Heeft de NSA impact op RSA security?
Volgens Reuters zou de NSA aan securityspecialist RSA 10 miljoen dollar hebben betaald om eenn verzwakt algoritme in te bouwen in zijn BSAFE encryptietools.
Volgens Reuters zou de NSA aan securityspecialist RSA 10 miljoen dollar hebben betaald om eenn verzwakt algoritme in te bouwen in zijn BSAFE encryptietools.
In september werd door de New York Times al gemeld dat de NSA een verzwakt algoritme voor het genereren van ‘random’ cijfers had gecrëerd, waarna Reuters er op wees dat securityspecialist RSA – nu onderdeel van EMC – daarvan de belangrijkste verdeler werd, dank zij de BSAFE toolkits.
Reuters stelt nu dat RSA hiervoor van de NSA een bedrag van 10 miljoen dollar werd betaald. Volgens Reuters zou dank zij die overeenkomst de verzwkate NSA versie van het Dual Elliptic Curve algoritme de standaardinstelling (default) in de RSA toolkits worden. Gezien de populariteit van deze toolkits – ze worden door heel wat bedrijven gebruikt als basis voor hun securityproducten – werd zo de verzwakkng op zeer brede schaal verspreid.
In een antwoord stelt RSA dat het steeds open heeft gecommuniceerd over zijn relatie met de NSA, en vertrouwde op de “betrouwbare rol die de NSA speelde in de gemeenschapswijde inspanning om encrypyie te verstevigen, en niet te verzwakken.”
Voorts is het ‘elliptic curve’ algoritme “slechts één van de keuzes in de BSAFE toolkits,” en vertrouwde RSA op het oordeel van de Amerikaanse standaardorganisatie NIST bij eerdere twijfels over het algoritme (in 2007). En RSA “volgde het advies van NIST in september [laatstleden] om het algoritme niet meer te gebruiken, en communiceerde hierover met onze klanten, met een open discussie over de verandering in de media.”
RSA besluit met de opmerking dat “RSA, als een securitybedrijf, nooit details over klantenverbindtenissen vrijgeeft, maar we stellen ook categoriek dat we nooit een contract zijn aangegaa, en hebben meegewerkt aan een project met de intentie om RSA producten te verzwakken of om mogelijke ‘backdoors’ [achterdeurtjes] in onze producten in te bouwen voor eender wiens gebruik.” Zo heeft RSA inderdaad indertijd heftig strijd gevoerd tegen de mogelijk inbouw van de Clipper chip in toestellen, waardoor het mogelijk zou zijn om beveiligde communicaties over die toestellen toch af te luisteren – een initiatief van de toenmalige president Clinton. Maar vervolgens zouden heel wat experts het bedrijf hebben verlaten, en zou een meer NSA-genegen politiek zijn gevored, stelt Reuters.
Fout opgemerkt of meer nieuws? Meld het hier