Hirdetés

Kriptobotrány: sántít az RSA magyarázkodása

|

Csak első olvasatra egyenes az amerikai hírszerzés általi lefizetésük tagadása.

Hirdetés

A biztonsági szakma idei talán legnagyobb felháborodását kiváltva pénteken a Reuters snowdenes dokumentumokra hivatkozva megírta, hogy az amerikai hírszerzés 10 millió dollárt fizethetett a neves biztonsági cégnek. A kenőpénzért cserébe az RSA hátsó kaput tartalmazó véletlenszám-generátort tehetett alapértelmezetté az ipari alkalmazásokban való adattitkosításra használt BSAFE eszközkészletében.

Hirdetés


A Reuters megkeresésére az RSA tagadta a vádat, tegnap pedig egy sajtóközleményben kifejtette, hogy semmiféle titkos szerződés sem jött létre közte és az NSA közt, a média frissen megjelent beszámolóit „kategorikusan” tagadja.


A cég szerint RSA és NSA közti kapcsolat mindig is publikus volt, mindkét fél célja végig a civil és állami titkosítási megoldások erősítése volt. Ugyan 2004-ben valóban alapértelmezetté tették a BSAFE készletükben a Dual_EC_DRBG generátort, ám az ügyfelek használhattak helyette három másikat. Ezen túlmenően az algoritmus 2007-ben bebizonyított hátsó kapuja ellenére az RSA végig a releváns szabványügyi szervezet véleményét követte, ám a NIST csak most szeptemberben tette konkrétan ellenjavasolttá a generátor használatát, amelyről az RSA rögtön informálta az ügyfeleit.


Mindez elsőre elfogadható magyarázatnak tűnik, azonban a Reuters beszámolója szerint az NSA készpénzben fizetett Dual_EC_DRBG alapértelmezetté tételéért. Ebből ítélve amennyiben hiteles a hírügynökség beszámolója, akkor nem hogy titkos, de talán formális szerződés sem jöhetett létre a felek közt. Pénzelfogadást szó szerint nem tagadott a vállalat.


Végül az is érdekes, hogy felelős és vezető piaci szereplő lévén az RSA három garantáltan biztonságos generátor valamelyike helyett miért pont az egyetlen széles körben vitatottak tette alapértelmezetté a BSAFE-ben, mikor a bizalomra épülő biztonsági iparban – különösen egy RSA szintű cég esetében – még a gyanú árnyékának is elégnek kellene lennie egy algoritmus használatának teljes elutasítására.


(Forrás: The Verge, RSA | Fotó: Rian Castillo / Flickr)

Komolyabban érdekel az IT? Informatikai, infokommunikációs döntéshozóknak szóló híreinket és elemzéseinket itt találod.

Hirdetés
Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.

A Project029 Magyarország Kft. közleménye
Bezár