對於一家受人尊敬的安全公司來說,1000 萬美元似乎微不足道,要出賣其存在的理由,但在 2006 年的一項秘密交易中,這正是發生的事情。
美國RSA公司是世界上最常用的加密工具包的背後公司,它與NSA的合作意味著它不僅將NSA設計的雙橢圓曲線算法納入其產品中,而且將其作為默認的隨機數生成器,將其完全納入Bsafe軟件工具中,而Bsafe軟件工具也構成了許多其他廣泛用於保護敏感信息的安全產品的基礎。
Dual_EC_DRGB 由 NSA 設計,他們利用 RSA 的採用來幫助獲得美國國家標準技術研究所(美國國家標準技術研究院)批准。自2007年加密社區已經知道它包含一個後門(我們在這文章),這意味著用它生成的數字並不是真正隨機的,並且可以被 NSA 發現。
RSA 工作人員為他們的行為進行了辯護,稱他們被 NSA 誤導了,NSA 將該公式描述為安全的,並且沒有告訴他們知道如何破解它; “他們沒有亮出自己的真手。”
RSA 拿了這筆錢,並允許秘密政府合同影響他們的設計和與其他客戶的交易,這已經夠糟糕的了,但它繼續使用和推廣一種已知存在缺陷的算法六年,這絕對是一個醜聞。直到今年 9 月愛德華·斯諾登 (Edward Snowden) 的爆料讓該後門受到公眾關注後,RSA 才敦促其客戶停止使用雙橢圓曲線數字生成器。
不得不說,路透社報導中唯一的新信息就是RSA接受了NSA的付款。對於一家在上世紀九十年代處於抵制克林頓政權試圖用所謂的“剪紙盒”破壞所有加密的先鋒的公司來說,這是一次令人悲傷的失敗。這份報告也是在白宮一個小組負責審查國家安全局監控的一周發布的得出結論“加密是互聯網信任的重要基礎”,並且國家安全局“應該被禁止破壞加密”。