Criptografia de dados: o desafio dos CIOs PDF Imprimir E-mail
Escrito por Michael A. Davis | InformationWeek EUA   
Ter, 05 de Janeiro de 2010 14:07

Os métodos de chaves evoluíram muito e, para entender como isso aconteceu, avaliamos um artigo publicado em 2007, quando esses métodos foram identificados como um sério problema e descobrimos que, uma vez mais, não progredimos muito. Cerca de metade dos entrevistados da pesquisa InformationWeek Analytics State of Encryption atual usa serviços de gerenciamento de chaves de produtos de criptografia individual, enquanto 39% gerenciam chaves manualmente.
A maioria ainda usa a capacidade nativa de gerenciamento de chaves do produto, mesmo que as empresas continuem interessadas em um sistema de gerenciamento de chaves especializado, padronizado e único. Que isso seja, de fato, uma boa opção, é algo que muitos pesquisadores concordam e nossa experiência confirma. Esse modelo é conhecido como "plataforma de criptografia", em que um único aplicativo central gerencia diferentes tipos de chaves de criptografia (disco, backup, banco de dados).

O principal fator que leva à abordagem dessa plataforma é a promessa na redução de gastos operacionais e o aumento na eficiência, já que essas são as principais barreiras contra a adoção. Os fornecedores desse mercado, incluindo a PGP e a Sophos, dizem que seus produtos estão vendendo como água. Talvez, e porque o custo dessas plataformas são tão altos, o desafio seja vender aos CIOs e CISOs a ideia de que ter um fornecedor e uma única ferramenta de gerenciamento para todas as diferentes (e também caras) tecnologias de criptografia vale mais a pena.

Agora, há necessidade de chamar a atenção para um detalhe nesse modelo: precisamos chegar a um acordo sobre o termo "plataforma". Digamos que você usa um único fornecedor para criptografia de e-mail e a empresa tem uma opção de criptografia para backup que você pode usar por uma taxa extra. Se você aciona a criptografia de backup, teoricamente, você está usando uma plataforma para criptografar e-mail e backup. No entanto, no nosso modo de pensar, isso não chega a ser uma plataforma, mas um sistema de fornecedor único. Para ser uma plataforma de verdade você precisa de suporte de vários fornecedores, como o oferecido pela Thales.

É uma distinção meramente acadêmica, hoje, porque nenhuma plataforma de gerenciamento de chave domina o mercado corporativo, provavelmente por uma questão de custo. Esses sistemas custam cerca de US$ 40 mil, só pelo gerenciador de chaves, e ainda é necessário comprar todos os produtos individuais e suas devidas licenças. Vimos muitos projetos corporativos chegarem, rapidamente, a custar centenas de milhares de dólares.

Dito isso, não podemos culpar as áreas de TI por não almejarem, agressivamente, uma abordagem mais ampla. Usar as capacidades nativas de gerenciamento de chaves de cada aplicativo de criptografia era a forma mais realista de agir em 2007 e, nos últimos anos, a consolidação da indústria de criptografia e o desenvolvimento contínuo criaram um ambiente em que a maioria dos fornecedores vende vários produtos de criptografia como plataformas unificadas. Os orçamentos andaram apertados e, por isso, utilizar as funções nativas de gerenciamento se tornou a abordagem dominante.

Acreditamos, entretanto, que uma abordagem de plataforma unificada por vários fornecedores será garantida no futuro. Para tornar esses sistemas uma opção realista dentro da empresa o quanto antes, os fornecedores precisam parar de discutir e implementar, de uma vez por todas, um padrão de interoperabilidade. O leque de opções é amplo: a Oasis tem seu Protocolo para Interoperabilidade no Gerenciamento de Chaves (KMIP), o IEEE (Instituto de Engenheiros Elétricos e Eletrônicos) tem o projeto P1619, que parece ganhar espaço mesmo sendo apenas para dispositivos móveis. O projeto sequencial, P1619.3, contém detalhes sobre gerenciamento de chaves, mas ainda está em forma de rascunho. O problema? O P1619.3 e o KMIP fazem, basicamente, a mesma coisa.

Outro problema é que poucos fornecedores de criptografia têm experiência no gerenciamento de chaves com diferentes vendedores e, ainda assim, muita gente está na cozinha ajudando no preparo de tais padrões. 

Todos os caminhos levam a Redmond

Todos expressam pesar pelo preço da criptografia e pelo fato de que os fornecedores parecem não conseguir chegar a um acordo sobre a padronização. Mas quais são as chances de que, enquanto os especialistas em criptografia discutem os detalhes, produtos gratuitos ou de baixo custo surgirão para dominar o mercado?

Não seríamos contra isso e, para mostrar porque, vamos, mais uma vez, voltar a 2007. Alguns problemas técnicos foram resolvidos, porém, substituídos por decisões e problemas de política. Por exemplo, muitos produtos de gerenciamento de identidade oferecem a habilidade de armazenar chaves ou certificados junto com as identidades. Em vez de perguntar "onde iremos armazenar as chaves para cada um de nossos laptops?", pergunta-se: "como vamos lidar com chaves expiradas e suas renovações?". Uma coisa que não mudou é que um diretório central de chaves, fácil de gerenciar, atualizar e relatar é essencial. E é aí que a Microsoft tem a chance de se tornar a fornecedora líder de criptografia, uma cortesia da base de instalação do Active Directory (AD) e o fato de que novas funções serão lançadas nos sistemas operacionais gerenciáveis via Group Policy Objects em Active Directory.

Muitos podem não considerar o AD como o melhor serviço disponível para os negócios. Entretanto, ele é o mais usado e muitos engenheiros de TI sabem como trabalhar com o Group Policy. Todas as opções de criptografia endpoint oferecidas pela Microsoft - incluindo BitLocker, BitLockerToGo e DirectAccess - oferecem gerenciamento centralizado por meio do Active Directory, assim como as tecnologias de criptografia corporativa da Microsoft. As atualizações mais recentes do Windows 2008 e do Windows 7 fornecem ajustes adicionais para os administradores configurarem via Group Policy.

Qual o lado negativo de usar as tecnologias de criptografia da Microsoft? Experiência em casa é essencial para definir extensão das chaves, tamanhos de cachê, opções de recuperação e outros detalhes. Se você tem suporte para caixas Linux ou Mac OS, você não terá como expandir essas tecnologias por toda a empresa. Mas o Windows oferece criptografia completa e forte para discos portáteis, aparelhos móveis, e-mail, pastas e arquivos e banco de dados, de graça. Ninguém pode bater esse preço.

Além da Microsoft, o TrueCrypt é um produto gratuito para criptografia de arquivos de sistema e discos completos que foi executado mais rápido do que qualquer outro aplicativo comercial que testamos.

Conforme a comunidade de código aberto continua a desenvolver esses e outros tipos de aplicativos e a oferecer gerenciamento de chaves (característica vital que falta no TrueCrypt, mas disponível na Microsoft), esperamos que muitas categorias de criptografia se tornem produtos. E a criação de um padrão público de interoperabilidade - se algum dia acontecer - dará, à comunidade de código aberto, oportunidades de desenvolvimento ainda melhores.

Nada disso significa que tudo está perdido para os fornecedores comerciais. No final das contas, vencerá a melhor interface de gerenciamento, e as tecnologias em código aberto não são exatamente famosas por terem as melhores habilidades de gerenciamento quando comparadas com produtos comerciais. Ainda assim, nada melhor do que um pouco de competição para que todos mantenham os olhos bem abertos.

Plano de ação

Após analisar os resultados de nossa pesquisa, nos preocupamos em conversar com vários CISOs sobre o fato de que a ênfase em criptografia apenas para cumprir com questões de compliance significa que a tecnologia não está sendo usada apropriadamente e com todo seu poder. Em nosso estudo, os principais aplicativos que as empresas vêm criptografando, ou que pretendem criptografar, incluem VPNs, sistemas de arquivos e sistemas de e-mail. O problema é que isso reduz muito pouco os riscos, se é que reduz mesmo. Arquivos criptografados em desktops não impedem que um usuário envie uma cópia não criptografada por e-mail ou o copie para um pendrive. Criptografia de e-mail só funciona se a entidade do outro lado tiver usando a mesma criptografia, ou uma compatível, o que a grande maioria das empresas não faz.

Enquanto todos nós esperamos pelos padrões, as empresas devem adotar uma abordagem de gerenciamento de risco para implementar criptografia baseando-se nos tipos de dados que são utilizados -- e não no armazenamento ou no nome do banco de dados. Devemos, também, manter a pressão nos fornecedores para que eles tragam interoperabilidade para a criptografia e gerenciamento de chaves. Infelizmente, mesmo que padrões tenham sido desenvolvidos, não vemos muita absorção. Apenas 14% dos nossos entrevistados ouviram falar no Oasis KMIP, que foi iniciado no final de 2006 e finalizado neste ano. Brocade, EMC, HP, IBM, LSI, Seagate Technology e Thales se uniram ao Oasis e prometeram resultados em breve.

O difícil agora é como definir "resultado". Ficou claro que os fornecedores estão mais interessados em desenvolver os padrões com os fornecedores de armazenamento do que com outros fornecedores de criptografia. A maioria dos profissionais de TI com quem trabalhamos parece entender isso e não está satisfeita com os esforços atuais de interoperabilidade. Podem dizer que somos céticos, mas realmente não acreditamos que KMIP terá, de fato, algum efeito real tão logo. Por enquanto, depende de nós nos mexermos para cumprir com as necessidades mínimas das regras de compliance.