◄►◄❌►▲ ▼▲▼ • B下一个新评论下一个新回复了解更多
有了 RSA,一个在密码学中受人尊敬的大名(实际上是首字母缩写),目前正在获得 剥皮的 因从 NSA 获得 10 万美元而在公共媒体上露面,作为回报,在其产品中嵌入了一个狡猾的、被 NSA 破解的随机数生成器又名 DUAL EC EBRG(RNG 有助于生成加密密钥;一个被破解的 RNG 产生一个有限的、更易破解的集合键),一些观察:
首先,正如可能记得的那样,NSA RNG 的受损特征在 XNUMX 月的斯诺登文件的前一部分中被揭露,尴尬的 RSA 迅速发布了建议用户停止使用该特定 RNG。
其次,即使早在 XNUMX 月份,就有关于 RSA 愿意将 RNG 纳入其产品的可能的财务考虑因素的传言。 这是我当时写的一篇文章的片段:
[在最近的科学星期五节目中] Ira Flatow 问 Philip Zimmerman [PGP 开放密钥电子邮件加密系统的创造者] 为什么 RSA 会做这样的事情。 一阵尴尬的沉默和尴尬的笑声在齐默尔曼滑入被动语态/第三人称区域之前:
ZIMMERMAN:然而 RSA 做了一个安全措施——确实使用它作为他们默认的随机数生成器。 他们确实有能干的密码学家在那里工作。 所以。
FLATOW:你怎么解释?
ZIMMERMAN:嗯,我不会——我想我不想成为那个说的人。
(笑声)
FLATOW:但是如果要别人说,他们会怎么说?
齐默尔曼:嗯,其他人可能会说,也许他们受到了激励。
或许齐默尔曼先生提前查看了斯诺登的相关文件。 我认为更有可能的是,他已经在他的高科技圈子里听到了一些小道消息,但他没有兴趣公开指责 RSA 拿走政府资金,从而对自己进行公司和法律培训(有趣的法律问题:是声称一家美国公司与美国政府进行合法交易是诽谤吗?)。
第三,责备西装! 每 路透社曝光:
前雇员说,没有发出警报,因为这笔交易是由 商业 领导者而不是纯粹的技术专家。
“实验室小组在 BSafe [被 RNG 破坏的产品线] 中扮演了一个非常复杂的角色,他们基本上已经消失了,”1999 年离开的实验室老手迈克尔韦诺库尔说。
实际上,外部安全分析师布鲁斯·施奈尔 (Bruce Schneier) 和其他人在 2007 年的公共论坛上就对 DUAL EC EBRG 提出了严重关切,而且正如 Zimmerman 指出的那样,RSA 拥有称职的密码学家。 DUAL EC EBRG 仅作为一个选项提供,尽管是默认选项,并且精通安全的用户可以选择另一个更好的 RNG。 RSA 密码学家可以进一步安慰自己,因为他们意识到,即使 Clueless Enduser 将 DUAL EC EBRG 保留为默认设置,可能唯一具有消息收集和分析能力以有效利用它的实体是美国自己的 NSA。
换句话说,不仅仅是 RSA 首席执行官和指定反派 Art Coviello 潜入实验室并插入致命代码,而技术人员却不知不觉地运送了受感染的产品。
第四,我认为人们越来越意识到斯诺登故事的一个重要因素是大型科技公司和美国国家安全局之间的勾结,这是因为双方都想要同样的东西:一个彻底后门的互联网对个人数据分析和监视开放渗透(并容忍由此产生的安全漏洞作为开展业务的成本/附带损害)。
我想知道这个故事是否会得到更多的关注,因为有相当大的既得经济、政治和意识形态利益一直延伸到椭圆形办公室,他们致力于使一个致力于信息的良性、民主/民粹主义信息秩序的形象永久化安全。 另一方面,有兴趣看到谷歌和其他科技巨头共同承担破坏互联网的责任——并在此过程中蒸发数千亿美元的个人财富、市值和股票期权——的选区是无能为力和消失的小的。
在科技行业内,这种态度似乎是一种损害控制,即媒体倡议让公众相信互联网公司关心你,讨厌帮助那个讨厌的旧政府。 至于是否会出现一个企业斯诺登的问题,态度似乎是,正如菲尔齐默曼——1990 年代加密战争中一位真正的、饱受摧残的英雄——所说:“我想我宁愿不是一个说。” 也许 omerta 的代码继续存在于科技行业。
第五,我觉得这很有趣,也有点恼火,自从我在 XNUMX 月份写了关于 RSA 的文章后,我在自己的博客和整个网络上都收到了 RSA 弹出式广告的轰炸。 互联网相当于一只金毛猎犬,它在无法抗拒的冲动驱使下在街上追我,想闻一闻我的裤子座位。 让它停下来!