據(jù)路透社報(bào)道,NSA曾與加密技術(shù)公司RSA達(dá)成了1000萬美元的協(xié)議���,要求在移動(dòng)終端廣泛使用的加密技術(shù)中放置后門����。
兩名知情人士稱,RSA收受了1000萬美元�,將NSA提供的方程式設(shè)定為BSafe安全軟件的優(yōu)先或默認(rèn)隨機(jī)數(shù)生成算法���。盡管這一金額看上去不多���,但這已經(jīng)相當(dāng)于RSA公司有關(guān)部門年收入的三分之一。
此舉將讓NSA通過隨機(jī)數(shù)生成算法Bsafe的后門程序輕易破解各種加密數(shù)據(jù)�。RSA否認(rèn)了相關(guān)的內(nèi)容,并聲稱自己的加密算法只使用了國(guó)家認(rèn)證的協(xié)議��。而NSA則拒絕發(fā)表評(píng)論���。
簡(jiǎn)而言之就是��,NSA首先利用NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)研究所)認(rèn)證了這種有明顯漏洞的算法為安全加密標(biāo)準(zhǔn)��,然后再讓RSA基于這種算法推出安全軟件Bsafe�����。而企業(yè)級(jí)用戶采購(gòu)安全軟件�,則看到的是一個(gè)世界級(jí)企業(yè)采用NIST認(rèn)證的加密標(biāo)準(zhǔn)開發(fā)的軟件。
影響巨大
RSA此次曝出的丑聞?dòng)绊懛浅>薮�����,作為信息安全行業(yè)的基礎(chǔ)性企業(yè)��,RSA的的加密算法如果被安置后門���,將影響到非常多的領(lǐng)域��。
據(jù)悉�����,RSA目前在全球擁有8000萬客戶�,客戶基礎(chǔ)遍及各行各業(yè)��,包括電子商貿(mào)�����、銀行、政府機(jī)構(gòu)��、電信����、宇航業(yè)、大學(xué)等���。 超過7000家企業(yè)����,逾800萬用戶(包括財(cái)富雜志排行前百家企業(yè)的80%)均使用RSA SecurID認(rèn)證產(chǎn)品保護(hù)企業(yè)資料�����,而超過500家公司在逾1000種應(yīng)用軟件安裝有RSA BSafe軟件��。
一位要求匿名的互聯(lián)網(wǎng)安全專家對(duì)新浪科技表示��,RSA是一種國(guó)際上通用的非對(duì)陣算法����,主要是提供雙因素認(rèn)證功能��。即把密碼拆分成兩部分����,一部分是用戶設(shè)置的固定密碼���,另外一部分來自每個(gè)用戶發(fā)放的可顯示數(shù)字的硬件。該硬件基于時(shí)間��、設(shè)備號(hào)和種子數(shù)計(jì)算出一個(gè)動(dòng)態(tài)密碼�����。固定密碼加動(dòng)態(tài)密碼才構(gòu)成整個(gè)認(rèn)證密碼��。
他介紹說����,目前在國(guó)內(nèi)RSA產(chǎn)品的應(yīng)用非常廣泛,絕大多數(shù)互聯(lián)網(wǎng)公司都在采用這套認(rèn)證工具�����。在國(guó)外���,不少軍工��、兵器類公司也都是RSA用戶����。美國(guó)國(guó)安局在RSA中設(shè)置后門意味著,密碼動(dòng)態(tài)密碼部分已經(jīng)被美國(guó)政府掌握�����。
曝光過程
RSA公司的行為令全世界震驚�����。該公司一直是隱私和安全的擁躉����。上世紀(jì)九十年代�,NSA試圖通過加密芯片(Clipper Chip),監(jiān)控大量電腦和通訊產(chǎn)品�,RSA公司曾帶頭抵制。
《紐約時(shí)報(bào)》今年9月曾披露��,NSA前雇員�、泄密人愛德華·斯諾登(Edward Snowden)披露的文件顯示,NSA研發(fā)了一種隨機(jī)數(shù)生成方程式���,能夠在加密產(chǎn)品中充當(dāng)“后門”�����。此后��,RSA公司呼吁用戶停用植入了這些方程式的產(chǎn)品����。
路透社隨后報(bào)道稱,RSA是該方程式的主要散播者��, 該公司將其植入了一款名為BSafe的電腦安全軟件�����。
RSA在一份聲明中稱:“RSA的行為一直符合客戶的最大利益�,無論如何都不會(huì)在產(chǎn)品中設(shè)計(jì)或植入任何后門。RSA產(chǎn)品的功能和特性完全自行決定�。”
路透社采訪了多名RSA公司的現(xiàn)任和前任雇員,大多數(shù)人認(rèn)為該公司接受這份合同是錯(cuò)誤的�����。許多人認(rèn)為����,RSA公司正在偏離專注于加密產(chǎn)品的軌道���,是這起丑聞發(fā)生的原因之一。
但也有人認(rèn)為�,RSA公司被政府官員誤導(dǎo),后者將NSA提供的隨機(jī)數(shù)生成方程式描述為一種先進(jìn)的安全技術(shù)����。一位知情人士稱:“他們(NSA)并未顯露真實(shí)目的。”該人士聲稱�,政府官員并沒有告訴RSA公司,他們知道如何破解加密����。
路透社認(rèn)為,RSA公司的這份合同表明����,NSA加強(qiáng)監(jiān)控的一大關(guān)鍵策略是:系統(tǒng)性破壞安全工具��。斯諾登最近幾個(gè)月披露的文件顯示�,NSA正利用“商業(yè)關(guān)系”推進(jìn)這一目標(biāo),但并未指明哪家安全公司充當(dāng)合作伙伴����。
本周����,美國(guó)白宮任命了一個(gè)委員會(huì)�����,調(diào)查美國(guó)監(jiān)控政策���,這一標(biāo)志性的事件讓NSA成為眾矢之的��。該委員會(huì)稱“加密是互聯(lián)網(wǎng)信任的核心基石”��,并呼吁NSA停止任何破壞這一基石的行為����。
傳奇歷史
SA Security公司由RSA算法的發(fā)明者Ron Rivest, Adi Shamir和Len Adleman在1982年創(chuàng)立�����,隨后在2006年以21億美元的價(jià)格被EMC公司收購(gòu)�����。
RSA加密算法可以看作是隨機(jī)數(shù)生成器,但是有些數(shù)字是固定的�����,密碼學(xué)家能夠?qū)⑵渥鳛槿f能鑰匙通過一些內(nèi)置的算法進(jìn)行破解�����。該算法最有名的一個(gè)缺陷是DUAL_EC_DRBG�����,密碼學(xué)家?guī)啄昵熬桶l(fā)現(xiàn)了這個(gè)問題����。
分析人士認(rèn)為,RSA算法本身沒什么問題��,因?yàn)槊荑理論上隨機(jī)產(chǎn)生���,猜對(duì)密鑰如同大海撈針�����。但是�,如果NSA確實(shí)放置了后門�����,那么這個(gè)算法的安全性將不復(fù)存在��。
20世紀(jì)70年代��,麻省理工學(xué)院的教授發(fā)起了RSA加密算法的研究���,前海軍陸戰(zhàn)隊(duì)員Jim Bidzos負(fù)責(zé)領(lǐng)導(dǎo)���。RSA及其核心算法是由三位創(chuàng)始人名字的開頭字母組成,這一算法的徹底改變了密碼學(xué)�。雖然RSA很少為公眾知曉,這一加密工具已經(jīng)被大多數(shù)大型科技公司使用來保護(hù)數(shù)億人使用的電腦��。
RSA算法的核心是公眾密鑰加密技術(shù)��。在為信息編碼和解碼的過程中���,RSA使用了兩只以數(shù)學(xué)關(guān)系聯(lián)系在一下的密鑰��,而非使用同一密鑰�。編碼器使用一支密鑰生成信息,而解碼器使用另一只來解讀信息��。
早期���,美國(guó)情報(bào)機(jī)關(guān)擔(dān)心這一算法可能會(huì)打擊建構(gòu)完好的既有公眾密鑰加密技術(shù)�。斯坦福大學(xué)前研究員Martin Hellman當(dāng)時(shí)負(fù)責(zé)調(diào)查這一技術(shù)���,他說美國(guó)國(guó)家安全局試圖說服他和其他研究人員相信這一技術(shù)沒有必要推廣����。
隨著越來越多的科技公司使用RSA算法��,并且互聯(lián)網(wǎng)發(fā)展迅猛���,使用該算法的商業(yè)風(fēng)險(xiǎn)逐步增加������?肆诸D政府接受了加密芯片�����,并且強(qiáng)制在手機(jī)和電腦中加入了此芯片,使得官員能夠以正當(dāng)理由破解加密技術(shù)�����。RSA公司發(fā)起了一次反對(duì)該做法的公眾運(yùn)功��,向參與者發(fā)放印有一只沉船的海報(bào)����,配以“擊沉解密芯片”的文字����。
反對(duì)使用該芯片的關(guān)鍵在于,海外消費(fèi)者會(huì)因?yàn)檠b有此芯片的美國(guó)科技產(chǎn)品可以用來從事間諜活動(dòng)而拒絕購(gòu)買����。一些公司表示,斯諾登泄密事件之后���,外國(guó)消費(fèi)者就是這么想的��。
白宮放棄了解密芯片����,轉(zhuǎn)而依賴出口控制來阻止最好的密碼技術(shù)出口到國(guó)外。RSA又一次聯(lián)合這個(gè)行業(yè)����,并且在澳大利亞建立了一家分支機(jī)構(gòu)來保證公司可以出口其想出口的東西。“我們已經(jīng)成為了反抗政府活動(dòng)的的箭頭人物�����,” Bidzos在一段口述歷史中回憶道���。
RSA的發(fā)展
當(dāng)美國(guó)政府的出口限制令解除時(shí)�����,RSA和業(yè)內(nèi)其他公司共同慶祝了斗爭(zhēng)的勝利��。但是���,NSA不會(huì)放棄對(duì)用戶數(shù)據(jù)的監(jiān)控。2001年的911襲擊發(fā)生后�����,這一需求變得更加迫切。
與此同時(shí)�,RSA也在變化。1999年����,Bidzos不在擔(dān)任CEO一職,轉(zhuǎn)而專注于從RSA脫離出來的一家名為VeriSign的安全認(rèn)證公司的管理�。據(jù)RSA前員工稱�,Bidzos在硅谷創(chuàng)立的RSA隨后辦公地點(diǎn)搬到麻省東部,很多頂尖工程師也紛紛離職���。
同時(shí)�����,BSafe安全軟件在該公司的地位日漸衰落��。到2005年�����,BSafe其他開發(fā)工具總共為RSA帶來2.75億美元營(yíng)收��,不及公司總營(yíng)收的9%���。
RSA一位于2005年離職的前員工Victor Chan告知路透社��,當(dāng)他加入時(shí)該公司時(shí)�����,實(shí)驗(yàn)室里還只有10名員工��,大家都在與NSA抗?fàn)�����。但后來�,RSA發(fā)生了巨大的變化���。
到2006年上半年��,RSA和美國(guó)大多數(shù)科技公司一樣��,把NSA看作共同抵御海外黑客的伙伴��。據(jù)RSA前員工透露���,該公司新CEO Art Coviello及其團(tuán)隊(duì)依然希望被視為科技先鋒��,NSA正好給了他們這個(gè)機(jī)會(huì)��。
NSA內(nèi)部開發(fā)的一種名為雙橢圓曲線(Dual Elliptic Curve)的算法當(dāng)時(shí)即將獲得NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)研究所)認(rèn)證為可用于生成隨機(jī)數(shù)的四種算法之一�。對(duì)于面向政府客戶的產(chǎn)品來說�,NSA的認(rèn)證是必不可少的,很多其它行業(yè)也行看重這一認(rèn)證�����。
一位熟悉事件進(jìn)展的內(nèi)部人士稱�����,在雙橢圓曲線算法還沒有通過NIST認(rèn)證時(shí)�,RAS就已經(jīng)將這一算法用于自己的產(chǎn)品����,隨后,NSA開始向美國(guó)政府內(nèi)部推行這種算法�,從而促使NIST通過認(rèn)證。
從此����,雙橢圓算法成為了RSA安全軟件中生成隨機(jī)數(shù)的默認(rèn)算法���。該公司前員工稱,決策者商業(yè)領(lǐng)袖而非技術(shù)人員�,因此并未覺得其中有何不妥。
一年之中�����,對(duì)于雙橢圓算法的質(zhì)疑聲從未間斷����。密碼學(xué)權(quán)威Bruce Schneier在一篇文章中稱,該算法公式中的弱點(diǎn)“只能被稱為后門”��。在今年9月“棱鏡門”事件曝光后���,RSA公司呼吁用戶停用包含雙橢圓算法的產(chǎn)品�����。
不同于20年前的加密芯片之爭(zhēng)��,該公司對(duì)公眾透露的信息非常有限����,也不愿談?wù)揘SA的干涉對(duì)公司與客戶的關(guān)系有何影響。
白宮則表示���,考慮通過本周成立的委員會(huì)的努力�����,根除一切破壞密碼的行為���。
持續(xù)更新中……
