A notícia de ontem dava a conhecer ao mundo que a NSA teria pago à RSA para introduzir um backdoor num dos seus softwares, através da utilização de um algoritmo com uma falha, para que pudesse facilmente contornar as cifras aplicadas.
Mas a RSA já veio a terreiro defender-se alegando que não teve qualquer contacto com a NSA e que se o backdoor existe não foi provocado por esta companhia.
Depois da publicação da notícia em vários meios, a posição da RSA ficou fragilizada e a empresa sentiu a necessidade de mostrar que a utilização do algoritmo que agora se fala não partiu de uma escolha sua e que fez parte de um conjunto de recomendações que surgiram no seio do um esforço da industria em fortalecer os mecanismos de segurança existentes.
Essa resposta surgiu ontem num artigo publicado no blog da RSA e pretende esclarecer que esta empresa não teve qualquer ligação especial com a NSA, para além da sua parceria nos fóruns de discussão e de definição dos standards de segurança a serem usados nos softwares associados.
É explicado que a relação com a NSA se limitou a uma parceria, com várias outras empresas, e até ao fornecimento de software para esta agência, sendo a sua relação apenas comercial neste caso.
We have worked with the NSA, both as a vendor and an active member of the security community. We have never kept this relationship a secret and in fact have openly publicized it.
Our explicit goal has always been to strengthen commercial and government security.
Nesse artigo é ainda explicado com grande detalhe a opção de utilização do algoritmo Dual EC DRBG no software BSAFE e cada passo que foi dado até ao momento em que se detectou a fragilidade que permitia que este fosse contornado.
Mas apesar de todos os argumentos apresentados, a RSA deixou ainda muita informação por esclarecer. Em primeiro lugar nunca nega que recebeu da NSA o montante que é apresentado.
Em segundo lugar delega na National Institute of Standards a responsabilidade pelo manter do algoritmo activo e em utilização, apesar de conhecida a sua vulnerabilidade.
Por fim, mesmo com esta informação de problemas associados ao Dual EC DRBG, a RSA nunca alterou o seu software para que ou deixasse de o usar ou que o colocasse numa posição de utilização mais baixa, em vez de o manter como o default, como aconteceu.
Está difícil à RSA justificar todas as notícias que vieram a público e que dão como certa a relação entre esta empresa e NSA, para a utilização de um algoritmo de cifra com uma falha que permite que este seja contornado.