A noticia não é muito nova mas vamos lá, o Time de Segurança do Google liberou ao público esses dias o Keyczar - um pacote de criptografiaOpen Source para desenvolvedores concebido para tornar mais fácil e seguro para o uso de criptografia em suas aplicações. Keyczar suporta autenticação e criptografia com duas chaves simétricas e assimétricas.

O conjunto de ferramentas foi originalmente desenvolvido por Steve Weis (Google) e Arkajit Dey (MIT) e está disponível sob uma licença Apache 2,0.

O pacote inclui:

* Uma API simples
* Rotacionamento e versionamento de chaves
* Algoritmos default, modos e tamanhos de chaves seguras
* Geração e inicialização de vetores e assinaturas chipertext automatizadas

Segurança por obscuridade significa que uma falha de segurança não é explorada por não ser conhecida, imagine um servidor de banco de dados com senha padrão acessível pela internet através de seu IP válido não tendo nenhum registro DNS de nenhum domínio apontando para este IP. O fato da senha de administrador do banco ser a senha padrãoé uma falha grave, mas ela não é explorada porque ninguém notou que ali há um banco de dados, isto acaba por proteger o sistema.

Este tipo de segurança não é confiável uma vez que depende da sorte, pois estatisticamente falando, quanto mais tempo passa maiores são as chances de alguém efetuar um Port Scan (como por exemplo o nmap) neste IP e descobrir o banco de dados lá, a primeira senha que eu tentaria seria a senha padrão, ai acabou a segurança.

É incrível como grandes corporações ainda contem com este tipo de segurança, que cá entre nós não é segurança alguma, veja abaixo um texto de mesmo título publicado pelo Mateus Del Bianco sobre o assunto.

(continue reading…)