Trafalgar 在幾個月內第二次襲擊了 RSA 的核心,RSA 是 EMC 集團的安全部門,提供廣泛用於 Web 和密碼保護的加密解決方案。
去年12月,路透社透露,美國國家安全局已向這家美國公司支付了1,000萬美元,以使用該美國政府機構開發的工具作為其預設加密系統。該系統稱為雙橢圓曲線,隨機產生數字,但包含一個允許美國國家安全局破解加密的後門。在透過電子郵件收到的評論中,RSA「斷然申明其從未簽署過合同,也從未啟動過旨在削弱RSA產品或整合RSA的項目“後門”其產品的潛力,因此它們被用於其保護的資訊安全以外的目的”。
一個新的缺陷
無論如何,今天,來自幾所大學(尤其是伊利諾伊州和威斯康辛州大學)的研究人員宣稱,他們發現了 NSA 開發的第二種工具,有助於削弱 RSA 解決方案。該工具稱為“擴展隨機”,可作為安全網站的擴展,實際上可用於以數萬倍的速度破解雙橢圓曲線。
最初,它的目的是增強用於創建加密金鑰的數位產生的隨機性。最終,擴展隨機似乎傳輸了一些額外的數據,使得隨後的加密訊息更加可預測。
安全研究人員之一馬修格林 (Matthew Green) 向路透社解釋:“如果使用雙橢圓曲線就像玩火柴,那麼添加擴展隨機就像把自己塗滿汽油”。
研究人員解釋說,擴展隨機並沒有被廣泛使用。 RSA 技術主管 Sam Curry 告訴路透社:「我們本可以對國家安全局的意圖更加謹慎。我們信任他們,因為他們負責美國政府和關鍵基礎設施的安全。。
Mozilla,透過 WebRTC 受到影響
更令人擔憂的是,擴展隨機似乎是由NSA 一個部門的技術總監瑪格麗特·索爾特(Margaret Salter) 和一位名叫埃里克·雷斯科拉(Eric Rescorla) 的獨立專家開發的。後者是線上資料流量加密的大力捍衛者,特別為 Mozilla 工作,他為 Mozilla 的 WebRTC 實施提供建議。據 IETF 網站稱,瀏覽器內的這種安全即時通訊協定主要由 Eric Rescorla 開發。路透社表示,這可能會讓人懷疑他的動機。
這項揭露顯示美國國家安全局在多大程度上能夠利用其作為技術顧問的角色來破壞安全工具。
另請閱讀:
美國國家安全局如何將駭客產業化– 15/03/2014
