安全专家检查是否有理由担心最近的披露表明NSA对RSA加密的影响更大

2019-12-25 10:52:44    来源:    作者:

有报道称,美国国家安全局(NSA)对RSA Security的加密工具的参与比最初声称的要大,这引发了许多问题。问题很复杂,需要详细查看。2013年12月,路透社的一份报告称RSA Security已从美国国家安全局(NSA)接受了1000万美元,此举最终削弱了RSA BSAFE加密工具组件的安全性。3月31日,路透社发布了一份新报告,声称NSA的参与影响了更广泛的RSA BSAFE加密组件。

关于第二个与NSA相关的RSA漏洞的报告基于约翰·霍普金斯大学,威斯康星大学和伊利诺伊大学的教授最新发表的研究。有问题的工具称为扩展随机扩展,可以潜在地破解目前在安全领域广泛使用的RSA双椭圆曲线(EC)伪随机数生成器。

扩展随机扩展名被公布为互联网工程任务组(IETF)草案在2008年4月,并明确列出了美国国家安全局作为草案的合着者。

研究报告指出:“ TLS的BSAFE实施使Dual EC后门特别容易以两种方式利用。” “ Java版本的BSAFE在连接中包括指纹,使它们易于识别。C版本的BSAFE通过广播更长的随机位字符串来大大加快攻击速度,这比起最初在TLS中可能想象的更长标准。”

RSA反复否认它曾经有意削弱加密功能以启用NSA后门。在最近的RSA安全会议上,EMC执行副总裁兼RSA执行主席Art Coviello 表示,他的公司与NSA进行了大量合作,以帮助提高安全性。但是,Coviello并未直接解决价值1000万美元的合同问题。

RSA是否知道它正在帮助国家安全局启用后门仍然是争论的话题。

BeyondTrust的 CTO Marc Maiffret 告诉eWEEK,诸如此类的启示继续表明,即使是安全公司也不能盲目地相信政府对安全系统的指导。

梅夫雷特说:“尽管国家安全局已经做了很多事情来改善互联网安全,但也有很多实例削弱了它。” “像RSA这样出售问题解决方案的公司应该完全了解他们的解决方案,即使其中的某些部分可能来自学术界或政府的想法;否则,技术公司将发现自己很容易被颠覆。”

Rook Security董事总经理兼首席执行官JJ Thompson 告诉eWEEK,对此问题还有另一种看法。汤普森说:“真正的安全是肮脏的,我们应该停止表现惊讶。” “即使公众同意了美国国家安全局的部分行为值得怀疑,了解这一原因为何也很关键,而不仅仅是谴责美国国家安全局越界。”

汤普森补充说,也许不越界的风险太高了,获得的情报挽救了无数生命。

汤普森说:“无论如何,无论举行多少次参议院情报听证会,我们永远都不会知道;因为如果情报足够有价值而违反法律,那么它的价值就足以掩盖事实。”

NetIQ安全策略高级总监Geoff Webb 告诉eWEEK,尽管有一些原因需要关注有关RSA加密潜在弱点的最新信息,但基本的加密算法本身仍然是安全的。韦伯说:“这些旨在削弱加密过程的尝试都是针对作为整体数据保护的一部分的随机数发生器。” “这意味着一旦消除了这些弱点,我们仍然可以在Internet上收回隐私。”

Webb将加密与交响乐团进行比较。他说,大多数演奏家都很出色,但是如果您遇到一位糟糕的小提琴家,那么整个事情就会倒塌。

韦伯说:“不过,我确实认为,尽管我们可以使互联网隐私重新回到正轨,但要收回对传输数据的安全性失去的信任和信心可能要花很长时间,即使是应该加密的数据也是如此。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。