Az RSA Security tagadja a korrupciós vádakat

A világ egy vezető biztonsági cége, az EMC tulajdonában lévő RSA Security LLC tegnap hivatalos közleményben tagadta, hogy egy 10 millió dolláros titkos szerződés keretében az amerikai nemzetbiztonsági ügynökség, az NSA (National Security Agency) kívánságára szándékosan egy gyengített titkosítást eredményező komponenst használtak volna fel egyik termékükben.

Ahogy az IT café is beszámolt róla, a Reuters hírügynökség két nevét nem vállaló forrástól úgy értesült, hogy az NSA állítólag 10 millió dollárt fizetett az RSA Securitynek, hogy azok titkosítási algoritmusaikban egyfajta „back doort”, hátsó ajtót alkalmazzanak.

A biztonsági gondok már pár hónapja nyilvánosságra kerültek, amikor kiderült, hogy RSA BSAFE eszköztárai, illetve a Data Protection Manager a Dual_EC_DRBG véletlenszám-generátort tartalmazza alapértelmezésben, amely viszont alacsony szintű, így könnyen feltörhető titkosítást eredményez. Az elmúlt hónapokban felmerült a gyanú, hogy a Dual_EC_DRBG elégtelen működéséhez az NSA szabványosítási lobbitevékénysége vezetett, akik aztán e komponens használatát forszírozták, hogy kapacitásaikat kihasználva viszonylag egyszerűen bejuthassanak védett rendszerekbe.

Az RSA tagad mindent

Az RSA közleménye leszögezi, hogy soha nem titkoltak el semmit, mindig is a nagy nyilvánosság előtt működtek együtt a nemzetbiztonsági ügynökséggel, és a közös munka célja az, hogy a kereskedelmi és a kormányzati szféra informatikai biztonságát erősítsék.

Ezek után pontokba szedve foglalják össze, hogy miért a Dual_EC_DRBG-t választották:

  • a cég 2004-ben tette alapértelmezetté a Dual_EC_DRBG véletlenszám-generátort a BSAFE eszköztáraiban, épp a titkosítás erősítése céljából, és akkoriban az NSA kiemelkedően pozitív szereplő volt a biztonsági iparban
  • a Dual_EC_DRBG opcionális komponens, a felhasználók bármikor lecserélhetik egy másikra
  • amíg a Dual_EC_DRBG a szabványügyi hatóságok támogatását élvezte, az RSA is aggodalom nélkül használta, és amikor 2007-ben felmerültek az első aggályok, úgy határoztak, hogy az amerikai szabványügyi szervezet (National Institute of Standards and Technology – NIST) véleményére támaszkodnak majd, akik vizsgálták a generátor biztonságosságát
  • amikor idén szeptemberben a NIST közölte, hogy nem ajánlják tovább a Dual_EC_DRBG használatát, akkor az RSA is átvette ezt a véleményt, és erről a felhasználókat is tájékoztatták
  • Kapcsolódó cégek:
  • EMC

Azóta történt

Előzmények