Читаем Кибервойн@ полностью

В заявлении, сделанном после публикации доклада Reuters, компания RSA отрицала, что она пошла на тайную сделку с АНБ, и утверждала, что «мы никогда не вступали ни в какие договорные отношения и совместные проекты с намерением ослабления защиты продуктов RSA или внедрения потенциальных бэкдоров в наши продукты для их последующего использования кем бы то ни было». Но она не отрицала, что бэкдор существовал или мог существовать. Действительно, RSA утверждала, что несколькими годами ранее, когда было принято решение об использовании этого уязвимого генератора случайных чисел, «АНБ пользовалось доверием общества и прилагало усилия по повышению безопасности шифрования, а не его ослаблению». Но теперь это уже было не так. Когда опубликованные Сноуденом документы подтвердили подозрения о результатах работы АНБ, компания RSA призвала отказаться от использования этого генератора случайных чисел, так же поступил и NIST.

После сделанных Сноуденом разоблачений Комитет по стандартизации обнародовал собственное заявление. Представителям комитета пришлось очень тщательно подбирать слова. «NIST не будет преднамеренно ослаблять криптографические стандарты, – говорилось в публичном заявлении организации, которое совершенно явно оставляло допустимой вероятность того, что АНБ тайно внедрило уязвимость или сделало это против воли NIST. – NIST имеет богатую историю всестороннего сотрудничества с экспертами по криптографии мирового уровня ради поддержки надежных стандартов шифрования. [АНБ] участвовало в криптографических разработках института, поскольку в агентстве работают признанные эксперты в этой области. Кроме того, устав института требует проведения консультаций с АНБ».

Фактически Комитет по стандартизации говорил миру, что у него не было никаких возможностей воспрепятствовать АНБ. Даже если бы в комитете хотели отстранить АНБ от разработки стандартов, этого нельзя было сделать по закону. Высокопоставленный представитель АНБ, по всей видимости, поддержал этот аргумент. В декабре 2013 г. Анна Ньюбергер, которая отвечала в АНБ за взаимодействие с технологическими компаниями, дала интервью национальному блогу по вопросам безопасности Lawfare. Анну спросили о сообщениях, согласно которым агентство тайно ухудшило алгоритм в процессе его разработки. Она не подтвердила, но и не опровергла эти обвинения. Ньюбергер назвала NIST «крайне уважаемым и близким партером по многим вопросам». Однако она отметила, что «институт не входит в число членов разведывательного сообщества».

«Вся их деятельность абсолютно чиста, – продолжала Ньюбергер, подразумевая, что в работе института не было никакого злого умысла, а ее целью была исключительно защита шифрования и содействие обеспечению безопасности. – Они отвечают только за стандартизацию и усовершенствование и укрепление стандартов настолько, насколько это возможно».

Похоже, что Ньюбергер собиралась «выдать NIST индульгенцию», избавляющую институт от всякой ответственности за внедрение уязвимости.

Случай, связанный с проведенной в 2006 г. работой по снижению безопасности генератора случайных чисел, не был единичным. Это было частью масштабной, длительной кампании по ослаблению безопасности основных стандартов защиты информации, которыми частные лица и организации пользуются во всем мире. Судя по документам, АНБ и NIST сотрудничали еще в начале 1990-х гг. Задачей АНБ было ослабление стандартов шифрования еще до их официального утверждения и внедрения. АНБ контролировало процесс разработки стандарта DSS (цифровой подписи) – метода установления подлинности отправителя электронного сообщения и проверки достоверности содержащейся в сообщении информации. «NIST открыто предложил [стандарт] в августе 1991 г. и сначала не упоминал о каком-либо участии АНБ в его разработке. Этот стандарт предназначался для использования в несекретных гражданских системах», – рассказывают в Информационном центре защиты электронных персональных данных, который получил документы о разработке стандарта DSS с помощью Закона о свободе информации. После того как группа экспертов в области компьютерной безопасности подала судебный иск, NIST признал, что АНБ разработало стандарт, который «был подвергнут широкой критике представителями компьютерной индустрии за его низкую надежность и неполноценность по сравнению с существующими технологиями проверки подлинности». «Многие наблюдатели допускали, что [существующая] методика не получила одобрения АНБ, поскольку фактически она была более безопасной, чем алгоритм, предложенный агентством».

C точки зрения АНБ его усилия, направленные на дискредитацию шифрования, совершенно естественны. В конце концов, взлом шифров – основной вид деятельность агентства. Именно этой работой оно уполномочено заниматься, и именно этой работы от него ожидают. Если агентство внедрило лазейки в алгоритмы шифрования, о которых знало только оно, то какой от этого вред?