A Estônia revogou 760 mil certificados no início deste mês, novembro/2017, por causa de uma brecha encontrada em um componente desenvolvido pela empresa Infineon e que é utilizado pela Gemalto, que fabrica os cartões estonianos.
Leia: Estônia revoga 760 mil certificados digitais após divulgação de falha
Gemalto emitiu publicamente a nota:
NOTA DA GEMALTO
Recentemente, foi anunciado a descoberta de uma potencial vulnerabilidade de segurança que afeta a biblioteca criptografica do software Infineon também conhecida como ROCA (CVE-2017-15361).
O problema está vinculado à função de geração de chaves on-board do RSA que faz parte de uma biblioteca, opcionalmente agrupada com o chip pelo fabricante de silício.
A Infineon afirmou que o próprio hardware de chips não é afetado. E, as informações relacionadas a esta potencial vulnerabilidade foram compartilhadas pela Gemalto aos seus clientes no devido tempo.
À medida que a Gemalto fornece determinados produtos da Infineon, examinamos todo o nosso portfólio de produtos para identificar aqueles que utilizam o software afetado e a nossa análise completa do produto concluiu que:
Na grande maioria dos casos, as bibliotecas cryptograficas desenvolvidas pelo fabricante de chips não estão incluídas em nossos produtos. É uma prática padrão que os produtos Gemalto usem nossas bibliotecas criptograficas internas, desenvolvidas por nossas equipes internas de P & D e especialistas em criptografia. Portanto podemos afirmar que os produtos que contêm bibliotecas de criptograficas da Gemalto são imunes ao ataque.
Alem disto, podemos afirmar que nenhum dos nossos produtos móveis, IoT ou de pagamento e soluções são afetados. De toda a nossa base de clientes que usa cartões nacionais eID, apenas um cliente está usando a biblioteca criptografica Infineon. E, a solução para evitar algum potencial problema foi criada e aplicada e consiste em uma atualização remota das placas de eID. Não identificamos problemas em nossos clientes que utilizam o ePassport program e os clientes que utilizam os produtos IDPrime.NET serão impactados dependendo da configuração utilizada em seu ambiente. https://SafeNet.Gemalto.com/Technical-Support/Security-updates/
Contatamos os nossos clientes que usam esses produtos e, atualmente, estamos trabalhando, em conjunto, em soluções corretivas.
Gemalto leva essa questão muito a sério, por isso criamos uma equipe dedicada de especialistas em segurança para trabalhar na situação e continuar monitorando qualquer evolução.
Leia: Estônia revoga 760 mil certificados digitais após divulgação de falha
O governo estoniano decidiu revogar os certificados por causa de uma brecha encontrada em um componente desenvolvido pela empresa Infineon e que é utilizado pela Gemalto.
