O zaufaniu w branży zabezpieczeń mówi się od chwili opublikowania tajnych dokumentów NSA przez Edwarda Snowdena. Wiarygodność w dzisiejszym świecie to również temat nowej konferencji TrustyCon, która odbędzie się 27-ego lutego w San Francisco. W tym samym mieście, w którym ma miejsce coroczna Konferencja RSA skierowana do specjalistów ds. bezpieczeństwa. Bilety na organizowaną przez iSec Partners, Defcon i organizację pozarządową Electronic Frontier Foundation (EFF) konferencję TrustyCon rozeszły się w zaledwie kilka dni po jej ogłoszeniu. Wydarzenie sponsoruje Microsoft i Cloudflare, ale prawdopodobnie dołączą do nich również inne firmy. Wpływy z biletów są przekazywane na konto fundacji EFF.

Póki co, opublikowany na stronie internetowej NIST dokument wskazuje, że już w zeszłym roku informatycy instytutu rozpoczęli weryfikację algorytmu Dual EC DRBG, w który rzekomo miała ingerować NSA. Co więcej, również oni podejrzewają, że algorytm służył agencji jako „tylne drzwi” i zalecają jego usunięcie z listy standardów NIST.

RSA na cenzurowanym

Konferencja TrustyCon to również krytyka i konkurencja dla corocznej Konferencji RSA. Zgodnie z informacjami płynącymi z ostatniego raportu Reutersa, firma RSA przyjęła od NSA kwotę w wysokości 10 milionów dolarów za ustawienie algorytmu Dual EC DRBG jako domyślnego w zbiorze narzędzi kryptograficznych BSAFE. Reakcja firmy RSA na ogłoszone pod koniec grudnia informacje była co najmniej dziwna, cytując: „nie podpisaliśmy z NSA żadnego tajemniczego porozumienia, które miałoby na celu wdrożenie wadliwego generatora liczb losowych do bibliotek zabezpieczeń BSAFE. Kategorycznie zaprzeczamy takim doniesieniom.” Od tamtego momentu firma RSA na każdym kroku podkreśla, że świadomie nie skrzywdziłaby swoich klientów.

Niemniej jednak, RSA nie zaprzeczyła wyraźnie i chyba nie zaprzeczy głównemu zarzutowi, który mówi o podpisaniu przez RSA i NSA umowy dotyczącej wprowadzenia algorytmu Dual EC DRBG do BSAFE. W udzielonej 22 grudnia zeszłego roku wypowiedzi RSA stwierdza, że współpracowała z NSA „zarówno jako dostawca rozwiązań, jak i aktywny członek społeczności związanej z bezpieczeństwem IT. Nigdy jednak nie utrzymywała relacji z NSA w sekrecie, a otwarcie, publicznie o nich mówiła. Wyraźnym celem RSA zawsze było zwiększenie bezpieczeństwa komercyjnych i rządowych systemów teleinformatycznych”. Co więcej, RSA oświadczyła, że algorytm Dual EC DRBG został dodany do BSAFE w 2004 roku. „W tamtym czasie NSA, była obdarzona powszechnym zaufaniem i podejmowała działania mające na celu wzmocnienie, a nie osłabienie, zabezpieczeń.”

Kwestia współpracy z NSA i wiarygodności wykorzystywanych obecnie zabezpieczeń ma zostać poruszona również podczas najbliższej Konferencji RSA. Art Coviello, prezes i dyrektor generalny tej firmy, zazwyczaj prezentuje podczas konferencji nowe produkty lub strategie, ale wszystko wskazuje na to, że w tym roku będzie zmuszony przede wszystkim do wyjaśnienia zarzutów stawianych RSA, a dotyczących BSAFE, algorytmu Dual EC DRBG i współpracy z NSA.

Tym bardziej, że niektórzy przedstawiciele branży zabezpieczeń IT rezygnują z udziału w Konferencji RSA jako prelegenci. Na chwilę obecną swój sprzeciw wobec polityki tej firmy wyrazili w ten sposób: Mikko Hypponen (F-Secure), Chris Soghoian (American Civil Liberties Union), Adam Langley i Chris Palmer (Google), Marcia Hoffman (EFF), Alex Fowler (Mozilla) i Roel Schouwenberg (Kaspersky Lab).