Først måtte RSA advare sine kunder mod at bruge krypteringensalgoritmen Dual_EC_DRBG, efter Edward Snowdens afsløringer i efteråret viste, at efterretningstjenesten NSA bevidst havde svækket sikkerheden i den.
Og nu står RSA med et endnu større forklaringsproblem. Ifølge nyhedsbureauet Reuters var det nemlig ikke bare manglende omtanke, der fik RSA til at holde fast i Dual_EC_DRBG-algoritmen, som de fleste andre havde droppet, men en kontant aftale med NSA, der udløste 55 millioner kroner som tak for hjælpen.
RSA afviser ‘kategorisk’, at firmaet bevidst har indbygget bagdøre eller svækket sikkerheden i produkterne. Det skriver RSA i en pressemeddelelse.
Den svage krypteringsalgoritme blev taget i brug i 2004 og indgik i produktet Bsafe, som en af flere muligheder. Dengang var der tillid til, at NSA’s råd om valg af kryptering var fornuftige, skriver firmaet, der også forsvarer brugen af algoritmen frem til september 2013 med, at den indtil da var godkendt af USA’s teknologiske standard-organisation National Institute of Standards and Technology (NIST).
Reuters skriver, at selvom aftalen om de 10 millioner dollars, som to kilder har fortalt nyhedsbureauet om, ikke syner af meget hos kæmpefirmaet RSA, udgjorde pengene en tredjedel af overskuddet i den division, hvor aftalen blev indgået.
Algoritmen Dual_EC_DRBG er en tilfældighedsgenerator baseret på et princip om elliptiske kurver, som NSA selv udviklede. RSA tog algoritmen i brug allerede i 2004, altså inden den var godkendt af NIST, og gjorde den til standardvalg i sikkerhedskittet Bsafe.
Men allerede i 2006 var der kritik af algoritmen, som viste sig ikke at være så tilfældig alligevel. It-sikkerhedsguruen Bruce Schneier mente, at der var en bagdør bygget ind, og to ansatte hos Microsoft demonstrerede i 2007, hvordan man kunne bryde kryptering bygget på algoritmen. Det fik industrien til generelt at afskrive den omstridte tilfældighedsgenerator.
Leave a Reply