NSA在RSA加密算法中設(shè)置了第二個(gè)后門程序
路透社曾在去年12月報(bào)道,美國(guó)國(guó)家安全局(NSA)與加密技術(shù)公司RSA達(dá)成了1000萬(wàn)美元的協(xié)議,要求在移動(dòng)終端廣泛使用的加密技術(shù)中放置后門。近日一組研究人員公布的調(diào)查結(jié)果更加令人震驚:當(dāng)時(shí)RSA采用了兩個(gè)由NSA開(kāi)發(fā)的加密工具,而不是此前報(bào)道中的一個(gè)。
去年12月,兩名知情人士稱,RSA收受了1000萬(wàn)美元,將NSA提供的一套密碼系統(tǒng)設(shè)定為大量網(wǎng)站和計(jì)算機(jī)安全程序所使用軟件的默認(rèn)系統(tǒng)。這套臭名昭著的“雙橢圓曲線”(Dual Elliptic Curve)系統(tǒng)從此成為了RSA安全軟件中生成隨機(jī)數(shù)的默認(rèn)算法。但問(wèn)題隨即出現(xiàn),因?yàn)檫@套系統(tǒng)存在一個(gè)明顯缺陷(即“后門程序”),能夠讓NSA通過(guò)隨機(jī)數(shù)生成算法的后門程序輕易破解各種加密數(shù)據(jù)。
此次來(lái)自美國(guó)約翰-霍普金斯大學(xué)、威斯康辛州立大學(xué)、伊利諾伊州立大學(xué)和另外幾所大學(xué)的9位教授在一份研究報(bào)告中表示,他們已經(jīng)發(fā)現(xiàn)了NSA在RSA加密技術(shù)中放置的第二個(gè)解密工具。
根據(jù)路透社獲得的這份研究報(bào)告的復(fù)印件顯示,這幾位大學(xué)教授發(fā)現(xiàn),這款名為“擴(kuò)展隨機(jī)”(Extended Random)的工具能夠以比之前快幾萬(wàn)倍的速度破解NSA目前采用的“雙橢圓曲線”軟件。
當(dāng)路透社希望RSA對(duì)此事表態(tài)時(shí),該公司并沒(méi)有對(duì)上述教授的研究結(jié)果提出質(zhì)疑。RSA表示,該公司從未故意降低任何產(chǎn)品的安全性。RSA還指出,“擴(kuò)展隨機(jī)”工具并未得到普遍應(yīng)用,而且在過(guò)去六個(gè)月里這一工具一直在RSA的保護(hù)軟件移除名單之列。
RSA***技術(shù)官薩姆•庫(kù)瑞(Sam Curry)向路透社表示:“我們本應(yīng)該對(duì)NSA的意圖產(chǎn)生更多的懷疑。我們?cè)?jīng)如此信任NSA,因?yàn)樗麄兂袚?dān)著保護(hù)美國(guó)政府和美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的重任。”
庫(kù)瑞并沒(méi)有說(shuō)明,美國(guó)政府是否向RSA提供現(xiàn)金資助,以要求后者將“擴(kuò)展隨機(jī)”工具安裝到該公司的BSafe安全軟件套裝中。
NSA的一位女新聞發(fā)言人拒絕對(duì)上述研究報(bào)告以及開(kāi)發(fā)“擴(kuò)展隨機(jī)”工具的動(dòng)機(jī)發(fā)表任何置評(píng)。
在過(guò)去數(shù)十年里,NSA一直在通過(guò)旗下的信息保護(hù)署(Information Assurance Directorate)與私人公司合作改進(jìn)網(wǎng)絡(luò)安全水平。在“9•11”事件后,NSA增加了監(jiān)控范圍,其中就包括此前面臨嚴(yán)格限制的美國(guó)政府內(nèi)部。
研究結(jié)果即將發(fā)表
2008年,在由美國(guó)國(guó)防部資助發(fā)表的一篇論文中,“擴(kuò)展隨機(jī)”被說(shuō)成可以提高由“雙橢圓曲線”系統(tǒng)生成的數(shù)字的隨機(jī)性。但此次研究小組的成員則表示,他們發(fā)現(xiàn)隨機(jī)性因此提高的程度極小,而由“擴(kuò)展隨機(jī)”后門程序發(fā)送出來(lái)的額外數(shù)據(jù)卻大大降低了預(yù)測(cè)隨機(jī)安全數(shù)字的難度。
本周一,此次研究小組已經(jīng)在網(wǎng)上發(fā)布了他們研究報(bào)告的概要,并計(jì)劃將包括全部研究結(jié)論的論文提交給在今年夏天召開(kāi)的一個(gè)學(xué)術(shù)會(huì)議。這篇論文的合著作 者之一、美國(guó)威斯康辛州立大學(xué)的托馬斯•里斯滕帕特(Thomas Ristenpart)表示:“我們并沒(méi)有發(fā)現(xiàn)‘擴(kuò)展隨機(jī)’工具帶來(lái)任何額外的安全保護(hù)作用。”
約翰-霍普金斯大學(xué)的馬修•格林(Matthew Green)教授也表示,政府對(duì)“擴(kuò)展隨機(jī)”工具的官方解釋很難不讓人感到懷疑,尤其是考慮到“雙橢圓曲線”此前剛剛被認(rèn)定成為美國(guó)的一項(xiàng)標(biāo)準(zhǔn)系統(tǒng)。格林 頗為形象地打了個(gè)比喻:“如果說(shuō)使用‘雙橢圓曲線’好比玩弄火柴,那么再加上‘擴(kuò)展隨機(jī)’就好比你把自己渾身灑滿汽油一般。”