Bezpečnostní experti odvolali svoju účasť na bezpečnostnej konferencii RSA. Prečo? Je to protest proti sponzorovi konferencie, firme RSA Security. Tá bola nedávno obvinená, že v spolupráci s americkou bezpečnostnou agentúrou NSA úmyselne oslabila kryptografickú silu svojich produktov.
Pred vianocami sa objavili tvrdenia, že americká tajná služba uzatvorila s firmou RSA Security tajnú dohodu. Firma mala dostať desať miliónov dolárov a tajná služba zadné vrátka v jej produktoch. Spoločnosť to kategoricky poprela.
Faktom však ostáva, že produkty spoločnosti boli niekoľko rokov deravé.
Bez náhod
Náhodné (v skutočnosti iba pseudonáhodné) čísla sú veľmi dôležitou súčasťou šifrovacích systémov.
Vytvoriť algoritmus na ich generovanie nie je vôbec ľahké. Algoritmy musia prejsť sériou ťažkých testov, aby sa preukázalo, že ich výstup je dostatočne nepredvídateľný. Ich predvídateľnosť je totiž v priamom rozpore s bezpečnosťou.
A to je práve prípad algoritmu, ktorý sa v produktoch RSA Security niekoľko rokov štandardne používal. Stačí poznať jedno tajné číslo a dokážete predvídať, aké budú ďalšie čísla v poradí. Žiadna náhoda sa nekoná.
Tento fakt nezakrýva ani samotná firma v oficiálnom vyhlásení vysvetľujú svoje dôvody, prečo problematický algoritmus používala a ubezpečuje, že v žiadnom prípade nekonala s cieľom poskytnúť zadné vrátka, ani žiadnym iným spôsobom oslabiť bezpečnosť.
Tomu však množstvo ľudí neverí. A nie sú medzi nimi iba krčmoví filozofi a konšpirační teoretici, ale aj nahnevaní profesionáli. Práve tí sa rozhodli bojkotovať konferenciu, na ktorej sa viac ako dve desaťročia schádzajú najväčšie hviezdy oboru.
Do protestu sa zatiaľ zapojilo osem ľudí, ktorí mali na konferencii prednášať. Prvý z nich, Josh Thomas z Atredis Partners sa odvolal na morálny imperatív. Mikko Hypponen, vedúci výskumník z fínskej spoločnosti F-Secure, svoje dôvody popísal v otvorenom liste.
„Vaša spoločnosť vydala k tejto téme vyhlásenie, ale toto konkrétne tvrdenie ste nepopreli,“ píše k tajnej dohode medzi spoločnosťou a tajnou službou. „Z toho dôvodu ruším moju prednášku na RSA konferencii.“
K jeho odkazu sa pripojili dvaja výskumníci z Googlu a niekoľko ďalších ľudí.
Neutrálne podujatie?
Predseda programového výboru Hugh Thompson je z toho sklamaný a pripomína, že konferencia bola dlhodobo „neutrálnym podujatím“ a myslí si, že dnes je dôležitejšia ako v minulosti - práve z dôvodu odhalení ohľadom špionážnych praktík NSA.
Či sa prikláňame k bojkotujúcim, alebo naopak k usporiadateľom, jasne je vidieť, ako výrazne minuloročné odhalenia zmenili svet informačnej bezpečnosti. Témami, ktoré boli pred rokom doménou fanúšikov konšpiračných teórií, sa dnes s plnou vážnosťou zaoberajú uznávaní odborníci.
Autor je riaditeľom bezpečnostnej spoločnosti Citadelo.
Autor: Tomáš Zaťko
