RSA Security weist Anschuldigungen von sich, 10 Mio. US-Dollar von der NSA angenommen zu haben
Die Veröffentlichungen des US-Whistleblowers Edward Snowden über eine erfolgte Zahlung der NSA an das Sicherheitsunternehmen RSA Security in Höhe von 10 Mio. US-Dollar werden von dem Unternehmen dementiert. Snowden hatte veröffentlicht, dass RSA diese Summe von der NSA erhalten hatte, um einen manipulierten Algorithmus für die Erzeugung von Zufallszahlen in ihrer BSafe Crypto Bibliothek als Standard zu integrieren.
Laut einer Reuters-Meldung hatte der von der NSA entwickelte und von der RSA standardmäßig verwendete Zufallszahlengenerator Dual_EC_DRBG einen eingebauten Backdoor-Zugang. Der Dual_EC_DRBG ist Teil der FIPS-Standards, die Hersteller und Behörden aufgrund von rechtlichen Vorschriften umzusetzen haben. Laut RSA habe man sich bereits 2004 für den Mechanismus BSAFE-Toolkit entschieden. Ende 2007, als NIST (das National Institute of Standards and Technology) eine neue Bewertung des Zufallsgenerators vornahm, kamen RSA erste Zweifel und es empfahl seinen Kunden, die Verwendung abzubrechen.
Auch Sicherheitsexperte Bruce Schneier hatte seinerzeit Schwächen im Algorithmus benannt:
„Wenn die geheimen Zahlen bekannt sind, können die auszugebenden Ergebnisse schon dann vorausgesagt werden, wenn erst 32 Bytes an Ergebnissen bekannt sind.“
Mit einem scharfen Dementi in einem Blog-Post wies das Sicherheitsunternehmen jedoch die Anschuldigungen von sich. Man habe nie einen geheimen Vertrag unterschrieben oder an einem Projekt teilgenommen mit der Absicht, die Sicherheit der Produkte zu schwächen oder Hintertüren in die Produkte für fremde Zwecke einzubauen.
Bekannte Sicherheitsexperten kommentierten zu diesem Thema. Zum Beispiel Johannes Ullrich:
„Der Dual_EC_DRBG hatte einige wohl bekannte und längst veröffentlichte Mängel. Ich bin nicht sicher, ob es besser aussieht, wenn die RSA hier Ignoranz an den Tag legt. Das Vertrauen ist so oder so verloren.“
John Pescatore ergänzt:
„Ich mag es gar nicht aussprechen, aber sogar wenn die Geschichte von Reuters falsch sein sollte, das RSA-Zitat klingt fast identisch mit der Reaktion von Huawei, als das Unternehmen seinerzeit beschuldigt wurde, Hintertüren in seine Sicherheitsprodukte eingebaut zu haben, um den Forderungen der chinesischen Regierung nach zu kommen. Huawei musste in ein Produkt-Testzentrum für den britischen Markt investieren, damit es beweisen konnte, dass Huawai-Produkte für den Einsatz im britischen Telecom-System sicher waren. Nun können die NSA-Aktivitäten es erforderlich machen, dass US-Technologieunternehmen für Auslands Exporte ähnliche Investitionen tätigen müssen.“
Artikel von theregister.co.uk, 23.12.2013: RSA comes out swinging at claims it took NSA’s $10m to backdoor crypto
Artikel von zdnet.com, 23.12.2013: RSA denies taking $10m from NSA to default backdoored algorithm