Har NSA kjøpt bakdør hos RSA?

Har NSA kjøpt bakdør hos RSA?

En nesten hemmelig betaling skal være for overvåkingsbakvei i sikkerhetsprogramvare.

Nyhetsbyrået Reuters melder at sikkerhetsorganisasjonen NSA skal ha betalt 60 millioner kroner til sikkerhetsselskapet RSA for å legge inn en svakhet i krypteringsalgoritmer som er mye brukt av bedrifter som sikkerhetsløsning. Svakheten skal gjøre det mulig for NSA å snike seg inn og overvåke interne virksomhetsdata og kommunikasjon.

Kildene for lekkasjen skal være to som har nær kjennskap til avtalen og vederlaget som ble betalt.

Allerede i september viste dokumenter fra varsleren Edward Snowden at en av strategiene det nasjonale sikkerhetsbyrået hadde valgt var å svekke sikkerheten i sikkerhetsprogramvare og -standarder. Avsløringene kom da i anerkjente aviser som The Guardian og The New York Times, melder nyhetstjenesten til Computerworld .

Betalingen skal ha vært for at RSA skulle legge inn en NSA-utviklet kodesnutt som genererte tilfeldige koder inn i sin verktøykasse for sikkerhetsutvikling, RSA Bsafe toolkit. Denne generatoren skal ha innebygde bakdører for NSA å bruke for å kikke bedriftene i kortene.

NSA og RSA har hatt en offisiell relasjon basert på det som skulle være et rent forretningsanliggende der NSA brukte RSA-programvare for egen virksomhet. Det meldingen fra Reuter åpner for er at RSA enten med overlegg lot NSA legge inn en svekket sikkerhetsmodul i egen programvare, eller i beste fall så en annen vei mens NSA tuklet med produktene deres.

Den omtalte modulen skal seinere ha blitt kritisert av sikkerhetseksperter som en svak del av RSA-pakken. Mange har derfor anbefalt brukere og kunder å ikke bruke denne delen av RSA-verktøyene, og heller velger andre, sikrere komponenter.

RSA avviser søndag at de har noen hemmelig avtale med NSA, etter først forsøkt seg med en «ingen kommentar» -strategi. Det stopper neppe spekulasjonene som har utløst en ny runde i overvåkingsskandalen som har rullet i over et halvt år nå.

RSA er eid av lagringsgiganten EMC.

Les om: