ข่าวชุดรักษาความปลอดภัย BSAFE ของ RSA (บริษัทลูกของ EMC) ที่ใช้ชุดสร้างตัวเลขสุ่ม Dual_EC_DRBG ที่น่าจะมีช่องโหว่ของ NSA ซ่อนอยู่ภายใน ที่แย่กว่านั้นคือ Reuters รายงานว่า RSA ใช่กระบวนการนี้เพราะรับเงินจาก NSA กว่า 10 ล้านดอลลาร์ ตอนนี้ทาง RSA ออกมาตอบข่าวนี้แล้ว
RSA ระบุว่าความสัมพันธ์ระหว่าง RSA และ NSA นั้นไม่เคยมีการปิดบังใดๆ RSA เป็นผู้ผลิตให้กับ NSA และทั้งสองหน่วยงานเป็นสมาชิกของวงการรักษาความปลอดภัยที่มีบทบาทมาต่อเนื่อง โดยเป้าหมายของความสัมพันธ์คือการสร้างความปลอดภัยให้กับหน่วยงานรัฐและเอกชน
RSA ระบุจุดสำคัญของการใช้งาน Dual_EC_DBRG สี่ข้อ
- RSA ใช้ Dual_EC_DRBG มาตั้งแต่ปี 2004 เพราะทั้งอุตสาหกรรมกำลังพยายามสร้างมาตรฐานตัวสร้างเลขสุ่มแบบใหม่อยู่ และตอนนั้น NSA ได้รับความไว้วางใจในวงการว่าเป็นหน่วยงานเพื่อเพิ่มความปลอดภัย ไม่ใช่ทำให้อ่อนแอลง
- Dual_EC_DRBG เป็นเพียงตัวเลือกหนึ่งในหลายกระบวนการที่ BSAFE มีให้เลือก ลูกค้าสามารถเลือกได้เองเสมอ
- มีข้อสงสัย Dual_EC_DRBG มาตั้งแต่ปี 2007 แต่ BSAFE ก็ยังใช้งานต่อไปเพื่อให้เข้ากับมาตรฐาน FIPS ของ NIST
- เมื่อ NIST ยกเลิก Dual_EC_DRBG ออกจากคำแนะนำในเดือนกันยายนที่ผ่านมา ทาง RSA ก็แจ้งเตือนให้ลูกค้าเลิกใช้งานอย่างเปิดเผยเช่นกัน
ทาง RSA ยืนยันว่าไม่มีการทำสัญญาใดๆ เพื่อลดความปลอดภัยของกระบวนการเข้ารหัส หรือการเปิดช่องโหว่ใดๆ ในสินค้าของ RSA
ที่มา - RSA
Get latest news from Blognone
Follow @twitterapi
Comments
แต -> แต่
ใช่กระบวนการนี้ => ใช้กระบวนการนี้
ที่น่าจะมีช่องโหว่
ต่อให้รับเงินจริงก็คงไม่ออกมายอมรับหรอกครับ ไม่ว่าอย่างไรก็ต้องปฏิเสธอยู่แล้ว มีหลักฐานจับได้คาหนังคาเขาก็เป็นอีกเรื่องหนึ่ง
อันนี้เชื่อไม่เชื่อก็คิดกันเองครับ ในฐานะสื่อมีคนกล่าวหาแล้วเขาปฎิเสธ เราก็ให้พื้นที่เท่ากัน
lewcpe.com, @wasonliw
ผมก็มองอย่างเป็นกลางแล้วครับ ไม่ได้เข้าข้างฝ่ายไหน พิจารณาไปตามข้อมูลที่ได้รับ คือถ้าไม่ได้รับเงินแล้วปฏิเสธก็ถูกต้องแล้ว แต่ต่อให้รับเงินจริงก็ต้องปฏิเสธอยู่ดี นอกจากจะมีหลักฐานมามัดจนดิ้นไม่หลุดจึงจะทราบผลสรุปที่แท้จริง ก็ออกความเห็นไปตามเนื้อข่าวไม่ได้เลือกข้างฟันธงบอกว่าใครผิดครับ