עסקה סודית בין ה NSA האמריקאי לבין RSA עוררה חששות בתחום הגנת...

עסקה סודית בין ה NSA האמריקאי לבין RSA עוררה חששות בתחום הגנת הסייבר

This post is also available in: enEnglish (אנגלית)

16108194_sסוכנות ה NSA האמריקאית שילמה 10 מיליון דולר ל RSA, כדי שזו תוודא שאלגוריתם הצפנה פגיע ישמש כברירת מחדל בכלי ה BSAFE של החברה, כך לפי דיווח של סוכנות הידיעות רויטרס. ב RSA, כעת אגף של EMC, הכחישו עסקה כזו או כל מזימה אחרת שעלולה לפגוע במוצריה. לפי הפרסום ב Defense Tech הדיווח, שהתבסס על מקורות המעורבים בחתימת החוזה, הצית דיון ער בנושא שיתוף הפעולה בין תעשיית הטכנולוגיה וסוכנויות הביון.

"החלק הגרוע הוא – אם הסיפור אמיתי – שמדובר בפגיעה מכוונת בפתרון אבטחה", כך לדברי ג'ון פסטקורה, בכיר במכון SANS. “כשאדם קונה מרכזיה או מכונת כתיבה הוא לא מצפה שהמכונה תגן עליו מתוקפים, אבל אמצעי הצפנה הם סיפור אחר. אתה קונה מוצרי אבטחה בהנחה שהחברה שמוכרת אותם מעבירה לך את אמצעי האבטחה הטובים ביותר שלה. אם ה NSA הצליח לגרום לחברות כמו RSA או מיקרוסופט לפגוע באמינות של המוצרים שלהן יש כאן חצייה של קו אדום שלא נראתה בעבר".

בחודש ספטמבר ה NSA עלתה לכותרות בעקבות ההדלפות של אדוארד סנואדן, עובד הסוכנות לשעבר. חלק מהדיווחים עסקו בניסיונות להחדיר נקודות תורפה למערכות הצפנה מסחריות כדי לפרוץ אותן בקלות בהמשך. לאחרונה רויטרס דיווחה על "דלת אחורית" שהשאירה הסוכנות האמריקאית ב Dual EC DRBG, שניתן לנצל אותה לרעה ולאחר מכן לחייב את RSA לאמץ אותה. החסרונות של האלגוריתם היו ידועות כבר מספר שנים, אלא ש RSA המשיכה להשתמש בו ב BSAFE עד שמכון התקנים האמריקאי הסיר את תמיכתו בתקן – שינוי שהגיע כתוצאה מחששות הולכים וגוברים בעקבות ההדלפות בספטמבר.

ממשל אובמה גם הוא פרסם דו"ח רשמי ובו המלצה ל NSA לנטוש את מאמצי הפגיעה בתקני ההצפנה. “על הממשל לתמוך ביצירת תקני הצפנה ולא לפגוע בהם. אין להחליש אמצעי הצפנה מסחרית שזמינה בשוק, ויש לקדם את השימוש באמצעי הצפנה להעברת מידע ולאחסונו", כך נכתב בדו"ח.

IHLS – Israel Homeland Security

"לפי דיווחים בתקשורת היתה איזושהי עסקה סודית בין RSA ל NSA, כשהמטרה היא לכלול אלגוריתם הידוע כפגום ב BSAFE”, כך נכתב בהצהרה רשמית של RSA. “אנחנו מכחישים בתוקף את הדיווחים האלה. עבדנו בעבר עם ה NSA, גם בתור ספק וגם כחבר פעיל בקהיליית המודיעין. מעולם לא ניסינו להסתיר את היחסים האלה ולמעשה פרסמנו אותם בגלוי. המטרה שלנו תמיד היתה שיפור רמת האבטחה בסקטור הציבורי והפרטי". לפי המסר מהחברה ה Dual EC DRBG נכנס לשימוש בשנת 2004, שנתיים לפני שה NSA חתם על חוזה השימוש ב BSAFE.

"אנחנו כבר לא יודעים על מי לסמוך", צייץ הקריפטוגרף הידוע ברוס שנאייר. “זהו הנזק הקשה ביותר שה NSA גרמה לאינטרנט, והנזק שיהיה גם המסובך ביותר לתיקון". ג'ון פסטקורה, שעבר בעבר עם ה NSA והשירות החשאי, אמר שזו טעות לתת לסוכנות הביון להיות אחראית גם על הפן ההתקפי וגם על הפן ההגנתי בתחום לוחמת הסייבר. לדבריו ניגוד האינטרסים בין שני התחומים עלול לגרום לכך שמקבלי ההחלטות יחשבו שהחדרת נקודות תורפה לתקני הצפנה היא הגיונית. נכון לעכשיו גם ה NSA וגם פיקוד הסייבר האמריקאי מנוהלים על ידי ראש ה NSA, הגנרל קית' אלכסנדר.

עם זאת, הוסיף פסטקורה, הרעיון שלפיו אויבים עלולים להשיג גישה לשיטות הצפנה חזקות ולהשתמש בהן נגד ארצות הברית הוא לא סיבה מספיק טובה כדי לפגוע באמינות של אותן השיטות. אם ה NSA יכולה לפרוץ אותן, גם אחרים יכולים.