Abonner
AVTALER & KONTRAKTER

Kryptoselskap bestukket av NSA?

RSA skal ha fått millioner av dollar.

NSA skal ha tilbudt selskapet RSA penger for å gjøre NSA-utviklet krypteringsteknologi til standard i mye brukt sikkerhetsløsning. Det antas at teknologien har inneholder en bakdør som NSA kan bruke.
NSA skal ha tilbudt selskapet RSA penger for å gjøre NSA-utviklet krypteringsteknologi til standard i mye brukt sikkerhetsløsning. Det antas at teknologien har inneholder en bakdør som NSA kan bruke. Bilde: PantherMedia/Ryan Jorgensen, fotofilkling: digi.no
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
Eirik Rossen
23. des. 2013 - 11:39

RSA Security, et av de verdens viktigste selskap innen IT-sikkerhet, skal på et tidspunkt ha mottatt 10 millioner dollar fra den amerikanske etterretningsorganisasjonen NSA for å gjøre en NSA-kontrollert generator av psevdo-tilfeldige tall til den anbefalte metoden i selskapets BSafe-programvare. Dette melder nyhetsbyrået Reuters.

I september i år ble det via Edward Snowden lekket rapporter om hvordan NSA gikk fram for å overta ansvaret for å skrive standarden som generatoren er basert på. Standarden, Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator), brukes av en lang rekke sikkerhetsprodukter, men antas å inneholde svakheter som fungerer som en bakdør for NSA.

Allerede i 2007 advarte flere sikkerhetsspesialister om at Dual_EC_DRBG kunne ha bakdører. Denne mistanken ble betydelig styrket av dokumentene som Snowden lekket.

Artikkelen fortsetter etter annonsen
annonsørinnhold
PwC
– Vi har vår egen ChatPwC som kjører lokalt. Vi deler derfor ingen informasjon ut av huset

Den hemmelige avtalen mellom NSA og RSA har Reuters fått vite om av to ikke navngitte kilder som har kjennskap til kontrakten.

Det er uklart på hvilket tidspunkt NSA og RSA inngikk kontrakten, men Reuters siterer tidligere ansatte som forteller at selskapet i løpet av årene endret seg fra å være en aktør som bekjempet NSA til å bli ett av de mange selskapene som anser amerikanske myndigheter som en partner i bekjempelsen av utenlandske hackere. RSA ble kjøpt av EMC i 2006.

Reuters har intervjuet et dusin tidligere og nåværende ansatte i RSA. De fleste mener at det var feil av RSA å inngå en slik kontrakt med NSA. Men flere mener at selskapet har blitt villedet av myndighetene, som skal ha presentert Dual_EC_DRBG-standarden som et sikkert, teknologisk framskritt, uten å avsløre svakhetene som senere har blitt funnet.

Fortsatt skal det ikke ha blitt påvist at svakhetene utgjør en bakdør. Men det anses som sannsynlig. Etter avsløringene i september har RSA oppfordret selskapets kunder til å slutte å bruke Dual_EC_DRBG.

    Les også:

Les mer om:
AVTALER & KONTRAKTER
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Kreditorforeningen
Senior IT-konsulent
Kreditorforeningen
Bergen
30. apr.
    En tjeneste fra