美RSA叫停国安局加密算法

ZDNET安全频道 09月24日 国际新闻：RSA公司的所有加密系统均需要通过一个用户几乎无法预测的随机值来源来创建强劲的加密密钥或类似密钥，这其中一个随机值来源就是由美国国家安全局联合设计的伪随机数字生成器Dual_EC_DRBG或双椭圆曲线确定性随机数字生成器，后者的加密技术多年来一直存在风险漏洞：6年前有报道表示有人通过植入后门黑了该加密技术，因而所有依赖该加密技术的加密系统都有可能被轻易破解。

RSA公司的BSafe工具和数据保护管理其软件均默认使用Dual_EC_DRBG技术算法。因此，现在这家EMC旗下公司“强烈建议”用户在加密过程中采用另一个伪随机数字生成器（PRNG）。因为在这之前，信息揭秘者Edward Snowden对外公开了相关文档，据这些文档显示，美国国家安全局在Dual_EC_DRBG设计之初就对其植入后门，比如允许该间谍中心破解由RSA BSafe软件加密的HTTPS连接等等。

该可疑算法依据安全专家Bruce Schneier的建议曾被美国国家安全局大力推荐，其在2006年通过了美国国家标准与技术研究院（NIST）的正式批准并获得公开发表。但一年之后，微软研究人员就强调指出该技术设计存在根本缺陷：加密专家Matthew Green对此做了详细介绍，包括PRNG的历史发展和缺陷。

自斯诺登事件曝光以来，NIST就一直否认PRNG的缺陷性。PRNG为四大加密技术之一，在2006年由美国政府批准并大力推广。对此，本月初Schneier就表示NIST需要在实际行动和程序方面作出重大努力以重拾市场信心，尤其是在人们对Dual_EC_DRBG的安全性还存在质疑的阶段。

这几年来，密码专家们都知道Dual_EC_DRBG不仅速度慢而且安全性也不高，这也导致了人们纷纷指责RSA采用该技术作为BSafe默认选项的策略错误，有某些偏激人士甚至质疑RSA的真正动机。

Green上周末指出，“尽管人们对这款生成器存在诸多担忧，但RSA依然选择采用该技术作为其旗舰产品库中所有加密技术的默认生成器。由此，RSA以及基于RSA的相关产品对市场造成的影响是相当严重的。我们就举一个例子，即美国国家安全局将有可能截获由基于BSafe的各种工具创建的SSL/TLS连接，这个例子的危害性较大但并非最为严重。”

“那么RSA为什么会选择Dual_EC作为默认算法呢？”巴尔的摩的约翰·霍普金斯大学研究教授Green对此表示怀疑：“不仅仅是因为Dual_EC的速度极慢（运行速度对其性能也造成了一定的影响），早在2006年Dual_EC就被认为是一个效率低下的随即数字生成器。到了2007年，当[密码学家Dan] Shumow以及[Niels] Ferguson在一份文件中指出Dual_EC可能被植入后门之后，就没有任何一个明智的密码学家会选择采用该加密技术了。”

RSA的首席技术官Sam Curry则在一次Ars Technica的采访中对RSA的选择做了解释和辩护。他表示，RSA目前正在审查其所有的产品。而RSA的官方说辞显然没有改变Green的看法。

Curry在一封电子邮件中解释道：“希望基于数论的椭圆曲线技术不会存在其他技术（如FIPS 186 SHA-1生成器）中带有的漏洞风险，而Dual_EC_DRBG则是一项曾经过公开审查并被用户广为接受的技术标准。”

两个星期以前纽约时报首次披露道，美国国家安全局对加密算法植入后门仅仅是其间谍活动的一个组成部分，其目标在于让间谍人员可以轻易破译所谓的安全互联网交流活动信息。美国安局的其他监听方式还包括尝试说服各大技术公司在其产品中植入后门程序（这其中包括其提到的微软Outlook.com），以及发起所谓的中间人攻击来监视全世界范围内的网上聊天和交易记录。