RSA heeft in het geheim een deal gesloten met de Amerikaanse geheime dienst NSA voor het inbouwen van een achterdeurtje. Het bedrijf heeft bewust het zwakke Dual_EC_DRBG-algoritme in zijn BSafe-software laten zitten. De NSA betaalde daar 10 miljoen dollar voor, meldt persbureau Reuters op basis van anonieme bronnen. Al langer was bekend dat RSA de zwakke algoritmes bewust standaard had ingesteld.

Het bedrag van 10 miljoen dollar was voor RSA ruim een derde van de omzet die de betreffende afdeling van het bedrijf het jaar ervoor maakte, schrijft Reuters. RSA weigert commentaar op het verhaal. Het bedrijf, een onderdeel van EMC, waarschuwde klanten na de onthullingen over de NSA door klokkenluider Edward Snowden al voor de omstreden crypto-standaard die het als default gebruikte.

NIST-standaard

Al eerder lekte uit dat RSA's BSafe-toolkit gebruik maakt van een omstreden NIST-standaard die zou zijn ontworpen door de inlichtingendienst NSA om een backdoor te hebben in officiële beveiligingsproducten. Alle versies van Crypto-C ME, Micro Edition Suite, Crypto-J, Cert-J, SSL-J, Crypto-C, Cert-C, SSL-C zouden de crypto-standaard gebruiken. RSA paste in september de default aan zijn kant aan en voerde wijzigingen door in zijn sleutelmanagementsysteem.

Als sinds de komst van het Dual_EC_DRBG-algoritme om willekeurige getallen te produceren uitten deskundigen twijfels over de betrouwbaarheid. Al in 2007 werd geopperd dat het algoritme gebruikt kon worden door de Amerikanen voor een subtiele backdoor. Volgens de bronnen van Reuters wisten maar enkele NSA-medewerkers van de geheime deal met de inlichtingendienst.