据路透社报道,美国国家安全局(NSA)向RSA公司支付了1000万美元的“秘密”交易,以将一种故意存在缺陷的加密算法整合到广泛使用的安全软件中,这再次引发了人们对政府参与制定安全标准的争议。
该合同是美国国家安全局削弱加密标准的行动的一部分,以帮助该机构的监视项目,据路透社报道在周五。
该报告基于两个来源路透社称,熟悉合同,引发了一系列的煽动有关国家安全局监视战术正在进行的辩论的头条新闻。美国国家安全局拒绝立即发表评论。
起初拒绝置评的RSA周日晚间否认与美国国家安全局签订了秘密合同。
“我们已经与美国国家安全局的工作,无论是作为一个供应商和安全社区的活跃成员。我们从来没有保持这种关系的秘密,事实上已经公开宣传它。我们明确的目标一直是要加强商业和政府的安全,“RSA在说声明。
“我们从未签订任何合同或参与任何项目,意图削弱RSA的产品,或引入潜在的‘后门’到我们的产品供任何人使用,”RSA说。
九月,文章ProPublica、《卫报》和《纽约时报》披露该国家安全局工作多年,以降低安全标准,以帮助美国政府的大规模监视计划。这些文章是基于由前政府承办斯诺登泄露的文件。
文章指出,一种名为“双椭圆曲线确定性随机位发生器美国国家安全局(NSA)的密码专家们曾蓄意破坏该网站,这些密码专家致力于开发和发布允许在安全产品中创建“后门”的标准。
据路透社5日报道,RSA“秘密”从美国国家安全局拿钱,将双EC DRBG技术嵌入其广泛使用的BSafe工具包。
不过,美国国家安全局和RSA之间至少有一些商业交易是公开记录的。2006年3月,RSA宣布,美国国家安全局选择了BSafe加密软件用于“一个机密通信项目”。The value of the deal was not revealed.
路透社的报道,早些时候提出的中心问题的文章,然而,是:RSA用它知道什么是故意削弱BSafe加密软件,或在最好的是寻找其他途径面临双重EC的专家的批评,美国政府为了赚钱交易吗?
在周日的声明中,RSA说,“我们在2004年决定使用双EC DRBG作为BSAFE工具包的默认配置,当时整个行业都在努力开发更新、更强的加密方法。当时,NSA在整个社区加强而不是削弱加密的努力中扮演着值得信赖的角色。”
RSA也承认它使用双EC还因为它“在FIPS遵从的价值。”FIPS或联邦信息处理标准,在政府系统所需的计算机的标准。
路透周五表明RSA有条重要的货币激励双重EC设置为默认BSafe随机数发生器,报道称,1000万美元的“代表超过三分之一的收入,相关部门在RSA在整个前一年,证券备案文件显示。”
路透社报道称,RSA技术软件中包含的Dual EC也帮助NSA说服美国国家标准与技术协会(NIST)批准该软件用于生成加密软件所使用的随机数。
但是,就在RSA于2006年公开宣布其与美国国家安全局的Bsafe协议时,有关双EC的有效性的问题仍在被提出,并且持续了数年。
一纸“的双椭圆曲线伪随机数发生器的安全性分析”,由贝里Schoenmakers和安德烈·西多连科,通过技术在2006年5月的埃因霍温大学公布的报告说,“我们的实验结果也实证论据表明,DEC PRG是不安全的。“
最后,经过约NSA的指控努力降低安全标准的文章被该年9月出版,NIST发布咨询,建议双EC不能使用,而RSA效仿。
“FollowingA NIST的decisionA强烈反对使用社区开发的加密算法标准(称为双EC DRBG)的,RSA决定是适当的发出一条劝告我们所有的RSA BSAFE和RSA数据保护管理器的客户,建议他们选择的一个不同的加密伪随机数生成器(PRNG)内置于RSA BSAFE工具包”的RSA咨询说过。
RSA首席技术官萨姆·库里公开辩护,并解释为什么RSA最初选择双EC在通过电子邮件Ars Technica的公布。
但是,库里的声明遭到了密码学专家的分析和嘲笑。
在其他的语句,库里说,“Dual_EC_DRBG被接受的,并公开审查的标准。”
然而,“每一点公众的审视都表明同样的事情:这东西坏了!”抓住你的孩子,跑开!”马特指出绿色他对库里的防守进行了仔细分析。
路透社的报道在最后一周的批评越来越多在政府的监视计划。
美国地区法院法官理查德·莱昂,在一个诉讼案件挑战政府的电话记录收集程序作出初步裁决,严厉批评该机构,并建议该方案违反了美国宪法。从审查小组对情报和通信技术,由美国总统奥巴马的政府任命的一份报告称,政府的间谍程序,创建国际贸易问题,影响美国与其他国家的关系,