Beveiligingsbedrijf RSA ontkent dat het een "geheim contract" met de Amerikaanse inlichtingendienst NSA heeft gesloten om opzettelijk een zwak algoritme aan een encryptieprogramma toe te voegen. Vorige week publiceerde persbureau Reuters een bericht dat RSA 10 miljoen dollar van de NSA had gekregen.
Hiervoor moest RSA het het Dual Elliptic Curve Deterministic Random Bit Generation (Dual EC DRBG) algoritme aan de BSAFE toolkit toevoegen. Dit algoritme is bedoeld voor het genereren van willekeurige getallen. Een kwetsbaarheid die de NSA aan het algoritme toevoegde zorgt ervoor dat deze getallen niet willekeurig zijn. Daardoor is het mogelijk om encryptiesleutels te voorspellen en versleutelde informatie vervolgens te ontsleutelen.
Nadat Reuters vrijdag het bericht had gepubliceerd kwam RSA gisterenavond pas met een blogposting waarin het de beschuldigingen ontkent. Het beveiligingsbedrijf laat weten dat het met de NSA heeft samengewerkt, zowel als leverancier als lid van de security-gemeenschap. De beslissing om in 2004 DUAL EC DRBG als standaard in de BSAFE toolkit in te stellen was onderdeel van een industriebrede inzet om nieuwere, veiligere encryptiemethodes te ontwikkelen.
"In die tijd had de NSA nog een vertrouwde rol om encryptie te versterken en niet te verzwakken", zo laat het beveiligingsbedrijf weten. RSA zegt verder dat het het algoritme bleef gebruiken omdat het een standaard was die het Amerikaanse National Institutes of Standards and Technology (NIST) destijds goedkeurde. Het algoritme werd echter aan de producten van RSA toegevoegd al voordat het door het NIST was goedgekeurd.
De bronnen die Reuters sprak lieten weten dat de NSA het toevoegen van het algoritme aan de BSAFE toolkit gebruikte om het NIST onder druk te zetten om het als standaard aan te nemen. Toen het NIST in september van dit jaar waarschuwde het algoritme niet meer te gebruiken heeft RSA dit advies opgevolgd en eigen klanten gewaarschuwd.
RSA stelt dan ook dat er geen opzet in het spel was door het destijds toevoegen van het algoritme. "RSA is nooit een contract aangegaan of heeft zich bezig gehouden met projecten om RSA's producten te verzwakken of potentiële 'backdoors' in onze producten toe te voegen die iedereen kan gebruiken."
Deze posting is gelocked. Reageren is niet meer mogelijk.