Sunday, December 22, 2013

'NSA betaalde RSA voor backdoor in encryptiesoftware'

https://www.security.nl/posting/373323/%27NSA+betaalde+RSA+voor+backdoor+in+encryptiesoftware%27?channel=rss

zaterdag 21 december 2013
 
De Amerikaanse inlichtingendienst NSA zou beveiligingsbedrijf RSA 10 miljoen dollar hebben betaald voor het toevoegen van een backdoor aan een veel gebruikt encryptieprogramma, zo laten bronnen tegenover persbureau Reuters weten. Eerder dit jaar werd bekend dat de NSA een kwetsbaarheid aan het Dual Elliptic Curve Deterministic Random Bit Generation (Dual EC DRBG) algoritme had aangebracht. Het algoritme is bedoeld voor het genereren van willekeurige getallen. De backdoor zorgt ervoor dat deze getallen niet willekeurig zijn. Daardoor is het mogelijk om encryptiesleutels te voorspellen en versleutelde informatie vervolgens te ontsleutelen.
RSA had het algoritme al aan de producten toegevoegd voordat het door het Amerikaanse National Institutes of Standards and Technology (NIST) was goedgekeurd. Het NIST heeft een voortrekkersrol bij het ontwikkelen van standaarden en richtlijnen. Het doet dit in nauw overleg en in samenwerking met standaardisatieorganisaties, het bedrijfsleven en andere belanghebbenden. Onder die laatste categorie valt ook de NSA.
Doordat het algoritme aan de producten van RSA was toegevoegd, kon de NSA weer tegenover het NIST zeggen dat Dual Elliptic Curve binnen de Amerikaanse overheid werd gebruikt. De inlichtingendienst zou zo het NIST hebben overgehaald om het algoritme goed te keuren.

BSafe

Het algoritme is onder andere in de BSafe toolkit van RSA aanwezig, iets waar het beveiligingsbedrijf in september ook voor waarschuwde. BSafe wordt gebruikt voor het beveiligen van gegevens in allerlei producten. Reuters laat nu weten dat de RSA 10 miljoen dollar van de NSA kreeg om het kwetsbare algoritme aan deBSafe toolkit toe te voegen. Dit lijkt misschien een klein bedrag voor een groot bedrijf als RSA, maar is meer dan een derde van de omzet die de verantwoordelijke RSA-divisie het jaar daarvoor had gedraaid.
Volgens sommige huidige en voormalige werknemers van RSA zou het beveiligingsbedrijf door de NSA misleid zijn. De overheidsfunctionarissen lieten het bedrijf weten dat het algoritme een "veilige technologische vooruitgang" was. Toch wijzen de werknemers ook RSA als schuldige aan. De ontwikkeling van het bedrijf, waarbij het zich niet meer alleen op pure cryptografische producten richtte, zou ook één van de redenen zijn geweest dat de backdoor uiteindelijk kon worden toegevoegd.

Backdoors

RSA stelt in een verklaring dat het altijd in het belang van de klanten handelt en geen backdoors ontwikkelt of mogelijk maakt in de eigen producten. "Beslissingen over de features en functionaliteit van RSA-producten worden altijd door onszelf gemaakt", zo laat het bedrijf weten.

No comments:

Post a Comment