Het patent is in handen van het bedrijf Certicom, dat sinds begin 2009 een volledige dochter is van de Canadese smartphonemaker BlackBerry (voorheen RIM), meldt security-expert Jeffrey Carr. Certicom gaat prat op meer dan 350 patenten (en patentaanvragen) voor cruciale aspecten van Elliptic Curve Cryptography (ECC). Daaronder ook een octrooi op het aanmaken van willekeurige getallen hiervoor: elliptic curve random number generation.

Bewust niet willekeurig

Die random getallen, gebruikt voor het versleutelen van data, blijken minder willekeurig dan gedacht. Hierdoor zijn gegevens versleuteld met deze standaardmethode niet goed beveiligd. Certicom zelf meldt dat het kerntechnologie levert voor de encyptiestandaard NSA Suite B die dienst doet voor beveiligde overheidscommunicatie.

De zwakke plek in deze standaard is in 2007 al ontdekt, door security-onderzoekers van Microsoft. Op dat moment was de Amerikaanse inlichtingendienst NSA de grootste voorstanders en promotor van deze encryptiemethode, waarvan het tevens de hoofdarchitect was. De sinds vorig jaar uitkomende onthullingen door klokkenluider Edward Snowden hebben de kwetsbaarheid geduid als een bewust aangebrachte backdoor, wat veel stof doet opwaaien.