2min

Tags in dit artikel

, , , , ,

In het afgelopen weekend heeft klokkenluider Edward Snowden opnieuw van zich laten horen. Hij stelde tegenover Reuters dat beveiligingsbedrijf RSA zijn BSAFE-software moedwillig had uitgevoerd met een backdoor waar de NSA gebruik van kon maken. In ruil voor deze methode om de beveiliging te omzeilen, kreeg de RSA volgens Snowden het schamele bedrag van 10 miljoen dollar, maar dit wordt door de RSA ontkend.

RSA maakt naar eigen zeggen sinds 2004 gebruik van Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG), een methode om een willekeurig cijfer te genereren als sleutel, ten behoeve van de beveiliging van systemen. In 2007 werd de generator door Microsoft in diskrediet gebracht, al bestonden daarvoor ook al vermoedens dat het "een perfecte backdoor" zou kunnen zijn. De NSA zou de standaard opzettelijk verzwakt hebben, toen deze in ontwikkeling was bij de National Institute of Standards and Technology (NIST).

Pas in september 2013 besloot de NIST om aan te raden om de Dual EC DRBG-standaard niet langer te gebruiken. RSA geeft aan dat het tot die tijd gewoon de standaard bleef aanbieden omdat het op NIST vertrouwde als besluitvormer bij het advies rondom de standaard. Dat advies kwam dus pas in 2013, wat door RSA ook snel werd opgevolgd.

Voor het toepassen van Dual EC DRBG in diens software, zou RSA een bedrag van 10 miljoen dollar hebben ontvangen. RSA werd in 2006 voor 2,1 miljard dollar overgenomen en zo’n vergoeding lijkt dus een druppel op een gloeiende plaat, maar ten tijde van de bedenkelijke beloning ging het financieel gezien niet goed, waardoor zo’n injectie van pas kwam.

Ondertussen ontkent de RSA echter dat het in zijn gehele bestaan ooit een beloning heeft aangenomen voor het verzwakken van de software, dus ook niet van de NSA. Tevens wijst RSA erop dat gebruikers ook de mogelijkheid hadden om andere algoritmes te kiezen in de BSAFE-toolkit.