ข่าวชุดรักษาความปลอดภัย BSAFE ของ RSA (บริษัทลูกของ EMC) ที่ใช้ชุดสร้างตัวเลขสุ่ม Dual_EC_DBRG ที่น่าจะมีช่องโหว่ของ NSA ซ่อนอยู่ภายใน ที่แย่กว่านั้นคือ Reuters รายงานว่า RSA ใช่กระบวนการนี้เพราะรับเงินจาก NSA กว่า 10 ล้านดอลลาร์ ตอนนี้ทาง RSA ออกมาตอบข่าวนี้แล้ว
RSA ระบุว่าความสัมพันธ์ระหว่าง RSA และ NSA นั้นไม่เคยมีการปิดบังใดๆ RSA เป็นผู้ผลิตให้กับ NSA และทั้งสองหน่วยงานเป็นสมาชิกของวงการรักษาความปลอดภัยที่มีบทบาทมาต่อเนื่อง โดยเป้าหมายของความสัมพันธ์คือการสร้างความปลอดภัยให้กับหน่วยงานรัฐและเอกชน
RSA ระบุจุดสำคัญของการใช้งาน Dual_EC_DBRG 4 ข้อ
RSA ใช้ Dual_EC_DBRG มาตั้งแต่ปี 2004 เพราะทั้งอุตสาหกรรมกำลังพยายามสร้างมาตรฐานตัวสร้างเลขสุ่มแบบใหม่อยู่ และตอนนั้น NSA ได้รับความไว้วางใจในวงการว่าเป็นหน่วยงานเพื่อเพิ่มความปลอดภัย ไม่ใช่ทำให้อ่อนแอลง
Dual_EC_DBRG เป็นเพียงตัวเลือกหนึ่งในหลายกระบวนการที่ BSAFE มีให้เลือก ลูกค้าสามารถเลือกได้เองเสมอ
มีข้อสงสัย Dual_EC_DBRG มาตั้งแต่ปี 2007 แต่ BSAFE ก็ยังใช้งานต่อไปเพื่อให้เข้ากับมาตรฐาน FIPS ของ NIST
เมื่อ NIST ยกเลิก Dual_EC_DBRG ออกจากคำแนะนำในเดือนกันยายนที่ผ่านมา ทาง RSA ก็แจ้งเตือนให้ลูกค้าเลิกใช้งานอย่างเปิดเผยเช่นกัน
ทาง RSA ยืนยันว่าไม่มีการทำสัญญาใดๆ เพื่อลดความปลอดภัยของกระบวนการเข้ารหัส หรือการเปิดช่องโหว่ใดๆ ในสินค้าของ RSA
ที่มา : blognone