前记:几天看到Dell出售RSA的新闻,与去年赛门被博通收购时不同,这个新闻在笔者心理没有起太多波澜,4年前Dell并购EMC的时候,或许已经注定了现在的这个结果,只是在寻找一个合适的时间窗口。但还是决定记录一下,一方面是因为笔者自去年下半年的工作调整之后一直忙于琐事,许久没有更新公众号了,另一方面RSA也是在笔者心理有深深烙印的公司,值得记录。
为了完整表达,先科普一下,作为铺垫,熟悉的可以掠过这一段。很多不是信息安全领域的人,听到RSA这个名字,总有一种混乱感,这是一个加密算法,还是一家公司,抑或是一个会议?1977年,Rivest,Shamir,Adleman设计的非对称加密算法,开启了现代密码的一个新的时代,这个新的算法就以他们三位的首字母命名为RSA。1982年,三人成立了RSA数据安全公司,1991年,RSA举办了第一届RSA会议,当时还是一个小范围的密码研究者的会议,然后RSAC逐渐演变成现在全球最大的网络安全从业者的面基大会。
RSA公司的故事,除了3位密码学家,也离不开希腊人Jim Bidzos,他1986年加入的RSA担任CEO,据说当时RSA除了有算法之外,是一家三无公司(没有产品,没有客户,没有收入)。Jim Bidzos与其它公司合作开发加密工具套件,并将加密套件卖了摩托罗拉,Novell等客户,RSA作为一家商业公司逐渐走上了正轨。1989年,当时新兴的互联网采用了RSA,1991年,Jim Bidzos发起了RSA会议,并担任会议主席。在1995年时,Jim Bidzos创立了Verisign,这一家现在SSL证书领域的绝对龙头,Verisign在2010年以12.8亿美元卖给了赛门铁克。
在90年代中期的加密战争中,RSA是对抗NSA(美国国家局)密码管制的旗手,1993年NSA开发了内置后门的加密芯片Clipper Chip,1994年RSA源代码在在互联网的匿名公布,这一年据说是第一张SSL数字证书也是RSA颁发的。1996年Clipper Chip基本失败。1997年RSA还发起了第一届DES算法挑战,几年后DES加密算法基本结束了它的历史使命。之后,RSA数据安全变成了现在的RSA安全。
RSA以密码算法起家,密码套件是其初期很重要的产品,但后期主要的盈利和拳头产品就是著名的SecureID身份认证令牌。现在的RSA公司的标签是网络安全和数字风险管理,但身份产品还是其最有竞争力的支撑。
2000年代的RSA进入了另一个阶段,比较有争议的就是在2004年秘密与NSA签订了一个1000万美元(RSA2003年营收也就3000万美元左右)的合同,在其广泛使用的加密套件BSAFE中使用NAS设计的Dual EC DRBG随机数生成器,这个随机数后门一直在被使用,直到2013年斯诺登事件曝光后。
在90年到在2000年代的10年中,RSA也收购不少小公司,主要集中在智能卡,生物识别和身份管理领域,在2006年,RSA被EMC以21亿美元收购,2016年后来EMC被Dell收购,2020年,DELL计划以20亿美元左右出售RSA,据说在Dell意向出售RSA的过程,买方甚至一度将价格为定位到了10亿美元左右,RSA后来的自己的收购也不太成功,例如,在笔者熟悉的DLP领域,DLP厂商Tablus在2007年被年RSA收购后,逐渐销声匿迹。
从市值的角度看,RSA最近10余年的发展并不太理想。这其实是不少公司发展到一定规模后的通病,现在的RSA据说有3000名左右的员工,但技术创新和运营管理的步伐已经缓慢了下来。其竞争对手,现在红的发紫的身份认证厂商OKTA,市值已超过160亿美元。RSA的再次独立或许是一个获得更大竞争力的契机。
后记:RSA是一家成熟而伟大的公司,在开始写的时候,原计划写写RSA产品与OKTA,OneLogin等的比较,但写着写着觉得RSA的这个阶段,其关键和核心已经不是技术和产品,而是企业运营管理的定位、方向和思路,产品细节和界面在这个时候就没有心思再展开说了。
