*
 
AfterDawn: IT-alan uutiset

NSA osti takaoven salausalgoritmiin 10 miljoonalla dollarilla

Kirjoittaja Manu Pitkänen (Google+) @ 22.12.2013 13:08 Kommentteja (12)

NSA osti takaoven salausalgoritmiin 10 miljoonalla dollarilla Tietoturvayhtiö RSA sai Yhdysvaltain turvallisuusvirasto NSA:lta 10 miljoonan dollarin lahjuksen jätettyään näennäissatunnaislukugeneraattoriin takaoven, jota NSA pystyi hyödyntämään Bullrun-vakoiluohjelmassaan. Kyseinen algoritmi oli oletuksena käytössä RSA:n BSafe-tietoturvatuotteessa ja se löytyy monista tietokoneista (esim. Windows Vista SP1).
Elliptisiin käyriin perustuva Dual_EC_DRBG-algoritmi on Yhdysvaltain kansallisen standardointivirasto NIST:n hyväksymä. Algoritmissa havaittiin jotakin epäilyttävää ja vuonna 2007 Dan Shumow ja Niels Ferguson kertoivat havainneensa tiettyjen vakioiden määrittävän generaattorin lopputuloksen. Mikäli joku pääsee käsiksi tähän näihin salaisiin vakioihin, pystyisi hän murtamaan salauksen. Aikoinaan ihmeteltiin myös sitä miksi NSA kannusti niin voimakkaasti käyttämään Dual_EC_DRBG:tä.

Snowdenin paljastettua takaoven kesällä, RSA on suositellut luopumaan Dual_EC_DRBG:stä.

Tägit: NSA RSA
Edellinen Seuraava  

12 kommenttia

122.12.2013 13:34

Ei kai kukaan voi enää luottaa amerikkalaiseen tieto"turva"yhtiöön, pilvipalveluun, verkkopalveluun, mihinkään. Ciscon business on jo romahtanut Aasiassa, Boeing menetti Brasislian kaupan Saabille. Tottakai Google, Microsoft, Facebook, jne vakuuttavat melkein paniikissa että "me olemme puhtaita pulmusia".
Luottamuksen rakentamiseen menee vuosikausia, vuosikymmeniä. Mutta se menetetään hyvin lyhyessä ajassa. Tässä taisi mennä koko USAn kansakunnan luottamus.

222.12.2013 13:47

Lainaus:
Luottamuksen rakentamiseen menee vuosikausia, vuosikymmeniä. Mutta se menetetään hyvin lyhyessä ajassa. Tässä taisi mennä koko USAn kansakunnan luottamus.

Lisään vain että kyse on tosiaan ihan USA:n asenteesta asioihin. Se kun on ottanut kannan että omia etuja puolustetaan keinoilla millä hyvänsä. Ongelma tässä ei ole pelkästään se että maailman muiden kansalaisten luotamus USA:n heikkenee. Vaarana on että USA:n ja muun maailman välit tulehtuvat, koska USA ei tunnu kunnioittavan mitään tai ketään muuta kuin itseään.

On vaara että USA:ta erotetaan muusta maailmasta joissain asioissa, joka voi johtaa maailman globaaliseen jakautumiseen. Siitä ei seuraa mitään hyvää.

Jo nykyään EU:lla ja USA:lla on vakavia keskenäisiä ongelmia.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 22.12.2013 @ 13:49

322.12.2013 14:39

"Ei kai kukaan voi enää luottaa amerikkalaiseen tieto"turva"yhtiöön, pilvipalveluun, verkkopalveluun, mihinkään..."

En ole koskaan amerikkalaisiin luottanutkaan...jotenkin vain aina "tiennyt" nuo metkut jossei muuten niin alitajunta on kehottanut pysyä poissa amerikkalaisista tieturva/palveluista.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 22.12.2013 @ 14:47

- Always use protection. Safe browsing!

422.12.2013 15:15

Itse olen vähän huolissani miten hyvää tietoturvaa Microsoftin tuotteet sitten oikein tarjoavat, esim. Bitlocker on alkanut olemaan yllättävän yleinen kryptauskeino yrityksissä koska sen voi helposti integroida domainiin. Globaalit ja suuret yritykset ovat tuotesalaisuuksineen täysin Amerikan armoilla tässäkin asiassa. Sama laitelmistajissa ja TPM-kryptausprosessoreissa.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 22.12.2013 @ 15:17

522.12.2013 15:31

Twitteristä:

Lainaus:
MikkoHyppönen: If the Reuters story is true, I - for one - will be cancelling my invited talk and my panel participation in the upcoming RSA Conference.

622.12.2013 16:22

Lauantaiehtoon lottopotin hinnalla myytiin firman uskottavuus. Ei voi kun sanoa, että halvalla meni.

722.12.2013 16:59

Lainaus, alkuperäisen viestin kirjoitti Lauzi:
Lauantaiehtoon lottopotin hinnalla myytiin firman uskottavuus. Ei voi kun sanoa, että halvalla meni.
Samaa mieltä, firmalla tulee tämän pikkusumman takia vaikeat ajat. Oikein jos ottaa lahjuksia.

822.12.2013 18:32

RSA:n emoyhtiö on EMC, joka varsin iso. Mutta jos tämä juttu vaikuttaa myös EMC:n levy- ja softabisneksiin, niin sitten ....

922.12.2013 19:04

Justiinsa vanha sanonta kuuluu suunnilleen tyyliin, että on mitä on vaikka voissa paistaisi, pätee juurikin jenkkeihin oikein hyvin vaikka välillä mukamas valoa pilkahtelee etteivät olekaan aivan sitä, hetkenpäästä tulee uutinen joka kumoaa valon pilkahduksen.

Kuka voi luotta Amerikkalaiseen käyttöjärjestelmään, tosin nykyään kaikki valtiot ja päättäjät ovat sen verran juoru akkojen liemessä keitettyjä, että samapa tuo kenen valmistama järjestelmä on vakoilua on taattu tavalla tai toisella.

Muistan kun 4 - 5 vuotta takaisin ostin elämäni ensimmäisen tietokoneen HP.n läppärin vistalla, kun sain paketin auki ja vihdoin koneen nettiyhteyteen, ei mennyt pitkää aikaa varmaan kunnolla 4 tuntia kun räpeltelin koneella tutkin miten toimii kunnes tuli olotila että kaikki ei ole niin kuin ennen.

Aloin heti miettimään että varmasti urkkivat mitä teen koneenkautta, miten toimin, tuli olo että olen kuin läpivalaisussa yksityisyys meni hommaa jatkuin kuukausia ellei jopa se ensimmäinen vuosi.

Juttelin monien kanssa joilla oli koneet olleet jo vuosia, kuinka varmasti koneella saadaan urkittua lähes kaikkea sekä keskustelu palstoilla asiasta, silloin oli aina se foliohattu tai :DD juttua, enää ei taida niin helposti olla koska kaikki voivat olla NSA.n suurennuslasin alla tarkkailtavina, taitaa se NSA & Jenkkilä melkoinen juoru akkala kun omista asioista huolta pitäminen ei riitä, pitää urkkia muidein asioita kun juoru akat verhon raosta.

Muistan vielä kun mainitsin asiasta, että se kamera mistä sen tietää ettei sitä kautta vakoilla, esitin vielä että varmasti niillä on ohjelmat millä kykenevät kamerasta valon sammuttamaan ja siten sen kautta kyttäämään mitä kämpässä tapahtuu vaikka ei salatavaa olisikaan arvostan yksityisyyttäni, sain kyllä sellaiset naurut päin naamaa ja foliohattu juttua kuulla ym. kameran silmän teippaamista, sen silmän myös teippasin ylitse.

Enää ei ehkä naureskella asialle niin, ihmiset taitavat kuitenkin arvostaa sitä yksityisyyttään vaikka ei salatavaa olisikaan. link link link link link

1023.12.2013 1:28

Ei web-kameroita, salattu internetyhteys ja salatut kovalevyt (ei bitlockerilla, vaan truecryptillä). Silti on kovin turvaton olo vaihteeksi. Kiitos tästäkin, jenkkilä.


Intel Core i5 2500k @ 4.7 GHz | KÜHLER H2O 620 | Kingston Hyper-X 4x4GB DDR3 1600 MHz Dual-channel | R9 290 Crossfire, cooled by Arctic Accelero Hybrid | 2x OCZ Agility 3 60Gt RAID0 | Kovalevyjä ~13 TB | Gigabyte Z77X-UP7 | Corsair Obsidian 900D | Corsair AX1200i

1123.12.2013 12:16

Lainaus, alkuperäisen viestin kirjoitti khandaras:
Ei web-kameroita, salattu internetyhteys ja salatut kovalevyt (ei bitlockerilla, vaan truecryptillä). Silti on kovin turvaton olo vaihteeksi. Kiitos tästäkin, jenkkilä.
No jos on takaovi jolla kirjoittamasi menee muualle ei truecryptillä vaikka olisikin nsa kestävä ja murtamaton ei siitä ole hyötyä. Vaikka olisi 40 merkkinen vahva salasana niin ei auta jos salasana menee jakoon.

Ikävä kyllä ei voi olla turvassa jollei alusta saakka itse tietokoneen käyttöjärjestelmää tee, eiköhän linuxissakin ole takaportteja a la nsa+muut natsit.

1223.12.2013 14:49

Ei salaaminen ole se ensimmäinen asia miten asioita suojellaan, vaan se että ei anneta turvallisuuden rikkomiseen edes mahdollisuutta. Esimerkki asian ymmärtämiseksi.

1. Laite kytketään internettiin hyvällä salauksella tietojen suojelemiseksi.
2. Et kytke laitetta olenkaan internetiin.

Eli älä ota riskiä alun alkaenkaan ja pysy poissa asioista jotka ovat alttiita riskille. Kyse on vähän samasta kuin että laitat kotona fyysisesti salasanasi kassakaappiin. Tai laitat ne johonkin digitaaliseen laitteeseen salauksella joka on yhteydessä internetiin.

Toisessa tapauksessa henkilön pitää päästä fyysisesti paikanpäälle murtamaan asia ja toisessa miljoonilla hakkereilla on mahdollisuus päästä kiinni digitaaliseen järjestelmääsi yrittämään murtautumista.

Tietysti tässä voidaan kysyä että mitä virkaa on RSA salauksella jos yhtiö myy siihen takaportteja rahasta asiattomille. Vie pohjan koko salauksen ideasta.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 23.12.2013 @ 14:54

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Mitä uutta Netflixistä löytyy? HIGH.FI kertoo kaikki uusimmat lisäykset Mitä uutta Netflixistä löytyy? HIGH.FI kertoo kaikki uusimmat lisäykset (9.12.2016 16:51)
Uutisvahtipalvelu HIGH.FI:hin on tänään lisätty uusi sisältökategoria. Vaikka päivitys on periaatteessa pieni, saattaa siitä olla keskimääräistä enemmän iloa palvelun käyttäjille. Palvelun ....
Näin estät henkilöitä WhatsAppissa Näin estät henkilöitä WhatsAppissa (9.12.2016 14:01)
Mikäli et halua enää vastaanottaa puheluita tai tekstiviestejä WhatsApp-kontaktiltasi, voit estää yhteystiedon erittäin helposti. Kun asetat henkilölle eston WhatsAppissa, hän ei enää näe viimeksi ....
Näin estät puhelut ja tekstiviestit tietyistä puhelinnumeroista Androidissa ja iPhonessa Näin estät puhelut ja tekstiviestit tietyistä puhelinnumeroista Androidissa ja iPhonessa (9.12.2016 11:58)
Jos WhatsAppissa estämältäsi henkilöltä alkaa tulla häirikköpuheluita ja -tekstiviestejä tai olet joutunut esimerkiksi aggressiivisen telemarkkinoinnin maalitauluksi, voi omaa arkea helpottaa ....
Uusi suomalainen hittipeli julkaistiin myös iPhonelle Uusi suomalainen hittipeli julkaistiin myös iPhonelle (9.12.2016 10:08)
Suomalaisen Fingersoftin kehittämä Hill Climb Racing 2 -mobiilipeli on julkaistu iPhonelle ja iPadille. Peli julkaistiin Andridille jo viime viikolla. Androidilla Hill Climb Racing 2 on menestynyt ....
Poikkeuksellinen päivitys Galaxy Note7:ään – Estää akun latautumisen Poikkeuksellinen päivitys Galaxy Note7:ään – Estää akun latautumisen (9.12.2016 09:37)
Kun markkinoille pääsee mahdollisesti vaarallisia laitteita, pyritään kaikki myydyt tuotteet tietysti kutsumaan takaisin. Entä jos kaikkia myytyjä laitteita ei saadakaan kerättyä takaisin, vaan ....
3 kommenttia

Uutisarkisto