NSA maksoi $10 miljoonaa tietoturvayhtiölle reikäisestä ohjelmasta?

Uutistoimisto Reuters kertoo sivuillaan lähteeltään kuulemasta tiedosta, jonka mukaan Yhdysvaltain tiedusteluvirasto NSA (National Security Agency) olisi maksanut 10 miljoonaa dollaria tietoturvayhtiölle. Maksun kerrotaan kohdistuneen salausohjelmaan, johon kyseinen tietoturvayhtiö olisi asettanut haavoittuvuuden valvonnan mahdollistamiseksi. NSA:n rooli edellä mainitun kaltaisesta toiminnasta paljastettiin jo aiemmin tänä vuonna Edward Snowdenin vuotamissa dokumenteissa.

NSA:n on kerrottu maksaneen, jotta ohjelmassa olisi oletuksena käytössä Dual_EC_DRBG-pseudosatunnaisnumerogeneraattori, jota käytetään datan salaamisessa, mutta joka samalla mahdollistaa takaportin avulla käyttäjien valvonnan. Syytösten kohteena on tietoturvayhtiö RSA Security, jonka omistaa EMC Corporation, ja sen Bsafe-ohjelma. RSA on vastannut syytöksiin, ettei se käytä enää kyseistä generaattoria ja ettei se ollut tietoinen takaportista. Valinta Dual_EC_DRBG:n käyttämiseksi oli pelkästään luonteinen kyseisellä aikakaudella ja vuonna 2004 sillä kerrottiin olevan vahvuuksia muihin algoritmeihin nähden.

”RSA toimii aina kuluttajien etujen mukaisesti, eikä missään tilanteessa suunnittele tai mahdollista takaportteja ohjelmissaan. Päätökset RSA:n ohjelmien ominaisuuksista ja toiminnallisuuksista ovat meidän omia.”, RSA:n virallinen lausunto kertoo.

Reuters, Exclusive: Secret contract tied NSA and security industry pioneer