RSA confirma que confiou na NSA para adotar fórmula 'envenenada'

 

Companhia não comentou sobre contrato de US$ 10 milhões.
Algoritmo usado no Bsafe possui 'falha intencional'.

A companhia de segurança RSA, pertencente à empresa de armazenamento de dados EMC, publicou neste domingo (22) um comunicado sobre a recente acusação publicada pela agência Reuters de que a empresa teria recebido US$ 10 milhões da Agência Nacional de Segurança (NSA) dos Estados Unidos para enfraquecer a segurança de um de seus produtos. O comunicado confirma que a empresa trabalha com a NSA e que confiava na agência, mas nega que tenha "enfraquecido intencionalmente" a segurança dos produtos.

A informação publicada pela Reuters tem como base documentos vazados por Edward Snowden, ex-prestador de serviços da NSA. A quantia paga pela NSA, que equivale a um terço da receita anual relacionada ao produto Bsafe, teria influenciado a RSA a adotar uma fórmula com uma falha que permite ao governo decifrar dados protegidos com o produto.

O problema está em um gerador de números aleatórios chamado Dual EC. Computadores não podem gerar números realmente aleatórios; em vez disso, fórmulas são usadas para geração de números pseudoaleatórios. O gerador Dual EC foi aprovado pelo NIST, o órgão norte-americano equivalente à ABNT, em 2006. Revelações do Edward Snowden mostraram que a NSA interferiu no processo de padronização do Dual EC de modo a garantir que ele fosse enfraquecido.

Em setembro de 2013, após as revelações, o NIST divulgou um comunicado recomendando que a fórmula deixasse de ser usada. A RSA encaminhou essa orientação aos clientes, recomendando que ele não fosse mais usado na configuração do Bsafe.

Além de ser um padrão do NIST, o Dual EC faz parte dos padrões de processamento de dados do governo norte-americano (FIPS). Por isso, a fórmula existe também em produtos de outras empresas e softwares de código aberto. O que diferencia a RSA dos demais é adoção do algoritmo em 2004 na configuração padrão do Bsafe e a alegação de que teria recebido dinheiro da NSA.

A decisão foi feita dois anos antes de o Dual EC tornar-se um padrão adotado pelo NIST. No comunicado, a empresa diz que adotou o Dual EC "em um contexto de esforço de toda a indústria para a adoção de formas de criptografia mais novas e mais fortes", complementando essa afirmação com a de que "na época, a NSA tinha um papel de confiança nos esforços da comunidade para fortalecer, e não enfraquecer, a criptografia".

Na prática, significa que a RSA considerou a opinião da agência para a adoção da fórmula. A empresa, porém, nega que em qualquer momento tenha tomado uma decisão para "enfraquecer intencionalmente" a segurança de seus produtos. O comunicado não comentou a existência de qualquer contrato ou pagamento relativo à decisão, embora tenha dito que a relação da RSA com a NSA "nunca foi secreta", já que a NSA é cliente da companhia.