Software

RSA niega haber tenido un acuerdo con la NSA para disminuir su seguridad

La compañía habría recibido USD$10 millones para usar un algoritmo con problemas en su biblioteca BSafe.

La compañía de seguridad RSA habría recibido USD$10 millones de la NSA para usar un algoritmo con fallas para generar números al azar, como algoritmo base para su sistema BSafe, según publicó la agencia Reuters. La compañía negó tajantemente las acusaciones en su web oficial esta mañana.

“Declaramos categóricamente que nunca hemos cerrado ningún contrato o participado en ningún proyecto con la intención de debilitar los productos de RSA, o introducir potenciales ‘puertas traseras’ en nuestros productos para el provecho de nadie”, dice la firma.

El algoritmo Dual_EC_DRBG está incluido entre los estándares aprobados por el Instituto Nacional de Normas y Tecnología (NIST) en Estados Unidos, que depende del Departamento de Comercio. Sin embargo, en 2007 investigadores de Microsoft demostraron que si los atacantes conocían una cierta relación entre los números incluidos en el algoritmo, entonces se podrían predecir todos los números generados por el mismo. La sospecha de que había backdoors para el algoritmo se reforzó cuando en septiembre pasado se conoció que la Agencia de Seguridad Nacional (NSA) había trabajado para debilitar los estándares NIST.

Esta falla en Dual_EC_DRBG no parecía tener mucho impacto, la mayoría de los software simplemente no lo implementaron. Una excepción era la biblioteca de funciones criptográficas de RSA, BSafe.

El reporte de Reuters sugiere que la compañía insertó supuestos backdoors en el algoritmo por orden de la NSA. Los USD$10 millones pagados corresponderían a un tercio de las ganancias anuales generadas por BSafe. Otras fuentes señalan que la NSA presentó el algoritmo como un avance, sin señalar que había insertado una puerta trasera en el mismo.

En su comunicado, la compañía asegura que decidió implementar Dual_EC_DRBG por defecto en 2004 pensando en un mejor sistema de cifrado. “En ese momento, la NSA tenía un rol de confianza en el esfuerzo de la comunidad para fortalecer, no debilitar el cifrado”, señala RSA.

La empresa no hace mención a los USD$10 millones que habría recibido como pago por parte de la NSA. Respecto al descubrimiento de Microsoft en 2007, RSA asegura que “seguimos confiando en NIST como árbitro de esa discusión”, lo que significaría que la firma estaba consciente de los posibles problemas, pero no tomó medidas.

“Cuando NIST lanzó una nueva guía recomendando no seguir usando este algoritmo, en septiembre de 2013, nos adherimos a ella y comunicamos esa recomendación a clientes y discutimos el cambio abiertamente en los medios”, asegura la empresa.

Link: RSA blog

Tags

Lo Último


Te recomendamos