去年12月,路透社报道美国国家安全局(NSA)加密技术公司RSA达成1000万美元的协议,要求后门放置在移动终端广泛使用的加密技术中。一组研究人员最近公布的调查结果更令人震惊:当时RSA两个原因NSA开发的加密工具不是之前报道的工具之一。
两位知情人士去年12月表示,RSA将收到1000万美元NSA提供的密码系统设置为大量网站和计算机安全程序中使用的软件的默认系统。这套臭名昭著“双椭圆曲线”(Dual Elliptic Curve)从此,系统成了RSA默认算法在安全软件中生成随机数。但问题立即出现,因为该系统有明显的缺陷(即“后门程序”),能够让NSA各种加密数据通过随机数生成算法的后门程序轻松破解。
这次来自美国约翰-霍普金斯大学、威斯康辛州立大学、伊利诺伊州立大学和其他大学的九位教授在一份研究报告中说,他们已经发现了NSA在RSA放置在加密技术中的第二个解密工具。
根据路透社获得的研究报告的副本,这些大学教授发现这个名字叫做“扩展随机”(Extended Random)工具可以比以前快几万倍的速度破解NSA目前采用的“双椭圆曲线”软件。
路透社希望RSA该公司没有质疑上述教授的研究结果。RSA该公司从未故意降低任何产品的安全性。RSA还指出,“扩展随机”该工具在过去六个月里没有得到广泛的应用RSA列出了保护软件的清单。
RSA***技术官萨姆•库瑞(Sam Curry)向路透社说:“本该对的NSA我们的意图产生了更多的怀疑。我们曾经如此信任它NSA,因为他们承担着保护美国政府和美国关键基础设施的责任。”
库瑞没有解释美国政府是否向美国政府解释RSA要求后者提供现金补贴“扩展随机”工具安装在公司BSafe安全软件套装中。
NSA一位女新闻发言人拒绝对上述研究报告和发展“扩展随机”任何置评都发表了工具的动机。
在过去的几十年里,NSA通过其信息保护署(Information Assurance Directorate)与私营公司合作,提高网络安全水平。“9•11”事件后,NSA包括之前面临严格限制的美国政府在内的监控范围增加了。
研究结果即将发表
2008在美国国防部资助的一篇论文中,“扩展随机”据说可以提高原因“双椭圆曲线”系统生成的数字的随机性。然而,研究小组的成员表示,他们发现随机性很小,而且是由“扩展随机”后门程序发送的额外数据大大降低了预测随机安全数字的难度。
本周一,研究小组在互联网上发布了他们的研究报告的总结,并计划将包括所有研究结论在内的论文提交给今年夏天举行的学术会议。威斯康辛州立大学托马斯的合作伙伴之一•里斯滕帕特(Thomas Ristenpart)表示:“我们没有发现‘扩展随机’工具带来任何额外的安全保护。”
约翰-马修,霍普金斯大学•格林(Matthew Green)教授还说政府是对的“扩展随机”很难不怀疑工具的官方解释,特别是考虑到“双椭圆曲线”刚刚被认定为美国的标准体系。格林 生动地打了个比喻:“如果说使用‘双椭圆曲线’就像玩火柴一样,加上‘扩展随机’就像你把自己洒满汽油一样。”