteção.
O NIST quer garantir que sites adotem novas tecnologias de criptografia que permitem certificados EV. Claro que as normas de segurança da web e padrões de criptografia continuarão a evoluir ao longo do tempo, mas é sempre uma boa ideia ter a sua própria dispositivo para proteção extra.
Uma hora, crackers irão descobrir como burlar o sistema de certificados EV também, aí então será hora de um novo padrão. Mas, por enquanto, será um enorme passo à frente para a segurança online em geral de sites do governo e páginas tradicionais para garantir que eles são compatíveis com o padrão de certificados EV.