バックドアのある乱数生成アルゴリズムの採用に対し、RSAがNSAから1千万ドルを受け取っていたとReutersが報じる 44
ストーリー by headless
採用 部門より
採用 部門より
NSAが作成したバックドアのある乱数生成アルゴリズムの採用について、RSAが1千万ドルを受け取っていたとReutersが報じている(Reutersの記事、
SlashGearの記事、
本家/.)。
乱数生成アルゴリズム「Dual_EC_DRBG」の脆弱性は9月にエドワード・スノーデン氏のリークで明らかとなり(/.J記事)、RSAでもユーザーに対して同アルゴリズムを使用しないように呼びかけている。しかし、NSAがRSAに対し、同アルゴリズムを暗号ツールBsafeでデフォルトまたは優先のアルゴリズムとして採用するように働きかけ、その対価として1千万ドルを支払っていたという。RSAと親会社のEMCはこの件に関するコメントを避けているが、RSAは常に顧客の利益を優先しており、故意にバックドアを設けることはないなどとする声明を出しているとのことだ。
乱数生成アルゴリズム「Dual_EC_DRBG」の脆弱性は9月にエドワード・スノーデン氏のリークで明らかとなり(/.J記事)、RSAでもユーザーに対して同アルゴリズムを使用しないように呼びかけている。しかし、NSAがRSAに対し、同アルゴリズムを暗号ツールBsafeでデフォルトまたは優先のアルゴリズムとして採用するように働きかけ、その対価として1千万ドルを支払っていたという。RSAと親会社のEMCはこの件に関するコメントを避けているが、RSAは常に顧客の利益を優先しており、故意にバックドアを設けることはないなどとする声明を出しているとのことだ。
RSA終わったな。Verisignも巻き込むのかな? (スコア:5, 興味深い)
信用で成り立っていたのに。
Re:RSA終わったな。Verisignも巻き込むのかな? (スコア:2, 興味深い)
本当にそう思う。
たかだか1千万ドル程度で信用売ってどうすんだろうね、この会社。
Re:RSA終わったな。Verisignも巻き込むのかな? (スコア:3)
無理に握らされたんじゃないですか、メリットないし。
Re:RSA終わったな。Verisignも巻き込むのかな? (スコア:1)
なるほどね。何か納得できた。
Re:RSA終わったな。Verisignも巻き込むのかな? (スコア:1)
1千万ドル入るバッグを用意しとかないと
Re:RSA終わったな。Verisignも巻き込むのかな? (スコア:2)
そこで10万ドル札。100枚で1000万ドル! 米国政府機関から来たやつなら保証はまちがいなし、市場に出れば価格は計り知れませんよ。それほどでもない時には1万ドル紙幣。日本銀行券5000万円分だと最低でも5000枚の紙幣が必要ですが、豊富な品揃えの米国政府紙幣なら片手で楽にお持ちいただけるでしょう。お支払いはぜひ米ドルで!
# なんだこれ
Re:RSA終わったな。Verisignも巻き込むのかな? (スコア:1)
しかし発覚したときのリスクと見返りが見合ってない気がするんだが、なんでまたこんな話に乗ったんだろうな。
それだけNSAの秘密管理能力を信用してたのかね。
Re: (スコア:0)
英米の主立った全ての会社がNSAに協力してるから、みんなでやれば怖くない理論とか
Re: (スコア:0)
VeriSignはだいぶ前にSymantecに買収されたけどまあ米国企業である限り同じ穴のムジナだし。
暗号生成って (スコア:3, 参考になる)
☓暗号生成アルゴリズム「Dual_EC_DRBG」
○乱数生成アルゴリズム「Dual_EC_DRBG」
>暗号ツールBsafeでデフォルトまたは優先のアルゴリズムとして採用するように
ツールっていうかライブラリ。
そもそもあれにデフォルトとか優先とかなかった気がするんだが。
PBKDF2みたいな鍵生成セットの仕様でデフォルトとかに混ぜ込まれていたとかいう事もないんじゃないの?
Re:暗号生成って (スコア:1)
これについては報じられている以上のことは不明です。
Re: (スコア:0)
最初の2つはちゃんと「乱数生成」なのに。
まるで一括置換に失敗したかのようだがheadlessが自分でタレコんでるんだよねえ。
本当に頭にきた (スコア:1)
バックドア仕掛けるとは何事だと電話掛けて大声で文句言ってやったよ。挙句にウチは関係ありませんだとさ。サイテーだな、NASA
Re:本当に頭にきた (スコア:2, おもしろおかしい)
なさけない話だ。
Re: (スコア:0)
ああ、なるほど!
なさけないの「なさ」と、「NASA」を掛けてるんですね???
面白い!
Re:本当に頭にきた (スコア:1)
ボケの解説をするなんて、ナサけ容赦ない奴だな
Re: (スコア:0)
今日は自棄酒だ!! ん.さけない!
ハゲをバカに (スコア:0)
「NASA毛無い」だと?ハゲをバカにするな!
Re: (スコア:0)
故意ではなく未必の故意? (スコア:0)
見ないフリでおーるおk
RSAが (スコア:0)
顧客であるNSAの利益を優先したんですね。
それにしても1千万ドルってずいぶん安いような。
国益に沿うからだろ (スコア:0)
米国愛国者法第215条とか。
Re: (スコア:0)
RSAだけじゃなく米国企業全体の信頼ガタ落ちなんですが、、、、
# アレすぎてガセだと思いたい
Re:国益に沿うからだろ (スコア:4, 参考になる)
そりゃGoogleとかMicrosoftが怒るわけだよ、まあ自業自得だけどな。
だから即座に大統領記者会見をしたのか (スコア:0)
オバマは火消しに必死だよな
じゃあ何で突然に首相記者会見をしたのか (スコア:0)
Re: (スコア:0)
米帝ですら、斯くの如し。
況(いわん)や、中共に於いてをや。
さて、何所の製品が良いのやら。
お金の流れ (スコア:0)
USA→NSA→RSA
Re:お金の流れ (スコア:2, おもしろおかしい)
キー配置的に見て次は → CSA…。アダルトコンテンツが危ない!
バックドアあると確定したの? (スコア:0)
以前は疑いがあるというだけだったと思うが
Re:バックドアあると確定したの? (スコア:1)
バックドアがあるあるとだけしか報道されて無くて,スノーデンの人しか言ってない状況のように見えますけどねー.
まるで陰謀論と同じ…….
Re:バックドアあると確定したの? (スコア:1)
「『故意』にバックドアを設けることはない」と言ってるんだから、バックドア自体は認めてるんじゃないの?
the.ACount
Re: (スコア:0)
バックドアの存在自体を認めていないなら使用中止を呼びかける理由がありませんよね。
故意でないなら普通はバックドアではなく弱点とか脆弱性とか表現すると思いますけど。
Re: (スコア:0)
なぜそうしたかの理由の推測がまさに陰謀論的なそれだと思うよ
NISTが穴の可能性を指摘したから、それが偽であることが証明されるまでは
正であった時に備えて使わない方が良いとEMCが言ってると考えることも普通にできる
結局可能性だけでどっちなのか確定してない
NSAが献金する理由がわからない (スコア:0)
Wikipediaによると,このアルゴリズムはNISTによって認められた暗号だそうです.
RSAにとって使用している乱数アルゴリズムが安全であることを保証するには,
国の機関が保証しているとしたほうが,楽だから使用するわけなのだから,
NSAはNISTに認めさせた時点ですでに目的を完了すると思うのですが...
Re:NSAが献金する理由がわからない (スコア:1)
BsafeでデフォルトになったのはNISTの認証よりずっと早かったという単純な話。
検証 (スコア:0)
Bsafeの暗号をバックドアを使って解凍できることを検証していたんだろうか?
Windows BitLocker (スコア:0)
って、どんなのだっけ?
Re: (スコア:0)
詳細知らんけど、データ復旧会社で修理にともなって「開けた」と主張してるところありますよ。
Re: (スコア:0)
あれってAESでしょう?
本当ならすごい情報なんですが…。
ワンタイムパスワードのトークン (スコア:0)
自分が使ってるネットバンクはワンタイムパスワードのトークンが配布されてて
それに「Secured by RSA」ってタグが貼ってあるんですが
やっぱりこれもダメってことなんですかね?
Re: (スコア:0)
御愁傷様ですー!
Re: (スコア:0)
Secured by NSA
Re:ワンタイムパスワードのトークン (スコア:1)