АНБ США заплатило $10 млн. компании RSA Security (разрабатывает технологии безопасности) за установку в ее программное обеспечение бэкдора. Об этом сообщило агентство Reuters, ссылаясь на документы, предоставленные Эдвардом Сноуденом.
Корпорация RSA Security начала работу в 1982 году. В 2006 году ее приобрела компания EMC за $2,1 млрд., в данный момент она работает как ее подразделение.
По секретной договоренности с АНБ, RSA Security использовала в BSafe заведомо ненадежный метод генерации псевдослучайной последовательности чисел (алгоритм Dual EC DRBG). Причем данный алгоритм используется в утилите по умолчанию.
Данное приложение предназначено для шифрования информации пользователя. По утверждения разработчиков, программное обеспечение соответствует всем требованиям безопасности. Сегодня платформу RSA BSafe используют большое количество мировых компаний, включая Sony, Oracle, Adobe и Nintendo.
Внедрение стороннего кода было необходимо для того, чтобы в случае необходимости спецслужбы могли оперативно расшифровать защищенный трафик.
После публикации представители компании заявили, что сотрудничают с государственными структурами и не скрывают этого. При этом компания опровергла факты о сотрудничестве с АНБ. Разработчики отметили, что выбор технологии Dual EC DRBG (алгоритм используется с 2004 года) не был результатом требований третьей стороны. Разработчики выбрали данный алгоритм по той причине, что на тот момент он удовлетворял всем требованиям безопасности.
Ранее у специалистов возникли подозрения, что Агентство участвовало в создании генератора псевдослучайных чисел RDRAND. После этого был инициирован сбор подписей за отказ от использования данного генератора из ядра Linux. Создатель платформы Линус Торвальдс успокоил общественность, указав, что RDRAND является одним из множества генераторов в пуле случайных чисел. Даже если АНБ сможет контролировать его, это не станет угрозой.
