RSA: overheden moeten stoppen met gebruik digitale wapens

Overheden moeten stoppen met het gebruik van digitale technologieën als wapens. Daarvoor pleit Art Coviello, de bestuursvoorzitter van beveiligingsbedrijf RSA. Dat bedrijf werd er juist van beschuldigd voor de NSA een backdoor te hebben ingebouwd.

"We roepen alle landen op om een aantal principes te omarmen", zo zei Coviello op een conferentie in San Francisco die RSA zelf organiseert. "Ten eerste willen we dat de overheid stopt met het gebruik van digitale wapens en het inzetten en het voeren van oorlog." Gebeurt er niets, dan lopen we risico op een 'vernietiging van het internet als vertrouwde omgeving om zaken te doen', zo zei de topman. Coviello doelt waarschijnlijk onder meer op het gebruik van virussen door de Amerikaanse overheid om nucleaire installaties in Iran aan te vallen, maar ook op Chinese aanvallen op Amerikaanse doelwitten.

"In tegenstelling tot nucleaire wapens kunnen digitale wapens makkelijk worden ingezet om juist de ontwikkelaar ervan aan te vallen", aldus Coviello. "We moeten dezelfde houding hebben tegen cyberwapens als tegen nucleaire en chemische wapens."

Ook is het volgens Coviello belangrijk dat internetcriminelen worden aangepakt, dat economische activiteiten op internet geen hindernis ondervinden en dat intellectueel eigendom wordt gerespecteerd. "De wet moet ook op internet gelden", zei Coviello. Ook moet de privacy van alle internetgebruikers volgens de RSA-topman worden gerespecteerd.

RSA werd er zelf juist van beschuldigd dat het heeft samengewerkt met de NSA. Het bedrijf zou een random number generator die de NSA had ontwikkeld tegen betaling als standaard hebben ingesteld in producten, terwijl de NSA in dat algoritme een backdoor zou hebben ingebouwd. Random number generators zijn belangrijk voor de correcte werking van encryptie-algoritmes. RSA ontkent dat het 'een contract heeft gesloten met als doel om RSA-producten kwetsbaar te maken of potentiële backdoors te introduceren die door iedereen gebruiken te zijn."

"Twintig jaar geleden stonden we juist aan de andere kant en voerden we de strijd aan", zegt Coviello, waarmee hij doelt op de strijd die de Amerikaanse overheid in de jaren negentig voerde tegen encryptie. Zo werd overwogen om in hardware een chip in te bouwen die de NSA versleuteling ongedaan zou laten maken. Ook voerde de overheid een strijd tegen de encryptiesoftware PGP, die niet van RSA is.

Coviello benadrukt dat de betwiste random number generator door het Amerikaanse NIST tot standaard is verheven. Desondanks was al jaren bekend dat het algoritme om de tuin is te leiden als een gebruiker een specifieke set cijfers kent, en bleef het algoritme als standaard ingesteld. Er werd al langere tijd vermoed dat het om een backdoor ging. Coviello ging daar niet op in.

"Het instellen van het algoritme als standaard, zorgde ervoor dat we gecertificeerd konden worden om te leveren aan de overheid", zegt Coviello. Volgens hem was dat een aanzienlijk deel van de afzetmarkt van RSA. "We werken al jaren samen met de NSA, en dat is openbare informatie", stelt Coviello. "Wat mensen soms vergeten is dat de NSA geen monolithische organisatie is die alleen maar aan het winnen van inlichtingen doet, maar ook een defensieve tak heeft."

De meeste beveiligingsbedrijven werken samen met die tak, waar veel kennis zit, stelt Coviello. "Het zou een goed idee zijn als de defensieve tak in een aparte organisatie wordt ondergebracht. Wanneer de NSA de lijn tussen zijn defensieve taken en het winnen van intelligentie laat vervagen, en daardoor zijn vertrouwenspositie in de beveiligingswereld misbruikt, is dat een probleem", zegt hij. "Zolang niet duidelijk is of wordt samengewerkt met de defensietak van de NSA of met de inlichtingentak, moet RSA er helemaal niet mee samenwerken."

Eerder zei beveiligingsonderzoeker Mikko Hyppönen van F-Secure tegenover Tweakers dat RSA 'het vertrouwen van zijn klanten heeft beschaamd'. "Dat is het ergste wat je als beveiligingsbedrijf kunt doen", aldus Hyppönen. De Finse beveiligingsonderzoeker boycot daarom de conferentie van RSA, waar hij een toespraak zou houden. In plaats daarvan spreekt hij op de alternatieve beveiligingsconferentie TrustyCon, die vlak bij de conferentie van RSA plaatsvindt.

Eugene Kaspersky, de directeur van beveiligingsbedrijf Kaspersky, zei vorig jaar op de RSA Conference dat het gebruik van digitale wapens onverstandig is. Wie digitale wapens inzet, riskeert namelijk het boemerangeffect, stelde hij. "Zijn cyberwapens schoner, meer menselijk? Ze zorgen misschien niet direct voor doden. Maar als je digitale wapens inzet, maak je je tegenstander wijzer."