Μια από τις πιο αξιόπιστες μορφές κρυπτογράφησης και ασφάλειας του διαδικτύου (προ NSA) της εταιρείας RSA Security (τώρα είναι τμήμα της EMC Corp), είναι υπό αμφισβήτηση μετά την θύελλα αποκαλύψεων που προέκυψαν από τα έγγραφα που διέρρευσε ο Edward Snowden.
Τα έγγραφα αποκάλυπταν ότι η NSA είχε δημιουργήσει ένα ελαττωματικό σύστημα τυχαίων αριθμών (Dual_EC_DRBG), Dual Elliptic Curve, το οποίο η μεγαλύτερη εταιρεία ασφάλειας RSA χρησιμοποιούσε στο εργαλείο-γεννήτρια αριθμών κρυπτογράφησης BSAFE.
Μέχρι σήμερα η RSA Security υποστήριζε ότι όλα αυτά δεν είναι αλήθεια, όμως ένα νέο έγγραφο του Snowden αποκάλυψε ότι η RSA έλαβε 10 εκατομμύρια δολάρια από την NSA για να διατηρήσει την κρυπτογράφηση της αδύναμη.
Ερευνητές από το Johns Hopkins, το Πανεπιστήμιο του Wisconsin, και το Πανεπιστήμιο του Illinois ισχυρίζονται ότι η εταιρεία ασφαλείας υιοθέτησε ένα εργαλείο που τους πρότεινε η NSA, το Extended Random extension που το χρησιμοποιούσαν για “ασφαλείς ιστοσελίδες.” Φυσικά το εργαλείο άφηνε backdoors για την NSA και βοηθούσε την μυστική υπηρεσία να παραβιάσει το Dual Elliptic Curve πάρα πολύ γρήγορα όπως αναφέρει το Reuters.
(οι ερευνητές χρειάστηκαν 3 δευτερόλεπτα να σπάσουν ένα free version του BSafe για τη γλώσσα προγραμματισμού C ακόμα και χωρίς Extended Random, γιατί είχαν ήδη δημιουργήσει αρκετά random bits πριν αρχίσει η ασφαλής σύνδεση.)
Το Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC_DRBG) είναι μια γεννήτρια κρυπτογράφησης που παράγει ψευδό-τυχαίους αριθμούς και αναπτύχθηκε από τους κρυπτογράφους της Εθνικής Υπηρεσίας Ασφαλείας (NSA) και αργότερα υιοθετήθηκε από την RSA Security στο σετ ασφαλείας που χρησιμοποιούσε, το BSAFE δηλαδή, το οποίο ενέκρινε την Dual Elliptic Curve.
“Ενώ το Extended Random δεν υιοθετήθηκε ευρέως, η νέα έρευνα ρίχνει φως στο τρόπο που η NSA επέκτεινε την εμβέλεια της επιτήρησης της με υποτιθέμενες συμβουλές προστασίας σε διάφορες επιχειρήσεις.”
Η RSA Security είχε αρνηθεί τις κατηγορίες, και δήλωσε ότι δεν είχε πρόθεση να αποδυναμώσει την ασφάλεια των προϊόντων της. Το Extended Random είχε αφαιρεθεί από το λογισμικό προστασίας της RSA Security τους τελευταίους έξι μήνες.
“Θα μπορούσαμε να είμαστε πιο επιφυλακτικοί για τις προθέσεις της NSA” ανέφερε ο Υπεύθυνος Τεχνολόγος της RSA, Sam Curry στο Reuters . “Τους εμπιστεύτηκαν επειδή είναι επιφορτισμένοι με την ασφάλεια της κυβέρνησης και των κρίσιμων υποδομών των ΗΠΑ.”
Μέχρι στιγμής δεν έχει αποκαλυφθεί αν η RSA έχει λάβει χρήματα από την NSA για την προσθήκη αυτού του δεύτερου backdoor ή όχι. Όμως η είδηση θέτει και πάλι κάποια ανησυχητικά ερωτήματα στο μυαλό του καθενός από εμάς για τη σχέση της υπηρεσίας ασφαλείας με την υπηρεσία πληροφοριών των ΗΠΑ NSA.