A biztonsági szakma idei talán legnagyobb felháborodását kiváltva pénteken a Reuters snowdenes dokumentumokra hivatkozva megírta, hogy az amerikai hírszerzés 10 millió dollárt fizethetett a neves biztonsági cégnek. A kenőpénzért cserébe az RSA hátsó kaput tartalmazó véletlenszám-generátort tehetett alapértelmezetté az ipari alkalmazásokban való adattitkosításra használt BSAFE eszközkészletében.
A Reuters megkeresésére az RSA tagadta a vádat, tegnap pedig egy sajtóközleményben kifejtette, hogy semmiféle titkos szerződés sem jött létre közte és az NSA közt, a média frissen megjelent beszámolóit „kategorikusan” tagadja.
A cég szerint RSA és NSA közti kapcsolat mindig is publikus volt, mindkét fél célja végig a civil és állami titkosítási megoldások erősítése volt. Ugyan 2004-ben valóban alapértelmezetté tették a BSAFE készletükben a Dual_EC_DRBG generátort, ám az ügyfelek használhattak helyette három másikat. Ezen túlmenően az algoritmus 2007-ben bebizonyított hátsó kapuja ellenére az RSA végig a releváns szabványügyi szervezet véleményét követte, ám a NIST csak most szeptemberben tette konkrétan ellenjavasolttá a generátor használatát, amelyről az RSA rögtön informálta az ügyfeleit.
Mindez elsőre elfogadható magyarázatnak tűnik, azonban a Reuters beszámolója szerint az NSA készpénzben fizetett Dual_EC_DRBG alapértelmezetté tételéért. Ebből ítélve amennyiben hiteles a hírügynökség beszámolója, akkor nem hogy titkos, de talán formális szerződés sem jöhetett létre a felek közt. Pénzelfogadást szó szerint nem tagadott a vállalat.
Végül az is érdekes, hogy felelős és vezető piaci szereplő lévén az RSA három garantáltan biztonságos generátor valamelyike helyett miért pont az egyetlen széles körben vitatottak tette alapértelmezetté a BSAFE-ben, mikor a bizalomra épülő biztonsági iparban – különösen egy RSA szintű cég esetében – még a gyanú árnyékának is elégnek kellene lennie egy algoritmus használatának teljes elutasítására.
(Forrás: The Verge, RSA | Fotó: Rian Castillo / Flickr)
