专栏首页云计算D1netNSA在两个RSA加密产品中植入了后门

NSA在两个RSA加密产品中植入了后门

根据路透社的独家报道,NSA 在安全行业领导企业RSA的两个加密产品都植入了随机数生成器后门,而不只是此前斯诺登爆料的一个。

2013年12月路透社曾爆料称著名加密产品开发商RSA在收取NSA上千万美元后,在其软件Bsafe中嵌入了NSA开发的,被植入后门的伪随机数生成算法(Dual_EC——DRBG,双椭圆曲线确定性随机比特生成器),NSA还利用NIST认证该漏洞算法为安全加密标准,使得该算法成为大量软件产品默认使用的随机数生成器,而这个后门算法使得NSA能够大规模破解加密数据。

在第一个RSA算法后门曝光后,RSA立刻出面否认是该事件的同谋者,声称自己也是受害者。

但是路透社的报道指出,除了众所周知的Dual EC_DRBG双椭圆曲线确定性随机比特生成器外,NSA还在另一个RSA加密产品——Extended Random协议中植入了后门,这个前NSA技术总监参与开发的安全工具事实上大大降低了RSA软件的安全性。

Extended Random协议的开发得到了五角大楼的资助,设计本意是增加双椭圆曲线算法产生的秘钥数值的随机性,增加安全性。但约翰霍普金斯大学的加密学专家Matt Green教授等人在一篇即将发布的研究报告中指出,在Extended Random的帮助下,攻击者破解RSA双椭圆曲线加密软件密码的速度将能加快数万倍。

路透社报道指出,作为web安全扩展的Extented Random目前虽然应用不是很广泛,但是新的研究成果揭露了NSA借助网络广告公司扩大监控范围的行径。

NSA在Extended Random协议的开发上扮演着重要角色,协议作者之一的Margaret Salter当时是NSA的一位技术总监,目前在Mozilla工作,他和Mozilla 都拒绝发表评论。Extended Random最早被宣传能增强双椭圆曲线算法所生成随机数的随机性。Green教授说,使用Dual EC_DRBG就像是玩火,而使用Extended Random就像往自己身上浇汽油。

NSA发言人拒绝就开发Extended Random的动机发表评论,但一个不容忽视的问题是,NSA帮助商业企业提升网络安全技术的部门——IAD(信息安全保障理事会)与NSA黑客部门TAO并存本身已经非常可疑。

根据斯诺登泄露的文档,削弱加密安全标准是NSA的重要目标之一。虽然美国总统顾问团队去年12月曾呼吁叫停该项活动,但是研究者们普遍认为RSA双椭圆曲线加密软件只有NSA能够破解,正如NSA的积极批评者,安全专家Bruce Schneier的评价:“随机数生成器(NSA)设计得不错,出类拔萃。”

本文分享自微信公众号 - 云计算D1net(D1Net02)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-04-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 研究一下美国国防部的大数据战略

    棱镜门事件以来,NSA的全球监控行为遭到各国政府和人民的谴责,但美国情报部门所展现的大数据和信息安全技术实力也成为各国政府甚至一流IT企业为之“艳羡”的对象...

    静一
  • 云计算降低企业15%的IT支出

    最近一份来自于Computer Economics的调查报告显示,企业充分利用云计算可平均节省15%以上的支出,调查的结果不管是从收入的百分比来衡量,还是从个体...

    静一
  • 监控云安全的8个方法和措施

    如今,很多企业致力于提高云计算安全指标的可见性,这是由于云计算的安全性与本地部署的安全性根本不同,并且随着企业将应用程序、服务和数据移动到新环境,需要不同的实践...

    静一
  • 美国安局曾向国际通用加密技术植入后门

    北京时间9月23日早间消息,据《纽约时报》网络版报道,几年前,美国国家安全局(以下简称“NSA”)曾秘密地给一项国际性加密技术植入后门系统,让美国联邦特工可以破...

    安恒信息
  • NSA正式公开官方GitHub帐号,已经有32个项目

    美国国安局一度是美国最神秘的政府部门之一,最近却开设了官方GitHub页面。 NSA会雇佣天才码农和一些绝顶聪明的数学家们,他们的工作是破解代码、收集公民的情报...

    FB客服
  • 研究一下美国国防部的大数据战略

    棱镜门事件以来,NSA的全球监控行为遭到各国政府和人民的谴责,但美国情报部门所展现的大数据和信息安全技术实力也成为各国政府甚至一流IT企业为之“艳羡”的对象...

    静一
  • 斯诺登再爆料:美国重点监控中国

    大数据文摘
  • 细说QUANTUM:NSA最强大的互联网攻击工具

    加州大学伯克利分校(UC Berkeley)及国际计算机科学中心(the International Computer Science Institute)的研...

    安恒信息
  • 《Drools7.0.0.Final规则引擎教程》番外实例篇——默认条件的陷阱

    场景 今天向大家介绍一个典型的具有陷阱的场景,虽然不常用,但是如果错误使用的话也会导致莫名其妙的问题。当我们向session中插入多个对象,如果这多个对象匹配到...

    程序新视界
  • nginx proxy_set_header配置覆盖

    当使用nginx反代时候我们经常会使用proxy_set_header来设置http头,如下面是一个常用的配置。

    fanspring

扫码关注云+社区

领取腾讯云代金券