[[81083]]

多年來，安全行業(yè)受益于由安全廠商、研究人員和媒體組成的道德準(zhǔn)則。研究人員開展了一項(xiàng)有價(jià)值的任務(wù)是，從理論和實(shí)踐上找出 產(chǎn)品和技術(shù)的不足，預(yù)防潛在的攻擊。安全廠商采納這些研究成果，開發(fā)出更安全的產(chǎn)品。最終，媒體公開報(bào)道這一流程，幫助安全從業(yè)者和產(chǎn)品用戶，準(zhǔn)確地評(píng)估有關(guān)這些潛在漏洞的風(fēng)險(xiǎn)，確保所有相關(guān)方采取必要的措施。

本周，RSA收到許多問詢、媒體轉(zhuǎn)載、博客鏈接和微博，聲稱科研人員“攻破”了RSA SecurID 800認(rèn)證器。這是一個(gè)警示性的論斷，立即引起了讓那些已經(jīng)部署了RSA SecurID 800認(rèn)證器的客戶的強(qiáng)烈關(guān)注。然而：唯一的問題是，這不是事實(shí)。很多報(bào)道夸大了這一研究的實(shí)踐意義，混淆技術(shù)語言，有可能影響安全從業(yè)者準(zhǔn)確地評(píng)估他們正在使用產(chǎn)品的風(fēng)險(xiǎn)。最直接的結(jié)果是，讓產(chǎn)品用戶和廣大安全業(yè)界浪費(fèi)時(shí)間，以澄清真實(shí)的情況。

讓我們看看到底發(fā)生了什么事，目前處在怎樣的狀況。

這個(gè)命名為“Project Team Prosecco”的研究組事實(shí)上沒有覆蓋任何有意義的新領(lǐng)域，具體到RSA產(chǎn)品這個(gè)案例，也沒有突顯出RSASecurID 800令牌(或任何其它RSA產(chǎn)品)用戶有任何實(shí)際的風(fēng)險(xiǎn)。顯然，這只是試圖繼續(xù)探索PKCS #1 v1.5缺陷的潛在影響，但不論這一研究的潛在結(jié)果如何，這始終是一項(xiàng)有益的實(shí)驗(yàn)。

研究人員中所述的漏洞，有可能(但不太可能)攻擊者可以接入到用戶的智能卡設(shè)備和用戶的智能卡的PIN，并可能獲得對(duì)稱密鑰或其他加密的數(shù)據(jù)發(fā)送到智能卡。因?yàn)?，它不?huì)允許攻擊者危及智能卡上存儲(chǔ)的私鑰。在重申一次，它不會(huì)允許攻擊者危及智能卡上存儲(chǔ)的私鑰。

RSA的立場是，不要被媒體報(bào)道誤導(dǎo)。有媒體報(bào)道說RSA SecurID 800認(rèn)證器“被攻破”。實(shí)際上，研究人員只是指出了在PKCS #1 v1.5(公鑰加密標(biāo)準(zhǔn)#1 1.5版)填充機(jī)制中廣泛采用的一個(gè)已知漏洞。研究中提到五家廠商采用這一標(biāo)準(zhǔn)，即Aladdin、Gemalto、RSA、Safenet和 Siemens。以下是RSA關(guān)于Project Team Prosecco研究的立場要點(diǎn)：

• 這一研究只與RSA SecurID 800令牌的智能卡功能有關(guān)。它不會(huì)對(duì)令牌的動(dòng)態(tài)口令功能有任何影響。
• 它不會(huì)影響到RSA SecurID 700或其它RSA SecurID身份認(rèn)證器，包括軟件令牌。只跟上面提到的RSA SecurID 800令牌的智能卡功能有關(guān)。
• 這不是一起有用的攻擊。這些研究人員只是開展了一次學(xué)術(shù)實(shí)驗(yàn)，指出協(xié)議中的一個(gè)漏洞，然而一起真正的攻擊需要訪問RSA SecurID 800智能卡(例如，插入到一臺(tái)受攻擊的計(jì)算機(jī))并使用用戶的智能卡密碼。如果發(fā)起攻擊的人已經(jīng)有智能卡和識(shí)別碼，就不需要演示任何攻擊，因此這一研究作為一個(gè)安全探索的增值有限。
• 這一漏洞并不會(huì)暴露智能卡上存儲(chǔ)的專有密鑰。由此推斷，這一具體的漏洞，不會(huì)讓入侵者成功地獲得與專有密鑰相對(duì)應(yīng)的、用戶認(rèn)證使用的公共密鑰。

我們給客戶的建議：

• 遵循有關(guān)終端安全的最佳實(shí)踐。包括確保用戶設(shè)備安裝最新的防惡意軟件和防病毒軟件。RSA提醒所有用戶安裝最新的操作系統(tǒng)安全補(bǔ)丁，并參考由微軟以及其它操作系統(tǒng)提供商為可信和非可信用戶提供的涉及安全配置和管理權(quán)限的操作系統(tǒng)加強(qiáng)指南。
• 遵循有關(guān)終端用戶安全意識(shí)的最佳實(shí)踐。使用完畢后，終端用戶應(yīng)從USB接口處退出RSA SecurID 800設(shè)備。
• 在需要加密的應(yīng)用中使用帶OAEP的PKCS #1 2.0版。并非只針對(duì)此類漏洞，RSA長期以來一直認(rèn)為用戶應(yīng)使用配置了OAEP(最優(yōu)非對(duì)稱加密填充)的、更高級(jí)的PKCS(公鑰加密標(biāo)準(zhǔn)) #1 2.0版。RSASecuriID 800技術(shù)支持這一標(biāo)準(zhǔn)。
• 確保RSA 認(rèn)證客戶端為最新版。作為一個(gè)最佳實(shí)踐，用戶應(yīng)使用2011年8月已經(jīng)問世的RSA 3.5.4或更高級(jí)別的中間件。

我們歡迎更多人研究我們的產(chǎn)品，研究我們和其它安全公司所使用的第三方技術(shù)，這將有助于改進(jìn)我們共同的信息安全解決方案。但是，如果類似研究引起混淆或夸大的言論和報(bào)道，其結(jié)果是混亂、不必要的擔(dān)擾、非建設(shè)性的合作。我們認(rèn)為，所有參與方都應(yīng)該確保，給從業(yè)人員和安全業(yè)界提供準(zhǔn)確、有用的信息。