RSA Security, et av de verdens viktigste selskap innen IT-sikkerhet, skal på et tidspunkt ha mottatt 10 millioner dollar fra den amerikanske etterretningsorganisasjonen NSA for å gjøre en NSA-kontrollert generator av psevdo-tilfeldige tall til den anbefalte metoden i selskapets BSafe-programvare. Dette melder nyhetsbyrået Reuters.
I september i år ble det via Edward Snowden lekket rapporter om hvordan NSA gikk fram for å overta ansvaret for å skrive standarden som generatoren er basert på. Standarden, Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator), brukes av en lang rekke sikkerhetsprodukter, men antas å inneholde svakheter som fungerer som en bakdør for NSA.
Allerede i 2007 advarte flere sikkerhetsspesialister om at Dual_EC_DRBG kunne ha bakdører. Denne mistanken ble betydelig styrket av dokumentene som Snowden lekket.
Den hemmelige avtalen mellom NSA og RSA har Reuters fått vite om av to ikke navngitte kilder som har kjennskap til kontrakten.
Det er uklart på hvilket tidspunkt NSA og RSA inngikk kontrakten, men Reuters siterer tidligere ansatte som forteller at selskapet i løpet av årene endret seg fra å være en aktør som bekjempet NSA til å bli ett av de mange selskapene som anser amerikanske myndigheter som en partner i bekjempelsen av utenlandske hackere. RSA ble kjøpt av EMC i 2006.
Reuters har intervjuet et dusin tidligere og nåværende ansatte i RSA. De fleste mener at det var feil av RSA å inngå en slik kontrakt med NSA. Men flere mener at selskapet har blitt villedet av myndighetene, som skal ha presentert Dual_EC_DRBG-standarden som et sikkert, teknologisk framskritt, uten å avsløre svakhetene som senere har blitt funnet.
Fortsatt skal det ikke ha blitt påvist at svakhetene utgjør en bakdør. Men det anses som sannsynlig. Etter avsløringene i september har RSA oppfordret selskapets kunder til å slutte å bruke Dual_EC_DRBG.
Leave a Reply