Újabb fejezet nyílt az NSA-RSA botrányos történetben

Tovább folytatódik az NSA és az RSA között még tavaly kirobbant botrány. Egyetemi kutatók szerint az NSA-nek könnyebb dolga volt egyes titkosítások feltörésekor, mint azt eddig gondolták.
 

Az Edward Snowden révén kiszivárgott dokumentumokból először tavaly szeptemberben derült fény arra, hogy az RSA BSafe megoldása körül valami nincs rendben, ugyanis az abba beépített véletlenszám-generátor esetenként "hibásan" működik, ami megkönnyítheti a dekódolást. Decemberben aztán a Reuters tovább göngyölítette a szálakat, és meg nem nevezett forrásokra hivatkozva azt állította, hogy az RSA 10 millió dollárt kapott azért, hogy az NSA által kifejlesztett algoritmusokat alkalmazza, amelyek hibát ("hátsó kaput") tartalmaztak. Az RSA cáfolta a hírügynökség állításait, és visszautasította a vádakat. Mindössze annyit ismert el, hogy együttműködött a szervezettel, de azt kizárólag a biztonság megerősítése érdekében tette.

Ezzel azonban még nem ért véget a történet, ugyanis a Reuters egy újabb beszámolóban egyetemi kutatásokra hivatkozva azt állította, hogy az RSA egy másik problémás összetevőt is felhasznált a termékeiben, amelyet "Extended Random" néven emlegetnek. Ezt az összetevőt a Johns Hopkins, a Wisconsin és az Illinois Egyetem professzoraiból álló csoport vette szemügyre. A kutatók megállapították, hogy e komponens segítségével bizonyos esetekben több tízezerszer gyorsabban lehet visszafejteni titkosításokat.

"Egy 40 ezer dolláros számítógéppel körülbelül egy óra alatt feltörhető a BSafe for Java. Ha azonban az Extended Random is használatos, akkor ez az idő másodpercekre rövidül" - nyilatkozta Stephen Checkoway, a Johns Hopkins tudósa. Ugyanakkor fontos megjegyezni, hogy az Extended Random nem terjedt el túlságosan széles körben, és annak fejlesztését az RSA már nem is forszírozza.

A Reuters természetesen megkereste az érintett feleket. Az NSA nem kívánta kommentálni a történéseket, míg az RSA egy rövid nyilatkozatott tett. Ebben nem vitatta a kutatási eredményeket, viszont hangsúlyozta, hogy szándékosan soha nem gyengítette a biztonságot egyik termékének esetében sem. Az Extended Random kapcsán pedig megjegyezte, hogy az nem bizonyult népszerűnek, ezért azt a védelmi szoftvereiből az elmúlt hat hónapban eltávolította.

"Szkeptikusabbnak kellett volna lennünk az NSA szándékait illetően. Mi bíztunk a szervezetben, hiszen az Egyesült Államok kormányának és az USA kritikus infrastruktúráinak védelmét látta el" - nyilatkozta Sam Curry, az RSA műszaki igazgatója. Azt azonban nem kívánta elárulni, hogy az NSA fizetett-e a biztonsági cégnek azért, hogy az Extended Random is megjelenjen a BSafe-ben.