2006 yılında yaklaşık 2,1 milyar $ karşılığında EMC tarafından satın alınan güvenlik ve doğrulama teknolojileri şirketi RSA, geçtiğimiz günlerde müşterilerine özel bir bülten geçerek ABD’de federal standartları belirleyen Ulusal Standartlar ve Teknoloji Enstitüsü tarafından kabul görmüş bir şifreleme yönteminin artık güvenilirliğini yitirdiği ve kullanılmaması gerektiğini duyurdu. NSA’in Dual EC DRBG adı verilen sözde rastlantısal sayı üreteci (PRNG) teknolojisinde bir arka kapı oluşturduğunu ve veri çektiğini açıklayan RSA, müşterilerine başka bir PRNG kullanmalarını tavsiye ediyor.
NSA skandalının teknoloji camiasına yansımaları devam ediyor. NSA skandalıyla ilgili gündemde olan en sıcak konu istihbarat kurumunun, ulusal standartlar enstitüsü tarafından kabul görmüş güvenlik teknolojileri de dahil olmak üzere pek çok yazılım ve serviste kendi kullanımı için “arka kapılar” oluşturttuğu iddiaları. NSA, henüz bu iddialarla ilgili net bir açıklama yapmadı. Ancak güvenlik camiasının tanınmış firmalarından RSA, şifreleme algoritmalarında da bazı arka kapılar olduğunu söyleyerek kendi müşterilerine uyarı notu geçti.
RSA’nın uyarısında Dual EC DRBG adı verilen sözde rastlantısal sayı üreteci (PRNG) teknolojisinde bir arka kapı bulunduğu ve ulusal standartları belirleyen NIST tarafından onaylı bu teknolojinin RSA ürünlerinde bundan böyle kullanılmaması gerektiği ifade ediliyor. Bu teknolojinin pek çok şirket tarafından özellikle şirket networküne uzaktan erişim için kullanıldığı ve bu verilerin risk altında olduğu söylenmekte. Yani NSA, ABD dahil olmak üzere pek çok ülkede binlerce şirketin networküne uzaktan erişim şifreleme standardını kullanarak sızabiliyor.
Analistler, NSA skandalının ilk etapta sadece büyük telekom firmalarından toplu veri çekilmesiyle sınırlı kaldığının sanıldığını, ancak şimdi skandalın boyutlarının giderek büyüdüğünü söylüyorlar. Bunun sonucunda, mahremiyet konusunda yeni tartışmalar yaşanması ve yeni standartların belirlenmesi kaçınılmaz gibi gözüküyor.
Kaynak : 