پرداخت مخفیانه سازمان امنیت ملی به شرکت امنیتی RSA
سازمان امنیت ملی آمریکا (NSA) در یک توافقنامه محرمانه، 10 میلیون دلار به شرکت RSA، برای دستکاری الگوریتم رمزنگاری خود که بصورت گسترده در برنامه های امنیتی مورد استفاده قرار می گیرد، پرداخت کرده است. این گزارشی بود که خبرگزاری رویترز هفته گذشته آنرا منتشر نمود. گزارشی که سازمان امنیت ملی را متهم به ضعیف تر کردن استانداردهای رمزنگاری به منظور رصد کامل داده ها می کند.
گزارش رویترز بر پایه دو منبع که به گفته این خبرگزاری با این توافقنامه آشنایی داشته اند، منتشر شده است. سازمان امنیت ملی از ارائه هر گونه توضیحی در این خصوص خودداری کرده است. اما RSA که در ابتدا از ارائه پاسخ سرباز زده بود بالاخره با انتشار بیانیه ای، ورود خود به هر گونه توافقنامه مخفیانه را تکذیب کرد:
“ما با سازمان امنیت ملی، هم بعنوان فروشنده و هم بعنوان یک عضو فعال جامعه امنیتی کار کرده ایم. نه تنها این ارتباطات را مخفی نکرده ایم بلکه بطور شفاف آنها را عمومی کرده ایم. همیشه هدف اصلی ما قوی تر کردن امنیت بخشهای تجاری و دولتی بوده است. ما هیچگاه به قرارداد یا پروژه ای که هدف آن ضعیف تر کردن محصولات RSA یا قراردادن Backdoor در آنها بوده است، وارد نشده ایم.”
در ماه سپتامبر، روزنامه های ProPublica ،The Guardian و The New York Times با انتشار مقالاتی فاش کردند که سازمان امنیت ملی کوشیده است استانداردهای امنیتی را با هدف کمک به دولت آمریکا برای رصد کامل داده ها ضعیف کند. این مقالات براساس اسنادی بود که افشاگر مشهور، Edward Snowden، در اختیار رسانه ها قرار داده بود.
براساس این سلسله مقالات، یک الگوریتم “ایجاد کننده اعداد شبه تصادفی” موسوم به Dual EC توسط مهندسان سازمان امنیت ملی به نحوی تغییر داده شده بود که امکان قرار دادن Backdoor در محصولات امنیتی را میسر می کرده است.
به گزارش رویترز، شرکت RSA با دریافت پول از سازمان امنیت ملی، الگوریتم Dual EC را بعنوان ایجادکننده پیش فرض در یکی از نرم افزار خود با نام BSAFE که بطور گسترده در نقاط مختلف جهان استفاده می شود، قرار داده است.
با این حال، حداقل تمامی ارتباطات سازمان امنیت ملی و RSA محرمانه نبوده است. در ماه مارس 2006، شرکت RSA بدون ذکر مبلغ قرارداد، اعلام کرد که سازمان امنیت ملی نرم افزار BSAFE را برای استفاده در یک پروژه محرمانه انتخاب کرده است.
اکنون سوالی که به ذهن بسیاری خطور می کند این است که آیا RSA آگاهانه نرم افزار BSAFE را ضعیف کرده است.
در بیانیه ای که اخیراً منتشر شد RSA اعلام کرد که تصمیم در خصوص استفاده از الگوریتم Dual EC در نرم افزار BSAFE، در سال 2004، زمانی که تلاش گسترده ای برای توسعه فناوری های رمزنگاری در حال انجام بوده، گرفته شد. همچنین این بیانیه اشاره می کند: “در آن زمان، سازمان امنیت ملی نقشی قابل اعتماد در قوی تر کردن رمزنگاری، نه ضعیف تر کردن آن داشت.”
ضمن اینکه RSA دلیل دیگر استفاده از Dual EC را سازگاری کامل آن با استانداردهای پردازش اطلاعات فدرال موسوم به FIPS دانسته است.
از طرف دیگر، براساس گزارش رویترز، 10 میلیون دلار پرداخت شده به RSA بیش از یک سوم درآمدی است که این شرکت از این اقدام خود در سال گذشته به دست آورده و بنابراین اینطور القا می شود که هدف RSA از اتخاذ این تصمیم کاملاً مالی بوده است.
رویترز ادامه می دهد استفاده از Dual EC در BSAFE به سازمان امنیت ملی کمک کرد تا موسسه ملی فناوری و استانداردها را نیز متقاعد به تایید آن نرم افزار کند.
اما انتقادات از استفاده از Dual EC از همان سال 2006 آغاز شد. در همان سال، مقاله ای دانشگاهی منتشر شد که در آن براساس نتایج تجربی و آزمابشات انجام شده، الگوریتم Dual EC ضعیف دانسته شد.
سرانجام، در ماه سپتامبر، در پی انتشار ده ها مقاله که سازمان امنیت ملی را به ضعیف کردن استانداردهای امنیتی متهم می کرد، موسسه ملی فناوری و استانداردها توصیه کرد از فناوری Dual EC دیگر استفاده نشود. بدنبال آن، RSA نیز با انتشار توصیه نامه ای از مشتریانش خواست بجای Dual EC از فناوری های موجود دیگر در نرم افزار BSAFE استفاده کنند.
انتشار مقالات و اخبار گوناگون در سال 2013 انتقادات بسیاری را متوجه دولت آمریکا کرده است. گروهی که باراک اوباما، رئیس جمهور آمریکا، برای بازرسی فناوری های اطلاعاتی و ارتباطی تشکیل داده بود نیز به تازگی اعلام کرده است که برنامه های جاسوی دولت آمریکا مشکلاتی را برای تجارت بین المللی و روابط آمریکا با سایر کشورها ایجاد می کند.
