NSA platila RSA 10 miliona dolara za implementaciju algoritma sa backdoor-om

Vesti, 23.12.2013, 07:14 AM

Američka Nacionalna bezbednosna agencija platila je 10 miliona dolara kompaniji RSA, koja uživa status pionira u industriji kompjuterske bezbednosti, za implementaciju slabog algoritma enkripcije u široko primenjeni sigurnosni softver BSafe, javio je Rojters.

Tajni dogovor je bio deo nastojanja NSA da oslabi standarde enkripcije da bi se pomoglo programima agencije za masovni nadzor.

Rojters se poziva na dva neimenovana izvora koji su upoznati sa ugovorom. U septembru su o višegodišnjim pokušajima NSA da oslabi standarde bezbednosti pisali Gardijan i Njujork Tajms, pozivajući se na dokumente koji su procureli zahvaljujući bivšem službeniku agencije Edvardu Snoudenu. Već tada se saznalo da su stručnjaci za kriptografiju NSA namerno radili na razvoju i širenju standarda koji bi omogućili “backdoor” u sigurnosnim softverskim proizvodima. Dokumenta koja je medijima dostavio Snouden otkrila su da je NSA imala udela u procesu postavljanja kriptografskih standarda, pokušavajući da progura algoritam za koji je agencija znala da je slab.

Kako piše Rojters, RSA je uzela novac od NSA da bi implementirala Dual EC DRBG (Dual Elliptic Curve Deterministic Random Bit Generator) tehnologiju u široko primenjeni softver BSafe.

Predstavnici kompanije RSA rekli su Rojtersu da je kompanija uvek radila u najboljem interesu korisnika i da ni u kom slučaju RSA nije dizajnirala ili omogućila backdoor u svojim proizvodima.

Ipak, izvori Rojtersa, jedan trenutno zaposleni radnik RSA i jedan bivši zaposleni otkrili su da je kompanija napravila grešku kada se saglasila sa ugovorom. Oni su istakli i da vlasti nisu otkrile da znaju kako da razbiju enkripciju koju su predložile. Naprotiv, NSA je formulu nazvao “sigurnosna tehnološka prednost”.

Dual EC DRBG algoritam je algoritam pseudo-nasumičnog generisanja brojeva koji uključuje kriptograski standard SP 800-90 odobren od strane američkog Nacionalnog instituta za standarde i tehnologiju (National Institute of Standards and Tecnology, NIST). Ubrzo pošto je predstavljen, Dual EC DRGB je osporen od strane stručnjaka Microsoft-a, 2007. godine, koji su dokazali da on može biti “backdoor-ovan”. Dual EC DRGB je zbog toga uglavnom ignorisan i veoma retko korišćen.

Jedan od izuzetaka bio je BSafe kod koga je Dual EC DRGB bio default algoritam. Međutim, zbog sumnjičavosti u vezi Dual EC DRGB, nametalo se pitanje zašto je RSA donela tako neobičnu odluku da koristi algoritam kome se već nije verovalo.

Kako piše Rojters, RSA je imala finansijski motiv da postavi Dual EC kao default algoritam u BSafe, jer 10 miliona dolara koliko je od NSA dobila kompanija je više od trećine godišnjeg prihoda ogranka RSA koji je zadužen za ovaj softver.

Implemetacija Dual EC tehnologije pomogla je NSA da ubedi NIST da 2006. godine odobri Dual EC algoritam kao metod generisanja nasumičnih brojeva i jedan od četiri algoritma koji su prihvatljivi za upotrebu u institucijama vlasti. Izvor Rojtersa rekao je da je NIST prihvatio Dual EC delom zbog toga što su ga mnoge vladine institucije već koristile.

Međutim, višegodišnje sumnje u delotvornost Dual EC okončane su kada su se u septembru pojavile tvrdnje o nastojanjima NSA da oslabi sigurnosne standarde, nakon čega je NIST preporučio da se Dual EC ne koristi, a RSA reagovala u skladu sa tom preporukom. RSA je u preporučila korisnicima BSafe da ne koriste Dual EC i da koriste druge algoritme koje podržava softver