Már harmadik napja megy a nyilatkozatháború: vádak, érvek, cáfolatok, ellenérvek.

Van, aki mindent tudni akar (ez többnyire a média és a szakma), van, aki mélyen hallgat, és háttérből figyeli az eseményeket, mert már nincs veszteni valója (az NSA), és van, aki mindenáron menti, ami még menthető (az RSA).

Azok meg, akik nem érintettek az ügyben, kényelmesen hátradőlnek a fotelben, és popkornt majszolva követik a fejleményeket.
Volt, van és még lesz is nekik látnivaló bőven, az biztos.

Nézzük, mi is ez az egész.

Hol a hiba a képen?

Az RSA egyik biztonsági terméke, a BSafe, egész konkrétan annak egy Dual_EC_DRBG nevű algoritmusa olyan biztonsági rést tartalmazott, amelyet kihasználva az evvel a termékkel elkódolt adatfolyam könnyen visszafejthető.

Ez az algoritmus 2004-től alapértelmezett algoritmus volt pl. az RSA SecurID termékében. A hibát 2007-ben felfedezték, és bizonyításokkal együtt publikálták, ennek ellenére az RSA nem értesítette az ügyfeleit, nem javította ki a hibát, hanem a szabványügyi szervezet állásfoglalására várt.

Amely azonban csak idén szeptemberben (a figyelmes szemlélőnek biztos feltűnt egy röpke 6 év különbség) tette közzé, hogy az adott algoritmust nem javasolják használni, és az RSA ekkor értesítette is az ügyfeleit erről a tényről.

Ezek eddig a puszta tények.

Reuters

És akkor jött májusban Snowden, beleköpött a levesbe, azóta a Guardian, a Washington Post és a Reuters csüggenek a szavain (meg a dokumentumokon, amiket csepegtet), és rakják ki a nagy képet, akár a puzzle-t - sajnos, a puzzle-hasonlat elég jó, mert ez az ügy is olyan, hogy nem kell az összes elemet a helyére tenni ahhoz, hogy kitaláljuk, miről szól a történet, és kik a szereplők.

Az RSA-val kapcsolatban a Reuters a Snowden dokumentumokra hivatkozva azt állította, hogy a fenti hibát szándékosan ejtették, úgymond az NSA megrendelésére (10 millió $ fejében).

Ezt mondja a média.

RSA

Az RSA tagad.

Szerintük ők mindent a hivatalos úton, az érintett szervezetekkel együttműködve, és az ügyfeleik teljes kiszolgálása és érdekeik maximális tiszteletben tartása mellett csináltak.

Ezt állítja az RSA.

NSA

Ők hallgatnak, háttérből figyelik a fejleményeket. Számukra a kérdéses témában mindegy, mi történik. Ha az RSA elbukik, hát elbukik. Ha nem, akkor nem.

Jelen felállásban mondhatjuk akár azt is, hogy kibicnek semmi sem drága.

Józan paraszti ész

Vegyük sorjában. 2004-ben az RSA alapértelmezetté teszi a vitatott algoritmust.
Mit jelent ez?
Azt, hogy aki ilyen eszközt használ, és szándékosan nem választ másik algoritmust, az az alapértelmezettet fogja használni. Mellékesen illik megjegyezni, hogy a legtöbb szakértő a gyártó alapértelmezését Best Practice-ként, azaz ajánlásként értelmezi, így, még ha van is választási lehetősége, nem fog eltérni az alapbeállítástól. Biztonsági kérdésekben ez hatványozottan igaz.

2007-ben jelzik az RSA-nak a hibát, bizonyítják, hogy a probléma fennáll, ám az mégsem tesz semmit, vár a szabványügyi szervezet állásfoglalására. Nem változtatja meg az alapértelmezett beállításokat sem.

2013-ban Snowden kirobbantja a botrányt, és többek között azt állítja, az NSA egyes titkosítási algoritmusokat könnyedén feltört. Ez szeptember első hetében történt.

2013-ban az RSA által hivatkozott szabványügyi hivatal (NIST) javasolja az RSA-nak, hogy a vitatott algoritmust - annak hibája miatt - ne alkalmazzák. Az RSA pedig értesíti az ügyfeleit, és többé nem alapértelmezett az adott algoritmus használata. Ez is szeptemberben történt.

És akkor a parasztbácsi a kocsibakról lenézett a királyfira, pödört egyet a kackiás bajúszán, megtolta a tarkóján a kalapot, majd megszólalt:

- Ej, édes fiam, hát nem látod, hogy itten kilóg a lóláb? - megingatta a fejét, majd folytatta - Mit is mondtál, hány éves vagy királyfi?

Majd, még mindig a fejét ingatva, és halkan kuncogva a lovak közé csapott, és otthagyta magára a csudálkozó ifjút.

Tehát röviden: az RSA vastagon sáros.

Bővebben: Egy biztonsággal - sőt, titkosítással - foglalkozó cégtől elvárható, hogy ha jeleznek neki egy súlyos hibát, olyat, amitől az a védelem, amit nyújt, gyakorlatilag fabatkát sem ér, az elvárható minimum az lenne, hogy:

  1. Azonnal eltávolítja az alapértelmezésből.
  2. Értesíti az ügyfeleit a gyanúról, és megkéri őket, hogy a következő értesítésig más algoritmust használjanak.
  3. A szabványügyi hivatal sarkára jár, hogy mielőbb vizsgálják ki a dolgot, és hozzanak döntést.

Ezek közül egyik sem történt meg.

További kérdések:

  1. Miért ül egy súlyos biztonsági hiba felülvizsgálatán egy IT biztonsággal foglalkozó hivatalos szerv 6 évig?
  2. Miért akkor ébrednek fel, és hoznak határozatot, amikor valaki elkottyantja, hogy régóta ismert hibát kihasználva olvassa az NSA a titkos(nak hitt) információkat?
  3. A három résztvevő közül (NSA, RSA és NIST) melyik az, amelyik nem kötődik az Egyesült Államokhoz?

Ez a láb nem lóé, minimum zsiráfé.