*
 
AfterDawn: IT-alan uutiset

NSA osti takaoven salausalgoritmiin 10 miljoonalla dollarilla

Kirjoittaja Manu Pitkänen (Google+) @ 22.12.2013 13:08 Kommentteja (12)

NSA osti takaoven salausalgoritmiin 10 miljoonalla dollarilla Tietoturvayhtiö RSA sai Yhdysvaltain turvallisuusvirasto NSA:lta 10 miljoonan dollarin lahjuksen jätettyään näennäissatunnaislukugeneraattoriin takaoven, jota NSA pystyi hyödyntämään Bullrun-vakoiluohjelmassaan. Kyseinen algoritmi oli oletuksena käytössä RSA:n BSafe-tietoturvatuotteessa ja se löytyy monista tietokoneista (esim. Windows Vista SP1).
Elliptisiin käyriin perustuva Dual_EC_DRBG-algoritmi on Yhdysvaltain kansallisen standardointivirasto NIST:n hyväksymä. Algoritmissa havaittiin jotakin epäilyttävää ja vuonna 2007 Dan Shumow ja Niels Ferguson kertoivat havainneensa tiettyjen vakioiden määrittävän generaattorin lopputuloksen. Mikäli joku pääsee käsiksi tähän näihin salaisiin vakioihin, pystyisi hän murtamaan salauksen. Aikoinaan ihmeteltiin myös sitä miksi NSA kannusti niin voimakkaasti käyttämään Dual_EC_DRBG:tä.

Snowdenin paljastettua takaoven kesällä, RSA on suositellut luopumaan Dual_EC_DRBG:stä.

Tägit: NSA RSA
Edellinen Seuraava  

12 kommenttia

122.12.2013 13:34

Ei kai kukaan voi enää luottaa amerikkalaiseen tieto"turva"yhtiöön, pilvipalveluun, verkkopalveluun, mihinkään. Ciscon business on jo romahtanut Aasiassa, Boeing menetti Brasislian kaupan Saabille. Tottakai Google, Microsoft, Facebook, jne vakuuttavat melkein paniikissa että "me olemme puhtaita pulmusia".
Luottamuksen rakentamiseen menee vuosikausia, vuosikymmeniä. Mutta se menetetään hyvin lyhyessä ajassa. Tässä taisi mennä koko USAn kansakunnan luottamus.

222.12.2013 13:47

Lainaus:
Luottamuksen rakentamiseen menee vuosikausia, vuosikymmeniä. Mutta se menetetään hyvin lyhyessä ajassa. Tässä taisi mennä koko USAn kansakunnan luottamus.

Lisään vain että kyse on tosiaan ihan USA:n asenteesta asioihin. Se kun on ottanut kannan että omia etuja puolustetaan keinoilla millä hyvänsä. Ongelma tässä ei ole pelkästään se että maailman muiden kansalaisten luotamus USA:n heikkenee. Vaarana on että USA:n ja muun maailman välit tulehtuvat, koska USA ei tunnu kunnioittavan mitään tai ketään muuta kuin itseään.

On vaara että USA:ta erotetaan muusta maailmasta joissain asioissa, joka voi johtaa maailman globaaliseen jakautumiseen. Siitä ei seuraa mitään hyvää.

Jo nykyään EU:lla ja USA:lla on vakavia keskenäisiä ongelmia.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 22.12.2013 @ 13:49

322.12.2013 14:39

"Ei kai kukaan voi enää luottaa amerikkalaiseen tieto"turva"yhtiöön, pilvipalveluun, verkkopalveluun, mihinkään..."

En ole koskaan amerikkalaisiin luottanutkaan...jotenkin vain aina "tiennyt" nuo metkut jossei muuten niin alitajunta on kehottanut pysyä poissa amerikkalaisista tieturva/palveluista.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 22.12.2013 @ 14:47

422.12.2013 15:15

Itse olen vähän huolissani miten hyvää tietoturvaa Microsoftin tuotteet sitten oikein tarjoavat, esim. Bitlocker on alkanut olemaan yllättävän yleinen kryptauskeino yrityksissä koska sen voi helposti integroida domainiin. Globaalit ja suuret yritykset ovat tuotesalaisuuksineen täysin Amerikan armoilla tässäkin asiassa. Sama laitelmistajissa ja TPM-kryptausprosessoreissa.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 22.12.2013 @ 15:17

522.12.2013 15:31

Twitteristä:

Lainaus:
MikkoHyppönen: If the Reuters story is true, I - for one - will be cancelling my invited talk and my panel participation in the upcoming RSA Conference.

622.12.2013 16:22

Lauantaiehtoon lottopotin hinnalla myytiin firman uskottavuus. Ei voi kun sanoa, että halvalla meni.

722.12.2013 16:59

Lainaus, alkuperäisen viestin kirjoitti Lauzi:
Lauantaiehtoon lottopotin hinnalla myytiin firman uskottavuus. Ei voi kun sanoa, että halvalla meni.
Samaa mieltä, firmalla tulee tämän pikkusumman takia vaikeat ajat. Oikein jos ottaa lahjuksia.

822.12.2013 18:32

RSA:n emoyhtiö on EMC, joka varsin iso. Mutta jos tämä juttu vaikuttaa myös EMC:n levy- ja softabisneksiin, niin sitten ....

922.12.2013 19:04

Justiinsa vanha sanonta kuuluu suunnilleen tyyliin, että on mitä on vaikka voissa paistaisi, pätee juurikin jenkkeihin oikein hyvin vaikka välillä mukamas valoa pilkahtelee etteivät olekaan aivan sitä, hetkenpäästä tulee uutinen joka kumoaa valon pilkahduksen.

Kuka voi luotta Amerikkalaiseen käyttöjärjestelmään, tosin nykyään kaikki valtiot ja päättäjät ovat sen verran juoru akkojen liemessä keitettyjä, että samapa tuo kenen valmistama järjestelmä on vakoilua on taattu tavalla tai toisella.

Muistan kun 4 - 5 vuotta takaisin ostin elämäni ensimmäisen tietokoneen HP.n läppärin vistalla, kun sain paketin auki ja vihdoin koneen nettiyhteyteen, ei mennyt pitkää aikaa varmaan kunnolla 4 tuntia kun räpeltelin koneella tutkin miten toimii kunnes tuli olotila että kaikki ei ole niin kuin ennen.

Aloin heti miettimään että varmasti urkkivat mitä teen koneenkautta, miten toimin, tuli olo että olen kuin läpivalaisussa yksityisyys meni hommaa jatkuin kuukausia ellei jopa se ensimmäinen vuosi.

Juttelin monien kanssa joilla oli koneet olleet jo vuosia, kuinka varmasti koneella saadaan urkittua lähes kaikkea sekä keskustelu palstoilla asiasta, silloin oli aina se foliohattu tai :DD juttua, enää ei taida niin helposti olla koska kaikki voivat olla NSA.n suurennuslasin alla tarkkailtavina, taitaa se NSA & Jenkkilä melkoinen juoru akkala kun omista asioista huolta pitäminen ei riitä, pitää urkkia muidein asioita kun juoru akat verhon raosta.

Muistan vielä kun mainitsin asiasta, että se kamera mistä sen tietää ettei sitä kautta vakoilla, esitin vielä että varmasti niillä on ohjelmat millä kykenevät kamerasta valon sammuttamaan ja siten sen kautta kyttäämään mitä kämpässä tapahtuu vaikka ei salatavaa olisikaan arvostan yksityisyyttäni, sain kyllä sellaiset naurut päin naamaa ja foliohattu juttua kuulla ym. kameran silmän teippaamista, sen silmän myös teippasin ylitse.

Enää ei ehkä naureskella asialle niin, ihmiset taitavat kuitenkin arvostaa sitä yksityisyyttään vaikka ei salatavaa olisikaan. link link link link link

1023.12.2013 1:28

Ei web-kameroita, salattu internetyhteys ja salatut kovalevyt (ei bitlockerilla, vaan truecryptillä). Silti on kovin turvaton olo vaihteeksi. Kiitos tästäkin, jenkkilä.


Intel Core i5 2500k @ 4.7 GHz | KÜHLER H2O 620 | Kingston Hyper-X 4x4GB DDR3 1600 MHz Dual-channel | R9 290 Crossfire, cooled by Arctic Accelero Hybrid | 2x OCZ Agility 3 60Gt RAID0 | Kovalevyjä ~13 TB | Gigabyte Z77X-UP7 | Corsair Obsidian 900D | Corsair AX1200i

1123.12.2013 12:16

Lainaus, alkuperäisen viestin kirjoitti khandaras:
Ei web-kameroita, salattu internetyhteys ja salatut kovalevyt (ei bitlockerilla, vaan truecryptillä). Silti on kovin turvaton olo vaihteeksi. Kiitos tästäkin, jenkkilä.
No jos on takaovi jolla kirjoittamasi menee muualle ei truecryptillä vaikka olisikin nsa kestävä ja murtamaton ei siitä ole hyötyä. Vaikka olisi 40 merkkinen vahva salasana niin ei auta jos salasana menee jakoon.

Ikävä kyllä ei voi olla turvassa jollei alusta saakka itse tietokoneen käyttöjärjestelmää tee, eiköhän linuxissakin ole takaportteja a la nsa+muut natsit.

1223.12.2013 14:49

Ei salaaminen ole se ensimmäinen asia miten asioita suojellaan, vaan se että ei anneta turvallisuuden rikkomiseen edes mahdollisuutta. Esimerkki asian ymmärtämiseksi.

1. Laite kytketään internettiin hyvällä salauksella tietojen suojelemiseksi.
2. Et kytke laitetta olenkaan internetiin.

Eli älä ota riskiä alun alkaenkaan ja pysy poissa asioista jotka ovat alttiita riskille. Kyse on vähän samasta kuin että laitat kotona fyysisesti salasanasi kassakaappiin. Tai laitat ne johonkin digitaaliseen laitteeseen salauksella joka on yhteydessä internetiin.

Toisessa tapauksessa henkilön pitää päästä fyysisesti paikanpäälle murtamaan asia ja toisessa miljoonilla hakkereilla on mahdollisuus päästä kiinni digitaaliseen järjestelmääsi yrittämään murtautumista.

Tietysti tässä voidaan kysyä että mitä virkaa on RSA salauksella jos yhtiö myy siihen takaportteja rahasta asiattomille. Vie pohjan koko salauksen ideasta.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 23.12.2013 @ 14:54

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

The Pirate Bay varastaa tietokoneesi virtuaalivaluuttalouhintaan – Näin estät sen The Pirate Bay varastaa tietokoneesi virtuaalivaluuttalouhintaan – Näin estät sen (22.9.2017 12:25)
The Pirate Bayssä käyneet ovat saattaneet pistää merkille, että sivustolle on lisätty uusi JavaScript-sovellus, joka hyödyntää sivustolla vierailevien käyttäjien tietokoneiden laskentatehoa ....
1 kommentti
iPhone 8 pistettiin osiin – Tällaisia komponentteja puhelimen sisältä löytyy iPhone 8 pistettiin osiin – Tällaisia komponentteja puhelimen sisältä löytyy (22.9.2017 11:50)
Applen viime viikolla esittelemien iPhone 8- ja iPhone 8 Plus -älypuhelimien myynti on alkanut. Tuttuun tyyliin tee-se-itse-fiksareille suunnattu iFixit-sivusto on ollut hereillä ja hyökännyt ....
Kiinan hakukonejätti aikoo kiriä Yhdysvaltojen ohi itsestään ajavissa autoissa Kiinan hakukonejätti aikoo kiriä Yhdysvaltojen ohi itsestään ajavissa autoissa (22.9.2017 10:42)
Kiinan hakukonemarkkinoita suvereenisti hallitseva Baidu on ilmoittanut perustavansa 1,52 miljardin dollarin arvoisen rahaston, jonka on määrä sijoittaa rahaa seuraavan kolmen vuoden aikana ....
CCleaner-haittaohjelmalla hyökättiin teknologiayritysten verkkkoihin CCleaner-haittaohjelmalla hyökättiin teknologiayritysten verkkkoihin (22.9.2017 09:56)
Aiemmin tällä viikolla selvisi, että huippusuosittuun CCleaner-puhdistustyökaluun oli ujutettu haittaohjelma. Ohjelman versionumeroon 5.33 istutettiin haittaohjelma ilmeisesti tietomurron avulla, ....
Netflixille tulossa uusi Marvel-sarja – traileri julkaistiin Netflixille tulossa uusi Marvel-sarja – traileri julkaistiin (21.9.2017 21:43)
Netflix julkaisi trailerin tulevasta The Punisher -sarjasta. Frank Castlea eli Punisheria esittää Jon Bernthal (mm. The Walking Dead, The Wolf of Wall Street ja Sicario). Hahmosta saatiin ....

Uutisarkisto