Trafalgar 几个月内第二次袭击了 RSA 的核心,RSA 是 EMC 集团的安全部门,提供广泛用于 Web 和密码保护的加密解决方案。
去年12月,路透社透露,美国国家安全局已向这家美国公司支付了1000万美元,以使用该美国政府机构开发的工具作为其默认加密系统。该系统称为双椭圆曲线,随机生成数字,但包含一个允许美国国家安全局破解加密的后门。在通过电子邮件收到的评论中,RSA“断然申明其从未签署过合同,也从未启动过旨在削弱RSA产品或整合RSA的项目“后门”其产品的潜力,因此它们被用于其保护的信息安全以外的目的”。
一个新的缺陷
无论如何,今天,来自几所大学(尤其是伊利诺伊州和威斯康星州大学)的研究人员宣称,他们发现了 NSA 开发的第二种工具,该工具有助于削弱 RSA 解决方案。该工具称为“扩展随机”,可作为安全网站的扩展,实际上可用于以数万倍的速度破解双椭圆曲线。
最初,它的目的是加强用于创建加密密钥的数字生成的随机性。最终,扩展随机似乎传输了一些额外的数据,使得随后的加密信息更加可预测。
安全研究人员之一马修·格林 (Matthew Green) 向路透社解释道:“如果使用双椭圆曲线就像玩火柴,那么添加扩展随机就像把自己涂满汽油”。
研究人员解释说,扩展随机并没有被广泛使用。 RSA 技术主管 Sam Curry 告诉路透社:“我们本可以对国家安全局的意图更加谨慎。我们信任他们,因为他们负责美国政府和关键基础设施的安全。”。
Mozilla,通过 WebRTC 受到影响
更令人担忧的是,扩展随机似乎是由 NSA 一个部门的技术总监玛格丽特·索尔特 (Margaret Salter) 和一位名叫埃里克·雷斯科拉 (Eric Rescorla) 的独立专家开发的。后者是在线数据流量加密的大力捍卫者,特别为 Mozilla 工作,他为 Mozilla 的 WebRTC 实施提供建议。据 IETF 网站称,浏览器内的这种安全实时通信协议主要由 Eric Rescorla 开发。路透社表示,这可能会让人怀疑他的动机。
这一揭露表明美国国家安全局在多大程度上能够利用其作为技术顾问的角色来破坏安全工具。
另请阅读:
美国国家安全局如何将黑客产业化– 15/03/2014
