O business case para um multi-tenant, solução Recovery-como-um-serviço baseado em nuvem
O mistério de por que RSA usaria um algoritmo falho, NSA-defendido como o gerador de números aleatórios padrão para vários de seus produtos de criptografia parece ser resolvido, ea resposta é absolutamente banal, se for verdade: a NSA pago a ele.
Reuters relata que RSA recebeu US $ 10 milhões a partir da NSA em troca de fazer a lastreados em agência dupla Elliptic Curve determinística Aleatório Bit Generator (Dual DRBG CE) seu algoritmo de números aleatórios preferencial, de acordo com documentos recém-divulgados fornecidos pelo denunciante Edward Snowden.
Se esse número parece pequeno, isso é porque é. Tecnologia gigante EMC adquiriu RSA por US $ 2,1 bilhões em 2006 - em torno do mesmo tempo que o de bastidores NSA negócio - por isso parece estranho que RSA seria reverenciar ao G-homens tão barato.
Mas, de acordo com a Reuters, no momento, as coisas não foram tão bom olhar para a divisão da RSA, que foi responsável por suas bibliotecas de criptografia bsafe. Em 2005, essas ferramentas trouxe um mero $ 27.5m de RSA, de US $ 310 milhões em receita anual, ou apenas 8,9 por cento.
Ao aceitar US $ 10 milhões a partir da NSA, como a Reuters afirma, a divisão bsafe conseguiu aumentar a sua contribuição para a linha de fundo da RSA por mais de um terço.
Não foi muito tempo depois RSA passaram a dupla CE DRBG como padrão, no entanto, que os especialistas em segurança começaram a questionar se esse novo algoritmo era realmente tudo o que estava rachado até ser. Em 2007, uma dupla de pesquisadores da Microsoft observou que o código contido falhas que tinha o potencial de abrir um "backdoor perfeito" em qualquer criptografia que fez uso dela [ PDF ].
Tais preocupações permaneceu em grande parte no interior da província de especialistas em segurança até o início deste ano, quando os documentos vazados pelo Snowden confirmou a existência de backdoors NSA-criadas em criptografia baseados na tecnologia da RSA.
No final de setembro, a própria RSA ainda alertou seus clientes que eles devem escolher um gerador de números aleatórios criptograficamente segura diferente enquanto revisa seus próprios produtos para possíveis vulnerabilidades. OpenSSL, a biblioteca de software usado por inúmeras aplicações para executar a criptografia e descriptografia, também tem baixado dupla CE DRBG. Como a NSA veio a se envolver com o algoritmo é discutido em detalhe aqui pelo especialista em segurança Bruce Schneier computador.
Por sua parte, no entanto, RSA sustenta que nunca conspirou com a ANS para comprometer a segurança de seus produtos, e que se o governo sabia como quebrar a criptografia do RSA, nunca deixava transparecer.
"RSA sempre age no melhor interesse de seus clientes e, em nenhuma circunstância faz projeto RSA ou habilitar portas traseiras em nossos produtos", a empresa escreveu em um comunicado em conserva. "As decisões sobre os recursos e funcionalidades dos produtos RSA são os nossos." ®
Nenhum comentário:
Postar um comentário