A RSA, divisão de segurança da EMC, foi colocada numa saia justa por causa de dados revelados por Edward Snowden: o noticiário garantia que ela havia feito um contrato secreto com a NSA para incorporar em suas bibliotecas de criptografia BSAFE um gerador de números aleatórios que continha uma falha – e, mais do que isso, tornar esse gerador o padrão, o principal, aquele que todo mundo usa sem pensar.
Números aleatórios (ou escolhidos ao acaso) são ingredientes básicos da criptografia, seja para a geração de chaves ou de outros elementos. A RSA nega. Eis as informações prestadas pela companhia:
“Trabalhamos com a NSA tanto como fornecedores quanto como membros da comunidade de segurança. Nunca fizemos segredo desse relacionamento e de fato o tornamos público. Nosso objetivo explícito sempre foi o de fortalecer a segurança comercial e do governo.
Alguns pontos-chave sobre a nossa utilização do ‘Dual EC DRBG’ no BSAFE:
decidimos utilizar o ‘Dual EC DRBG’ como padrão nas ferramentas do BSAFE em 2004, no contexto de um esforço industrial conjunto para desenvolver métodos de criptografia novos e mais fortes. Nessa época, a NSA tinha um papel confiável no esforço da comunidade para fortalecer, e não enfraquecer, a criptografia.
Este algoritmo é um entre múltiplas escolhas disponíveis nas ferramentas BSAFE, e os usuários sempre estiveram livres para escolher qualquer um que melhor atendesse às suas necessidades.
Nós continuamos usando o algoritmo como opção entre as ferramentas do BSAFE já que ele obteve aprovação como norma da NIST (National Institute of Standards and Technology) e por causa de sua aderência ao FIPS (Federal Information Processing Standard). Quando preocupações sobre o algoritmo surgiram em 2007, continuamos a confiar no NIST como árbitro da discussão.
Quando em setembro de 2013 o NIST publicou novas orientações recomendando que não mais se usasse esse algoritmo, aderimos a elas, comunicamos a recomendação aos clientes e discutimos a mudança abertamente na mídia.
A RSA, como uma empresa de segurança, nunca divulga detalhes de compromissos com clientes, mas também declara categoricamente que nunca teve qualquer contrato ou se comprometeu em qualquer projeto com a intenção de enfraquecer os produtos da RSA, ou de introduzir potenciais “backdoors” em nossos produtos para o uso de quem quer que seja”.
