安全软件提供商RSA“断然”否认,它在为美国国家安全局(NSA)提供“后门”以访问受加密软件保护的数据的合同中,故意在其BSAFE产品中加入了一个有缺陷的随机数生成公式。
“最近的新闻报道声称,RSA与美国国家安全局签订了一份‘秘密合同’,将一个已知的有缺陷的随机数生成器纳入其BSAFE加密库。我们断然否认这一指控。一篇博文(在新窗口中打开)周日出版。
美国国家安全局前雇员爱德华·斯诺登,他在2012年底开始泄露文件关于计算机间谍的性质和范围去年9月,美国国家安全局(NSA)提供了证据,证明“NSA创造并颁布了一个有缺陷的公式,用于生成随机数,从而在RSA生产的加密产品中创建后门”。路透社指出(在新窗口中打开)。
该通讯社上周报道称,美国国家安全局据称向RSA支付了1000万美元,在其加密产品中制造了这个安全漏洞。
上周末,RSA回应说,它已经与NSA合作,并从2004年开始将该机构的Dual EC DRBG随机数生成器作为BSAFE的默认选项。但这家安全软件供应商(现在是存储巨头EMC的子公司)表示,“我们也明确声明,我们从未签订任何合同或参与任何旨在削弱RSA产品的项目,或在我们的产品中引入潜在的‘后门’供任何人使用。”
RSA表示,尽管“2007年对该算法的担忧浮出了表面”,但有问题的双EC DRBG公式仍得到了美国国家标准与技术研究所(NIST)的验证。
RSA指出:“当NIST在2013年9月发布了新的指导意见,建议不再使用该算法时,我们遵守了该指导意见,向客户传达了该建议,并在媒体上公开讨论了这一变化。”
美国国家标准与技术研究所(NIST)在9月份放弃将Dual EC DRBG作为推荐加密算法的时间框架,与斯诺登当时对美国国家安全局(NSA)的爆料相符。
RSA并没有公开质疑NSA在这件事上的行为,但这篇博客文章提供了一些关于美国安全机构目前在计算机安全社区声誉的字里行间的措辞。
“作为供应商和安全社区的活跃成员,我们一直与美国国家安全局合作。我们从来没有隐瞒过这段关系,事实上,我们还公开公开过。我们的明确目标一直是加强商业和政府安全。”
“我们在2004年决定将Dual EC DRBG作为BSAFE工具包的默认设置,当时整个行业都在努力开发更新、更强的加密方法。当时,国家安全局在社区范围内加强而不是削弱加密的努力中扮演着值得信赖的角色。”
路透社上周声称,未具名的消息来源认为,RSA确实从NSA那里获得了报酬,将该算法纳入其加密软件。该通讯社周五表示,NSA与RSA签订了一份价值1000万美元的合同,“将NSA公式设置为BSAFE软件中数字生成的首选或默认方法。”
路透社补充称,RSA提交给证券公司的文件显示,该合同“占RSA相关部门去年全年收入的三分之一以上”。
但消息人士还声称,RSA“被政府官员误导了,他们把这个公式描绘成一种安全的技术进步”,而且NSA在促成这份价值1000万美元的合同时,“没有向这家安全公司展示他们的真面目”。
斯诺登的爆料紧张的外交关系美国与国家安全局数字监控的国家之间的关系。美国政府已经试图平息愤怒而这些爆料也引发了一场内部辩论在这个国家,政府在国内外的窥探行为是可以接受的。
与此同时,微软(Microsoft)等公司最近也宣布了这一点加强他们的加密方法在美国国家安全局(NSA)间谍丑闻曝光后,安全软件的需求大幅增加。