Сноуден заставил RSA поставить под сомнение безопасность собственного алгоритма шифрования

В результате очередного громкого разоблачения, организованного Эдвардом Сноуденом, одна из крупнейших американских компаний, разрабатывающих ИБ-решения, предупредила тысячи своих подписчиков о том, что часть ее программного обеспечения использует недостаточно безопасный алгоритм шифрования, разработанный Агентством национальной безопасности (NSA).

Компания RSA, являющаяся подразделением корпорации EMC (EMC.N), на прошлой неделе написала в своей рассылке , что ее инструмент для разработчиков использует по умолчанию встроенный генератор псевдослучайных чисел со слабым алгоритмом, и пользователям рекомендуется переключиться на один из других алгоритмов, также предоставляемых RSA.

Как сообщает Reuters, опубликованные Сноуденом документы указывают, что агентство использовало свое публичное участие в процессе выбора криптографического стандарта, используемого каждым добровольно, для того чтобы продвинуть разработку Национального института стандартов и технологий (NIST) и криптографический алгоритм, который NSA может взломать.

Сотрудники NIST, которые приняли предложенный NSA в 2006 году алгоритм, как один из четырех, пригодных для правительственного использования, сообщили, что пересмотрят свое решение в свете последних событий.

RSA подчеркивает то, как медлительный процесс развития стандартов оставляет пользователей уязвимыми к хакерским атакам со стороны NSA и других организаций, которые длительное время могут эксплуатировать уязвимый алгоритм.

Разработчики, которые пользовались набором BSAFE от RSA, занимались созданием кода, как для различных видов ПО, в том числе браузеров, так и при создании аппаратных продуктов. Случайные числа являются ключевым моментом в современной криптографии, и возможность их угадать делает шифрование практически бесполезным.

Представленный NSA алгоритм был утвержден NIST в большой степени потому, что он уже использовался многими государственными учреждениями США. После разоблачения на прошлой неделе в NIST инициировали публичное обсуждение изменения алгоритма. «Если в одном или другом стандарте NIST обнаруживаются уязвимости, мы работаем с криптографическим сообществом над тем, чтобы устранить их как можно быстрее», - прокомментировали в институте.