RSA מכחישה הסכם סודי עם הסוכנות לביטחון לאומי: "מטרתנו לחזק את האבטחה המסחרית והממשלתית"

"הטענות לפיהן ל-RSA היה 'הסכם סודי' עם ה-NSA, ששילב מחולל מספרים פגום בספריות ההצפנה של תוכנות ההגנה, אינן נכונות. אנחנו דוחים אותן באופן נחרץ וחד משמעי", כך הגיבה החברה, שמשמשת חטיבת אבטחת המידע של EMC, בבלוג הרשמי שלה.

תגובתה של החברה הגיעה לאחר שמסמך שחשף אדוארד סנואודן, עובד לשעבר ב-NSA, גילה שהסוכנות שילמה לחברה סכום של 10 מיליון דולר כדי שתיישם במכוון הצפנה לא יעילה.

RSA כתבה בבלוג כי "עבדנו עם NSA, הן כספקית והן כחברה בקהילת האבטחה. מעולם לא הסתרנו יחסים אלה ולמעשה אפילו פרסמנו אותם. מטרתנו המפורשת הייתה תמיד לחזק את האבטחה המסחרית והממשלתית".

החברה המשיכה והסבירה אודות הסיבות העיקריות לשימוש במחולל המספרים המדובר בתוכנת האבטחה שלה וטענה כי קיבלה החלטה להשתמש בו כברירת מחדל בערכת הכלים עוד ב-2004. כוונתה בכך הייתה לפתח שיטות חדישות וחזקות יותר של הצפנה. "באותו זמן", נכתב, "ל-NSA היה תפקיד אמין במאמצי התעשייה לחזק את ההצפנה ולא להחלישה". עוד טענה החברה כי אלגוריתם זה הוא אחד מני אפשרויות רבות בערכת הכלים של תוכנת BSAFE והמשתמשים תמיד היו חופשיים לבחור כל כלי שמתאים לצרכיהם.

"המשכנו להשתמש באלגוריתם כאפשרות בתוך ערכת הכלים של BSAFE, מאחר שהוא התקבל כסטנדרט במכון הלאומי לסטנדרטים וטכנולוגיות (NIST) ובשל ערכו בציות לכללים של הסטנדרטים הפדרליים לעיבוד מידע (FIPS)", על פי RSA. "כשהתעוררו חששות סביב האלגוריתם, ב-2007, המשכנו לסמוך על NIST כפוסק בסוגיה הזאת. כש-NIST סיפק קווים מנחים והמלצות לא להמשיך להשתמש באלגוריתם זה, בספטמבר השנה, דבקנו בה, העברנו אותה ללקוחות וקיימנו דיונים פתוחים בתקשורת בקשר לשינוי".

לסיכום כתבה RSA כי "כחברת אבטחה, החברה אף פעם לא חושפת פרטים על התחייבויות מול לקוחות. עם זאת, היא מצהירה בצורה חד משמעית שמעולם לא קיימה חוזה כלשהו או התחייבות לפרויקט מסוים מתוך כוונה להחליש את מוצרי RSA או לאפשר 'דלת אחורית' פוטנציאלית במוצריה לשימושו של מישהו".