Der Vorwurf wiegt schwer: Der US-Geheimdienst NSA soll dem Unternehmen RSA Security Geld gezahlt haben, damit es in sein Produkt einen schwächeren Krypto-Algorithmus einbaut. Dabei sollen 10 Millionen US-Dollar geflossen sein. RSA Security dementiert.
Nach einem Bericht der Nachrichtenagentur Reuters hat die NSA dem Unternehmen RSA Security 10 Millionen US-Dollar dafür bezahlt, dass ein schwächerer Verschlüsselungsalgorithmus in das Produkt BSafe integriert wird. Dieser Algorithmus scheint von der NSA zu knacken sein. Die Rede ist vom Zufallszahlengenerator DUAL_EC_DRBG, der gar nicht so zufällige Werte ausgibt wie es nötig wäre. Er wurde vermutlich von der NSA selbst entwickelt. Teilweise werden von ihm konstante Zahlen erzeugt, so dass es dem Angreifer mit großem Aufwand möglich ist, den verschlüsselten Text wieder zu entziffern. Das es sich bei dem Algorithmus um einen schlechten Zufallsgenerator handelt, ist schon seit 2006/2007 durch Veröffentlichungen anerkannter Kryptografen wie Bruce Schneier bekannt.
BSAFE und der Data Protection Manager von RSA Security verwenden von Haus aus Dual_EC_DRBG. RSA Security empfiehlt mittlerweile, dass die Anwender Dual_EC_DRBG nicht mehr verwenden.
Gegenüber Reuters und in einem Blogbeitrag teilte RSA Security mit, dass die Behauptungen, das Unternehmen habe eine Backdoor eingebaut, nicht wahr sind. Das Unternehmen treffe selbst die Entscheidung über die Funktionen seiner Produkte.