Sikkerhedskonferencen ‘RSA Conference’ er i fuld gang i San Francisco i disse dage, men den normalt toneangivende og stjernespækkede konference har i år været ramt af en byge af afbud fra oplægsholdere, der i protest mod RSA’s brug af en usikker kryptering har holdt sig væk.
Blandt de mange afsløringer, Edward Snowdens læk af NSA-dokumenter har frembragt, var nemlig også historier om, hvordan NSA bevidst svækkede tilfældighedsalgoritmen Dual_EC_DRBG og dermed fik mulighed for at bryde kryptering, der brugte denne komponent.
Det gjorde RSA, oven i købet som standardvalg i produktet Bsafe, og i december lød historien, at RSA ligefrem modtog en betaling fra NSA på 10 millioner dollars for at samarbejde – men altså også dermed underløbe kundernes sikkerhed.
Historien bider dog ikke på Bruce Schneier, en af verdens mest respekterede it-sikkerhedsfolk, og en af de få, der har haft direkte adgang til NSA-dokumenterne fra Edward Snowdens læk.
I et interview med The Register forklarer han, at RSA efter hans vurdering ikke har gjort sig skyldig i bevidst at svække sikkerheden i firmaets produkter. RSA er også et offer, ikke en medskyldig, mener Bruce Schneier.
Faktisk ville RSA slet ikke komme på hans egen top 10-liste over firmaer, man burde boykotte oven på NSA-afsløringerne, hvor et teleselskab som AT&T i stedet står meget højt for at have samarbejdet så meget med NSA gennem årene.
Alligevel bruger den amerikanske sikkerhedsguru selv AT&T – for de andre selskaber er nok ikke meget bedre, vurderer han. Problemet i dag er, at man ikke kan stole på nogen af leverandørerne, for selvom de er i den bedste mening, kan de både være kompromitteret af NSA, uden at de selv ved det, eller være juridisk tvunget til at holde mund.
Og selvom NSA’s spionarbejde og beskidte vasketøj nu bliver hængt ud offentligt, skal vi ikke tro at andre stormagter opfører sig anderledes på nogen måde. Når debatten har raset ud, vil konsekvenserne af Snowdens afsløringer nok ikke være, at amerikanske produkter bliver fravalgt i stor stil – for alternativet til for eksempel hardware fra amerikanske Juniper er et kinesisk produkt fra Huawei, pointerer Bruce Schneier.
Leave a Reply