Reacciones sobre la acusación de colaboración entre la NSA y RSA

0

RSA es propiedad de EMCRSA ha criticado las afirmaciones vertidas por Edward Snowden en su última “travesura”. Dicha información del ex-CIA sugiere que la compañía, responsable de algoritmos criptográficos, cobró en torno a 10 millones de dólares por utilizar el método de cifrado (Dual Elliptic Curve Deterministic Random Bit Generator) previamente vulnerado con la inclusión de una “puerta trasera” en dicho mecanismo.

El equipo de seguridad de EMC afirma que se empezó a usar el Dual EC DRBG como por defecto en 2004, un poco antes de que el generador fuera estandarizado. En 2007 ya se descubrió la existencia de una puerta trasera en el algoritmo, que reducía drásticamente el nivel de seguridad ofrecido por cualquier solución de cifrado basada en él, facilitando la tarea a los “fisgones”.

La NSA, que defendió el Dual EC DRBG, está acusada por separado de haber reducido la eficacia del generador aleatorio de números durante la fase de desarrollo.

En un blog reciente, duro aunque estructurado con cautela, la RSA afirma “negar categóricamente esa alegación, haber mantenido contactos secretos con la NSA para incoporar una vulnerabilidad en la generación de claves“.

Razones aportadas por la RSA en su defensa

La explicación de RSA continúa, aportando cuatro razones por las que el generador de números aleatorios fué escogido:

  1. Tomamos la decisión de utilizar Dual EC DRBG como estandar en las herramientas BSAFE en 2004, en el contexto de un gran esfuerzo de la industria, para desarrollar métodos de cifrado fuertes. En ese momento, la NSA poseía un rol creíble como organismo protector de estos mecanismos, no al contrario.
  2. Este algoritmo es sólo una de las opciones disponibles en las herramientas BSAFE, y los usuarios han sido siempre libres de escoger el método que mejor se adapte a sus necesidades.
  3. Nosotros continuamos empleando el algoritmo como una opción enmarcada en el citado Kit de herramientas, ya que adquirió aceptación como estandar del NIST y debido a su compatibilidad con FIPS. Cuando surgió la primera controversia sobre su seguridad allá por 2004, continuamos concediéndole credibilidad como sugería el NIST, organismo que arbitraba la cuestión.
  4. Una vez el NIST publicó nuevas recomendaciones referentes a abandonar este método de cifrado en Septiembre de 2014, nos adherimos a dicha sugerencia y comunicamos la cuestión a nuestros clientes.

La entrada, que evita discutir sobre si la compañía aceptó esos supuestos 10 millones de dólares de la NSA, concluye con la siguiente afirmación:

RSA, como empresa de seguridad, nunca divulga detalles sobre los tratados  que mantiene con sus clientes, pero afirmamos rotundamente que nunca hemos aceptado contratos o nos hemos adherido a programas cuyo objetivo fuese vulnerar nuestros propios productos, por tanto tampoco introduciendo “backdoors” en nuestros productos.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR