¿Pagó la NSA a RSA 10 millones de dólares para que Dual_EC_DRBG fuera el predeterminado en BSafe?

Question

¿Pagó la NSA a RSA 10 millones de dólares para que Dual_EC_DRBG fuera el predeterminado en BSafe?

nsa
Historia
Software
ordenadores
criptografía

como

Hasta ahora no se había revelado que RSA recibió $ 10 millones en un acuerdo que estableció la fórmula de la NSA como el método preferido o predeterminado para la generación de números en el software BSafe, según dos fuentes familiarizadas con el contrato.

Sin embargo, más adelante en el artículo citan a RSA negando esto:

RSA y EMC se negaron a responder preguntas para esta historia, pero RSA dijo en un comunicado: "RSA siempre actúa en el mejor interés de sus clientes y bajo ninguna circunstancia RSA diseña o habilita puertas traseras en nuestros productos. Decisiones sobre las características y funcionalidad de los productos RSA son nuestras".

¿Pagó la NSA 10 millones de dólares a la RSA para debilitar sus sistemas?

Nota: Sé que esto está estrechamente relacionado con ¿La NSA construye puertas traseras en los algoritmos de encriptación? Sin embargo, creo que esta es una pregunta diferente, porque es un algoritmo específico aquí y una acusación más específica (y la respuesta aceptada allí, que habla sobre el mismo algoritmo no responde a mi pregunta).

Ladadadada

Supongo que a los efectos de esta pregunta estamos suponiendo que la respuesta a la otra pregunta vinculada es "sí".

como

@Ladadadada No necesariamente. Si la respuesta es no, obviamente la respuesta aquí es no, pero esa es la única correlación.

Michael Kohne

Una mejor forma de expresar esto podría ser "¿Pagó la NSA a RSA $10 millones para que Dual_EC_DRBG fuera el valor predeterminado?" Esa pregunta no depende de saber si Dual_EC_DRBG está realmente respaldado por la NSA o no.

Respuestas (1)

¿Pagó la NSA a RSA 10 millones de dólares para que Dual_EC_DRBG fuera el predeterminado en BSafe?

Supongo que a los efectos de esta pregunta estamos suponiendo que la respuesta a la otra pregunta vinculada es "sí".
@Ladadadada No necesariamente. Si la respuesta es no, obviamente la respuesta aquí es no, pero esa es la única correlación.
Una mejor forma de expresar esto podría ser "¿Pagó la NSA a RSA $10 millones para que Dual_EC_DRBG fuera el valor predeterminado?" Esa pregunta no depende de saber si Dual_EC_DRBG está realmente respaldado por la NSA o no.

Marca · Answer 1

Tienes dos preguntas ahí:

1) ¿Pagó la NSA a RSA Security $10 millones para que Dual_EC_DRBG fuera el valor predeterminado?

Muy probable. La forma en que está redactada la declaración de RSA Security no niega la acusación central del informe de Reuters:

RSA recibió $ 10 millones en un acuerdo que estableció la fórmula NSA como el método preferido o predeterminado para la generación de números en el software BSafe

2) ¿Pagó la NSA 10 millones de dólares a la RSA para debilitar sus sistemas?

Probablemente no. La declaración lo niega explícitamente (énfasis mío):

La cobertura de prensa reciente ha afirmado que RSA celebró un "contrato secreto" con la NSA para incorporar un generador de números aleatorios defectuoso conocido en sus bibliotecas de cifrado BSAFE. Negamos categóricamente esta acusación...

y

...pero también declaramos categóricamente que nunca hemos celebrado ningún contrato ni participado en ningún proyecto con la intención de debilitar los productos de RSA o introducir posibles "puertas traseras" en nuestros productos para el uso de cualquier persona.

Las dos respuestas no son contradictorias. En 2004, cuando se informó que se firmó el contrato, no se sabía que Dual_EC_DBRG tuviera fallas. El primer artículo que mostraba una debilidad en el algoritmo se publicó en 2006, y el primer artículo que demostraba que podría tener una puerta trasera se publicó en 2007, aunque la posibilidad teórica de un ataque se conoció en 1997. Es prácticamente seguro que, si el contrato existe, no menciona que el algoritmo sea defectuoso o débil, o que incorpore una puerta trasera.

¡Bienvenido a Escépticos! . Si bien estoy de acuerdo en que la redacción de la declaración fue desafortunada, ya que no abordó la acusación clave, su interpretación de que esto implica que la acusación es cierta es una opinión, no una declaración referenciada definitiva.
Sin embargo, ya ha habido un ejemplo de que la NSA conoce una debilidad ante el público. Cuando se desarrolló DES, la NSA se entrometió con el algoritmo y enfrentó severas críticas por sus cambios (todavía se usaba con esos cambios). Solo 20 años después se dio a conocer al público el criptoanálisis diferencial (en ese caso, los cambios realizados por la NSA en realidad mejoraron el DES). Por lo tanto, ciertamente no es descabellado decir que si la NSA pagó para hacer que un algoritmo se use más ampliamente y se haya demostrado que es débil, sabían sobre la debilidad antes y planeaban capitalizarla.

¿Pagó la NSA a RSA 10 millones de dólares para que Dual_EC_DRBG fuera el predeterminado en BSafe?

como

Ladadadada

como

Michael Kohne

Respuestas (1)

Marca

pensamiento extraño

usuario45891

¿COBOL tenía 250 mil millones de líneas de código y 1 millón de programadores en 2009?

¿Podrá el centro de datos de Utah de la NSA manejar y procesar cinco zettabytes de datos?

¿Una página web con fondo negro ahorra energía?

¿Los agentes de EE. UU. interceptan e instalan spyware en las nuevas computadoras ordenadas por personas de interés?

¿La NSA incorpora puertas traseras en los algoritmos de encriptación?

¿Qué es este dispositivo "d-mac"?

¿Se puede atribuir el éxito de Microsoft a su abuso de un monopolio?

¿Google Chrome está acabando con la batería de mi portátil?

¿Las patentes de software sofocan la creatividad?

¿Qué deficiencias en Classic Mac OS llevaron a Apple a reemplazarlo? [cerrado]