La NSA pagó 10 millones de dólares a RSA para difundir un algoritmo de cifrado defectuoso (Act.)

Ricardo Cambre
36 56 40
Noticias » Internet
Actualización: RSA ha respondido a la polémica con una entrada en su blog, "negando categóricamente" las acusaciones de un "contrato secreto" con la NSA. La empresa señala que nunca han intentado ocultar su relación con la agencia norteamericana.

Del mismo modo aseguran que la elección en 2004 del algoritmo Dual EC DRBG para su producto BSAFE responde al objetivo de mejorar su seguridad, no de rebajarla. RSA recuerda que este algoritmo es uno de los muchos que se pueden elegir en su producto, y que el aviso de cesar su uso responde a un cambio en las recomendaciones del instituto NIST el pasado septiembre.

Noticia Original:

La firma de seguridad RSA recibió 10 millones de dólares de la NSA a cambio de incluir en sus productos un sistema de cifrado que la agencia pudiera romper con facilidad, según informa Reuters. RSA incluyó una fórmula defectuosa de generación de números aleatorios desarrollada por la NSA en su herramienta BSafe, un kit diseñado para mejorar la seguridad de ordenadores personales y servidores.

El diario New York Times ya mencionó en septiembre que los documentos filtrados por Edward Snowden mostraban que la NSA había creado y promulgado el uso de un algoritmo defectuoso denominado Dual EC DRBG para proveer "puertas traseras" accesibles en productos de cifrado. Reuters revela ahora que la empresa RSA se convirtió en el mayor distribuidor de productos que utilizan este cifrado por defecto, tras el pago de una suma de 10 millones de dólares por parte de la agencia estadounidense.

Según dos fuentes de Reuters, la NSA no avisó a la empresa sobre los defectos del algoritmo propuesto, y aseguró en cambio que el cifrado incluía mejoras tecnológicas en materia de seguridad. La propia RSA avisó posteriormente a sus clientes de que cesaran el uso del algoritmo Dual EC DRBG tras la filtración del New York Times.

La firma de seguridad tiene un largo historial de enfrentamientos con el Gobierno de los Estados Unidos. En los 90 la compañía tuvo un papel clave en la paralización del plan del Gobierno para incluir un chip en los ordenadores específicamente diseñado para espiar a los usuarios. Del mismo modo, investigadores de la empresa afirman que la NSA intentó convencerles reiteradamente de que las claves no tenían que ser tan largas como ellos proponían.

La RSA ha comentado el asunto con un comunicado a la agencia Reuters: "RSA siempre actúa pensando en los intereses de sus clientes, y la RSA no diseña o activa ninguna puerta trasera bajo ninguna circunstancia en ninguno de sus productos. Las decisiones sobre las características y la funcionalidad de los productos RSA son cosa nuestra". La NSA no ha ofrecido declaraciones.
40 comentarios
  1. Conspiranoicos everywhere. Oh wait.
  2. Atontao que no dice nada
  3. Y siguen las filtraciones, que mas nos podrán haber echo sin que sepamos todavía. XD
  4. Ésto es de película.
  5. A estos se les llena la boca con palabrotas como "trusted computing". Su trusted computing se puede ir a tomar por donde amargan los pepinos, sabiendo que la NSA puede, con la ley de SU PAIS en la mano y un bazooka en la otra, rebentar cualquier certificado SSL que usemos habitualmente en nuestros proyectos, en casa, en las comunicaciones con los servidores de correo, web, etc etc...

    No me gusta para nada, luego me llamarán conspiranoico, pero es que tela con la NSA y los putos yankees.
  6. Esto siempre será asi, no creo que haya ningún gobierno que no lo haga.
  7. promulgo leyes para pasarmelas por el forro...
  8. Yo hago la ley y yo me la salto.....ahora tu no te pases un pelo porque te empapelan de por vida.
    En en fondo seguimos como en la edad media.
  9. cada vez dan mas asco , cada dia sacan algo mas malo es increible
  10. Vaya tela, casi dan ganas de utilizar los cifrados del colegio... a1, b2, c3, .... por lo menos no tenía puerta de atrás, ;)

    Saludos.
Ver más comentarios »