RSA za 10 milijonov dolarjev iz NSA namerno oslabila algoritem
Matej Huš
21. dec 2013 ob 22:53:44
Koliko stane integriteta? Odvisno, koga vprašate. Slovenski zdravniki jo po zadnjih preiskavah glede podkupovanja očitno prodajo za nekaj tisočakov. Pri avtocestah se je merila v stotinah milijonov dolarjev. Kaj pa v ZDA? Podjetje RSA (sedaj podružnica EMC) je svojo verodostojnost in integriteto očitno prodalo za 10 milijonov dolarjev. Toliko denarja so prejeli od NSA, da so namenoma ošibili svoje algoritme.
Novi Snowdnovi dokumenti, ki jih je pridobil Reuters, kažejo, da je NSA sklenila 10 milijonov dolarjev vredno pogodbo z RSA, ki sodi med velikane računalniške varnosti, da je ta v svoje algoritme za tvorjenje naključnih števil vgradila ranljivosti, ki omogočajo lažje razbijanje. Da NSA kaj podobnega počne, ni presenečenje, saj smo že septembra pisali, da je NSA uspela izsiliti vgraditev ranljivosti v algoritem Dual EC-DRBG, s čimer je velik del verodostojnosti izgubil NIST (National Institute of Standards and Technology). RSA je tedaj odsvetovala uporabo programske opreme, ki ima kakršnokoli povezavo z NSA.
RSA pa je bila glavni faktor, ki je poskrbel za vpeljavo pomanjkljivega algoritma v programsko opremo BSafe, kažejo nova poročila. Uradno RSA, EMC in NSA ne komentirajo navedb. Viri iz RSA in nekdanji uslužbenci pa pravijo, da je podjetje storilo veliko napako s sklenitvijo te pogodbe in pravijo, da jih je NSA do neke mere celo zavajala, saj naj bi nov algoritem predstavljala kot varnostni napredek.
RSA pa ni bila vedno v postelji z NSA. Ko je podjetje nastalo in začelo revolucionirati šifriranje z javnimi in zasebnimi ključi, so se v ZDA zbali, da bo predstavljajo težavo za prisluškovanje. Zato so poizkusili doseči omejitev dolžine ključev, pa vgradnjo obvezne tehnologije za prisluškovanje (Clipper Chip) in naposled omejitvijo izvoza tehnologije, a je RSA ustanovila podružnico v Avstraliji in prodajala od tam. Na prelomu tisočletja se je RSA začela spreminjati in podjetje je sodelovalo tudi z vlado. Tako je NSA dosegla, da je RSA v svoje programe vključila omenjeni algoritem z dvojnimi eliptičnimi krivuljami kot privzeto možnost, še preden ga je NIST standardiziral. NSA je potem uporabo algoritma v RSA pri NIST omenila kot argument za standardizacijo, kar jim je na koncu uspelo. Sedaj je jasno, da je RSA za to prejela 10 milijonov dolarjev. To ni veliko denarja, a še vedno predstavlja približno tretjino letnih dohodkov, ki jih RSA ustvari na tem področju.