Представители RSA выступили с опровержениями последних новостей от Эдварда Сноудена, согласно которым компания приняла от Агентства национальной безопасности (АНБ) США плату в размере $10 миллионов за размещение уязвимых алгоритмов Dual EC DRBG в своих криптографических продуктах. Как сообщалось ранее, в очередных документах Эдвардена Сноудена была раскрыта информация о получении финансовых средств компанией RSA за создание специального алгоритма шифрования данных, предусматривающего возможность расшифровки данных агентами спецслужб. Согласно же с версией самих разработчиков, подробно описанной в блоге компании, обвинять в наличии бреши в Dual EC DRBG стоит АНБ, а не RSA. "Мы категорически отрицаем утверждение о том, что мы преднамеренно скрывали наличие бреши в указанном стандарте шифрования и ниже представляем четыре причины, по которым он попал в перечень четырех рекомендуемых нами генераторов случайных чисел: "RSA, как поставщик решений информационной безопасности, никогда не раскрывает конфиденциальные данные своих клиентов", – заключили в RSA, подчеркнув, что компания никогда не заключала каких-либо сделок, целью которых было ослабление надежности продуктов разработчика либо внедрение в них бэкдора. Решение об использовании Dual EC DRBG в наборе инструментов BSAFE было принято в 2004 году в целях повышения наших стандартов безопасности, чему способствовали аналогичные инициативы, проявляемые всей отраслью. В тот момент АНБ имело репутацию одного из основных двигателей по усилению, а не ослаблению стандартов шифрования.
Этот алгоритм является лишь частью ассортимента генераторов случайных чисел, пригодных для работы с BSAFE. Пользователи всегда могли выбрать любой из устраивающих их вариантов.
Мы продолжали использовать алгоритм как часть инструментария BSAFE, поскольку стандарт был одобрен экспертами NIST, а также из-за высокого уровня соответствия этой технологии федеральным стандартам обработки информации США.
Когда в 2007 году исследователи безопасности начали выражать беспокойство относительно этого алгоритма, мы продолжали полагаться на NIST, как на арбитра этих дискуссий.
Когда в сентябре 2013 года в NIST объявили, что не рекомендуют пользователям продолжать использование этого алгоритма, мы поступили аналогичным образом и обсудили внесенные изменения открыто и через СМИ".