Actualización: RSA ha respondido a la polémica con una entrada en su blog, "negando categóricamente" las acusaciones de un "contrato secreto" con la NSA. La empresa señala que nunca han intentado ocultar su relación con la agencia norteamericana.
Del mismo modo aseguran que la elección en 2004 del algoritmo Dual EC DRBG para su producto BSAFE responde al objetivo de mejorar su seguridad, no de rebajarla. RSA recuerda que este algoritmo es uno de los muchos que se pueden elegir en su producto, y que el aviso de cesar su uso responde a un cambio en las recomendaciones del instituto NIST el pasado septiembre.
Noticia Original:
La firma de seguridad RSA recibió 10 millones de dólares de la NSA a cambio de incluir en sus productos un sistema de cifrado que la agencia pudiera romper con facilidad, según informa Reuters. RSA incluyó una fórmula defectuosa de generación de números aleatorios desarrollada por la NSA en su herramienta BSafe, un kit diseñado para mejorar la seguridad de ordenadores personales y servidores.
El diario New York Times ya mencionó en septiembre que los documentos filtrados por Edward Snowden mostraban que la NSA había creado y promulgado el uso de un algoritmo defectuoso denominado Dual EC DRBG para proveer "puertas traseras" accesibles en productos de cifrado. Reuters revela ahora que la empresa RSA se convirtió en el mayor distribuidor de productos que utilizan este cifrado por defecto, tras el pago de una suma de 10 millones de dólares por parte de la agencia estadounidense.
Según dos fuentes de Reuters, la NSA no avisó a la empresa sobre los defectos del algoritmo propuesto, y aseguró en cambio que el cifrado incluía mejoras tecnológicas en materia de seguridad. La propia RSA avisó posteriormente a sus clientes de que cesaran el uso del algoritmo Dual EC DRBG tras la filtración del New York Times.
La firma de seguridad tiene un largo historial de enfrentamientos con el Gobierno de los Estados Unidos. En los 90 la compañía tuvo un papel clave en la paralización del plan del Gobierno para incluir un chip en los ordenadores específicamente diseñado para espiar a los usuarios. Del mismo modo, investigadores de la empresa afirman que la NSA intentó convencerles reiteradamente de que las claves no tenían que ser tan largas como ellos proponían.
La RSA ha comentado el asunto con un comunicado a la agencia Reuters: "RSA siempre actúa pensando en los intereses de sus clientes, y la RSA no diseña o activa ninguna puerta trasera bajo ninguna circunstancia en ninguno de sus productos. Las decisiones sobre las características y la funcionalidad de los productos RSA son cosa nuestra". La NSA no ha ofrecido declaraciones.
