Az már tavaly kiderült, hogy az RSA BSafe megoldása körül valami nincs rendben. A BSafe véletlenszám-generátora ugyanis olyan "hibákat" produkált, ami megkönnyítheti a dekódolást. Decemberben a Reuters még azt is kiderítette, hogy az RSA állítólag 10 millió dollárt kapott, hogy az NSA által kifejlesztett algoritmusokat alkalmazza. Ezek az algoritmusok azonban hibásak voltak, hogy hátsó kaput biztosíthassanak a titkok után szaglászó ügynököknek.

Az RSA cáfolta ugyan a hírügynökség állításait, és visszautasította a vádakat, de annyit elismert, hogy együttműködött a szervezettel, de azt kizárólag a biztonság megerősítése érdekében tette. A szakma azonban hitt a Reutersnek, és többen megfenyegették a céget, hogy bojkottálják az egyébként rangos RSA Conference USA 2014-et.

Újabb méregpirulát kellett lenyelnie az RSA-nak

A Johns Hopkins, a Wisconsin és az Illinois Egyetem kutatóiból összeállt csapat mindenesetre módszeresen elkezdte vizsgálni az RSA-termékeket. Így fedezték fel azt, hogy van egy több termékben is meglévő összetevő, az ún. Extended Random, amely nem igazán a védelmet erősíti. A kutatók ugyanis kiderítették, hogy ha benne van a termékben ez a komponens, akkor több tízezerszer gyorsabban lehet visszafejteni titkosításokat, mint abban az esetben, ha az Extended Random hiányzik.

A a Johns Hopkins kutatója, Stephen Checkoway úgy nyilatkozott a Reutersnek, hogy egy 40 ezer dolláros számítógéppel kb. egy óra alatt törhető fel a BSafe for Java. Ha azonban az Extended Random is használatos, akkor ehhez csupán néhány másodpercre van szükség.

Az igazsághoz persze hozzá tartozik, hogy az Extended Random nem terjedt el túlságosan széles körben, és annak fejlesztését az RSA már nem is nagyon erőlteti. Ennek ellenére megint csak felmerült a gyanú, hogy az NSA állhat a háttérben.

A Reuters megkereste az érintett feleket. Az NSA nem kívánta kommentálni a hírügynökség értesüléseit. Az RSA nem vitatta a kutatási eredményeket. Ugyanakkor a cég közleményében hangsúlyozta: szándékosan soha nem gyengítette egyik terméke hatékonyságát sem. Az Extended Random amúgy sem bizonyult népszerűnek – írták –, ezért azt a védelmi szoftvereikből az elmúlt hat hónapban eltávolította.

Sam Curry, az RSA műszaki igazgatója azonban igencsak tanulságosat nyilatkozott az üggyel kapcsolatban. "Szkeptikusabbnak kellett volna lennünk az NSA szándékait illetően – mondta. – Mi bíztunk a szervezetben, hiszen az Egyesült Államok kormányának és az USA kritikus infrastruktúráinak védelmét látta el". Arra a kérdésre azonban nem kívánt válaszolni, hogy az NSA fizetett-e a az RSA azért, hogy az Extended Random is megjelenjen a BSafe-ben.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}