NSA和安全行业厂商RSA之间的“密谋”
| 2013-12-25 13:53
路透社12月20日报导,美国国家安全局(NSA)与RSA(计算机安全行业中最有影响的公司之一)秘密签订了一项价值一千万美元的合同,作为插足加密软件,进而入侵早已广泛被使用的电脑产品的关键性一步。
纽约时报曾在9月份发表过一篇报道,提到在NSA的合同工Edward Snowden泄露的文件中透露,NSA设计并发布了一套有缺陷的算法,该算法通过生成随机数在加密产品中开启一个”后门”。后来路透社又报道,RSA成为该套算法的最重要的经销商,他们将其集成到名为Bsafe的加密软件中,而该软件主要用于增强个人电脑和其它产品的安全性。
根据两位知情人士透露,RSA收受了一千万美元,在Bsafe软件中将NSA的算法设为优先或是默认的数字生成方法。该信息至今未被透露。尽管金额看上去微不足道,但证券文件显示它也占了RSA的相关部门在去年一年度总收益的1/3还多。
早前披露的关于RSA与NSA的纠缠,已震惊了世界各地的计算机安全专家。这家公司拥护隐私和安全的历史悠久,并在1990年阻止NSA企图实施监控的努力中发挥了主导作用,当时NSA要求植入一个特殊的芯片用于监控计算机和通信产品。
位于美国犹他州,盐湖城南40公里,布拉夫代尔的NSA数据采集设备
在斯诺登揭露了这一缺陷之后,RSA——现在是计算机存储巨头EMC集团的子公司——呼吁客户停止使用NSA的算法。
RSA和EMC拒绝就该事件回答任何问题,但RSA在一份声明中回应到:“RSA一向都以客户的最佳利益为重,且绝不会在我们的产品中设计或开启任何后门。对所有RSA产品的特性和功能完全由我们自行决定。”
NSA拒绝发表评论。
RSA的交易显示了NSA在增强监控(在斯诺登的文件里提到)这一重要战略上实施的一种方式:对安全工具的系统侵蚀。NSA近几个月的文件显示他们正利用”商业关系”来达成这个目标,但是并没有指名任何安全公司充当合伙伴。
本周,NSA在一篇具有里程碑意义的报告中遭到了抨击,该报告来自于白宫的专家小组,他们被任命重新审查美国监视政策。该小组指出,“加密是互联网信任的基础”,并且呼吁NSA停止任何企图破坏这一基础的行为。
十几位RSA前员工和现员工接收采访时,多数表示公司同意这项合同是个错误的决定,很多人认为这件事情发生的原因之一是由于RSA的企业发展远离了纯粹的密码产品所导致。
但是也有人认为RSA同样被政府官员误导了,他们将该算法描述为一种先进的安全技术。
“他们(指NSA)没有显示他们的真面目。”NSA的一位知情人士表示,政府官员并没有让他们(RSA)知道如何破解加密。
历史回顾
20世纪70年代,MIT的教授发起了RSA算法的研究,并由前海军陆战队员Jim Bidzos领导多年。RSA和其核心算法命名自三位创始人名字的首字母——该算法彻底改变了密码学。鲜为人知的是,RSA的安全工具早已被大多数大型科技公司采用,进而用来保护数亿台电脑。
RSA 产品的核心技术被称为公匙密码学。他们并没有使用同一个密匙来编码再解码一条信息,而是使用了两个数学上相互关联的密匙。首先,公开密匙编码一条信息,接下来使用私匙解读它。
在RSA的早期,美国的情报机构就开始担心他们无法破解被精心设计的公匙加密技术。带领团队发明这项技术的前斯坦福大学研究员Martin Hellman说,NSA的专家曾经还试图说服他和其他研究员让其相信,他们没有必要把密匙做这么大。
随着更多的技术公司采用RSA算法以及因特网的迅猛发展,风险开始上升。克林顿政府接受了加密芯片,计划将其作为一个强制性的组件放置到手机和计算机中,使得政府能够使用这一特权破解加密技术。
RSA发起了一场激烈的公开抵制运动,向参与者发放印有一艘沉船的海报,上面写着“Sink Cliper!”(译:击沉加密技术)。
围绕该芯片的一个关键的争论是,如果它们真的被用于监控的话,会导致海外的买家抵制美国的科技产品。一些公司说,这就是在斯诺登的泄密事件之后紧接着发生的事情。
白宫最终放弃了芯片,转而依靠出口管制禁止最好的密码技术出口。RSA再一次团结了整个行业,并且建立了一个澳大利亚部门出口他们想要出口的东西。
“可以说,在这场对抗政府的战斗中我们成为了先锋,”Bidzos回忆道。
RSA的发展
在出口限制放松后,RSA和其它公司声称他们取得了胜利。
但是NSA下定决心要获取他们想要的任何信息,尤其是在911事件之后,这一要求显得刻不容缓。
同时,RSA也在发生变化。Bidzos于1999年辞去了CEO,将主要精力放在了VeriSign,一家由RSA分离出来的安全证书公司。
“他在硅谷成立的精英实验室也随后搬到了马萨诸塞州,同时一些顶尖的工程师也离开了公司”,几位前RSA雇员表示。
Bsafe工具包业务也逐渐成为该公司越来越小的一部分。到2005年,Bsafe和其他开发工具为RSA带来了2750万美元的收入,不足总收入(3.1亿美元)的9%。
“当初我加入实验室的时候有10个人,那时我们共同与NSA战斗,”Victor Chan说,他之后负责领导工程和澳大利亚业务的经营,并于2005年离开,”后来它变成了一家完全不同的公司。”
在2006年上半年,RSA还与许多技术公司一样,视美国政府为抵御海外黑客的伙伴。
新任的RSA的CEO,Art Coviello和他的团队仍然希望被视为技术先锋,前雇员说,而NSA刚好给了这样的机会。Coviello 决绝了采访请求。
该机构内部开发一种名为双椭圆曲线(DEC)算法,当时正在被国家标准与技术研究院(NIST)认证作为四种可接受的生成随机数的方法之一。NIST的认证对于大量卖给政府的产品来说是必不可少的,而且这也成为了事实上的业界标准。
据一了解事件进程的官员说,RSA甚至在NIST通过认证之前就采用了该算法。随后,NSA在政府内部推行了这一算法,从而促使NIST通过认证。
RSA的合同使得DEC算法成为在RSA工具包中产生随机数的默认算法。没有警报,该公司前雇员称,因为这笔交易是由商界领袖执行的,而非纯粹的技术人员。
“实验室小组在BSafe上扮演了一个非常复杂的角色,而他们基本上都走光了,”实验室资深成员Micheal Wenocur说,他于1999年离开。
一年之内,关于DEC算法的主要问题开始浮出水面。密码学权威专家Bruce Schneier在一篇文章中写道,该算法中的弱点”只能被描述为一个后门。”
九月份关于后门事件曝光后,RSA呼吁其客户停止使用DEC数字生成算法。
但是不同于20年前的加密芯片之战,该公司的公开声明没有透露太多的信息,同时也拒绝谈论其与NSA的纠缠对公司与客户的关系有何影响。
白宫同时也表示将考虑本周工作组的建议,即舍弃任何企图破坏加密的行为。
原文链接: reuters 翻译: 伯乐在线 - deathmonkey
via: http://blog.jobbole.com/54001/