RSA -säkerhet - RSA Security

RSA Security LLC

Handelsnamn	RSA
Typ	Självständig
Industri	Nätverkssäkerhet och autentisering
Grundad	1982
Grundare
Huvudkontor	Bedford , Massachusetts , Förenta staterna
Nyckelpersoner
Produkter	RSA Access Manager, RSA Adaptive Authentication, RSA Adaptive Authentication for eCommerce, RSA Archer Suite, RSA Authentication Manager, RSA Cybercrime Intelligence, RSA Data Loss Prevention, RSA Digital Certificate Solutions, RSA Federated Identity Manager, RSA FraudAction Services, RSA Identity Governance and Lifecycle , RSA NetWitness Endpoint, RSA NetWitness Investigator, RSA NetWitness Orchestrator, RSA NetWitness Platform, RSA NetWitness UEBA, RSA SecurID Access, RSA Web Threat Detection
Antal anställda	2700+
Förälder	Symphony Technology Group
Hemsida	www .rsa .com

RSA Security LLC , tidigare RSA Security, Inc. och gör affärer som RSA , är ett amerikanskt dator- och nätverkssäkerhetsföretag med fokus på krypterings- och krypteringsstandarder. RSA är uppkallad efter initialerna för dess grundare, Ron Rivest , Adi Shamir och Leonard Adleman , efter vilken RSA kryptering med öppen nyckel algoritm namngavs också. Bland dess produkter finns SecurID -autentiseringstoken . De BSAFE kryptografi biblioteken också ursprungligen ägs av RSA. RSA är känt för att införliva bakdörrar som utvecklats av NSA i sina produkter. Det organiserar också den årliga RSA -konferensen , en informationssäkerhetskonferens.

RSA Security grundades som ett oberoende företag 1982 och förvärvades av EMC Corporation 2006 för 2,1 miljarder dollar och fungerade som en division inom EMC. När EMC förvärvades av Dell Technologies 2016 blev RSA en del av Dell Technologies -varumärkesfamiljen. Den 10 mars 2020 meddelade Dell Technologies att de kommer att sälja RSA Security till ett konsortium, ledd av Symphony Technology Group (STG) , Ontario Teachers 'Pension Plan Board (Ontario Teachers') och AlpInvest Partners (AlpInvest) för 2,1 miljarder dollar, samma pris när det köptes av EMC 2006.

RSA är baserat i Bedford, Massachusetts , med regionalt huvudkontor i Bracknell (Storbritannien) och Singapore , och många internationella kontor.

Historia

RSA: s huvudkontor i Bedford, Massachusetts

Ron Rivest , Adi Shamir och Leonard Adleman , som utvecklade RSA -krypteringsalgoritmen 1977, grundade RSA Data Security 1982.

• 1994 var RSA emot Clipper Chip under kryptokriget .
• 1995 skickade RSA en handfull människor över hallen för att grunda Digital Certificates International, mer känt som VeriSign .
• Företaget kallade sedan Security Dynamics förvärvade RSA Data Security i juli 1996 och DynaSoft AB 1997.
• I januari 1997 föreslog den den första av DES -utmaningarna som ledde till den första offentliga brytningen av ett meddelande baserat på datakrypteringsstandarden .
• I februari 2001 förvärvade det Xcert International, Inc. , ett privatägt företag som utvecklade och levererade digitala certifikatbaserade produkter för att säkra e-affärer.
• I maj 2001 förvärvade 3-G International, Inc. , ett privatägt företag som utvecklade och levererade smartkort och biometriska autentiseringsprodukter .
• I augusti 2001 förvärvade Securant Technologies, Inc. , ett privatägt företag som producerade ClearTrust, en produkt för identitetshantering .
• I december 2005 förvärvade det Cyota, ett privatägt israeliskt företag som specialiserat sig på onlinesäkerhet och bedrägeribekämpning för finansinstitut.
• I april 2006 förvärvade det PassMark Security .
• Den 14 september 2006 godkände RSA -aktieägare förvärvet av företaget av EMC Corporation för 2,1 miljarder dollar.
• Under 2007 förvärvade RSA Valyd Software, en Hyderabad baserade indiska företag som specialiserat sig på fil och datasäkerhet.
• 2009 lanserade RSA RSA Share Project. Som en del av detta projekt har några av RSA BSAFE -biblioteken gjorts tillgängliga gratis. För att marknadsföra lanseringen genomförde RSA en programmeringstävling med ett förstapris på 10 000 dollar.
• Under 2011 introducerade RSA en ny CyberCrime Intelligence Service för att hjälpa organisationer att identifiera datorer, informationstillgångar och identiteter som äventyras av trojaner och andra attacker online.
• I juli 2013 förvärvade RSA Aveksa, ledande inom sektorn för identitets- och åtkomststyrning
• Den 7 september 2016 förvärvades RSA av och blev ett dotterbolag till Dell EMC Infrastructure Solutions Group genom förvärvet av EMC Corporation av Dell Technologies i ett kontant- och aktieavtal som leddes av Michael Dell .
• Den 18 februari 2020 meddelade Dell Technologies sin avsikt att sälja RSA för 2,075 miljarder dollar till Symphony Technology Group .
• I väntan på försäljningen av RSA till Symphony Technology Group tog Dell Technologies det strategiska beslutet att behålla BSAFE -produktlinjen. För detta ändamål överförde RSA BSAFE -produkter (inklusive Data Protection Manager -produkten) och kundavtal, inklusive underhåll och support, till Dell Technologies den 1 juli 2020.
• Den 1 september 2020 slutförde Symphony Technology Group (STG) förvärvet av RSA från Dell Technologies . RSA blev ett oberoende företag, en av världens största cybersäkerhets- och riskhanteringsorganisationer.

Kontrovers

SecurID säkerhetsöverträdelse

RSA SecurID säkerhetstoken .

Den 17 mars 2011 avslöjade RSA en attack mot sina tvåfaktorsautentiseringsprodukter . Attacken liknade Sykipot -attackerna, hacket SK Communications i juli 2011 och attackerna i NightDragon. RSA kallade det ett avancerat ihållande hot . Idag används SecurID mer vanligt som en programvarutoken snarare än äldre fysiska tokens.

Förhållande till NSA

RSA Security kampanjerade mot Clipper Chip-bakdörren i de så kallade Crypto Wars , inklusive användningen av denna ikoniska affisch i debatten.

RSA: s förhållande till NSA har förändrats genom åren. Reuters Joseph Menn och cybersäkerhetsanalytiker Jeffrey Carr har noterat att de två en gång hade ett kontradiktoriskt förhållande. Under de första åren var RSA och dess ledare framstående förespråkare för stark kryptografi för allmänt bruk, medan NSA och Bush- och Clintons administrationer försökte förhindra dess spridning.

I nästan 10 år har jag gått tå till tå med dessa människor på Fort Meade . Detta företags [RSA] framgång är det värsta som kan hända dem. För dem är vi den verkliga fienden, vi är det riktiga målet. Vi har det system som de är mest rädda för. Om USA antog RSA som standard skulle du ha en verkligt internationell, driftskompatibel, okrossbar, lättanvänd krypteringsteknik. Och alla dessa saker tillsammans är så synergistiskt hotande för NSA: s intressen att det driver dem till vansinne.

-  RSA -president James Bidzos, juni 1994

I mitten av 1990-talet ledde RSA och Bidzos en "hård" offentlig kampanj mot Clipper Chip , ett krypteringschip med en bakdörr som skulle göra det möjligt för den amerikanska regeringen att dekryptera kommunikation. Clinton -administrationen pressade telekommunikationsföretag att använda chippet i sina enheter och släppte på exportrestriktioner för produkter som använde det. (Sådana restriktioner hade hindrat RSA Security från att sälja sin programvara utomlands.) RSA gick med i civil libertarians och andra i att motsätta sig Clipper Chip genom att bland annat dela ut affischer med ett grundande segelfartyg och orden "Sink Clipper!" RSA Security skapade också DES-utmaningarna för att visa att den ofta använda DES-krypteringen var brytbar av välfinansierade enheter som NSA.

Förhållandet skiftade från kontradiktoriskt till kooperativt efter att Bidzos avgick som VD 1999, enligt Victor Chan, som ledde RSA: s avdelningsteknik fram till 2005: "När jag gick med var det 10 personer i laboratorierna, och vi kämpade mot NSA. Det blev ett helt annat företag senare. " Till exempel rapporterades att RSA hade accepterat 10 miljoner dollar från NSA 2004 i en överenskommelse om att använda den NSA-designade Dual EC DRBG- slumptalsgeneratorn i deras BSAFE-bibliotek, trots många indikationer på att Dual_EC_DRBG både var av dålig kvalitet och möjligen bakdörr. RSA Security släppte senare ett uttalande om den kleptografiska bakdörren Dual_EC_DRBG :

Vi tog beslutet att använda Dual EC DRBG som standard i BSAFE-verktygssatser 2004, i samband med ett branschövergripande försök att utveckla nyare, starkare krypteringsmetoder. Vid den tiden hade NSA en pålitlig roll i det samhällsomfattande arbetet med att stärka, inte försvaga, kryptering. Denna algoritm är bara ett av flera alternativ som finns tillgängliga inom BSAFE -verktygssatser, och användarna har alltid varit fria att välja det som passar bäst för deras behov. Vi fortsatte att använda algoritmen som ett alternativ inom BSAFE -verktygssatser eftersom den fick acceptans som en NIST -standard och på grund av dess värde i FIPS -efterlevnad. När oro uppstod kring algoritmen 2007 fortsatte vi att förlita oss på NIST som domare för den diskussionen. När NIST utfärdade nya riktlinjer som rekommenderar ingen vidare användning av denna algoritm i september 2013, följde vi den vägledningen, meddelade rekommendationen till kunderna och diskuterade förändringen öppet i media.

-  RSA, säkerhetsavdelningen för EMC

I mars 2014 rapporterades det av Reuters att RSA också hade anpassat den utökade slumpmässiga standarden som NSA förespråkar. Senare visade kryptanalys att utökad slumpmässig inte tillförde någon säkerhet och avvisades av den framstående standardgruppen Internet Engineering Task Force . Utökad slumpmässig gjorde dock NSA: s bakdörr för Dual_EC_DRBG tiotusentals gånger snabbare att använda för angripare med nyckeln till Dual_EC_DRBG -bakdörren (förmodligen bara NSA), eftersom de utökade noncesna i utökad slumpmässig gjorde en del av det interna tillståndet för Dual_EC_DRBG lättare att gissa . Endast RSA Securitys Java -version var svår att knäcka utan utökad slumpmässig, eftersom cachingen av Dual_EC_DRBG -utdata i t.ex. RSA Securitys C -programmeringsspråkversion redan gjorde det interna tillståndet tillräckligt snabbt för att avgöra. Och faktiskt implementerade RSA Security bara utökad slumpmässig i sin Java -implementering av Dual_EC_DRBG.

NSA Dual_EC_DRBG bakdörr

Från 2004 till 2013 levererade RSA säkerhetsprogramvara - BSAFE -verktygslåda och Data Protection Manager - som inkluderade en standard kryptografiskt säker pseudoslumpgenerator , Dual EC DRBG , som senare misstänktes innehålla en hemlig kleptografisk bakdörr från National Security Agency . Bakdörren kunde ha gjort data krypterad med dessa verktyg mycket lättare att bryta för NSA, som skulle ha haft den hemliga privata nyckeln till bakdörren. Vetenskapligt sett använder bakdörren kleptografi och är i huvudsak ett exempel på den Diffie Hellman kleptografiska attacken som publicerades 1997 av Adam Young och Moti Yung .

RSA Security -anställda borde åtminstone ha varit medvetna om att Dual_EC_DRBG kan innehålla en bakdörr. Tre anställda var medlemmar i ANSI X9F1 Tool Standards and Guidelines Group, till vilken Dual_EC_DRBG hade lämnats in för behandling i början av 2000 -talet. Möjligheten att slumptalsgeneratorn kan innehålla en bakdörr "togs först upp i ett ANSI X9-möte", enligt John Kelsey, medförfattare till standarden NIST SP 800-90A som innehåller Dual_EC_DRBG. I januari 2005 skrev två anställda på kryptografiföretaget Certicom - som också var medlemmar i X9F1 -gruppen - en patentansökan som beskrev en bakdörr för Dual_EC_DRBG identisk med NSA. Patentansökan beskrev också tre sätt att neutralisera bakdörren. Två av dessa - som säkerställer att två godtyckliga elliptiska kurvpunkterna P och Q som används i Dual_EC_DRBG väljs oberoende av varandra och en mindre utgångslängd - lades till som standard, även om NSA: s bakdörrade version av P och Q och stor utgångslängd förblev som standardens standardalternativ. Kelsey sa att han inte kände till några implementatörer som faktiskt skapade sina egna icke-bakdörrade P och Q, och det har inte rapporterats om implementeringar med det mindre uttaget.

Icke desto mindre inkluderade NIST Dual_EC_DRBG i sin 2006 NIST SP 800-90A- standard med standardinställningarna som möjliggör bakdörren, till stor del på uppdrag av NSA-tjänstemän, som hade anfört RSA Securitys tidiga användning av slumptalsgeneratorn som ett argument för att det ska inkluderas. Standarden fixade inte heller det orelaterade (till bakdörren) problemet som CSPRNG var förutsägbart, vilket Gjøsteen hade påpekat tidigare 2006, och som fick Gjøsteen att kalla Dual_EC_DRBG inte kryptografiskt sunt.

ANSI -gruppmedlemmar och Microsoft -anställda Dan Shumow och Niels Ferguson höll en offentlig presentation om bakdörren 2007. I en kommentar till Shumow och Fergusons presentation kallade framstående säkerhetsforskare och kryptograf Bruce Schneier den möjliga NSA -bakdörren "ganska uppenbar" och undrade varför NSA brydde sig om att trycka på att få Dual_EC_DRBG inkluderat, när den allmänna dåliga kvaliteten och eventuella bakdörren skulle säkerställa att ingen någonsin skulle använda den. Det verkar inte ha funnits någon allmän medvetenhet om att RSA Security hade gjort det till standard i några av sina produkter 2004, fram till Snowden -läckan.

I september 2013 avslöjade New York Times , baserat på Snowdenläckorna , att NSA arbetade med att "Infoga sårbarheter i kommersiella krypteringssystem, IT -system, nätverk och slutpunktskommunikationsenheter som används av mål" som en del av Bullrun -programmet. En av dessa sårbarheter, rapporterade Times , var Dual_EC_DRBG bakdörr. Med det förnyade fokuset på Dual_EC_DRBG noterades det att RSA Securitys BSAFE använde Dual_EC_DRBG som standard, vilket inte tidigare varit allmänt känt.

Efter att New York Times publicerat sin artikel rekommenderade RSA Security att användare byter bort från Dual_EC_DRBG, men förnekade att de medvetet hade satt in en bakdörr. RSA -säkerhetstjänstemän har till stor del avböjt att förklara varför de inte tog bort den tvivelaktiga slumptalsgeneratorn när bristerna blev kända, eller varför de inte genomförde den enkla begränsning som NIST lade till standarden för att neutralisera den föreslagna och senare verifierade bakdörren.

Den 20 december 2013 rapporterade Reuters Joseph Menn att NSA i hemlighet betalade RSA Security 10 miljoner dollar 2004 för att ställa in Dual_EC_DRBG som standard CSPRNG i BSAFE. Historien citerade tidigare RSA Security -anställda som sa att "inga larm larmades för att affären hanterades av företagsledare snarare än rena teknologer". Intervjuad av CNET, kallade Schneier affären på 10 miljoner dollar för mutor. RSA -tjänstemän svarade att de inte har "ingått något kontrakt eller engagerat sig i något projekt i avsikt att försvaga RSA: s produkter". Menn stod vid hans berättelse och medieanalys konstaterade att RSA: s svar var ett förnekande som inte förnekade, vilket endast förnekade att företagstjänstemän visste om bakdörren när de gick med på affären, ett påstående som Menn berättelse inte gjorde.

I kölvattnet av rapporterna avbröt flera branschexperter sina planerade samtal vid RSA: s RSA -konferens 2014 . Bland dem fanns Mikko Hyppönen , en finsk forskare med F-Secure , som citerade RSA: s förnekande av NSA: s påstådda betalning på 10 miljoner dollar som misstänkt. Hyppönen tillkännagav sin avsikt att hålla sitt föredrag, "Governments as Malware Authors", vid en konferens som snabbt inrättades som reaktion på rapporterna: TrustyCon, som hålls samma dag och ett kvarter från RSA -konferensen.

Vid RSA -konferensen 2014 försvarade före detta RSA Security Executive Ordförande Art Coviello RSA Securitys val att fortsätta använda Dual_EC_DRBG genom att säga "det blev möjligt att bekymmer som väcktes 2007 kan ha förtjänst" först efter att NIST erkänt problemen 2013.

Produkter

RSA är mest känt för sin SecurID-produkt, som tillhandahåller tvåfaktorsautentisering till hundratals tekniker som använder hårdvarutoken som roterar nycklar med tidsintervaller, programvarutoken och en tidskod. Under 2016 ommärkte RSA SecurID-plattformen som RSA SecurID Access. Den här versionen lade till Single-Sign-On-funktioner och molnautentisering för resurser som använder SAML 2.0 och andra typer av federation.

RSA SecurID Suite innehåller också programvaran RSA Identity Governance and Lifecycle (formellt Aveksa). Programvaran ger synlighet för vem som har tillgång till vad inom en organisation och hanterar den åtkomsten med olika funktioner som åtkomstgranskning, begäran och tillhandahållande.

RSA enVision är en plattform för säkerhetsinformation och händelsehantering ( SIEM ) med centraliserad logghanteringstjänst som hävdar att "göra det möjligt för organisationer att förenkla efterlevnadsprocessen samt optimera säkerhetshändelsehantering när de inträffar." Den 4 april 2011 köpte EMC NetWitness och lade det till RSA -produktgruppen. NetWitness var ett paketinsamlingsverktyg som syftar till att få full nätverkssynlighet för att upptäcka säkerhetsincidenter. Det här verktyget ommärktes RSA Security Analytics och var en kombination av RSA enVIsion och NetWitness som ett SIEM-verktyg som gjorde loggning och paketinsamling.

RSA Archer GRC-plattformen är mjukvara som stöder hantering på företagsnivå av styrning, riskhantering och efterlevnad (GRC). Produkten utvecklades ursprungligen av Archer Technologies, som EMC förvärvade 2010.

Se även

• Hårdvarutoken
• RSA Factoring Challenge
• RSA Secret-Key Challenge
• BSAFE
• RSA SecurID
• Programvarutoken

Referenser