Агентство национальной безопасности США заплатило 10 млн
долларов американскому разработчику технологий безопасности RSA Security
для установки бэкдора
в ее программное обеспечение, сообщает Reuters со ссылкой на очередной
пакет документов, раскрытый бывшим системным администратором
АНБ Эдвардом Сноуденом.
Компания
RSA Security была основана в 1982 году. В 2006 году за 2,1 млрд
долларов ее приобрела корпорация EMC, и сейчас RSA функционирует как ее
бизнес-подразделение.
Согласно секретным договоренностям с
АНБ, компания RSA Security предложила своим клиентам в качестве
алгоритма шифрования по умолчанию в BSafe заведомо ненадежный алгоритм
генерации псевдослучайных чисел Dual EC DRBG.
Утилита, о
которой идет речь, предназначена для шифрования данных на персональных
компьютерах и во множестве других продуктов. Как утверждает разработчик,
утилита удовлетворяет самым строгим требованиям безопасности и может
быть использована в оборонной сфере. Решением RSA BSafe пользуются
известные мировые компании, включая Adobe, Oracle, Sony и Nintendo.
Внедрение
бэкдора АНБ было нужно для того, чтобы, при необходимости, специалисты
ведомства могли без особых сложностей, расшифровав закодированный
трафик, осуществлять прослушку защищенных каналов связи.
В
сентябре 2013 году газета The New York Times сообщила, что RSA
намеренно сделала алгоритм шифрования Dual EC DRBG в BSafe алгоритмом по
умолчанию, для того чтобы облегчить работу спецслужб по
дешифровке. После этой публикации в RSA рекомендовали своим клиентам
отказаться от использования указанного алгоритма и выбрать любой другой,
доступный из набора.
В ответ на последнюю публикацию в
компании заявили, что сотрудничают с АНБ, как и любая другая
компания высокотехнологичной отрасли, и делают это открыто, ничего не
скрывая. В компании опровергли информацию о соглашении с АНБ.
Разработчики рассказали, что выбор алгоритма Dual EC DRBG в 2004 году не
был продиктован требованиями какой-либо другой стороны и был
осуществлен по той причине, что он предлагал надежный и перспективный
механизм защиты.
Ранее возникали подозрения, что АНБ
приложило руку к созданию генератора псевдлслучайных чисел RDRAND. Это
послужило причиной сбора подписей за исключение данного гененатора из
ядра Linux. Однако создатель Linux Линус Товальдс успокоил сообщество,
указав на то, что RDRAND используется лишь как один из множества
источников в пуле случайных чисел, поэтому, даже если он
скомпрометирован АНБ, это не представляет угрозы. Сергей Попсулин, CNewsЧитать полностью: http://it.tut.by/380043
|
