RSA ontkent "geheim contract" voor NSA-backdoor
Beveiligingsbedrijf RSA ontkent dat het een "geheim contract" met de Amerikaanse inlichtingendienst NSA heeft gesloten om opzettelijk een zwak algoritme aan een encryptieprogramma toe te voegen. Vorige week publiceerde persbureau Reuters een bericht dat RSA 10 miljoen dollar van de NSA had gekregen.
Hiervoor moest RSA het het Dual Elliptic Curve Deterministic Random Bit Generation (Dual EC DRBG) algoritme aan de BSAFE toolkit toevoegen. Dit algoritme is bedoeld voor het genereren van willekeurige getallen. Een kwetsbaarheid die de NSA aan het algoritme toevoegde zorgt ervoor dat deze getallen niet willekeurig zijn. Daardoor is het mogelijk om encryptiesleutels te voorspellen en versleutelde informatie vervolgens te ontsleutelen.
RSA ontkent
Nadat Reuters vrijdag het bericht had gepubliceerd kwam RSA gisterenavond pas met een blogposting waarin het de beschuldigingen ontkent. Het beveiligingsbedrijf laat weten dat het met de NSA heeft samengewerkt, zowel als leverancier als lid van de security-gemeenschap. De beslissing om in 2004 DUAL EC DRBG als standaard in de BSAFE toolkit in te stellen was onderdeel van een industriebrede inzet om nieuwere, veiligere encryptiemethodes te ontwikkelen.
"In die tijd had de NSA nog een vertrouwde rol om encryptie te versterken en niet te verzwakken", zo laat het beveiligingsbedrijf weten. RSA zegt verder dat het het algoritme bleef gebruiken omdat het een standaard was die het Amerikaanse National Institutes of Standards and Technology (NIST) destijds goedkeurde. Het algoritme werd echter aan de producten van RSA toegevoegd al voordat het door het NIST was goedgekeurd.
De bronnen die Reuters sprak lieten weten dat de NSA het toevoegen van het algoritme aan de BSAFE toolkit gebruikte om het NIST onder druk te zetten om het als standaard aan te nemen. Toen het NIST in september van dit jaar waarschuwde het algoritme niet meer te gebruiken heeft RSA dit advies opgevolgd en eigen klanten gewaarschuwd.
RSA stelt dan ook dat er geen opzet in het spel was door het destijds toevoegen van het algoritme. "RSA is nooit een contract aangegaan of heeft zich bezig gehouden met projecten om RSA's producten te verzwakken of potentiële 'backdoors' in onze producten toe te voegen die iedereen kan gebruiken."
RSA, as a security company, never divulges details of customer engagements, but we also categorically state that we have never entered into any contract or engaged in any project with the intention of weakening RSA’s products, or introducing potential ‘backdoors’ into our products for anyone’s use.
Als je goed lees ontkennen ze niet dat ze een contract zijn aangegaan. Ze ontkennen alleen dat dat het geval is voor het bewust verzwakken van de beveiliging van hun producten.
(bv een bepaald stukje commentaar) dat door de compiler wordt herkend en vervangen door een
ander stuk code. Sourcecode analyse levert dus nooit iets op, en de hele actie zoals a.s. bij TrueCrypt
kan dus enkel zinvol zijn als je de hele toolchain mee neemt. Ook in libc kan van alles zitten.
Er zijn precedenten op dit gebied, 30 jaar geleden al, om in Unix System 3 een auto-backdoor bij "su" in te bouwen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
