Zapewne większość czytelników słyszała już o doniesieniach dot. firmy RSA, która to wg agencji Reutera otrzymała od NSA 10 milionów dolarów za promowanie standardu kryptograficznego z tylną furtką.W skrócie historia jest taka. We wrześniu tego roku w mediach pojawiły się wzmianki na temat narzędzi szyfrowania złamanych przez wywiad amerykański . Wówczas usłyszeliśmy o tym, że Agencja Bezpieczeństwa Narodowego (NSA) dołożyła starań do promowania takich standardów szyfrowania, które nie będą całkiem skuteczne. Również wtedy okazało się, że jedną z firm współpracujących z NSA mogła być RSA Security LLC. RSA w swoim oprogramowaniu BSAFE zastosowała wadliwy generator liczb losowych, co ułatwiało złamanie zabezpieczeń.
Już przed rewelacjami Snowdena eksperci od bezpieczeństwa wyrażali wątpliwości co do tej technologii i pojawiły się informacje o możliwości tylnej furtki dla władz. Wśród spekulacji na ten temat pojawiały się także takie, że firma RSA mogła współpracować z NSA pod naciskiem, oczywiście nie brana była pod uwagę opcja finansowa.
Faktem jest, że RSA niedługo po wyciekach Snowdena samo radziło swoim klientom, aby nie korzystali z tego algorytmu. Wówczas we wrześniu dodatkowo dowiedzieliśmy się, że na liście firm korzystających z tego standardu znajdziemy także takie firmy jak: CISCO, Juniper, Blackberry, Microsoft, McAfee, OpenSSL-FIPS czy Thales.
Firma RSA początkowo nie skomentowała najnowszych doniesień Reutersa, wydała jedynie oświadczenie, że „zawsze działa w najlepszym interesie swoich klientów” i „w żadnych okolicznościach nie projektuje i nie wdraża tylnych furtek” do produktów. Oświadczenie w czasie teraźniejszym, nie wykluczającym faktu, że firma w przeszłości mogła robić coś takiego.
Wczoraj natomiast RSA opublikowała na swoim blogu komentarz dotyczący doniesień prasowych. Firma kategorycznie zaprzeczyła doniesieniom prasowym o rzekomym zawarciu „tajnej umowy” z NSA o naniesienie znanego wadliwego generatora liczb losowych do swoich bibliotek szyfrowania BSAFE . RSA podkreśliło w komentarzu, że współpracowała z NSA jako dostawca i aktywny członek wspólnoty bezpieczeństwa. Nigdy nie utrzymywała tego związku w sekrecie. A wyraźnym celem firmy zawsze było wzmocnienie bezpieczeństwa firm komercyjnych i rządowych.
Podsumowując – faktem jest, że Internet aż wrze od tej wiadomości. Wzmaga się ogólne oburzenie. Mikko Hypponen chce odwoływać występ na konferencji RSA. Jednakże wiadomość o transakcji pochodzi co najmniej sprzed kilku miesięcy, nie ma też bezpośrednich dowodów jej zawarcia.
Sprawa warta uwagi i śledzenia.
Źródło: Reuters, Blog RSA