米EMCのRSA事業本部は2013年9月19日(米国時間)、自社の暗号ツールである「RSA BSAFE」や「RSA Data Protection Manager」の顧客に対して、乱数生成アルゴリズムの技術標準「Dual_EC_DRBG」を使わないよう呼びかけていることを明らかにした。「Dual_EC_DRBG」には、NSA(米国家安全保障局)が暗号解読に使うバックドア(裏口)が存在する恐れがあり、米NIST(国立標準技術研究所)が同アルゴリズムを使わないよう勧告している。
RSA BSAFEは、セキュリティアプリケーションを開発するためのツールキットであり、「多数の商用アプリケーションにBSAFEソフトウェアが組み込まれ、市場で活用されています」(RSAのWebサイトより)という。またRSA Data Protection Managerは、データの暗号化を行うためのツールである。いずれの製品でも、デフォルトの乱数生成アルゴリズムとして、「Dual_EC_DRBG」が使われているため、RSAは別のアルゴリズムを使用するように推奨している。
今回問題になったRSA BSAFEは、前述の通りセキュリティアプリケーションを開発するためのツールである。そのため、同ツールを使って開発した多数のアプリケーションにおいて、「Dual_EC_DRBG」が使用されている恐れがある。つまりは、ユーザーが使用する多数のアプリケーションにおいて、NSAが情報収集に使用するためのバックドアが設けられている恐れがある。他のソフトウエアベンダーにも、大きな影響を与えそうだ。
英ガーディアン紙や米ニューヨーク・タイムズ紙は9月5日(同)に、エドワード・スノーデン氏がガーディアンに提供した秘密文書を元に、「米英政府はインターネットの暗号化通信を解読可能と報じている(関連記事)。スノーデン氏が提供した秘密文書によれば、NSAは米国内外のITベンダーに働きかけたり、公開鍵暗号などの標準化に影響力を行使するなどして、「HTTPS」や「SSL」などの暗号化通信に使う商用ソフトウエアやネットワーク機器などに、NSAが情報を収集するのに使用する脆弱性、つまりバックドアを設けているという。米国家情報長官室はこれらの報道に対して、「NSAが暗号通信の解読に取り組んでいることは秘密でもニュースでもない」などとする声明を発表している(関連記事)。
これらの報道を受けて、暗号技術の標準化を担当するNISTは2013年9月、データの暗号化を行う際の乱数生成に使用するアルゴリズムの技術標準「Dual_EC_DRBG」(規格番号は「SP 800-90A」)を使わないよう推奨する勧告を出している(関連情報)。Dual_EC_DRBGは2007年に乱数生成の技術標準になった当時から、セキュリティ専門家であるブルース・シュナイアー氏によって、バックドアの埋め込みに利用される恐れがあると指摘されていた。NISTはガーディアン紙などの報道を受け、暗号技術の専門家としてNSAの職員が暗号技術の標準化に加わっていることを認めた上で、SP 800-90Aの見直しなどを行うと発表している。