Один из крупнейших специалистов в области безопасности в сфере IT Микко Хиппонен отменил свое выступление на конференции RSA Security в Сан-Франциско. Это была своеобразная реакция на информацию о том, что компания EMC получила 10 миллионов долларов от Агентства национальной безопасности США за использование в своих продуктах недостаточно надежного генератора случайных чисел.
Вчера Хиппонен, который является главным научным сотрудником финской компании F-Secure, отправил открытое письмо Джозефу М. Туччи, главе совета директоров и CEO компании EMC, и Арту Ковелло, исполнительному директору RSA. В письме Микко выразил свое негодование по поводу того, что RSA встроило в свой продукт BSAFE генератор случайных чисел, переданный ей АНБ, получив за это солидные денежные выплаты. Информацию о сделке Хиппонен получил из доклада Reuters, опубликованного в минувшую пятницу. Если верить документам, полученным Reuters от Эдварда Сноудена, то RSA получила деньги за то, что использовала в BSAFE технологию Dual ЕС DRBG (Dual Elliptic Curve Deterministic Random Bit Generator), которая в свое время являлась одним из стандартов АНБ. Следовательно, представители спецслужбы отлично знают, как ее обойти или сломать в случае необходимости.
В RSA отвергают сам факт заключения секретного договора с АНБ. «Мы приняли решение использовать Dual ЕС DRBG в BSAFE-инструментарии в 2004 году, в рамках отраслевых усилий по разработке новых, более надежных методов шифрования. В то время общество доверяло АНБ, считая, что оно способствует совершенствованию, а не ослаблению шифрования», – говорится в официальном заявлении компании, сделанном в воскресенье.
Хиппонен отметил, что в RSA не отрицают получение 10 миллионов долларов от АНБ за использование Dual ЕС DRBG. «Вы настаивали на использовании [именно этого] генератора в течение многих лет, несмотря на очевидное предположение, что это «троянский конь» АНБ», – говорится в его письме.
По мнению финского исследователя, работа конференции вряд ли пострадает от того, что информация о сделках с АНБ перестала быть тайной. Кроме того, Хиппонен не ожидает, что другие докладчики также откажутся выступать: «Большинство приглашенных спикеров являются американцами. Почему их должна волновать слежка, направленная не на них, а на иностранных граждан? Однако я иностранец. И я отказываюсь участвовать в этом мероприятии».
Конференция RSA будет проходить 24 – 28 февраля 2014 года. Среди заявленных на ней докладчиков ведущие специалисты Microsoft, Juniper Networks, Cisco, McAfee, Symantec и Hewlett-Packard. Хиппонен должен был прочитать доклад на тему «Правительства как авторы вредоносных программ», и это должно было стать его девятым выступлением на конференциях RSA.
Пока в EMC никак не прокомментировали решение финского специалиста.