Benchmark 2012 de encriptação de dispositivos

Benchmark de encriptação de dispositivos de
comunicação móveis celulares
Junho de 2012
© 2012 ICTS : Protiviti Member Firm
Índice
Introdução ......................................................................................................... 3
Metodologia ...................................................................................................... 4
Fornecedores e produtos avaliados .................................................................... 5
Avaliação e resultados ....................................................................................... 8
Sobre a ICTS Global .......................................................................................... 10
Página 2 de 10
© 2012 ICTS : Protiviti Member Firm
Introdução
A ICTS, através da sua prática de Segurança e Governança de TI, realizou no final de 2011 e início de
2012 um amplo estudo das tecnologias de encriptação de dispositivos de comunicação móveis
celulares disponíveis no Brasil.
Este estudo procurou analisar diversos aspectos, desde tipos de encriptação oferecida até seus
serviços de pré e pós-vendas, que pode ser tão importante quanto a própria tecnologia, quando se
fala em implantar estas soluções nos mais diversos aparelhos celulares e prover suporte em todo o
território nacional ou mesmo no exterior.
A ICTS buscou o máximo de imparcialidade e independência, realizando os contatos e testes a partir
dos canais normais de contato destes fabricantes e representantes, e também os procurando para
solucionar eventuais problemas encontrados ou dúvidas.
Como qualquer benchmark ou teste, a análise representa uma fotografia de um momento, que pode
não refletir a realidade do dia de hoje. Mesmo assim, acreditamos que esta avaliação pode
contribuir para a disseminação deste tipo de tecnologia e melhoria dos produtos e serviços
oferecidos.
Da mesma forma que o tema segurança está em constante evolução, a ICTS continua buscando
soluções, tendências e idéias eficazes para a redução dos riscos em seus clientes, e esperamos que
você possa utilizar este documento para reforçar ainda mais a segurança das suas comunicações.
Obrigado,
Marco Ribeiro
Executivo Responsável
Segurança e Governança de TI
ICTS : Protiviti Member Firm
Página 3 de 10
© 2012 ICTS : Protiviti Member Firm
Metodologia
A seleção de uma solução para segurança de comunicações de voz esta fundamenta em 3 etapas:
Levantamento
de Informações
o Dados cadastrais
o Responsáveis pela elaboração
de propostas comerciais
o Informações do(s) Produto(s)
o Experiência no mercado
o Principais clientes e serviços
ofertados
o No caso destas dependerem de
outros fornecedores, entender:
 Prazos de Entrega
 Pós-Venda e Manutenção
 Inovações Tecnológicas
 Parcerias
 Qualidade
dos
serviços
prestados
o Potenciais concorrentes
o
o
o
o
Avaliação de
fornecedores
Prova de
Conceito
Comparação
dos
dados
levantados
Identificação das empresas
melhor colocadas no mercado e
que apresentam menor risco na
aquisição e pós-venda
Comparação
técnica
das
soluções
Seleção de fornecedores e
convite para realização da prova
de conceito
o Solicitação de POC por 30 dias,
com
estabelecimento
de
indicadores para avaliação da
solução
o As
soluções
deverão
preferencialmente ser instaladas e
utilizadas durante os prazos
especificados por clientes finais,
além da equipe de consultores da
ICTS.
O levantamento de informações dos fornecedores deu-se através de contato telefônico e por e-mail,
sendo que todos receberam um mesmo formulário para preenchimento e resposta.
Página 4 de 10
© 2012 ICTS : Protiviti Member Firm
Fornecedores e produtos avaliados
Abaixo segue a lista de fornecedores convidados, seus produtos e especificações.
Fornecedor 1
Nome
WebSite
Produto
Equipamentos Suportados
Redes Compativeis
Algoritmo de Encriptação
Certificação Governamental
Fornecedor 2
Nome
WebSite
Produto
Equipamentos Suportados
Redes Compativeis
Algoritmo de Encriptação
Gold Lock
https://www.gold-lock.com/app/pt/product/Goldlock3G
Gold Lock 3G
Nokia 5230, Nokia 5700, Nokia 5800, Nokia 6110, Nokia 6210, Nokia
6220, Nokia 6290, Nokia 6120c, Nokia E51, Nokia E52, Nokia E63,
Nokia E66, Nokia E71, Nokia E72, Nokia E75, Nokia E90, Nokia N76,
Nokia N78, Nokia 79, Nokia N81, Nokia N82, Nokia N85, Nokia N95,
Nokia N95-8GB, Nokia N97, Nokia E5
BlackBerry (OS 4.6+)
iPhone
PC/ Laptops (Windows XP, Windows Vista, Windows 7)
Android
WI-FI, 3G, GSM, GPRS, EDGE, UMTS, CDMA
Autenticação de 16.384 Bits
Curva Eliptica de 384 Bits
AES 256 Bits
Diffie Hellman 4096 Bits
Ministério da Defesa de Israel
Securstar (Revendedor - TLS Informática)
http://www.securstar.com/products_phonecrypt.php
PhoneCrypt 3G
Celulares Smartphones:
o Nokia
o BlackBerry
o iPhone
o Aparelhos com Microsoft Windows Mobile
Telefonia Fixa IP/SIP e Digital
3G/GPRS/EDGE/HSPA
RSA de criptografia para troca de chaves
AES (SHA 256) de criptografia para comunicação
Criptografia por container (cofre virtual) de documento e
diretório (PocketCrypt)
Certificação
Governamental
Página 5 de 10
© 2012 ICTS : Protiviti Member Firm
Fornecedor 3
Nome
WebSite
Produto
Equipamentos Suportados
Redes Compativeis
Algoritmo de Encriptação
Certificação Governamental
Fornecedor 4
Nome
WebSite
Produto
Equipamentos Suportados
Redes Compativeis
Algoritmo de Encriptação
Certificação Governamental
Fornecedor 5
Nome
WebSite
Produto
Equipamentos Suportados
Redes Compativeis
Algoritmo de Encriptação
Rohdes & chwarz
http://www2.rohdeschwarz.com/en/products/secure_communications/voice_and_data
_encryption/
TopSec GSM & TopSec Mobile
Equipamento Próprio
GSM frequência de 900 MHz e 1800 MHz
128 bit key
Recomendado pela Agência Alemã de Segurança da Informação
Certificado ISO9001
AOS (Thrane & Thrane)
http://www.aosusa.com/technologies/secure_voice_data
Explorer 727
Equipamento Próprio
Satellite (utilize ISDN)
Copytele
http://www.copytele.com/encryption.html
DCS-1200/ USS-900
Equipamento Próprio
DB9 Serial Connector
Harris CITADELTM, Triple DES or the Advanced Encryption Standard
(AES)
Certificação Governamental
Fornecedor 6
Nome
WebSite
Produto
Equipamentos Suportados
Redes Compativeis
Algoritmo de Encriptação
Certificação Governamental
General Dynamics – C4 Systems
http://www.gdc4s.com/content/detail.cfm?item=3d003d5d-f1894ba5-9589-b86d74178c22
Sectéra vIPer Universal Secure Phone
Equipamento Próprio
Página 6 de 10
© 2012 ICTS : Protiviti Member Firm
Fornecedor 7
Nome
WebSite
Produto
Equipamentos Suportados
Redes Compativeis
Algoritmo de Encriptação
Certificação Governamental
ComSec
www.comsec.com.br
CellCrypt
Apple (iPhone, iPad, iPod), BlackBerry, Android, Nokia (Symbian)
GSM, CDMA, EDGE, 3G, 4G, WiFi, satélite (INMARSAT)
Criptografia pública: 2048-bit RSA & ECDSA com prime moduli em
curva elíptica de 384bits
Criptografia simétrica: AES & RC4, ambas com 256bits
Hashing: SHA512, MD5
Random key genaration: seed de 2048-bit trocada periodicamente,
seed inicial derivada do ruído ambiente
FIPS 140-2
Página 7 de 10
© 2012 ICTS : Protiviti Member Firm
Avaliação e resultados
Após recebimento das RFIs preenchidas pelos fornecedores, ilustramos na seguinte matriz a sua
conformidade com diversos critérios de avaliação:
Os três primeiros fornecedores, GoldLock, ComSec e Securstar, atendem a todos os critérios. Outro
diferencial destes fornecedores é o fato de possuirem revendas no Brasil, o que facilita a gestão de
contratos e sua aquisição.
O produto da CopyTele, apesar de atender alguns critérios, apresenta tecnologia defasada em
relação aos seus concorrentes, sendo que seu produto é compatível apenas com aparelhos que
utilizam a porta RS-232C e não suporta aparelhos que possuam apenas USB.
A empresa Rohdes & Schwarz não atendeu a todos os critérios por seus produtos serem compatíveis
apenas com a rede GSM e por exigirem o uso de acessórios para que os mesmos funcionem,
diminuindo assim a abrangência e facilidade de uso.
Os últimos dois fornecedores (AOS e General Dynamics) além de seus produtos não atenderem por
completo os critérios definidos, não responderam adequadamente ao contato da ICTS (não
efetuaram o preenchimento da RFI-Request for Information).
Página 8 de 10
© 2012 ICTS : Protiviti Member Firm
Como resultado deste primeiro benchmark, três das soluções se mostraram mais adequadas à
realidade dos nossos clientes e aos critérios de análise, conforme a tabela abaixo.
Apesar deste resultado, recomendamos que todos os fornecedores e eventuais outros não
contemplados nesta análise sejam inclusos em qualquer análise, pois o ciclo de atualização de
tecnologia é muito curto e a melhor solução hoje pode não se adequar a sua necessidade de
amanhã.
Página 9 de 10
© 2012 ICTS : Protiviti Member Firm
Sobre a ICTS Global
A ICTS é uma empresa de consultoria, auditoria e serviços com a atuação mais abrangente
em gestão de riscos de negócios. Representa no Brasil a Protiviti, a 6ª maior consultoria do
mundo, empregando mais de 3.000 profissionais e servindo mais de 1.000 clientes através
de 65 escritórios em 16 países nas Américas, Europa e Asia-Pacífico.
A ICTS detém extensa expertise na condução de programas completos e eficazes de
proteção às informações, desenvolvendo mecanismos de gestão e tratamento seguro de
informações sensíveis em seus diferentes formatos.
Para maiores informações sobre nossos serviços ou sobre a ICTS,
acesse www.ictsglobal.com, pelo e-mail [email protected]
ou pelo telefone +55 (11) 2198-4200.
Página 10 de 10
© 2012 ICTS : Protiviti Member Firm