RSA: "לא לקחנו מיליונים מה-NSA כדי להתקין פרצות במוצרים"

לאחר שחברת RSA זכתה אתמול למטחי ביקורת בעקבות הפרסומים כי הסכימה לקבל 10 מיליון דולר מה-NSA בתמורה לשתילת טכנולוגיית הצפנה חלשה במיוחד במוצריה,  פרסמה החברה הבוקר הכחשה גורפת של ההאשמות.

לפי הטוענים נגד RSA, החברה קיבלה את הכסף במסגרת חוזה סודי בינה ובין סוכנות הריגול האמריקאית, כדי שזו האחרונה תוכל לחדור למערכות ממוגנות ברחבי העולם.

"עבדנו בעבר עם ה-NSA, גם כספקית מוצרים וגם כחברה פעילה בקהילת אבטחת המידע ומעולם לא הסתרנו זאת. מטרתנו היתה תמיד לחזק את אבטחת המידע בסקטור הפרטי והממשלתי גם יחד. עם זאת, להאשמה כי שתלנו בפלטפורמת ההצפנה BSafe מחולל מספרים רנדומליים פגום, בכוונה תחילה ובמסגרת הסכם סודי עם ה-RSA, אין כל שחר", נכתב בהצהרה הרשמית שפרסמה היום RSA, שפועלת כיום כחטיבה של חברת התוכנה EMC.

לטענת החברה, האלגוריתם השנוי במחלוקת, המכונה "Dual EC DRBG", שהיה במשך שנים אופציית ברירת המחדל בכמה ממוצריה, שולב בערכות הפיתוח המבוססות על פלטפורמת BSafe ב-2004, כחלק ממהלך רחב בתעשיית אבטחת המידע לפיתוח טכנולווגיות הצפנה חדשות, כאשר ה-NSA היתה גוף שנתפס ככזה הפועל לחיזוק טכנולוגיות הצפנה ולא להחלשתן.

מובילה עולמית בהצפנה

האלגוריתם הוא רק מרשימה ארוכה של אלגוריתמים שכלולים בערכות הפיתוח ומשתמשי הקצה יכולים להחליף כרצונם, אומרים ב-RSA. בנוסף, טענה החברה שהחלטתה להמשיך ולכלול את האלגוריתם במוצריה התבססה על המלצות ארגון התקינה הממשלתי NIST. כאשר שינו ב-NIST את ההנחיות והסירו את Dual EC DRBG מרשימת האלגוריתמים המומלצים בספטמבר 2013, הסירה אותו החברה ממוצריה ויידעה את הלקוחות בדבר השינוי.

RSA הוקמה ב-1982 על ידי החוקרים רון ריבסט, לאונרד אלדמן והישראלי עדי שמיר, והיתה לאחת מחברות האבטחה הבולטות בעולם ולמובילה בתחום ההצפנה. ב-2006 היא נקנתה על ידי חברת התוכנה EMC ב-2.1 מיליארד דולר.