NSA prý zaplatila 10 mil. USD za oslabení šifrovacího algoritmu RSA

26. 12. 2013

Sdílet

 Autor: Redakce

Americké Národní bezpečnostní agentuře je na hlavu sypán další popel. Potom, co odtajněné dokumenty bývalého analytika NSA Edwarda Snowdena odhalily, že má agentura přístup k datům velkých internetových společností, staví superpočítače pro lámání šifer nebo sleduje polohu mobilních telefonů, má NSA také prsty v děravých šifrovacích algoritmech.

Snowden znovu odtajňuje

Redakce New York Times a The Guardian už v září publikovaly články založené na Snowdenových spisech, které tvrdí, že NSA ovlivnila americký Národní institut standardů a technologie (NIST), aby uznal děravý algoritmus Dual_EC_DRBG. Ten se v šifrování používá pro generování pseudonáhodných čísel. Psal se rok 2007 a už tehdy se vědělo, že generátor obsahuje chyby, které lze vysvětlit jen tím, že slouží jako zadní vrátka (tzv. backdoor). Kdo zná zvláštní přísadu šifrovacího vzorce, ten může šifrování snadno obejít. A dle všeho jej znala právě NSA.

Že s Dual_EC_DRBG není něco v pořádku, bylo popsáno už v roce 2006. Rok nato zveřejnili výsledky svého výzkumu kryptoanalytici Microsoftu Dan Shumow a Niels Ferguson. Ti odhalili, že zmíněný algoritmus je nevýkonný (mnohokrát pomalejší než jiné alternativy) a že musí obsahovat zadní vrátka. Výsledků se chytla i média, už v listopadu 2007 píše Wired, že za podvržením a standardizováním Dual_EC_DRBG musí stát NSA.

 

NIST v tom může být nevinně. NSA zaměstnává největší experty zabývající se jednak prolamováním šifer a jednak tvorbou nových. Agentura je proto s institutem spadajícím pod ministerstvo obchodu v kontaktu. Proto zapojení NSA do uznávání šifrovacích standardů nikoho nepřekvapilo.

Snowden letos v září skládanku doplnil, když potvrdil, že se NSA na prosazování Dual_EC_DRBG skutečně podílela. Nebezpečný generátor v sobě obsahovaly i knihovny Bsafe, které vyvíjí společnost RSA (součást gigantu EMC). Ta hned v září doporučila svým klientům, aby používaly některý z jiných algoritmů.

RSA prý dostala 10milionový úplatek

Jenže Reuters těsně před Vánoci přichází s dalším zvratem. Na základě dvou tajných zdrojů píše, že NSA a RSA měly mezi sebou tajnou dohodu. Národní bezpečnostní agentura prý zaplatila 10 milionů dolarů, aby se vzorec Dual_EC_DRBG stal v knihovně Bsafe preferovaným nebo výchozím. Na první pohled nejde o velkou částku, ale v údajně podplacené divizi RSA by to dělalo třetinu ročních příjmů. Podle zdrojů používají Dual_EC_DRBG tisíce komerčních aplikací.

RSA se nejdříve nechtěla k situaci vyjádřit, ale okolnosti ji nakonec donutily k vysvělujícímu blogpostu. V něm píše, že mezi RSA a NSA nikdy nebyla žádná tajná dohoda. Veřejně navzájem spolupracují, RSA pro agenturu dodává kryptografická řešení a společně komunikují jakožto členové bezpečnostní komunity.

V zájmu RSA prý nikdy nebylo oslabit vlastní produkty nebo pomocí nich kompromitovat data zákazníků. Zahrnutí Dual_EC_DRBG do knihoven Bsafe proběhlo už v roce 2004. Když se v roce 2007 objevily první informace týkající se zadních vrátek, RSA se spoléhala na úsudek vyšší autority, konkrétně NIST (ve které však má NSA vliv). A nakonec v letošním září doporučila klientům, aby nebezpečný algoritmus nepoužívali a místo něj nasadili jeden z mnoha jiných generátorů.

Jak si ovšem trefně všimli na The Verge. RSA vůbec nepopírá, že od NSA dostala 10milionové „všimné“. Když šlo do tuhého, Dual_EC_DRBG nevypustili, ale nadále důvěřovali v rozhodnutí NIST, jenž generátor schválil, přestože už výzkumy odhalily potenciální nebezpečí. Je to s podivem hlavně kvůli tomu, že v Bsafe jsou i výkonnější alternativní zatím bezpečné generátory.

bitcoin školení listopad 24

Nebudeme si hrát na soudce, do celé aféry vidí jen pár zainteresovaných lidí. Faktem je, že nezávislé analýzy už před 6 lety odhalily, že Dual_EC_DRBG není bezpečný. RSA jakožto přední společnost dodávající šifrovací technologie ale tento generátor používala ve svých produktech až do září 2013. Jestli to bylo díky úplatku od NSA, nebo ne, o tom musí rozhodnout až úřední vyšetřování. A to ani nemusí proběhnout.

Další čtení a prameny