La empresa de seguridad RSA Security ha enviado el jueves una carta a sus clientes de los productos BSAFE Toolkit y Data Protection Manager (DPM) para que dejen de usar un componente esencial de criptografía que podría contener una puerta trasera (backdoor) de la Agencia de Seguridad Nacional (NSA) de los EEUU.
BSAFE Toolkit es un conjunto de herramientas que permiten a desarrolladores incorporar el cifrado en sus aplicaciones comerciales. Data Protection Manager permite gestionar llaves de cifrado.
Con el aviso a sus clientes, RSA se ha sumado a la recomendación del NIST para dejar de usar la especificación en tanto no sea seleccionado un nuevo estándar de cifrado.
El componente afectado es EC_DRBG Dual (Dual Elliptic Curve Deterministic Random Bit Generator), cuyo algoritmo permite la generación de llaves criptográficas. Según el informante Edward Snowden, ex-analista de la NSA, EC_DRBG Dual lleva consigo una puerta trasera diseñada por la NSA para romper el algoritmo de cifrado.
El asunto dejó mal parados al Instituto Nacional de Estándares y Tecnología (NIST) y a la Organización Internacional de Normalización (ISO), que aprobaron la especificación criptográfica. En un intento por recuperar la confianza en los estándares de encripción, el NIST ha reabierto proceso de selección pública del estándar de cifrado, después de descubrirse que la NSA podría romperlo.
Todas las versiones de herramientas de BSAFE, incluyendo Crypto-C ME, Micro Edition Suite, Crypto-J, Cert-J, SSL-J, Crypto-C, Cert-C, SSL-C, así como de DPM pueden estar afectadas por la puerta trasera de la NSA, que deja sin protección a la confidencialidad de la información que pretende asegurar.