Ya os lo decíamos cuando publicamos hace un rato esta noticia. Y parece que la reacción de la RSA, como cabía esperar, no se ha hecho esperar. Reuters saltó la alarma cuando publicó un acuerdo suscrito entre la RSA y la NSA por el cual la RSA hubiera recibido 10 millones de USD para manipular su sistema bSafe (basado en el algoritmo DUAL_EC_BRG) con el fin de conseguir que la NSA pudiera violar la protección.
En 2007 investigadores de Microsoft demostraron que si los atacantes conocen una cierta relación entre los números incluidos en el algoritmo Dual_EC_DRBG, entonces se podrían predecir todos los números generados por el mismo. La sospecha de que había backdoors para el algoritmo se reforzó cuando en septiembre pasado se conoció que la Agencia de Seguridad Nacional (NSA) había trabajado para debilitar los estándares NIST (Instituto Nacional de Normas y Tecnología) que a su vez es el encargado de aprobar todos los estándares dentro de los cuales está este algoritmo. Una noticia al más puro estilo de las películas de espionaje.
Las declaraciones de RSA no se han hecho esperar «Declaramos categóricamente que nunca hemos cerrado ningún contrato o participado en ningún proyecto con la intención de debilitar los productos de RSA, o introducir potenciales ‘puertas traseras’ en nuestros productos para el provecho de nadie».
En su comunicado, además la compañía asegura que decidió implementar Dual_EC_DRBG por defecto en 2004 pensando en un mejor sistema de cifrado. «En ese momento, la NSA tenía un rol de confianza en el esfuerzo de la comunidad para fortalecer, no debilitar el cifrado».
Y cierra cualquier atisbo de sospecha diciendo que «Cuando NIST lanzó una nueva guía recomendando no seguir usando este algoritmo, en septiembre de 2013, nos adherimos a ella y comunicamos esa recomendación a clientes y discutimos el cambio abiertamente en los medios».
Como cabía de esperar, la reacción de la RSA no se ha hecho esperar y aún a pesar de ser desmentida dicha información queremos dejar las dos noticias con la intención de que seáis vosotros quienes deis vuestro propio punto de vista si es aquí donde conocéis la noticia por primera vez.
Fuente Blog RSA