ข่าวชุดรักษาความปลอดภัย BSAFE ของ RSA (บริษัทลูกของ EMC) ที่ใช้ชุดสร้าง ตัวเลขสุ่ม Dual_EC_DRBG ที่น่าจะมีช่องโหว่ของ NSA ซ่อนอยู่ภายใน ที่แย่กว่านั้นคือ Reuters รายงานว่า RSA ใช่กระบวนการนี้เพราะ รับเงินจาก NSA กว่า 10 ล้านดอลลาร์ ตอนนี้ทาง RSA ออกมาตอบข่าวนี้แล้ว

RSA ระบุว่าความสัมพันธ์ระหว่าง RSA และ NSA นั้นไม่เคยมีการปิดบังใดๆ RSA เป็นผู้ผลิตให้กับ NSA และทั้งสองหน่วยงานเป็นสมาชิกของวงการรักษาความปลอดภัยที่มีบทบาทมาต่อเนื่อง โดยเป้าหมายของความสัมพันธ์คือการสร้างความปลอดภัยให้กับหน่วยงานรัฐและเอกชน

RSA ระบุจุดสำคัญของการใช้งาน Dual_EC_DBRG สี่ข้อ

1. RSA ใช้ Dual_EC_DRBG มาตั้งแต่ปี 2004 เพราะทั้งอุตสาหกรรมกำลังพยายามสร้างมาตรฐานตัวสร้างเลขสุ่มแบบใหม่อยู่ และตอนนั้น NSA ได้รับความไว้วางใจในวงการว่าเป็นหน่วยงานเพื่อเพิ่มความปลอดภัย ไม่ใช่ทำให้อ่อนแอลง
2. Dual_EC_DRBG เป็นเพียงตัวเลือกหนึ่งในหลายกระบวนการที่ BSAFE มีให้เลือก ลูกค้าสามารถเลือกได้เองเสมอ
3. มีข้อสงสัย Dual_EC_DRBG มาตั้งแต่ปี 2007 แต่ BSAFE ก็ยังใช้งานต่อไปเพื่อให้เข้ากับมาตรฐาน FIPS ของ NIST
4. เมื่อ NIST ยกเลิก Dual_EC_DRBG ออกจากคำแนะนำในเดือนกันยายนที่ผ่านมา ทาง RSA ก็แจ้งเตือนให้ลูกค้าเลิกใช้งานอย่างเปิดเผยเช่นกัน

ทาง RSA ยืนยันว่าไม่มีการทำสัญญาใดๆ เพื่อลดความปลอดภัยของกระบวนการเข้ารหัส หรือการเปิดช่องโหว่ใดๆ ในสินค้าของ RSA

ที่มา - RSA