RSA -sikkerhed - RSA Security

RSA Security LLC
RSA
Type Uafhængig
Industri Netværkssikkerhed og godkendelse
Grundlagt 1982
Grundlægger
Hovedkvarter
Bedford , Massachusetts
,
Forenede Stater
Nøglepersoner
Produkter RSA Access Manager, RSA Adaptive Authentication, RSA Adaptive Authentication for eCommerce, RSA Archer Suite, RSA Authentication Manager, RSA Cybercrime Intelligence, RSA Data Loss Prevention, RSA Digital Certificate Solutions, RSA Federated Identity Manager, RSA FraudAction Services, RSA Identity Governance and Lifecycle , RSA NetWitness Endpoint, RSA NetWitness Investigator, RSA NetWitness Orchestrator, RSA NetWitness Platform, RSA NetWitness UEBA, RSA SecurID Access, RSA Web Threat Detection
Antal medarbejdere
 2.700+
Forælder Symphony Technology Group
Internet side www .rsa .com

RSA Security LLC , tidligere RSA Security, Inc. og handler som RSA , er et amerikansk computer- og netværkssikkerhedsfirma med fokus på kryptering og krypteringsstandarder. RSA blev opkaldt efter initialerne for sine medstiftere, Ron Rivest , Adi Shamir og Leonard Adleman , efter hvem RSA offentlig nøgle kryptografi algoritme blev også navngivet. Blandt dens produkter er SecurID -godkendelsestoken. De BSAFE kryptografi -bibliotekerne blev også oprindeligt ejet af RSA. RSA er kendt for at inkorporere bagdøre udviklet af NSA i sine produkter. Det arrangerer også den årlige RSA -konference , en informationssikkerhedskonference.

RSA Security blev grundlagt som et uafhængigt selskab i 1982 og blev opkøbt af EMC Corporation i 2006 for 2,1 milliarder dollars og fungeret som en division inden for EMC. Da EMC blev opkøbt af Dell Technologies i 2016, blev RSA en del af Dell Technologies -familien af ​​mærker. Den 10. marts 2020 meddelte Dell Technologies, at de vil sælge RSA Security til et konsortium, ledet af Symphony Technology Group (STG) , Ontario Teachers 'Pension Plan Board (Ontario Teachers') og AlpInvest Partners (AlpInvest) for 2,1 milliarder dollars, samme pris, da den blev købt af EMC tilbage i 2006.

RSA er baseret i Bedford, Massachusetts , med regionalt hovedkvarter i Bracknell (Storbritannien) og Singapore , og talrige internationale kontorer.

Historie

En forstads kontorbygning
RSA hovedkvarter i Bedford, Massachusetts

Ron Rivest , Adi Shamir og Leonard Adleman , der udviklede RSA -krypteringsalgoritmen i 1977, grundlagde RSA Data Security i 1982.

  • I 1994 var RSA imod Clipper Chip under kryptokrigen .
  • I 1995 sendte RSA en håndfuld mennesker over gangen for at stifte Digital Certificates International, bedre kendt som VeriSign .
  • Virksomheden kaldte derefter Security Dynamics erhvervede RSA Data Security i juli 1996 og DynaSoft AB i 1997.
  • I januar 1997 foreslog den den første af DES -udfordringerne, der førte til den første offentlige brydning af en besked baseret på datakrypteringsstandarden .
  • I februar 2001 købte det Xcert International, Inc. , et privatejet selskab, der udviklede og leverede digitale certifikatbaserede produkter til sikring af e-forretningstransaktioner.
  • I maj 2001 købte det 3-G International, Inc. , et privatejet selskab, der udviklede og leverede smart card og biometriske godkendelsesprodukter .
  • I august 2001 købte det Securant Technologies, Inc. , et privatejet selskab, der producerede ClearTrust, et produkt til identitetsstyring .
  • I december 2005 købte det Cyota, et privatejet israelsk firma med speciale i onlinesikkerhed og svindelbekæmpelsesløsninger for finansielle institutioner.
  • I april 2006 erhvervede det PassMark Security .
  • Den 14. september 2006 godkendte RSA -aktionærer erhvervelsen af ​​virksomheden af EMC Corporation for $ 2,1 mia.
  • I 2007 købte RSA Valyd Software, en Hyderabad baserede indiske virksomhed med speciale i filen og datasikkerhed.
  • I 2009 lancerede RSA RSA Share Project. Som en del af dette projekt blev nogle af RSA BSAFE -bibliotekerne stillet til rådighed gratis. For at promovere lanceringen kørte RSA en programmeringskonkurrence med en førstepræmie på 10.000 US $.
  • I 2011 introducerede RSA en ny CyberCrime Intelligence Service designet til at hjælpe organisationer med at identificere computere, informationsaktiver og identiteter, der er kompromitteret af trojanere og andre online angreb.
  • I juli 2013 erhvervede RSA Aveksa, der er førende inden for sektoren Identity and Access Governance
  • Den 7. september 2016 blev RSA opkøbt af og blev et datterselskab af Dell EMC Infrastructure Solutions Group gennem opkøbet af EMC Corporation af Dell Technologies i en kontant- og aktieaftale ledet af Michael Dell .
  • Den 18. februar 2020 annoncerede Dell Technologies deres intention om at sælge RSA for $ 2.075 milliarder til Symphony Technology Group .
  • I forventning om salget af RSA til Symphony Technology Group tog Dell Technologies den strategiske beslutning om at beholde BSAFE -produktlinjen. Til dette formål overførte RSA BSAFE -produkter (herunder Data Protection Manager -produktet) og kundeaftaler, herunder vedligeholdelse og support, til Dell Technologies den 1. juli 2020.
  • 1. september 2020 gennemførte Symphony Technology Group (STG) opkøbet af RSA fra Dell Technologies . RSA blev et uafhængigt selskab, en af ​​verdens største cybersikkerheds- og risikostyringsorganisationer.

Kontrovers

SecurID sikkerhedsbrud

RSA SecurID -sikkerhedstokener .
Hovedartikel: SecurID § ​​marts 2011 systemkompromis

Den 17. marts 2011 afslørede RSA et angreb på sine to-faktor-godkendelsesprodukter . Angrebet lignede Sykipot -angrebene, SK Communications -hacket i juli 2011 og angrebsserierne NightDragon. RSA kaldte det en fremskreden vedvarende trussel . I dag bruges SecurID mere almindeligt som et softwaretoken frem for ældre fysiske tokens.

Forholdet til NSA

RSA Security førte kampagne mod Clipper Chip-bagdøren i de såkaldte Crypto Wars , herunder brugen af ​​denne ikoniske plakat i debatten.

RSA's forhold til NSA har ændret sig gennem årene. Reuters 'Joseph Menn og cybersikkerhedsanalytiker Jeffrey Carr har bemærket, at de to engang havde et kontradiktorisk forhold. I sine første år var RSA og dets ledere fremtrædende fortalere for stærk kryptografi til offentligt brug, mens NSA og Bush og Clinton -administrationerne forsøgte at forhindre spredning.

I næsten 10 år har jeg gået tå til tå med disse mennesker på Fort Meade . Succesen for dette selskab [RSA] er det værste, der kan ske for dem. For dem er vi den virkelige fjende, vi er det virkelige mål. Vi har det system, som de er mest bange for. Hvis USA vedtog RSA som standard, ville du have en virkelig international, interoperabel, ubrydelig, let at bruge krypteringsteknologi. Og alle disse ting tilsammen er så synergistisk truende for NSAs interesser, at det driver dem til vanvid.

-  RSA -præsident James Bidzos, juni 1994

I midten af ​​1990'erne førte RSA og Bidzos en "hård" offentlig kampagne mod Clipper Chip , en krypteringschip med en bagdør, der ville give den amerikanske regering mulighed for at dekryptere kommunikation. Clinton -administrationen pressede teleselskaber til at bruge chippen i deres enheder og lempe eksportrestriktioner på produkter, der brugte den. (Sådanne restriktioner havde forhindret RSA Security i at sælge sin software til udlandet.) RSA sluttede sig til civil libertarians og andre i modstand mod Clipper Chip ved blandt andet at distribuere plakater med et grundlæggende sejlskib og ordene "Sink Clipper!" RSA Security skabte også DES-udfordringerne for at vise, at den meget anvendte DES-kryptering kunne brydes af velfinansierede enheder som NSA.

Forholdet skiftede fra kontradiktorisk til kooperativt, efter at Bidzos trådte tilbage som administrerende direktør i 1999, ifølge Victor Chan, der ledede RSA's afdelingsteknik indtil 2005: "Da jeg sluttede mig, var der 10 mennesker i laboratorierne, og vi kæmpede mod NSA. Det blev til et helt andet firma senere. " For eksempel blev RSA rapporteret at have accepteret 10 millioner dollars fra NSA i 2004 i en aftale om at bruge den NSA-designet Dual EC DRBG- tilfældige talgenerator i deres BSAFE-bibliotek, på trods af mange tegn på, at Dual_EC_DRBG både var af dårlig kvalitet og muligvis bagdør. RSA Security offentliggjorde senere en erklæring om Dual_EC_DRBG kleptografisk bagdør:

Vi tog beslutningen om at bruge Dual EC DRBG som standard i BSAFE-værktøjssæt i 2004 i forbindelse med en branchestrengende indsats for at udvikle nyere, stærkere krypteringsmetoder. På det tidspunkt havde NSA en betroet rolle i den fælles indsats for at styrke, ikke svække, kryptering. Denne algoritme er kun et af flere valgmuligheder, der er tilgængelige inden for BSAFE -værktøjskasser, og brugerne har altid frit kunnet vælge den, der passer bedst til deres behov. Vi fortsatte med at bruge algoritmen som en mulighed inden for BSAFE -værktøjskasser, da den opnåede accept som en NIST -standard og på grund af dens værdi i FIPS -overholdelse. Da bekymring dukkede op omkring algoritmen i 2007, fortsatte vi med at stole på NIST som dommer i den diskussion. Da NIST udstedte ny vejledning, hvori vi ikke anbefalede yderligere brug af denne algoritme i september 2013, fulgte vi denne vejledning, meddelte denne anbefaling til kunderne og diskuterede ændringen åbent i medierne.

-  RSA, Sikkerhedsafdelingen for EMC

I marts 2014 blev det rapporteret af Reuters, at RSA også havde tilpasset den udvidede tilfældige standard, som NSA kæmpede for. Senere viste kryptanalyse, at udvidet tilfældighed ikke tilføjede nogen sikkerhed og blev afvist af den fremtrædende standardgruppe Internet Engineering Task Force . Udvidet tilfældig gjorde imidlertid NSA's bagdør til Dual_EC_DRBG titusindvis af gange hurtigere at bruge for angribere med nøglen til Dual_EC_DRBG bagdøren (formodentlig kun NSA), fordi de udvidede nonces i udvidet tilfældigt gjorde en del af den interne tilstand af Dual_EC_DRBG lettere at gætte . Kun RSA Security's Java -version var svær at knække uden udvidet tilfældighed, da cachingen af ​​Dual_EC_DRBG -output i f.eks. RSA Security's C -programmeringssprogversion allerede gjorde den interne tilstand hurtig nok til at bestemme. Og faktisk implementerede RSA Security kun udvidet random i sin Java -implementering af Dual_EC_DRBG.

NSA Dual_EC_DRBG bagdør

Fra 2004 til 2013 afsendte RSA sikkerhedssoftware - BSAFE -værktøjskasse og Data Protection Manager - der inkluderede en standard kryptografisk sikker pseudotilfældig nummergenerator , Dual EC DRBG , der senere blev mistænkt for at indeholde en hemmelig kleptografisk bagdør fra National Security Agency . Bagdøren kunne have gjort data krypteret med disse værktøjer meget lettere at bryde for NSA, som ville have haft den hemmelige private nøgle til bagdøren. Videnskabeligt set anvender bagdøren kleptografi og er i det væsentlige et eksempel på Diffie Hellman kleptografiske angreb udgivet i 1997 af Adam Young og Moti Yung .

RSA Security -medarbejdere skulle i det mindste have været klar over, at Dual_EC_DRBG kan indeholde en bagdør. Tre medarbejdere var medlemmer af gruppen ANSI X9F1 Tool Standards and Guidelines Group, hvortil Dual_EC_DRBG var blevet forelagt til behandling i begyndelsen af ​​2000'erne. Muligheden for, at den tilfældige talgenerator kunne indeholde en bagdør, blev "først rejst i et ANSI X9-møde", ifølge John Kelsey, medforfatter til NIST SP 800-90A- standarden, der indeholder Dual_EC_DRBG. I januar 2005 skrev to medarbejdere i kryptografifirmaet Certicom - som også var medlemmer af X9F1 -gruppen - en patentansøgning, der beskrev en bagdør for Dual_EC_DRBG identisk med NSA. Patentansøgningen beskrev også tre måder at neutralisere bagdøren på. To af disse - hvilket sikrer, at to vilkårlige elliptiske kurvepunkter P og Q, der bruges i Dual_EC_DRBG, er uafhængigt valgt og en mindre udgangslængde - blev tilføjet til standarden som en mulighed, selvom NSA's bagdør version af P og Q og stor outputlængde forblev som standardens standardindstilling. Kelsey sagde, at han ikke kendte til nogen implementatorer, der rent faktisk genererede deres egen ikke-bagdør P og Q, og der har ikke været rapporter om implementeringer ved hjælp af den mindre stikkontakt.

Ikke desto mindre inkluderede NIST Dual_EC_DRBG i sin 2006 NIST SP 800-90A- standard med standardindstillingerne, der muliggjorde bagdøren, stort set på foranledning af NSA-embedsmænd, der havde anført RSA Securitys tidlige brug af tilfældighedsgeneratoren som et argument for dens inkludering. Standarden rettede heller ikke det ikke -relaterede (til bagdøren) problem, som CSPRNG var forudsigeligt, hvilket Gjøsteen havde påpeget tidligere i 2006, og som fik Gjøsteen til at kalde Dual_EC_DRBG ikke kryptografisk forsvarlig.

ANSI -standardgruppemedlemmer og Microsoft -medarbejdere Dan Shumow og Niels Ferguson holdt en offentlig præsentation om bagdøren i 2007. I en kommentar til Shumow og Fergusons præsentation kaldte den fremtrædende sikkerhedsforsker og kryptograf Bruce Schneier den mulige NSA -bagdør for "temmelig indlysende" og undrede sig over, hvorfor NSA generede at skubbe til at få Dual_EC_DRBG inkluderet, når den generelle dårlige kvalitet og mulig bagdør ville sikre, at ingen nogensinde ville bruge det. Der synes ikke at have været en generel bevidsthed om, at RSA Security havde gjort det til standard i nogle af sine produkter i 2004, indtil Snowden -lækagen.

I september 2013 afslørede New York Times , der trak på Snowden -lækagerne , at NSA arbejdede med at "Indsætte sårbarheder i kommercielle krypteringssystemer, IT -systemer, netværk og endepunktskommunikationsenheder, der bruges af mål" som en del af Bullrun -programmet. En af disse sårbarheder, rapporterede Times , var Dual_EC_DRBG bagdøren. Med det fornyede fokus på Dual_EC_DRBG blev det bemærket, at RSA Securitys BSAFE som standard brugte Dual_EC_DRBG, hvilket ikke tidligere havde været almindeligt kendt.

Efter at New York Times offentliggjorde sin artikel, anbefalede RSA Security, at brugerne skifter væk fra Dual_EC_DRBG, men benægtede, at de bevidst havde indsat en bagdør. RSA -sikkerhedstjenestemænd har stort set afvist at forklare, hvorfor de ikke fjernede den tvivlsomme tilfældige talgenerator, når fejlene blev kendt, eller hvorfor de ikke implementerede den enkle afbødning, som NIST tilføjede standarden for at neutralisere den foreslåede og senere verificerede bagdør.

Den 20. december 2013 rapporterede Reuters 'Joseph Menn, at NSA hemmeligt betalte RSA Security 10 millioner dollars i 2004 for at indstille Dual_EC_DRBG som standard CSPRNG i BSAFE. Historien citerede tidligere RSA Security -medarbejdere for at sige, at "der ikke blev alarmeret, fordi aftalen blev håndteret af virksomhedsledere frem for rene teknologer". Interviewet med CNET kaldte Schneier aftalen på 10 millioner dollars for bestikkelse. RSA -embedsmænd svarede, at de ikke "har indgået nogen kontrakt eller deltaget i noget projekt med den hensigt at svække RSA's produkter." Menn stod ved hans historie, og medieanalyser bemærkede, at RSA's svar var et ikke-benægtende benægtelse , hvilket kun benægtede, at virksomhedens embedsmænd vidste om bagdøren, da de gik med til aftalen, en påstand, Menn's historie ikke gjorde.

I kølvandet på rapporterne annullerede flere brancheeksperter deres planlagte samtaler på RSA's 2014 RSA -konference . Blandt dem var Mikko Hyppönen , en finsk forsker med F-Secure , der anførte RSA's benægtelse af den påståede betaling på $ 10 millioner fra NSA som mistænkelig. Hyppönen meddelte, at han havde til hensigt at holde sin tale, "Governments as Malware Authors", på en konference, der hurtigt blev oprettet som reaktion på rapporterne: TrustyCon, der skal afholdes samme dag og en blok væk fra RSA -konferencen.

RSA -konferencen i 2014 forsvarede den tidligere RSA Sikkerhedsformand Art Coviello RSA Sikkerheds valg om at blive ved med at bruge Dual_EC_DRBG ved at sige "det blev muligt, at bekymringer rejst i 2007 måske havde fortjeneste" først efter NIST erkendte problemerne i 2013.

Produkter

RSA er mest kendt for sit SecurID-produkt, der leverer tofaktorautentificering til hundredvis af teknologier ved hjælp af hardware-tokens, der roterer nøgler med tidsintervaller, softwaretokener og engangskoder. I 2016 genmærkede RSA SecurID-platformen som RSA SecurID Access. Denne udgivelse tilføjede Single-Sign-On-funktioner og cloud-godkendelse til ressourcer, der bruger SAML 2.0 og andre typer af forbund.

RSA SecurID Suite indeholder også RSA Identity Governance og Lifecycle -software (formelt Aveksa). Softwaren giver synlighed for, hvem der har adgang til hvad inden for en organisation og administrerer denne adgang med forskellige muligheder, såsom adgangskontrol, anmodning og levering.

RSA enVision er en platform til sikkerhedsinformation og begivenhedsstyring ( SIEM ) med centraliseret logstyringstjeneste, der hævder at "gøre organisationer i stand til at forenkle overholdelsesprocessen samt optimere sikkerhedshændelsesstyring, når de opstår." Den 4. april 2011 købte EMC NetWitness og tilføjede det til RSA -gruppen af ​​produkter. NetWitness var et pakkeopsamlingsværktøj, der havde til formål at opnå fuld netværkssynlighed for at opdage sikkerhedshændelser. Dette værktøj blev genmærket RSA Security Analytics og var en kombination af RSA enVIsion og NetWitness som et SIEM-værktøj, der foretog log- og pakkeopsamling.

RSA Archer GRC-platformen er software, der understøtter forvaltning, risikostyring og compliance (GRC) på virksomhedsniveau. Produktet blev oprindeligt udviklet af Archer Technologies, som EMC erhvervede i 2010.

Se også

Referencer