科技: 人物 企业 技术 IT业 TMT
科普: 自然 科学 科幻 宇宙 科学家
通信: 历史 技术 手机 词典 3G馆
索引: 分类 推荐 专题 热点 排行榜
互联网: 广告 营销 政务 游戏 google
新媒体: 社交 博客 学者 人物 传播学
新思想: 网站 新书 新知 新词 思想家
图书馆: 文化 商业 管理 经济 期刊
网络文化: 社会 红人 黑客 治理 亚文化
创业百科: VC 词典 指南 案例 创业史
前沿科技: 清洁 绿色 纳米 生物 环保
知识产权: 盗版 共享 学人 法规 著作
用户名: 密码: 注册 忘记密码?
    创建新词条
科技百科
  • 人气指数: 4076 次
  • 编辑次数: 1 次 历史版本
  • 更新时间: 2013-12-21
高兴
高兴
发短消息
相关词条
特朗普政府网络安全行政命令草案
特朗普政府网络安全行政命令草案
网络威胁联盟
网络威胁联盟
美俄网络安全基础概念界定
美俄网络安全基础概念界定
安全研究主要理论范式
安全研究主要理论范式
安全研究
安全研究
国际安全观之比较
国际安全观之比较
安全的再定义
安全的再定义
建构主义安全研究范式
建构主义安全研究范式
巴黎学派与批判安全研究
巴黎学派与批判安全研究
非传统安全理论
非传统安全理论
推荐词条
希拉里二度竞选
希拉里二度竞选
《互联网百科系列》
《互联网百科系列》
《黑客百科》
《黑客百科》
《网络舆情百科》
《网络舆情百科》
《网络治理百科》
《网络治理百科》
《硅谷百科》
《硅谷百科》
2017年特斯拉
2017年特斯拉
MIT黑客全纪录
MIT黑客全纪录
桑达尔·皮查伊
桑达尔·皮查伊
阿里双十一成交额
阿里双十一成交额
最新词条

热门标签

微博侠 数字营销2011年度总结 政务微博元年 2011微博十大事件 美国十大创业孵化器 盘点美国导师型创业孵化器 盘点导师型创业孵化器 TechStars 智能电视大战前夜 竞争型国企 公益型国企 2011央视经济年度人物 Rhianna Pratchett 莱恩娜·普莱契 Zynga与Facebook关系 Zynga盈利危机 2010年手机社交游戏行业分析报告 游戏奖励 主流手机游戏公司运营表现 主流手机游戏公司运营对比数据 创建游戏原型 正反馈现象 易用性设计增强游戏体验 易用性设计 《The Sims Social》社交亮 心理生理学与游戏 Kixeye Storm8 Storm8公司 女性玩家营销策略 休闲游戏的创新性 游戏运营的数据分析 社交游戏分析学常见术语 游戏运营数据解析 iPad风行美国校园 iPad终结传统教科书 游戏平衡性 成长类型及情感元素 鸿蒙国际 云骗钱 2011年政务微博报告 《2011年政务微博报告》 方正产业图谱 方正改制考 通信企业属公益型国企 善用玩家作弊行为 手机游戏传播 每用户平均收入 ARPU值 ARPU 游戏授权三面观 游戏设计所运用的化学原理 iOS应用人性化界面设计原则 硬核游戏 硬核社交游戏 生物测量法研究玩家 全球移动用户 用户研究三部曲 Tagged转型故事 Tagged Instagram火爆的3大原因 全球第四大社交网络Badoo Badoo 2011年最迅猛的20大创业公司 病毒式传播功能支持的游戏设计 病毒式传播功能 美国社交游戏虚拟商品收益 Flipboard改变阅读 盘点10大最难iPhone游戏 移动应用设计7大主流趋势 成功的设计文件十个要点 游戏设计文件 应用内置付费功能 内置付费功能 IAP功能 IAP IAP模式 游戏易用性测试 生理心理游戏评估 游戏化游戏 全美社交游戏规模 美国社交游戏市场 全球平板电脑出货量 Facebook虚拟商品收益 Facebook全球广告营收 Facebook广告营收 失败游戏设计的数宗罪名 休闲游戏设计要点 玩游戏可提高认知能力 玩游戏与认知能力 全球游戏广告 独立开发者提高工作效率的100个要点 Facebook亚洲用户 免费游戏的10种创收模式 人类大脑可下载 2012年最值得期待的20位硅谷企业家 做空中概股的幕后黑手 做空中概股幕后黑手 苹果2013营收 Playfish社交游戏架构


目录

RSA被指收美政府千万美元在加密算法中安后门编辑本段回目录

RSA SecurID密钥卡RSA SecurID密钥卡

  北京时间12月21日下午消息,美国国安局(NSA)“棱镜门”监听丑闻又有新进展。据路透社报道,NSA曾与加密技术公司RSA达成了1000万美元的协议,要求在移动终端广泛使用的加密技术中放置后门。

  两名知情人士称,RSA收受了1000万美元,将NSA提供的方程式设定为BSafe安全软件的优先或默认随机数生成算法。尽管这一金额看上去不多,但这已经相当于RSA公司有关部门年收入的三分之一。

  此举将让NSA通过随机数生成算法Bsafe的后门程序轻易破解各种加密数据。RSA否认了相关的内容,并声称自己的加密算法只使用了国家认证的协议。而NSA则拒绝发表评论。

  简而言之就是,NSA首先利用NIST(美国国家标准研究所)认证了这种有明显漏洞的算法为安全加密标准,然后再让RSA基于这种算法推出安全软件Bsafe。而企业级用户采购安全软件,则看到的是一个世界级企业采用NIST认证的加密标准开发的软件。

  影响巨大

  RSA此次曝出的丑闻影响非常巨大,作为信息安全行业的基础性企业,RSA的的加密算法如果被安置后门,将影响到非常多的领域。

  据悉,RSA目前在全球拥有8000万客户,客户基础遍及各行各业,包括电子商贸、银行、政府机构、电信、宇航业、大学等。 超过7000家企业,逾800万用户(包括财富杂志排行前百家企业的80%)均使用RSA SecurID认证产品保护企业资料,而超过500家公司在逾1000种应用软件安装有RSA BSafe软件。

  一位要求匿名的互联网安全专家对新浪科技表示,RSA是一种国际上通用的非对阵算法,主要是提供双因素认证功能。即把密码拆分成两部分,一部分是用户设置的固定密码,另外一部分来自每个用户发放的可显示数字的硬件。该硬件基于时间、设备号和种子数计算出一个动态密码。固定密码加动态密码才构成整个认证密码。

  他介绍说,目前在国内RSA产品的应用非常广泛,绝大多数互联网公司都在采用这套认证工具。在国外,不少军工、兵器类公司也都是RSA用户。美国国安局在RSA中设置后门意味着,密码动态密码部分已经被美国政府掌握。

  曝光过程

  RSA公司的行为令全世界震惊。该公司一直是隐私和安全的拥趸。上世纪九十年代,NSA试图通过加密芯片(Clipper Chip),监控大量电脑和通讯产品,RSA公司曾带头抵制。

  《纽约时报》今年9月曾披露,NSA前雇员、泄密人爱德华·斯诺登(Edward Snowden)披露的文件显示,NSA研发了一种随机数生成方程式,能够在加密产品中充当“后门”。此后,RSA公司呼吁用户停用植入了这些方程式的产品。

  路透社随后报道称,RSA是该方程式的主要散播者, 该公司将其植入了一款名为BSafe的电脑安全软件。

  RSA在一份声明中称:“RSA的行为一直符合客户的最大利益,无论如何都不会在产品中设计或植入任何后门。RSA产品的功能和特性完全自行决定。”

  路透社采访了多名RSA公司的现任和前任雇员,大多数人认为该公司接受这份合同是错误的。许多人认为,RSA公司正在偏离专注于加密产品的轨道,是这起丑闻发生的原因之一。

  但也有人认为,RSA公司被政府官员误导,后者将NSA提供的随机数生成方程式描述为一种先进的安全技术。一位知情人士称:“他们(NSA)并未显露真实目的。”该人士声称,政府官员并没有告诉RSA公司,他们知道如何破解加密。

  路透社认为,RSA公司的这份合同表明,NSA加强监控的一大关键策略是:系统性破坏安全工具。斯诺登最近几个月披露的文件显示,NSA正利用“商业关系”推进这一目标,但并未指明哪家安全公司充当合作伙伴。

  本周,美国白宫任命了一个委员会,调查美国监控政策,这一标志性的事件让NSA成为众矢之的。该委员会称“加密是互联网信任的核心基石”,并呼吁NSA停止任何破坏这一基石的行为。

  传奇历史

  RSA Security公司由RSA算法的发明者Ron Rivest, Adi Shamir和Len Adleman在1982年创立,随后在2006年以21亿美元的价格被EMC公司收购。

  RSA加密算法可以看作是随机数生成器,但是有些数字是固定的,密码学家能够将其作为万能钥匙通过一些内置的算法进行破解。该算法最有名的一个缺陷是DUAL_EC_DRBG,密码学家几年前就发现了这个问题。

  分析人士认为,RSA算法本身没什么问题,因为密钥理论上随机产生,猜对密钥如同大海捞针。但是,如果NSA确实放置了后门,那么这个算法的安全性将不复存在。

  20世纪70年代,麻省理工学院的教授发起了RSA加密算法的研究,前海军陆战队员Jim Bidzos负责领导。RSA及其核心算法是由三位创始人名字的开头字母组成,这一算法的彻底改变了密码学。虽然RSA很少为公众知晓,这一加密工具已经被大多数大型科技公司使用来保护数亿人使用的电脑。

  RSA算法的核心是公众密钥加密技术。在为信息编码和解码的过程中,RSA使用了两只以数学关系联系在一下的密钥,而非使用同一密钥。编码器使用一支密钥生成信息,而解码器使用另一只来解读信息。

  早期,美国情报机关担心这一算法可能会打击建构完好的既有公众密钥加密技术。斯坦福大学前研究员Martin Hellman当时负责调查这一技术,他说美国国家安全局试图说服他和其他研究人员相信这一技术没有必要推广。

  随着越来越多的科技公司使用RSA算法,并且互联网发展迅猛,使用该算法的商业风险逐步增加。克林顿政府接受了加密芯片,并且强制在手机和电脑中加入了此芯片,使得官员能够以正当理由破解加密技术。RSA公司发起了一次反对该做法的公众运功,向参与者发放印有一只沉船的海报,配以“击沉解密芯片”的文字。

  反对使用该芯片的关键在于,海外消费者会因为装有此芯片的美国科技产品可以用来从事间谍活动而拒绝购买。一些公司表示,斯诺登泄密事件之后,外国消费者就是这么想的。

  白宫放弃了解密芯片,转而依赖出口控制来阻止最好的密码技术出口到国外。RSA又一次联合这个行业,并且在澳大利亚建立了一家分支机构来保证公司可以出口其想出口的东西。“我们已经成为了反抗政府活动的的箭头人物,” Bidzos在一段口述历史中回忆道。

  RSA的发展

  当美国政府的出口限制令解除时,RSA和业内其他公司共同庆祝了斗争的胜利。但是,NSA不会放弃对用户数据的监控。2001年的911袭击发生后,这一需求变得更加迫切。

  与此同时,RSA也在变化。1999年,Bidzos不在担任CEO一职,转而专注于从RSA脱离出来的一家名为VeriSign的安全认证公司的管理。据RSA前员工称,Bidzos在硅谷创立的RSA随后办公地点搬到麻省东部,很多顶尖工程师也纷纷离职。

  同时,BSafe安全软件在该公司的地位日渐衰落。到2005年,BSafe其他开发工具总共为RSA带来2.75亿美元营收,不及公司总营收的9%。

  RSA一位于2005年离职的前员工Victor Chan告知路透社,当他加入时该公司时,实验室里还只有10名员工,大家都在与NSA抗争。但后来,RSA发生了巨大的变化。

  到2006年上半年,RSA和美国大多数科技公司一样,把NSA看作共同抵御海外黑客的伙伴。据RSA前员工透露,该公司新CEO Art Coviello及其团队依然希望被视为科技先锋,NSA正好给了他们这个机会。

  NSA内部开发的一种名为双椭圆曲线(Dual Elliptic Curve)的算法当时即将获得NIST(美国国家标准研究所)认证为可用于生成随机数的四种算法之一。对于面向政府客户的产品来说,NSA的认证是必不可少的,很多其它行业也行看重这一认证。

  一位熟悉事件进展的内部人士称,在双椭圆曲线算法还没有通过NIST认证时,RAS就已经将这一算法用于自己的产品,随后,NSA开始向美国政府内部推行这种算法,从而促使NIST通过认证。

  从此,双椭圆算法成为了RSA安全软件中生成随机数的默认算法。该公司前员工称,决策者商业领袖而非技术人员,因此并未觉得其中有何不妥。

  一年之中,对于双椭圆算法的质疑声从未间断。密码学权威Bruce Schneier在一篇文章中称,该算法公式中的弱点“只能被称为后门”。在今年9月“棱镜门”事件曝光后,RSA公司呼吁用户停用包含双椭圆算法的产品。

  不同于20年前的加密芯片之争,该公司对公众透露的信息非常有限,也不愿谈论NSA的干涉对公司与客户的关系有何影响。

白宫则表示,考虑通过本周成立的委员会的努力,根除一切破坏密码的行为。(彦飞、天恒、夏乙)

  持续更新中……


→如果您认为本词条还有待完善,请 编辑词条

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
0

标签: RSA安全门

收藏到: Favorites  

同义词: 暂无同义词

关于本词条的评论 (共0条)发表评论>>

对词条发表评论

评论长度最大为200个字符。