Incentivando melhores práticas de segurança, Apple abre APIs de criptografia

Segurança (cadeado em cima de teclado)

No fim do mês passado, a Apple decidiu abrir (silenciosamente) o código-fonte das suas principais funções de criptografia integradas ao OS X e o iOS. Agora, é possível encontrar todas as informações publicadas oficialmente sobre elas no seu portal de desenvolvimento, dentro de uma área de recursos dedicada a tópicos de criptografia.

Publicidade

O código-fonte divulgado pela empresa engloba as duas principais técnicas de acesso aos recursos de criptografia existentes em Macs e iGadgets. O Security Framework, referenciado há anos em diversas áreas da sua documentação de referência, é a interface de manipulação de políticas de confiança e chaves/certificados dentro do Keychain, o repositório central de informações sensíveis — presente tanto no OS X quanto no iOS.

Outro componente aberto pela Apple foi a biblioteca Common Crypto, responsável por oferecer suporte a funções criptográficas para desenvolvimento de aplicativos. Ela conta com todos os algoritmos necessários para lidar com informações sensíveis durante desenvolvimento, incluindo tarefas de criptografia, hashing e autenticação baseada em message digest, atualmente muito comum em serviços online.

Ambas as APIs foram divulgadas com o propósito de “ajudar no desenvolvimento de recursos avançados de segurança” para aplicativos — ao menos é o que dizem os engenheiros da Apple; com o código aberto, não levará muito tempo para que especialistas comecem a levantar diferentes opiniões sobre a sua real efetividade. Visando fomentar discussões neste nível, a Apple também liberou o código-fonte das tecnologias críticas que são acessadas pelas APIs de desenvolvimento.

Publicidade

Essas tecnologias foram agrupadas pela Apple em uma biblioteca comum, chamada corecrypto. É nela onde todo o processamento primitivo do Security Framework e da Common Crypto acontece. Como parte da iniciativa de permitir a verificação de suas características e funcionamento, a empresa pediu uma validação de conformidade com o nível 1 do Padrão de Processamento de Informações Federais dos Estados Unidos (FIPS 140-2), definido pelo NIST para garantir a proteção básica de segurança em mecanismos de criptografia.

[via VentureBeat]

Posts relacionados

Comentários

Carregando os comentários…