NSA bí mật mở cửa sau ở Công ty bảo mật RSA Security


Theo các chuyên gia về mật mã, công ty tiên phong trong giới công nghệ an ninh mã hóa RSA Security đã chấp nhận không chỉ 1 mà là 2 công cụ mã hóa được Cơ quan An ninh Quốc gia Mỹ (NSA) phát triển.
Đây là những công cụ giúp gia tăng đáng kể khả năng theo dõi và nghe lén các cuộc giao tiếp trên Internet của cơ quan tình báo Mỹ.
Theo tiết lộ của Hãng thông tấn Reuters, NSA đã trả cho RSA 10 triệu USD để công ty này thiết kế hệ thống mặc định trong phần mềm bảo mật được sử dụng rộng rãi trên Internet và trong các chương trình an ninh máy tính. Hệ thống - có tên gọi là Dual Elliptic Curve - là bộ tạo số ngẫu nhiên tải game bắn xe tăng offline dựa trên đường cong elip nhưng nó được kín đáo tạo một số lỗi hay "cửa sau" cho phép NSA giải mã.
Một nhóm giáo sư từ các trường đại học danh tiếng của Mỹ cũng phát hiện công cụ gián điệp thứ 2 tương tự của NSA - gọi là "Extended Random" - cho phép bẻ gãy độ bảo mật trong bộ công cụ phần mềm BSafe của Dual Elliptic Curve của RSA nhanh hơn chục ngàn lần. Đây được coi là một phần trong chương trình gián điệp của NSA có mật danh “Bullrun”.
Sam Curry - lãnh đạo công nghệ của RSA hiện thuộc về Tập đoàn hàng đầu về quản lí và bảo mật thông tin số EMC Corp., - tuyên bố công ty không cố ý làm suy yếu tính bảo mật trong bất cứ sản phẩm nào và nhấn mạnh rằng, Extended Random đã được loại bỏ khỏi phần mềm bảo mật của công ty từ 6 tháng qua.
Chuyên gia an ninh mạng Bruce Schneier, người thường xuyên chỉ trích NSA, nhận định bộ tạo số ngẫu nhiên Dual Elliptic Curve đích thực là một trong những công cụ được thiết kế hoàn hảo nhất của cơ quan tình báo.
Từ lâu, các chuyên gia mật mã Mỹ đã có ý nghi ngờ hệ thống Dual Elliptic Curve, nhưng Viện Tiêu chuẩn và Công nghệ quốc gia Mỹ (NIST) và RSA chỉ loại bỏ công nghệ bảo mật này sau khi Edward Snowden tiết lộ các tài liệu mật của NSA về "cửa sau" của nó vào năm 2013! Các con số ngẫu nhiên thường được dùng để tạo ra các khóa mật mã, do đó nếu ai có thể đoán biết được các con số tất nhiên sẽ dễ dàng chọc thủng lớp bảo mật của các khóa. Sau khi "cửa sau" của Dual Elliptic Curve bị phát hiện vào tháng 9/2013, giới chức lãnh đạo RSA đã đưa ra những lời giải thích về mặt kĩ thuật song chưa được các nhà mật mã học chấp nhận.
Giáo sư Matthew Green - Khoa mật mã, Đại học John Hopkins nhận định: Việc sử dụng Dual Elliptic Curve giống như đang chơi đùa với tải game bắn xe tăng offline các que diêm và khi kết hợp với Extended Random thì cũng giống như tự tưới xăng lên người mình!
Sau khi "cửa sau" của Dual Elliptic Curve bị phát giác, RSA đã nhanh chóng lên tiếng khuyến cáo khách hàng ngưng sử dụng hệ thống này. Tuy nhiên, câu chuyện về 10 triệu USD mà NSA hối lộ cho RSA đã gây bất ngờ cho các chuyên gia an ninh máy tính trên thế giới. Bởi vì, RSA là công ty bảo mật lâu đời của Mỹ có danh tiếng bảo vệ quyền riêng tư cho người dân và từng chống lại nỗ lực của NSA vào thập niên 90 nhằm thuyết phục Chính phủ Mỹ cho phép sử dụng con chip Clipper để cài vào các điện thoại và máy tính giúp cho các cơ quan chính quyền dễ giải mã tín hiệu khi được luật pháp cho phép.
RSA Security là công ty an ninh mạng và máy tính độc lập, thành lập năm 1982, với tên gọi được đặt theo chữ cái đầu tiên của tên những người sáng lập - Ron Rivest, Adi Shamir và Len Adleman. Năm 2006, Tập đoàn EMC Corporation mua lại RSA với giá 2,1 triệu USD.