NSA osti takaoven salausalgoritmiin 10 miljoonalla dollarilla
Tietoturvayhtiö RSA sai Yhdysvaltain turvallisuusvirasto NSA:lta 10 miljoonan dollarin lahjuksen jätettyään näennäissatunnaislukugeneraattoriin takaoven, jota NSA pystyi hyödyntämään Bullrun-vakoiluohjelmassaan. Kyseinen algoritmi oli oletuksena käytössä RSA:n BSafe-tietoturvatuotteessa ja se löytyy monista tietokoneista (esim. Windows Vista SP1).
Elliptisiin käyriin perustuva Dual_EC_DRBG-algoritmi on Yhdysvaltain kansallisen standardointivirasto NIST:n hyväksymä. Algoritmissa havaittiin jotakin epäilyttävää ja vuonna 2007 Dan Shumow ja Niels Ferguson kertoivat havainneensa tiettyjen vakioiden määrittävän generaattorin lopputuloksen. Mikäli joku pääsee käsiksi tähän näihin salaisiin vakioihin, pystyisi hän murtamaan salauksen. Aikoinaan ihmeteltiin myös sitä miksi NSA kannusti niin voimakkaasti käyttämään Dual_EC_DRBG:tä.
Snowdenin paljastettua takaoven kesällä, RSA on suositellut luopumaan Dual_EC_DRBG:stä.
12 KOMMENTTIA
KaiPuu1/12
Ei kai kukaan voi enää luottaa amerikkalaiseen tieto"turva"yhtiöön, pilvipalveluun, verkkopalveluun, mihinkään. Ciscon business on jo romahtanut Aasiassa, Boeing menetti Brasislian kaupan Saabille. Tottakai Google, Microsoft, Facebook, jne vakuuttavat melkein paniikissa että "me olemme puhtaita pulmusia".
Luottamuksen rakentamiseen menee vuosikausia, vuosikymmeniä. Mutta se menetetään hyvin lyhyessä ajassa. Tässä taisi mennä koko USAn kansakunnan luottamus.
Lumikki2/12
Lisään vain että kyse on tosiaan ihan USA:n asenteesta asioihin. Se kun on ottanut kannan että omia etuja puolustetaan keinoilla millä hyvänsä. Ongelma tässä ei ole pelkästään se että maailman muiden kansalaisten luotamus USA:n heikkenee. Vaarana on että USA:n ja muun maailman välit tulehtuvat, koska USA ei tunnu kunnioittavan mitään tai ketään muuta kuin itseään.
On vaara että USA:ta erotetaan muusta maailmasta joissain asioissa, joka voi johtaa maailman globaaliseen jakautumiseen. Siitä ei seuraa mitään hyvää.
Jo nykyään EU:lla ja USA:lla on vakavia keskenäisiä ongelmia.
G0lden_Kebab3/12
"Ei kai kukaan voi enää luottaa amerikkalaiseen tieto"turva"yhtiöön, pilvipalveluun, verkkopalveluun, mihinkään..."
En ole koskaan amerikkalaisiin luottanutkaan...jotenkin vain aina "tiennyt" nuo metkut jossei muuten niin alitajunta on kehottanut pysyä poissa amerikkalaisista tieturva/palveluista.
coocie984/12
Itse olen vähän huolissani miten hyvää tietoturvaa Microsoftin tuotteet sitten oikein tarjoavat, esim. Bitlocker on alkanut olemaan yllättävän yleinen kryptauskeino yrityksissä koska sen voi helposti integroida domainiin. Globaalit ja suuret yritykset ovat tuotesalaisuuksineen täysin Amerikan armoilla tässäkin asiassa. Sama laitelmistajissa ja TPM-kryptausprosessoreissa.
KaiPuu5/12
Twitteristä:
Lauzi6/12
Lauantaiehtoon lottopotin hinnalla myytiin firman uskottavuus. Ei voi kun sanoa, että halvalla meni.
tataka7/12
Samaa mieltä, firmalla tulee tämän pikkusumman takia vaikeat ajat. Oikein jos ottaa lahjuksia.
KaiPuu8/12
RSA:n emoyhtiö on EMC, joka varsin iso. Mutta jos tämä juttu vaikuttaa myös EMC:n levy- ja softabisneksiin, niin sitten ....
power_age9/12
Justiinsa vanha sanonta kuuluu suunnilleen tyyliin, että on mitä on vaikka voissa paistaisi, pätee juurikin jenkkeihin oikein hyvin vaikka välillä mukamas valoa pilkahtelee etteivät olekaan aivan sitä, hetkenpäästä tulee uutinen joka kumoaa valon pilkahduksen.
Kuka voi luotta Amerikkalaiseen käyttöjärjestelmään, tosin nykyään kaikki valtiot ja päättäjät ovat sen verran juoru akkojen liemessä keitettyjä, että samapa tuo kenen valmistama järjestelmä on vakoilua on taattu tavalla tai toisella.
Muistan kun 4 - 5 vuotta takaisin ostin elämäni ensimmäisen tietokoneen HP.n läppärin vistalla, kun sain paketin auki ja vihdoin koneen nettiyhteyteen, ei mennyt pitkää aikaa varmaan kunnolla 4 tuntia kun räpeltelin koneella tutkin miten toimii kunnes tuli olotila että kaikki ei ole niin kuin ennen.
Aloin heti miettimään että varmasti urkkivat mitä teen koneenkautta, miten toimin, tuli olo että olen kuin läpivalaisussa yksityisyys meni hommaa jatkuin kuukausia ellei jopa se ensimmäinen vuosi.
Juttelin monien kanssa joilla oli koneet olleet jo vuosia, kuinka varmasti koneella saadaan urkittua lähes kaikkea sekä keskustelu palstoilla asiasta, silloin oli aina se foliohattu tai :DD juttua, enää ei taida niin helposti olla koska kaikki voivat olla NSA.n suurennuslasin alla tarkkailtavina, taitaa se NSA & Jenkkilä melkoinen juoru akkala kun omista asioista huolta pitäminen ei riitä, pitää urkkia muidein asioita kun juoru akat verhon raosta.
Muistan vielä kun mainitsin asiasta, että se kamera mistä sen tietää ettei sitä kautta vakoilla, esitin vielä että varmasti niillä on ohjelmat millä kykenevät kamerasta valon sammuttamaan ja siten sen kautta kyttäämään mitä kämpässä tapahtuu vaikka ei salatavaa olisikaan arvostan yksityisyyttäni, sain kyllä sellaiset naurut päin naamaa ja foliohattu juttua kuulla ym. kameran silmän teippaamista, sen silmän myös teippasin ylitse.
Enää ei ehkä naureskella asialle niin, ihmiset taitavat kuitenkin arvostaa sitä yksityisyyttään vaikka ei salatavaa olisikaan. link link link link link
khandaras10/12
Ei web-kameroita, salattu internetyhteys ja salatut kovalevyt (ei bitlockerilla, vaan truecryptillä). Silti on kovin turvaton olo vaihteeksi. Kiitos tästäkin, jenkkilä.
tataka11/12
No jos on takaovi jolla kirjoittamasi menee muualle ei truecryptillä vaikka olisikin nsa kestävä ja murtamaton ei siitä ole hyötyä. Vaikka olisi 40 merkkinen vahva salasana niin ei auta jos salasana menee jakoon.
Ikävä kyllä ei voi olla turvassa jollei alusta saakka itse tietokoneen käyttöjärjestelmää tee, eiköhän linuxissakin ole takaportteja a la nsa+muut natsit.
Lumikki12/12
Ei salaaminen ole se ensimmäinen asia miten asioita suojellaan, vaan se että ei anneta turvallisuuden rikkomiseen edes mahdollisuutta. Esimerkki asian ymmärtämiseksi.
1. Laite kytketään internettiin hyvällä salauksella tietojen suojelemiseksi.
2. Et kytke laitetta olenkaan internetiin.
Eli älä ota riskiä alun alkaenkaan ja pysy poissa asioista jotka ovat alttiita riskille. Kyse on vähän samasta kuin että laitat kotona fyysisesti salasanasi kassakaappiin. Tai laitat ne johonkin digitaaliseen laitteeseen salauksella joka on yhteydessä internetiin.
Toisessa tapauksessa henkilön pitää päästä fyysisesti paikanpäälle murtamaan asia ja toisessa miljoonilla hakkereilla on mahdollisuus päästä kiinni digitaaliseen järjestelmääsi yrittämään murtautumista.
Tietysti tässä voidaan kysyä että mitä virkaa on RSA salauksella jos yhtiö myy siihen takaportteja rahasta asiattomille. Vie pohjan koko salauksen ideasta.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT