Pár órával Barack Obama NSA-bizottságának jelentéséről szóló beszámolónk után hatalmas bombát dobott a Reuters, ugyanis a hírügynökség Edward Snowdentől származó dokumentumai alapján az amerikai hírszerzés lényegében megvesztegette az EMC tulajdonában lévő RSA biztonsági céget. A világszerte jó hírnévnek örvendő vállalat saját végfelhasználói megoldásainak forgalmazása mellett másoknak is árul különféle titkosítási algoritmusokat, a Fortune 500 lista cégeinek 90 százaléka használ tőlük származó implementációkat.
A Reuters szerint az NSA 10 millió dollárt adott a vállalatnak, hogy a zárt forráskódú BSAFE eszközkészletében a Dual_EC_DRBG véletlen számok generálására kitalált algoritmus legyen az alapértelmezett, méghozzá teljes titokban. A kérdéses eljárást mindig is gyanakvással kezelték a biztonsági szakemberek, ugyanis szabványosítása előtt az NSA nyomására rendkívül nehezen érthető módosítások történtek benne.
Hatalmas ügy ettől függetlenül sokáig nem lett belőle, lévén a lassúsága miatt a fejlesztők amúgy is kerülték a használatát. Végül 2007-ben kiderült, hogy az elliptikus görbéjét generáló konstansok kapcsolatban állnak egy rejtett második állandókészlettel. Utóbbiak ismeretében, továbbá a függvény 32 bájtnyi kimenetének elfogása után teljesen megjósolhatóak a generált „véletlen számok”.
Az RSA tagadja a Reuters történetét, viszont maga a cég sem ajánlja a Dual_EC_DRBG használatát, a használatának befejezésére most szeptemberben kérte meg fejlesztőpartnereit.
(Fotó: Dell)
