Benchmark 2012 de encriptação de dispositivos
Transcrição
Benchmark 2012 de encriptação de dispositivos
Benchmark de encriptação de dispositivos de comunicação móveis celulares Junho de 2012 © 2012 ICTS : Protiviti Member Firm Índice Introdução ......................................................................................................... 3 Metodologia ...................................................................................................... 4 Fornecedores e produtos avaliados .................................................................... 5 Avaliação e resultados ....................................................................................... 8 Sobre a ICTS Global .......................................................................................... 10 Página 2 de 10 © 2012 ICTS : Protiviti Member Firm Introdução A ICTS, através da sua prática de Segurança e Governança de TI, realizou no final de 2011 e início de 2012 um amplo estudo das tecnologias de encriptação de dispositivos de comunicação móveis celulares disponíveis no Brasil. Este estudo procurou analisar diversos aspectos, desde tipos de encriptação oferecida até seus serviços de pré e pós-vendas, que pode ser tão importante quanto a própria tecnologia, quando se fala em implantar estas soluções nos mais diversos aparelhos celulares e prover suporte em todo o território nacional ou mesmo no exterior. A ICTS buscou o máximo de imparcialidade e independência, realizando os contatos e testes a partir dos canais normais de contato destes fabricantes e representantes, e também os procurando para solucionar eventuais problemas encontrados ou dúvidas. Como qualquer benchmark ou teste, a análise representa uma fotografia de um momento, que pode não refletir a realidade do dia de hoje. Mesmo assim, acreditamos que esta avaliação pode contribuir para a disseminação deste tipo de tecnologia e melhoria dos produtos e serviços oferecidos. Da mesma forma que o tema segurança está em constante evolução, a ICTS continua buscando soluções, tendências e idéias eficazes para a redução dos riscos em seus clientes, e esperamos que você possa utilizar este documento para reforçar ainda mais a segurança das suas comunicações. Obrigado, Marco Ribeiro Executivo Responsável Segurança e Governança de TI ICTS : Protiviti Member Firm Página 3 de 10 © 2012 ICTS : Protiviti Member Firm Metodologia A seleção de uma solução para segurança de comunicações de voz esta fundamenta em 3 etapas: Levantamento de Informações o Dados cadastrais o Responsáveis pela elaboração de propostas comerciais o Informações do(s) Produto(s) o Experiência no mercado o Principais clientes e serviços ofertados o No caso destas dependerem de outros fornecedores, entender: Prazos de Entrega Pós-Venda e Manutenção Inovações Tecnológicas Parcerias Qualidade dos serviços prestados o Potenciais concorrentes o o o o Avaliação de fornecedores Prova de Conceito Comparação dos dados levantados Identificação das empresas melhor colocadas no mercado e que apresentam menor risco na aquisição e pós-venda Comparação técnica das soluções Seleção de fornecedores e convite para realização da prova de conceito o Solicitação de POC por 30 dias, com estabelecimento de indicadores para avaliação da solução o As soluções deverão preferencialmente ser instaladas e utilizadas durante os prazos especificados por clientes finais, além da equipe de consultores da ICTS. O levantamento de informações dos fornecedores deu-se através de contato telefônico e por e-mail, sendo que todos receberam um mesmo formulário para preenchimento e resposta. Página 4 de 10 © 2012 ICTS : Protiviti Member Firm Fornecedores e produtos avaliados Abaixo segue a lista de fornecedores convidados, seus produtos e especificações. Fornecedor 1 Nome WebSite Produto Equipamentos Suportados Redes Compativeis Algoritmo de Encriptação Certificação Governamental Fornecedor 2 Nome WebSite Produto Equipamentos Suportados Redes Compativeis Algoritmo de Encriptação Gold Lock https://www.gold-lock.com/app/pt/product/Goldlock3G Gold Lock 3G Nokia 5230, Nokia 5700, Nokia 5800, Nokia 6110, Nokia 6210, Nokia 6220, Nokia 6290, Nokia 6120c, Nokia E51, Nokia E52, Nokia E63, Nokia E66, Nokia E71, Nokia E72, Nokia E75, Nokia E90, Nokia N76, Nokia N78, Nokia 79, Nokia N81, Nokia N82, Nokia N85, Nokia N95, Nokia N95-8GB, Nokia N97, Nokia E5 BlackBerry (OS 4.6+) iPhone PC/ Laptops (Windows XP, Windows Vista, Windows 7) Android WI-FI, 3G, GSM, GPRS, EDGE, UMTS, CDMA Autenticação de 16.384 Bits Curva Eliptica de 384 Bits AES 256 Bits Diffie Hellman 4096 Bits Ministério da Defesa de Israel Securstar (Revendedor - TLS Informática) http://www.securstar.com/products_phonecrypt.php PhoneCrypt 3G Celulares Smartphones: o Nokia o BlackBerry o iPhone o Aparelhos com Microsoft Windows Mobile Telefonia Fixa IP/SIP e Digital 3G/GPRS/EDGE/HSPA RSA de criptografia para troca de chaves AES (SHA 256) de criptografia para comunicação Criptografia por container (cofre virtual) de documento e diretório (PocketCrypt) Certificação Governamental Página 5 de 10 © 2012 ICTS : Protiviti Member Firm Fornecedor 3 Nome WebSite Produto Equipamentos Suportados Redes Compativeis Algoritmo de Encriptação Certificação Governamental Fornecedor 4 Nome WebSite Produto Equipamentos Suportados Redes Compativeis Algoritmo de Encriptação Certificação Governamental Fornecedor 5 Nome WebSite Produto Equipamentos Suportados Redes Compativeis Algoritmo de Encriptação Rohdes & chwarz http://www2.rohdeschwarz.com/en/products/secure_communications/voice_and_data _encryption/ TopSec GSM & TopSec Mobile Equipamento Próprio GSM frequência de 900 MHz e 1800 MHz 128 bit key Recomendado pela Agência Alemã de Segurança da Informação Certificado ISO9001 AOS (Thrane & Thrane) http://www.aosusa.com/technologies/secure_voice_data Explorer 727 Equipamento Próprio Satellite (utilize ISDN) Copytele http://www.copytele.com/encryption.html DCS-1200/ USS-900 Equipamento Próprio DB9 Serial Connector Harris CITADELTM, Triple DES or the Advanced Encryption Standard (AES) Certificação Governamental Fornecedor 6 Nome WebSite Produto Equipamentos Suportados Redes Compativeis Algoritmo de Encriptação Certificação Governamental General Dynamics – C4 Systems http://www.gdc4s.com/content/detail.cfm?item=3d003d5d-f1894ba5-9589-b86d74178c22 Sectéra vIPer Universal Secure Phone Equipamento Próprio Página 6 de 10 © 2012 ICTS : Protiviti Member Firm Fornecedor 7 Nome WebSite Produto Equipamentos Suportados Redes Compativeis Algoritmo de Encriptação Certificação Governamental ComSec www.comsec.com.br CellCrypt Apple (iPhone, iPad, iPod), BlackBerry, Android, Nokia (Symbian) GSM, CDMA, EDGE, 3G, 4G, WiFi, satélite (INMARSAT) Criptografia pública: 2048-bit RSA & ECDSA com prime moduli em curva elíptica de 384bits Criptografia simétrica: AES & RC4, ambas com 256bits Hashing: SHA512, MD5 Random key genaration: seed de 2048-bit trocada periodicamente, seed inicial derivada do ruído ambiente FIPS 140-2 Página 7 de 10 © 2012 ICTS : Protiviti Member Firm Avaliação e resultados Após recebimento das RFIs preenchidas pelos fornecedores, ilustramos na seguinte matriz a sua conformidade com diversos critérios de avaliação: Os três primeiros fornecedores, GoldLock, ComSec e Securstar, atendem a todos os critérios. Outro diferencial destes fornecedores é o fato de possuirem revendas no Brasil, o que facilita a gestão de contratos e sua aquisição. O produto da CopyTele, apesar de atender alguns critérios, apresenta tecnologia defasada em relação aos seus concorrentes, sendo que seu produto é compatível apenas com aparelhos que utilizam a porta RS-232C e não suporta aparelhos que possuam apenas USB. A empresa Rohdes & Schwarz não atendeu a todos os critérios por seus produtos serem compatíveis apenas com a rede GSM e por exigirem o uso de acessórios para que os mesmos funcionem, diminuindo assim a abrangência e facilidade de uso. Os últimos dois fornecedores (AOS e General Dynamics) além de seus produtos não atenderem por completo os critérios definidos, não responderam adequadamente ao contato da ICTS (não efetuaram o preenchimento da RFI-Request for Information). Página 8 de 10 © 2012 ICTS : Protiviti Member Firm Como resultado deste primeiro benchmark, três das soluções se mostraram mais adequadas à realidade dos nossos clientes e aos critérios de análise, conforme a tabela abaixo. Apesar deste resultado, recomendamos que todos os fornecedores e eventuais outros não contemplados nesta análise sejam inclusos em qualquer análise, pois o ciclo de atualização de tecnologia é muito curto e a melhor solução hoje pode não se adequar a sua necessidade de amanhã. Página 9 de 10 © 2012 ICTS : Protiviti Member Firm Sobre a ICTS Global A ICTS é uma empresa de consultoria, auditoria e serviços com a atuação mais abrangente em gestão de riscos de negócios. Representa no Brasil a Protiviti, a 6ª maior consultoria do mundo, empregando mais de 3.000 profissionais e servindo mais de 1.000 clientes através de 65 escritórios em 16 países nas Américas, Europa e Asia-Pacífico. A ICTS detém extensa expertise na condução de programas completos e eficazes de proteção às informações, desenvolvendo mecanismos de gestão e tratamento seguro de informações sensíveis em seus diferentes formatos. Para maiores informações sobre nossos serviços ou sobre a ICTS, acesse www.ictsglobal.com, pelo e-mail [email protected] ou pelo telefone +55 (11) 2198-4200. Página 10 de 10 © 2012 ICTS : Protiviti Member Firm