Todo aquel que trabaje en una empresa con una VPN corporativa conoce a RSA, la empresa que genera un código de autenticación de dos vías que es supuestamente la mejor solución para conectarse a una red corporativa, pero resulta que RSA recibió u$10 millones de dólares de la NSA para usar un algoritmo débil en esa herramienta de generación de números aleatorios… haciendo de esta una combinación insegura.
Lo interesante del Dual Elliptic Curve, el algoritmo que fue aprobado por la NIST, es que se convirtió en la opción por defecto del RSA Toolkit y ya en el 2000 Bruce Schneier dijo, casi proféticamente, “las debilidades en su fórmula solo pueden ser descriptas como un back-door” y así gracias a Snowden nos damos cuenta que por ahora solo hay una empresa que no fue “adornada” por la CIA o la NSA… Blackberry.
Pueden gritar “fanboy fanboy”, porque la empresa para la que la NSA mantenía un grupo especial de trabajo es Blackberry porque solo lograban algunas victorias y cada tanto las perdían (ie: leer SMS pero no mails, escuchar una charla pero con los algoritmos de compresión tenían que volver a tratar), pero más allá de esto; lo que me sorprende es la cantidad constante de nueva información que uno recibe de los papeles de Snowden y me pregunto si en algun momento esto terminará :S
3 respuestas en “RSA y su contrato con la NSA”
Creo sinceramente que detrás de esto hay mucho mas, mas empresas comprometidas y colaboradoras de la NSA, el problema es que Snowden tienen que revelar solo información que no le haga desaparecer de la faz de la tierra.
No estoy seguro de entender el primer párrafo. No estás confundiendo RSA (algoritmo) con RSA (empresa y sus productos)? La noticia se refiere a lo segundo.
No soy gurú en el tema, pero…
“Todo aquel que trabaje en una empresa con una VPN corporativa conoce a RSA” … ehm… sí? en el segundo sentido? (googleá “VPN corporativa” + RSA …)
” la empresa que genera un código de autenticación de dos vías que supuestamente… ” ehm… esto me resulta casi ilegible; la “autenticación de dos vías” es una expresión vaga, no sé si te referís a la autenticación mutua (cliente servidor) o a la autenticación doble (dos caminos, ej, password + token), en cualquier caso, esto la empresa no “genera un código” sino que provee productos (hard y soft) para eso; y la debilidad encontrada no es inherente a eso, sino a la criptografía en general (toda la que use generadores de números aleatorios)
“en esa herramienta de generación de números aleatorios” … ehm… qué? de nuevo, los productos (soft y hard) de RSA no son una herramienta de generación de números aleatorios, es sólo una pata (importante, eso sí) de los algoritmos criptográficos que usan esas herramientas.
@hernan
Es una sobre simplificación para que sepan de que empresa hablo; RSA implica mucho más que un token y de hecho es parte de un grupo más grande