Безопасность RSA - RSA Security

ООО «РСА Секьюрити»
ЮАР
Тип Независимый
Промышленность Сетевая безопасность и аутентификация
Основан 1982 г.
Основатель
Штаб-квартира
Бедфорд , Массачусетс
,
Соединенные Штаты
Действующие лица
Продукты RSA Access Manager, RSA Adaptive Authentication, RSA Adaptive Authentication для электронной коммерции, RSA Archer Suite, RSA Authentication Manager, RSA Cybercrime Intelligence, RSA Data Loss Prevention, решения для цифровых сертификатов RSA, RSA Federated Identity Manager, RSA FraudAction Services, RSA Identity Governance and Lifecycle , RSA NetWitness Endpoint, RSA NetWitness Investigator, RSA NetWitness Orchestrator, RSA NetWitness Platform, RSA NetWitness UEBA, RSA SecurID Access, RSA Web Threat Detection
Количество работников
 2,700+
Родитель Симфоническая Технологическая Группа
Веб-сайт www .rsa .com

RSA Security LLC , ранее называвшаяся RSA Security, Inc. и действующая как RSA , - американская компания по обеспечению компьютерной и сетевой безопасности , специализирующаяся на стандартах шифрования и шифрования. RSA был назван в честь инициалов его соучредителей, Рона Ривеста , Ади Шамира и Леонарда Адлемана , в честь которых также был назван алгоритм шифрования с открытым ключом RSA . Среди его продуктов - токен аутентификации SecurID . Библиотеки криптографии BSAFE также изначально принадлежали RSA. RSA известна тем, что включает в свои продукты бэкдоры, разработанные АНБ . Он также организует ежегодную конференцию RSA, конференцию по информационной безопасности.

Основанная как независимая компания в 1982 году, RSA Security была приобретена корпорацией EMC в 2006 году за 2,1 миллиарда долларов США и работала как подразделение в EMC. Когда EMC была приобретена Dell Technologies в 2016 году, RSA стала частью семейства брендов Dell Technologies. 10 марта 2020 года Dell Technologies объявила, что будет продавать RSA Security консорциуму во главе с Symphony Technology Group (STG) , Советом пенсионного плана учителей Онтарио (Ontario Teachers ') и AlpInvest Partners (AlpInvest) за 2,1 миллиарда долларов США. по той же цене, когда он был куплен EMC еще в 2006 году.

RSA базируется в Бедфорде, штат Массачусетс , с региональными штаб-квартирами в Бракнелле (Великобритания) и Сингапур , а также с многочисленными международными офисами.

История

Загородное офисное здание
Штаб-квартира RSA в Бедфорде, Массачусетс.

Рон Ривест , Ади Шамир и Леонард Адлеман , разработавшие алгоритм шифрования RSA в 1977 году, основали RSA Data Security в 1982 году.

  • В 1994 году RSA выступила против чипа Clipper во время крипто-войны .
  • В 1995 году RSA отправила несколько человек через зал основать Digital Certificates International, более известную как VeriSign .
  • Затем компания под названием Security Dynamics приобрела RSA Data Security в июле 1996 года и DynaSoft AB в 1997 году.
  • В январе 1997 года он предложил первую задачу DES, которая привела к первому публичному взлому сообщения, основанного на стандарте шифрования данных .
  • В феврале 2001 года она приобрела Xcert International, Inc. , частную компанию, которая разрабатывала и поставляла продукты на основе цифровых сертификатов для защиты транзакций электронного бизнеса.
  • В мае 2001 года она приобрела 3-G International, Inc. , частную компанию, которая разрабатывала и поставляла смарт-карты и продукты для биометрической аутентификации .
  • В августе 2001 года она приобрела Securant Technologies, Inc. , частную компанию, производившую ClearTrust, продукт для управления идентификацией .
  • В декабре 2005 года он приобрел Cyota, частную израильскую компанию, специализирующуюся на решениях для онлайн-безопасности и борьбе с мошенничеством для финансовых учреждений.
  • В апреле 2006 года он приобрел PassMark Security .
  • 14 сентября 2006 г. акционеры RSA одобрили приобретение компании корпорацией EMC за 2,1 миллиарда долларов.
  • В 2007 году RSA приобрела Valyd программного обеспечения, Хайдарабад -На индийскую компанию , специализирующуюся в файле и безопасности данных.
  • В 2009 году RSA запустила проект RSA Share Project. В рамках этого проекта некоторые библиотеки RSA BSAFE стали доступны бесплатно. Для продвижения запуска RSA провела соревнование по программированию с первым призом в размере 10 000 долларов США.
  • В 2011 году RSA представила новую службу CyberCrime Intelligence Service, предназначенную для помощи организациям в выявлении компьютеров, информационных активов и личных данных, скомпрометированных троянами и другими онлайн-атаками.
  • В июле 2013 года RSA приобрела Aveksa, лидера в области управления идентификацией и доступом.
  • 7 сентября 2016 года компания RSA была приобретена и стала дочерней компанией Dell EMC Infrastructure Solutions Group путем приобретения корпорации EMC Corporation компанией Dell Technologies в рамках сделки с наличными и акциями, проводимой Майклом Деллом .
  • 18 февраля 2020 года Dell Technologies объявила о своем намерении продать RSA за 2,075 миллиарда долларов компании Symphony Technology Group .
  • В ожидании продажи RSA компании Symphony Technology Group компания Dell Technologies приняла стратегическое решение сохранить линейку продуктов BSAFE . С этой целью RSA передала продукты BSAFE (включая продукт Data Protection Manager) и клиентские соглашения, включая обслуживание и поддержку, компании Dell Technologies 1 июля 2020 года.
  • 1 сентября 2020 года Symphony Technology Group (STG) завершила сделку по приобретению RSA у Dell Technologies . RSA стала независимой компанией, одной из крупнейших в мире организаций по кибербезопасности и управлению рисками.

Полемика

Нарушение безопасности SecurID

Токены безопасности RSA SecurID .
Основная статья: Взлом системы SecurID § ​​март 2011 г.

17 марта 2011 г. компания RSA сообщила об атаке на свои продукты для двухфакторной аутентификации . Атака была похожа на атаки Sykipot, взлом SK Communications в июле 2011 года и серию атак NightDragon. RSA назвала это серьезной постоянной угрозой . Сегодня SecurID чаще используется как программный токен, чем старые физические токены.

Отношения с АНБ

RSA Security провела кампанию против бэкдора Clipper Chip в так называемых Crypto Wars , включая использование этого культового плаката в дебатах.

Отношения RSA с АНБ изменились с годами. Джозеф Менн из Reuters и аналитик по кибербезопасности Джеффри Карр отметили, что у них когда-то были враждебные отношения. В первые годы своего существования RSA и его руководители были видными сторонниками сильной криптографии для публичного использования, в то время как АНБ и администрации Буша и Клинтона стремились предотвратить ее распространение.

Почти 10 лет я шла лицом к лицу с этими людьми в Форт-Мид . Успех этой компании [RSA] - худшее, что с ними может случиться. Для них мы настоящий враг, мы настоящая цель. У нас есть система, которой они больше всего боятся. Если бы США приняли RSA в качестве стандарта, у вас была бы действительно международная, функционально совместимая, нерушимая и простая в использовании технология шифрования. И все это вместе настолько синергетически угрожает интересам АНБ, что доводит их до безумия.

-  Президент ЮАР Джеймс Бидзос, июнь 1994 г.

В середине 1990-х RSA и Бидзос вели «ожесточенную» публичную кампанию против Clipper Chip , чипа шифрования с бэкдором, который позволял правительству США расшифровывать сообщения. Администрация Клинтона потребовала от телекоммуникационных компаний использовать чип в своих устройствах и ослабила экспортные ограничения на продукты, в которых он использовался. (Такие ограничения не позволили RSA Security продавать свое программное обеспечение за границу.) RSA присоединилась к гражданским либертарианцам и другим в противодействии чипу Clipper, среди прочего, путем распространения плакатов с затонувшим парусным судном и словами «Sink Clipper!». RSA Security также создала DES Challenges, чтобы показать, что широко используемое шифрование DES может быть взломано хорошо финансируемыми организациями, такими как NSA.

По словам Виктора Чана, который руководил инженерным отделом RSA до 2005 года, отношения перешли от враждебных к кооперативным после того, как Бидзос ушел с поста генерального директора в 1999 году: «Когда я пришел, в лабораториях было 10 человек, и мы боролись с АНБ. позже совсем другая компания ". Например, сообщалось, что RSA приняла 10 миллионов долларов от NSA в 2004 году в рамках сделки по использованию разработанного NSA генератора случайных чисел Dual EC DRBG в своей библиотеке BSAFE, несмотря на многие признаки того, что Dual_EC_DRBG был низкого качества и, возможно, имел бэкдор. Позже RSA Security опубликовала заявление о клептографическом бэкдоре Dual_EC_DRBG :

Мы приняли решение использовать Dual EC DRBG по умолчанию в наборах инструментов BSAFE в 2004 году в контексте общеотраслевых усилий по разработке новых, более надежных методов шифрования. В то время АНБ играло надежную роль в усилиях всего сообщества по усилению, а не ослаблению шифрования. Этот алгоритм - лишь один из множества вариантов, доступных в наборах инструментов BSAFE, и пользователи всегда могли выбирать тот, который лучше всего соответствует их потребностям. Мы продолжили использовать алгоритм в качестве опции в инструментах BSAFE, поскольку он получил признание в качестве стандарта NIST и из-за его ценности в соответствии с требованиями FIPS. Когда в 2007 году возникла озабоченность по поводу алгоритма, мы продолжили полагаться на NIST как на арбитра в этом обсуждении. Когда в сентябре 2013 года NIST выпустил новое руководство, рекомендующее больше не использовать этот алгоритм, мы придерживались этого руководства, передали эту рекомендацию клиентам и открыто обсудили изменение в средствах массовой информации.

-  RSA, подразделение безопасности EMC

В марте 2014 года агентство Reuters сообщило, что RSA также адаптировала расширенный стандарт случайной выборки, поддерживаемый АНБ. Более поздний криптоанализ показал, что расширенная случайная выборка не добавляет безопасности, и была отклонена известной группой стандартов Internet Engineering Task Force . Однако расширенное случайное число сделало бэкдор NSA для Dual_EC_DRBG в десятки тысяч раз быстрее для использования злоумышленниками с ключом к бэкдору Dual_EC_DRBG (предположительно только NSA), потому что расширенные одноразовые номера в расширенном случайном порядке сделали часть внутреннего состояния Dual_EC_DRBG легче угадать . Только версию Java RSA Security было трудно взломать без расширенного случайного выбора, поскольку кэширование вывода Dual_EC_DRBG, например, в версии языка программирования C RSA Security уже сделало внутреннее состояние достаточно быстрым, чтобы его можно было определить. И действительно, RSA Security реализовал расширенный случайный выбор только в своей Java-реализации Dual_EC_DRBG.

Бэкдор NSA Dual_EC_DRBG

С 2004 по 2013 год , RSA погружено ценной бумаги Software- BSAFE инструментарий и защита Data Manager-что включен по умолчанию криптографически стойкий генератор псевдослучайных чисел , Dual EC DRBG , который впоследствии был предположительно содержат секретную Агентства национальной безопасности kleptographic лазейку . Бэкдор мог бы значительно упростить взлом данных, зашифрованных с помощью этих инструментов, для АНБ, у которого был бы секретный закрытый ключ к бэкдору. С научной точки зрения, бэкдор использует клептографию и, по сути, является примером клептографической атаки Диффи Хеллмана, опубликованной в 1997 году Адамом Янгом и Моти Юнгом .

Сотрудники RSA Security должны были хотя бы знать, что Dual_EC_DRBG может содержать бэкдор. Трое сотрудников были членами группы стандартов и рекомендаций по инструментам ANSI X9F1, в которую Dual_EC_DRBG был представлен на рассмотрение в начале 2000-х годов. По словам Джона Келси, соавтора стандарта NIST SP 800-90A , содержащего Dual_EC_DRBG, возможность того, что генератор случайных чисел может содержать бэкдор, «впервые возникла на встрече ANSI X9» . В январе 2005 года два сотрудника криптографической компании Certicom , которые также входили в группу X9F1, написали патентную заявку, описывающую бэкдор для Dual_EC_DRBG, идентичный бэкдору NSA. В заявке на патент также описаны три способа нейтрализации бэкдора. Два из них - обеспечение того, чтобы две произвольные точки эллиптической кривой P и Q, используемые в Dual_EC_DRBG, выбирались независимо, и меньшая длина вывода - были добавлены к стандарту в качестве опции, хотя задняя версия NSA для P и Q и большая длина вывода остались прежними. стандартный вариант по умолчанию. Келси сказал, что ему не известно ни о каких разработчиках, которые фактически генерировали свои собственные P и Q без бэкдора, и не было сообщений о реализациях с использованием меньшего выхода.

Тем не менее, NIST включил Dual_EC_DRBG в свой стандарт NIST SP 800-90A 2006 года с настройками по умолчанию, включающими бэкдор, в основном по указанию должностных лиц АНБ, которые сослались на раннее использование RSA Security генератора случайных чисел в качестве аргумента в пользу его включения. Стандарт также не исправил не связанную (с бэкдором) проблему, заключающуюся в предсказуемости CSPRNG, на которую Гьёстин указал ранее в 2006 году и которая заставила Гьёстина называть Dual_EC_DRBG не криптографически надежным.

Члены группы по стандартизации ANSI и сотрудники Microsoft Дэн Шумоу и Нильс Фергюсон сделали публичную презентацию о бэкдоре в 2007 году. Комментируя презентацию Шумова и Фергюсона, известный исследователь безопасности и криптограф Брюс Шнайер назвал возможный бэкдор АНБ «довольно очевидным» и поинтересовался, почему АНБ беспокоился о том, чтобы включить Dual_EC_DRBG, когда общее низкое качество и возможный бэкдор гарантировали, что никто никогда не будет его использовать. Похоже, что не было всеобщего понимания того, что RSA Security сделала это по умолчанию в некоторых своих продуктах в 2004 году, до утечки информации о Сноудене.

В сентябре 2013 года New York Times , опираясь на утечки информации о Сноудене , сообщила, что АНБ работало над «вставкой уязвимостей в коммерческие системы шифрования, ИТ-системы, сети и устройства связи конечных точек, используемые целями» в рамках программы Bullrun . Одна из этих уязвимостей, как сообщает Times , - это бэкдор Dual_EC_DRBG. В связи с повышенным вниманием к Dual_EC_DRBG было отмечено, что BSAFE RSA Security по умолчанию использует Dual_EC_DRBG, что ранее не было широко известно.

После того, как New York Times опубликовала свою статью, RSA Security рекомендовала пользователям отказаться от Dual_EC_DRBG, но отрицала, что они намеренно вставили бэкдор. Представители службы безопасности RSA в значительной степени отказались объяснить, почему они не удалили сомнительный генератор случайных чисел после того, как стали известны недостатки, или почему они не реализовали простое смягчение, которое NIST добавил в стандарт, чтобы нейтрализовать предложенный, а затем проверенный бэкдор.

20 декабря 2013 года Джозеф Менн из Reuters сообщил, что в 2004 году АНБ тайно заплатило RSA Security 10 миллионов долларов за установку Dual_EC_DRBG в качестве CSPRNG по умолчанию в BSAFE. В статье цитируется, что бывшие сотрудники RSA Security заявили, что «никаких тревог не было, потому что сделкой занимались бизнес-лидеры, а не чистые технологи». В интервью CNET Шнайер назвал сделку на 10 миллионов долларов взяткой. Представители RSA ответили, что они «не заключали никаких контрактов и не участвовали в каких-либо проектах с намерением ослабить продукцию RSA». Менн поддержал свою историю, и анализ СМИ отметил, что ответ RSA был неотрицательным отрицанием , которое отрицало только то, что официальные лица компании знали о бэкдоре, когда они соглашались на сделку, - утверждение, что история Менна не содержала.

После этих отчетов несколько отраслевых экспертов отменили запланированные выступления на конференции RSA 2014 RSA . Среди них был Микко Хиппёнен , финский исследователь из F-Secure , который назвал подозрительным отрицание RSA предполагаемой выплаты АНБ 10 миллионов долларов. Хиппёнен объявил о своем намерении выступить с докладом «Правительства как авторы вредоносных программ» на конференции, которая была быстро организована в ответ на доклады: TrustyCon, которая состоится в тот же день и в одном квартале от конференции RSA.

На конференции RSA 2014 года бывший исполнительный председатель RSA Security Арт Ковьелло защитил решение RSA Security продолжать использовать Dual_EC_DRBG, заявив, что «стало возможным, что проблемы, поднятые в 2007 году, могли иметь смысл» только после того, как NIST признал проблемы в 2013 году.

Продукты

RSA наиболее известен своим продуктом SecurID, который обеспечивает двухфакторную аутентификацию для сотен технологий, использующих аппаратные токены, которые меняют ключи через определенные промежутки времени, программные токены и одноразовые коды времени. В 2016 году RSA переименовала платформу SecurID в RSA SecurID Access. В этом выпуске добавлены возможности единого входа и облачная аутентификация для ресурсов с использованием SAML 2.0 и других типов федерации.

RSA SecurID Suite также содержит программное обеспечение RSA Identity Governance and Lifecycle (формально Aveksa). Программное обеспечение обеспечивает видимость того, кто и к чему имеет доступ в организации, и управляет этим доступом с помощью различных функций, таких как проверка доступа, запрос и предоставление.

RSA enVision - это платформа управления информацией и событиями безопасности ( SIEM ) с централизованной службой управления журналами, которая утверждает, что «позволяет организациям упростить процесс соответствия, а также оптимизировать управление инцидентами безопасности по мере их возникновения». 4 апреля 2011 г. EMC приобрела NetWitness и добавила его в группу продуктов RSA. NetWitness - это инструмент для захвата пакетов, предназначенный для получения полной видимости сети для обнаружения инцидентов безопасности. Этот инструмент был переименован в RSA Security Analytics и представлял собой комбинацию RSA enVIsion и NetWitness в качестве инструмента SIEM, который выполнял журналы и захват пакетов.

Платформа RSA Archer GRC - это программное обеспечение, которое поддерживает корпоративное управление, управление рисками и соблюдение нормативных требований (GRC) на уровне бизнеса. Первоначально продукт был разработан компанией Archer Technologies, которую EMC приобрела в 2010 году.

Смотрите также

использованная литература