Торговое название | RSA |
---|---|
Тип | Независимый |
Отрасль | Сетевая безопасность и аутентификация |
Основание | 1982 |
Основатель | |
Штаб-квартира | Бедфорд, Массачусетс, США |
Ключевые люди |
|
Продукция | RSA Access Manager, RSA Adaptive Authentication, RSA Adaptive Authentication для электронной коммерции, RSA Archer Suite, RSA Authentication Manager, RSA BSAFE, RSA Cybercrime Intelligence, RSA Data Loss Prevention, RSA Data Protection Manager, RSA Digital Certificate Solutions, RSA Federated Identity Manager, RSA FraudAction Services, RSA Identity Governance and Lifecycle, RSA NetWitness Endpoint, RSA NetWitness Investigator, RSA NetWitness Orchestrator, RSA NetWitness Platform, RSA NetWitness UEBA, RSA SecurID Access, RSA Обнаружение веб-угроз |
Количество сотрудников | 2,700+ |
Материнская компания | Symphony Technology Group |
Веб-сайт | www.rsa.com |
RSA Security LLC, ранее RSA Security, Inc. и , ведущие свою деятельность как RSA, это американский компьютер и сетевая безопасность компания, специализирующаяся на шифровании и стандартах шифрования. RSA была названа в честь инициалов ее соучредителей Рона Ривеста, Ади Шамира и Леонарда Адлемана, в честь которых RSA также был назван алгоритм криптографии с открытым ключом . Среди ее продуктов - библиотеки RSA BSAFE cryptography и токен аутентификации SecurID. RSA известна тем, что якобы включает в свои продукты бэкдоры, разработанные NSA. Он также организует ежегодную RSA Conference, конференцию по информационной безопасности.
Основанная как независимая компания в 1982 году, RSA Security была приобретена EMC Corporation в 2006 году за 2,1 миллиарда долларов США и работала как подразделение в рамках EMC. Когда в 2016 году EMC была приобретена компанией Dell Technologies, RSA стала частью семейства брендов Dell Technologies.
RSA базируется в Бедфорде, Массачусетс, с региональной штаб-квартирой в Бракнелле (Великобритания) и Сингапур, а также многочисленными международными офисами.
Рон Ривест, Ади Шамир и Леонард Адлеман, которые разработали алгоритм шифрования RSA в 1977 г., основал RSA Data Security в 1982 г.
17 марта 2011 г. раскрытие RSA атака на его продукты двухфакторной аутентификации. Атака была похожа на атаки Sykipot, взлом SK Communications в июле 2011 года и серию атак NightDragon. RSA назвала это постоянной постоянной угрозой повышенной сложности. Сегодня SecurID чаще используется как программный токен, а не как старые физические токены.
Отношения RSA с NSA изменились с годами. Джозеф Менн из Reuter и аналитик по кибербезопасности Джеффри Карр отметили, что у них когда-то были враждебные отношения. В первые годы своего существования RSA и его руководители были видными сторонниками сильной криптографии для публичного использования, в то время как АНБ и администрации Буша и Клинтона стремились предотвратить ее распространение.
Вот уже почти 10 лет я иду в ногу с этими людьми в Форт-Мид. Успех этой компании [RSA] - худшее, что с ними может случиться. Для них мы настоящий враг, мы настоящая цель. У нас есть система, которой они больше всего боятся. Если бы США приняли RSA в качестве стандарта, у вас была бы по-настоящему международная, функционально совместимая, нерушимая и простая в использовании технология шифрования. И все это вместе настолько синергетически угрожает интересам АНБ, что доводит их до безумия.
— Президент RSA Джеймс Бидзос, июнь 1994 г.В середине 1990-х RSA и Бидзос вели «ожесточенную» борьбу. публичная кампания против Clipper Chip, чипа шифрования с бэкдором, который позволит правительству США расшифровывать сообщения. Администрация Клинтона заставила телекоммуникационные компании использовать этот чип в своих устройствах и ослабила экспортные ограничения на продукты, в которых он использовался. (Такие ограничения не позволили RSA Security продавать свое программное обеспечение за границу.) RSA присоединилась к гражданским либертарианцам и другим в противодействии чипу Clipper, среди прочего, распространяя плакаты с затонувшим парусным кораблем и словами «Sink Clipper!». RSA Security также создала DES Challenges, чтобы показать, что широко используемое шифрование DES может быть взломано хорошо финансируемыми организациями, такими как NSA.
После того, как Бидзос ушел с поста генерального директора в 1999 году, отношения перешли от враждебных к кооперативным, по словам Виктора Чана, который руководил инженерным отделом RSA до 2005 года: «Когда я присоединился, в лабораториях было 10 человек, и мы борется с АНБ. Позже она стала совсем другой компанией ». Например, сообщалось, что RSA приняла 10 миллионов долларов от NSA в 2004 году в рамках сделки по использованию разработанного NSA генератора случайных чисел Dual EC DRBG в своей библиотеке BSAFE, несмотря на многие признаки того, что Dual_EC_DRBG был одновременно низкого качества и, возможно, с бэкдором. Позднее RSA Security опубликовала заявление о двойном EC_DRBG клептографическом бэкдоре:
Мы приняли решение использовать Dual EC DRBG по умолчанию в инструментах BSAFE в 2004 году в контексте общесистемных усилий по разработке новые и надежные методы шифрования. В то время АНБ играло надежную роль в усилиях всего сообщества по усилению, а не ослаблению шифрования. Этот алгоритм - лишь один из множества вариантов, доступных в наборах инструментов BSAFE, и пользователи всегда могли выбирать тот, который лучше всего соответствует их потребностям. Мы продолжили использовать алгоритм в качестве опции в инструментарии BSAFE, поскольку он получил признание в качестве стандарта NIST и из-за его ценности в соответствии с требованиями FIPS. Когда в 2007 году возникла озабоченность по поводу алгоритма, мы продолжили полагаться на NIST как на арбитра в этом обсуждении. Когда в сентябре 2013 года NIST выпустил новое руководство, рекомендующее больше не использовать этот алгоритм, мы придерживались этого руководства, передали эту рекомендацию клиентам и открыто обсудили изменение в средствах массовой информации.
— RSA, Отдел безопасности EMCВ В марте 2014 года Reuters сообщило, что RSA также адаптировала стандарт расширенной случайной выборки, отстаиваемый АНБ. Более поздний криптоанализ показал, что расширенная случайная выборка не добавляет безопасности, и была отвергнута известной группой стандартов Internet Engineering Task Force. Однако расширенная случайная выборка сделала бэкдор NSA для Dual_EC_DRBG в десятки тысяч раз быстрее для использования злоумышленниками с ключом к бэкдору Dual_EC_DRBG (предположительно только NSA), потому что расширенные одноразовые номера в расширенном случайном порядке стали частью внутреннего состояние Dual_EC_DRBG угадать проще. Только версию RSA Security Java было трудно взломать без расширенной случайной выборки, поскольку кэширование вывода Dual_EC_DRBG, например, Версия языка программирования C RSA Security уже сделала внутреннее состояние достаточно быстрым для определения. И действительно, RSA Security реализовала расширенный случайный выбор только в своей Java-реализации Dual_EC_DRBG.
С 2004 по 2013 год RSA поставляла программное обеспечение безопасности - набор инструментов BSAFE и Data Protection Manager - который включал по умолчанию криптографически безопасный генератор псевдослучайных чисел, Dual EC DRBG, который, как позже предполагалось, содержал предполагаемый секрет Агентство национальной безопасности клептографический бэкдор. Предполагаемый бэкдор мог значительно упростить взлом данных, зашифрованных с помощью этих инструментов, для АНБ, которое якобы имело секретный закрытый ключ к бэкдору. С научной точки зрения, предполагаемый бэкдор использует клептографию и, по сути, является примером клептографической атаки Диффи Хеллмана, опубликованной в 1997 году Адамом Янгом и Моти Юнгом.
сотрудникам RSA Security, которые должны были знать. по крайней мере, этот Dual_EC_DRBG может содержать бэкдор. Трое сотрудников были членами группы стандартов и рекомендаций по инструментам ANSI X9F1, в которую Dual_EC_DRBG был представлен на рассмотрение в начале 2000-х годов. По словам Джона Келси, соавтора стандарта NIST SP 800-90A, содержащего Dual_EC_DRBG, возможность того, что генератор случайных чисел может содержать бэкдор, «впервые возникла на встрече ANSI X9». В январе 2005 года два сотрудника криптографической компании Certicom - они также были членами группы X9F1 - написали патентную заявку, в которой описывался бэкдор для Dual_EC_DRBG, идентичный бэкдору NSA. В патентной заявке также описаны три способа нейтрализации бэкдора. Два из них - обеспечение того, чтобы две произвольные точки эллиптической кривой P и Q, используемые в Dual_EC_DRBG, были независимо выбраны, и меньшая длина вывода - были добавлены к стандарту в качестве опции, хотя задняя версия NSA для P и Q и большая длина вывода остались прежними. стандартный вариант по умолчанию. Келси сказал, что он не знает ни одного разработчика, который фактически генерировал свои собственные P и Q без бэкдора, и не было сообщений о реализациях с использованием меньшего выхода.
Тем не менее, NIST включил Dual_EC_DRBG в свой стандарт 2006 NIST SP 800-90A с настройками по умолчанию, включающими бэкдор, в основном по указанию официальных лиц АНБ, которые сослались на раннее использование RSA Security генератор случайных чисел как аргумент в пользу его включения. Стандарт также не исправил не связанную (с бэкдором) проблему, заключающуюся в предсказуемости CSPRNG, на которую Гьёстин указал ранее в 2006 году, и которая заставила Гьёстина называть Dual_EC_DRBG не криптографически корректным.
Члены стандартной группы ANSI и сотрудники Microsoft Дэн Шумов и Нильс Фергюсон сделали публичную презентацию о бэкдоре в 2007 году. Комментируя презентацию Шумова и Фергюсона, известный исследователь безопасности и криптограф Брюс Шнайер назвал возможный бэкдор АНБ «довольно очевидным» и задался вопросом. почему АНБ потрудилось настаивать на включении Dual_EC_DRBG, когда общее низкое качество и возможный бэкдор гарантируют, что никто никогда не будет его использовать. Кажется, не было общего понимания, что RSA Security сделала это по умолчанию в некоторых своих продуктах в 2004 году, до утечки информации о Сноудене.
В сентябре 2013 года New York Times, опираясь на Утечка Сноудена, показала, что АНБ работало над «вставкой уязвимостей в коммерческие системы шифрования, ИТ-системы, сети и устройства связи конечных точек, используемые целями» в рамках программы Bullrun. Как сообщает Times, одной из этих уязвимостей был бэкдор Dual_EC_DRBG. В связи с повышенным вниманием к Dual_EC_DRBG было отмечено, что BSAFE RSA Security по умолчанию использует Dual_EC_DRBG, о чем ранее не было широко известно.
После того, как New York Times опубликовала свою статью, RSA Security рекомендовала пользователям отказаться от Dual_EC_DRBG, но отрицала, что они намеренно вставили бэкдор. Представители службы безопасности RSA в значительной степени отказались объяснить, почему они не удалили сомнительный генератор случайных чисел после того, как стали известны недостатки, или почему они не реализовали простое средство смягчения последствий, которое NIST добавил в стандарт для нейтрализации предложенного и позже проверенного бэкдора.
20 декабря 2013 года Reuters 'Джозеф Менн сообщил, что в 2004 году АНБ тайно заплатило RSA Security 10 миллионов долларов за установку Dual_EC_DRBG в качестве CSPRNG по умолчанию в BSAFE. В статье цитируется, что бывшие сотрудники RSA Security заявили, что «не было никакой тревоги, потому что сделкой занимались бизнес-лидеры, а не чистые технологи». В интервью CNET Шнайер назвал сделку на 10 миллионов долларов взяткой. Представители RSA ответили, что они «не заключали никаких контрактов и не участвовали в каких-либо проектах, направленных на ослабление продукции RSA». Менн поддержал свою историю, и анализ СМИ отметил, что ответ RSA был отказом от отрицания, который отрицал только то, что официальные лица компании знали о бэкдоре, когда они соглашались на сделку, - утверждение, что история Менна не делает.
Вслед за сообщениями несколько отраслевых экспертов отменили запланированные выступления на конференции RSA 2014 RSA Conference. Среди них был Микко Хиппёнен, финский исследователь с F-Secure, который назвал подозрительным отрицание RSA предполагаемой выплаты АНБ 10 миллионов долларов. Хиппёнен объявил о своем намерении выступить с докладом «Правительства как авторы вредоносных программ» на конференции, которая была быстро организована в ответ на доклады: TrustyCon, которая состоится в тот же день и в одном квартале от конференции RSA.
На конференции RSA Conference 2014 года бывший исполнительный председатель RSA Security Арт Ковьелло защищал решение RSA Security продолжать использовать Dual_EC_DRBG, заявив, что «стало возможным, что проблемы, поднятые в 2007 году, могут иметь смысл» только после NIST признал наличие проблем в 2013 году.
RSA наиболее известен своим продуктом SecurID, который обеспечивает двухфакторную аутентификацию для сотен технологий с использованием аппаратных токенов, которые меняют ключи через определенные промежутки времени, программные токены и одноразовые коды. В 2016 году RSA переименовала платформу SecurID в RSA SecurID Access. В этом выпуске добавлены возможности единого входа и облачная аутентификация для ресурсов с использованием SAML 2.0 и других типов федерации.
RSA SecurID® Suite также содержит решение RSA Identity Governance and Lifecycle (формально Aveksa). Решение обеспечивает видимость того, кто имеет доступ к чему в организации, и управляет этим доступом с помощью различных функций, таких как проверка доступа, запрос и обеспечение.
RSA enVision - это информация о безопасности и управление событиями (SIEM ), с централизованной службой управления журналами, которая утверждает, что «позволяет организациям упростить процесс соответствия, а также оптимизировать управление инцидентами безопасности по мере их возникновения». 4 апреля 2011 г. EMC приобрела NetWitness и добавила его в группу продуктов RSA. NetWitness - это инструмент захвата пакетов, предназначенный для получения полной видимости сети для обнаружения инцидентов безопасности. Этот инструмент был переименован в RSA Security Analytics и представлял собой комбинацию RSA enVIsion и NetWitness в качестве инструмента SIEM, который выполнял журналы и захват пакетов.
Платформа RSA Archer GRC Platform - это программное обеспечение, которое поддерживает корпоративное управление, управление рисками и соблюдение нормативных требований (GRC). Платформа позволяет пользователям адаптировать решения к своим требованиям, создавать новые приложения и интегрироваться с внешними системами, не затрагивая ни единой строчки кода. Продукт был первоначально разработан компанией Archer Technologies, которую EMC приобрела в 2010 году.