نفوذ عمیق NSA به RSA، کشف درپشتی‌های عمدیِ جدید در RSA

در ماه دسامبر سال گذشته‌ی میلادی، خبرگزاری رویترز در یک گزارش، فاش کرد که RSA با دریافت 10 میلیون دلار، اقدام به استفاده از یک الگوریتم تولید اعداد تصادفیِ داشته است که در بسیاری از برنامه‌های امنیتی به صورت گسترده پذیرفته شده و دارای یک درپشتی برای جاسوسی‌های NSA است. این سامانه‌ی تولید اعداد تصادفی مبتنی بر منحنی‌های بیضوی یا  Dual Elliptic Curve است که به NSA امکان شکستن تمامی رمزنگاری‌هایی که مبتنی بر این الگوریتم هستند را می‌دهد.
گروهی از اساتید دانشگاه‌های Wisconsin و Illinois، به‌تازگی کشف کرده‌اند که که ابزار دیگری نیز وجود دارد که توسط NSA طراحی شده و نرم‌افزار‌های RSA را آسیب‌پذیر کرده است.

 این ابزار که «Extended Random» نام دارد و افزونه‌ای برای ایمن کردن وب‌گاه است، می‌تواند نفوذ به Dual Elliptic Curve و شکستن رمزنگاریِ RSA را ده‌ها هزار بار سریع‌تر کند.
البته Extended Random هیچ‌گاه به صورت گسترده، نظر کاربران را جلب نکرد و شرکت RSA که هم‌اکنون توسط EMC اداره می‌شود در واکنش به این خبر، اذعان داشت که RSA هیچ‌گاه به صورت عمد، یک محصول خود را دچار ضعف و آسیب‌ نکرده است و از آن‌جایی که این الگوریتم، هیچ‌گاه محبوبت کافی را به دست نیاورده است، از شش ماه پیش توسط RSA، حذف شده است.
Sam Curry، مدیر فناوری‌های RSA، تایید نکرد که RSA در قبال دریافت پول، حاضر به استفاده از Extended Random در بسته‌ی امنیتی BSafe که هم‌چنین شامل Dual Elliptic Curve نیز می‌باشد، شده است.
عدم تایید چنین ضعفی در یک ابزار دیگر که توسط RSA تولید شده است، مانع از این نمی‌شود که رابطه‌ی پنهانی RSA و NSA منجر به خشم فعالان امنیت سایبری شود. از سال‌ها پیش، NSA به منظور ایجاد زیرساخت لازم جهت جاسوسی‌های خود، شرکت‌های امنیتی بزرگ و کوچک از جمله RSA را تحت فرمان خود دارد و از این طریق به جاسوسی‌های بزرگی دست می‌زند که حتی در صورت وجود رمزنگاری و خصوصی‌سازی ارتباطات اینترنتی، NSA بتواند اطلاعات مورد نیاز خود را به‌دست آورد.