Når man gør det forkerte, skal man vælge de rigtige at stole på

Jeg lærte det på et tidspunkt i min skoletid, hvor jeg sammen med en anden konstruere en historie (læs: løj) for kort efter at blive afsløret af den samme person. Det var faktisk lærerigt. Og det er en lektie som flere stadig lærer:

For lidt over 10 år siden var der et par flyselskaber der blev afsløret i at have aftalt priser. Sådan noget er svært at bevise men EU fandt det nu alligevel ret nemt i dette tilfælde, da det ene af dem havde valgt at skrive aftalen ned og arkivere det.

For nylig har vi socialministerens som minimum uheldige håndtering af en gave / bevilling / hvad det nu end var til en social institution. Efter 3 timers samråd må ministeren have ønsket at det var det, med kun en advokatundersøgelse at se frem til. Men der gik ikke mere end et par dage før den anden part fik lyst til at lufte nye informationer.

RSA (nu del af EMC) er nok heller ikke tilfredse med at NSA skrev et par powerpoint slides om at de havde fået betaling for at gøre krypteringen i Bsafe produktet ringere, så NSA nemmere ville kunne bryde den. Et par dage efter afsløringen valgte RSA / EMC endelig at kommentere det med en af de mest vage afvisninger der er set længe. Ved første gennemlæsning kan den virke som en afvisning af afsløringen men faktisk kan det lige så godt være en indrømmelse; det kunne for eksempel være tilfældet hvis de konkrete personer i RSA der indgik aftalen med NSA ikke var klar over hvilken specifik svaghed der var i algoritmen. Det kræver dog også at der på intet tidspunkt har været en teknisk kyndig person der, efter det i 2007 var offentliggjort hvor svagheden kunne være, huskede at det var den algoritme man brugte.

In either case, RSA allowed BSAFE to favor an algorithm known to be unsafe for more than five years, and thanks to a contract that was never publicly disclosed, RSA profited from that action. That hardly endorses RSA or its products.
– Dan Goodin, Ars Technica, “RSA issues non-denying denial of NSA deal to favor flawed crypto code

RSA’s main claim here is that it didn’t know, at the time that it entered into the contract, that the algorithm it was agreeing to adopt was flawed. This is probably true, although RSA might have wondered why NSA was so eager to get RSA to adopt an algorithm that was (at the time) not yet fully standardized.
The real question, though, is why RSA didn’t do anything in 2007, when it was discovered that Dual_EC_DRBG had a flaw that allowed backdooring and that the NSA had had the opportunity to set up a backdoor. Since then, the community has mostly avoided using the flawed algorithm. By 2007 it was also clear that the algorithm was much less efficient than the alternatives.
– Ed Felten, Freedom to Tinker, “RSA doesn’t quite deny undermining customers’ crypto

Dette indlæg blev udgivet i IT sikkerhed, Ledelse og tagget , , , , , . Bogmærk permalinket.

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s