北京时间12月21日下午消息,美国国安局(NSA)“棱镜门”监听丑闻又有新进展。据路透社报道,NSA曾与加密技术公司RSA达成了1000万美元的协议,要求在移动终端广泛使用的加密技术中放置后门。
两名知情人士称,RSA收受了1000万美元,将NSA提供的方程式设定为BSafe安全软件的优先或默认随机数生成算法。尽管这一金额看上去不多,但这已经相当于RSA公司有关部门年收入的三分之一。
此举将让NSA通过随机数生成算法Bsafe的后门程序轻易破解各种加密数据。RSA否认了相关的内容,并声称自己的加密算法只使用了国家认证的协议。而NSA则拒绝发表评论。
简而言之就是,NSA首先利用NIST(美国国家标准研究所)认证了这种有明显漏洞的算法为安全加密标准,然后再让RSA基于这种算法推出安全软件Bsafe。而企业级用户采购安全软件,则看到的是一个世界级企业采用NIST认证的加密标准开发的软件。 影响巨大 RSA此次曝出的丑闻影响非常巨大,作为信息安全行业的基础性企业,RSA的的加密算法如果被安置后门,将影响到非常多的领域。
据悉,RSA目前在全球拥有8000万客户,客户基础遍及各行各业,包括电子商贸、银行、政府机构、电信、宇航业、大学等。
超过7000家企业,逾800万用户(包括财富杂志排行前百家企业的80%)均使用RSA
SecurID认证产品保护企业资料,而超过500家公司在逾1000种应用软件安装有RSA BSafe软件。
一位要求匿名的互联网安全专家对新浪科技表示,RSA是一种国际上通用的非对阵算法,主要是提供双因素认证功能。即把密码拆分成两部分,一部分
是用户设置的固定密码,另外一部分来自每个用户发放的可显示数字的硬件。该硬件基于时间、设备号和种子数计算出一个动态密码。固定密码加动态密码才构成整
个认证密码。
他介绍说,目前在国内RSA产品的应用非常广泛,绝大多数互联网公司都在采用这套认证工具。在国外,不少军工、兵器类公司也都是RSA用户。美国国安局在RSA中设置后门意味着,密码动态密码部分已经被美国政府掌握。 曝光过程
RSA公司的行为令全世界震惊。该公司一直是隐私和安全的拥趸。上世纪九十年代,NSA试图通过加密芯片(Clipper Chip),监控大量电脑和通讯产品,RSA公司曾带头抵制。 《纽约时报》今年9月曾披露,NSA前雇员、泄密人爱德华·斯诺登(Edward Snowden)披露的文件显示,NSA研发了一种随机数生成方程式,能够在加密产品中充当“后门”。此后,RSA公司呼吁用户停用植入了这些方程式的产品。
路透社随后报道称,RSA是该方程式的主要散播者, 该公司将其植入了一款名为BSafe的电脑安全软件。
RSA在一份声明中称:“RSA的行为一直符合客户的最大利益,无论如何都不会在产品中设计或植入任何后门。RSA产品的功能和特性完全自行决定。”
路透社采访了多名RSA公司的现任和前任雇员,大多数人认为该公司接受这份合同是错误的。许多人认为,RSA公司正在偏离专注于加密产品的轨道,是这起丑闻发生的原因之一。
但也有人认为,RSA公司被政府官员误导,后者将NSA提供的随机数生成方程式描述为一种先进的安全技术。一位知情人士称:“他们(NSA)并未显露真实目的。”该人士声称,政府官员并没有告诉RSA公司,他们知道如何破解加密。
路透社认为,RSA公司的这份合同表明,NSA加强监控的一大关键策略是:系统性破坏安全工具。斯诺登最近几个月披露的文件显示,NSA正利用“商业关系”推进这一目标,但并未指明哪家安全公司充当合作伙伴。
本周,美国白宫任命了一个委员会,调查美国监控政策,这一标志性的事件让NSA成为众矢之的。该委员会称“加密是互联网信任的核心基石”,并呼吁NSA停止任何破坏这一基石的行为。 |
