José Bacelar Almeida, do Laboratório de Investigação em Software Confiável da Universidade do Minho (HASLab/INESC TEC), foi distinguido com o prémio de melhor artigo na Conferência Internacional Fast Software Encryption, na Alemanha. O trabalho é apresentado esta quarta-feira, às 14 horas, no auditório A2 do Departamento de Informática da UMinho, no campus de Gualtar, em Braga.
O estudo, intitulado ‘Verifiable side-channel security of cryptographic implementations: constant-time MEE-CBC’, tem coautoria de Manuel Barbosa, professor da Faculdade de Ciências da Universidade do Porto e membro do HASLab/INESC TEC, além de Gilles Barthe e François Dupressoir, do ‘Madrid Institute for Advanced Studies in Software Development Technologies’.
O projeto apresenta uma nova metodologia para o desenvolvimento de ‘software’ seguro, com o objetivo de garantir maior proteção contra ataques de ‘hackers’, que exploram as variações nos tempos de execução dos programas (designados por timing attacks) para extraírem “informação sensível”. Este ‘upgrade’ é assegurado por uma ferramenta de verificação formal de programas capaz de validar os mecanismos de defesa que acautelam este tipo de vulnerabilidades. Os ‘timing attacks’ foram recentemente explorados por comprometer a segurança de várias implementações do protocolo HTTPS, responsável pela comunicação segura na web.
“A proteção contra este tipo de ataques é difícil e tem levado a situações constrangedoras. Até em produtos desenvolvidos por equipas altamente especializadas se tem identificado problemas que comprometem a segurança dos sistemas. O que se preconiza no artigo é a adesão a uma política de programação estrita que permite que o processo de validação do código resultante possa ser realizado de forma mecânica”, realçam José Bacelar Almeida e Manuel Barbosa.
SOLUÇÃO ELOGIADA
O artigo traz ainda novidades no que toca à implementação do protocolo TLS, que suporta as ligações HTTPS, na Amazon Web Services (AWS). Neste âmbito, os cientistas identificaram e corrigiram uma falha detetada na implementação dos mecanismos de defesa, descritos acima, suscetíveis de abrir a porta a ataques semelhantes a outros já registados em sistemas do mesmo tipo. Esta contribuição foi elogiada pelo principal engenheiro informático da ‘AWS, Colm MacCarthaigh’.
A ‘Fast Software Encryption’ é uma conferência promovida há 23 anos pela ‘International Association for Cryptologic Research’, a associação responsável pelas principais conferências e publicações ligadas ao domínio da criptografia, da segurança da informação e de outras áreas relacionadas. Este evento reúne anualmente alguns dos melhores especialistas da área.
Luís Moreira (CP 8078)
