RSA和美國安局密謀加密算法續：各方醞釀抵制潮

新浪科技訊 12月24日下午消息，受RSA與美國國安局(NSA)密謀在其品中可植入后門這一醜聞影響，網絡安全提供商F-Secure公司的安全研究主管宣佈將取消其在每年一度的RSA安全大會上的發言。RSA中國表示，對此事件不方便置評。

安全專家抵制RSA年度大會

據《華爾街日報》報導稱，F-Secure首席安全研究官米考眠珀尼(Mikko Hypp渀攀渀)原本計劃在2014年2月28日在RSA安全大會上發表題為《美政府是惡意軟件的始作俑者》(Goverments as Malware Authors)的演講。在寫給EMC公司CEO的一封公開信中，他表示自己取消發言的部分原因是受到路透社曝出RSA與NSA密謀加密算法新聞的影響。

雖然此舉吸引了業界的廣泛關注，但他表示，他不指望其他美國安全研究專家共同採取抵制行為。“美政府的監控計劃是針對外國人的。而我是個外國人，所以我取消對於RSA安全大會的支持。”他解釋道。

據悉，RSA的年度會議定於2014年2月24日至28日舉行，是電腦安全行業的重要會議，而且會吸引很多獨立研究者參加。此次大會號稱將有1.5萬人參加。

米考眠珀尼所指新聞是路透社於12月20日報導的。據稱，EMC旗下安全解決方案供應商RSA被指收受NSA1000萬美元在其廣受歡迎的安全軟件品BSafe中將帶有缺陷的Dual_EC_DRBG隨機數生成算法作為首選算法。

文字編輯工程師、計算機研究碩士余天升在知乎(網絡問答社區)上表示，Dual_EC_DRBG是一種隨機數生成算法，利用雙橢圓曲線生成隨機密鑰，由於使用了來源不明的常數，而被業界懷疑有問題。使用這種有缺陷的隨機算法所生成的加解密密鑰有可能被攻擊者預測到，存在安全隱患。

RSA公開否認與NSA密謀

12月23日，RSA在官方博客中發布聲明稱，RSA對與NSA的合作關係並未保密，而是公開宣傳這一關係，同時表示致力於加強企業和政府的信息安全。

在此份聲明中，RSA沒有明確的措辭表示Dual_EC_DRBG算法存在缺陷，或直接否認此算法有潛在的安全隱患，而是強調它是被NIST(美國國家標準與技術研究所)認可的標準，於是繼續使用該算法作為BSafe工具包的一個選項。

但是，據余天升介紹，在2007年8月，兩名微軟研究員Dan Shumow和Niels Ferguson發現Dual_EC_DRBG算法可以被植入后門。如果該算法選用的常數經過特殊選擇，則算法的設計者若保存了選擇常數的數據，便可獲知該算法生隨機數列的前32個位元組。

同時，他表示，曝光“稜鏡門”事件的斯諾登后來披露的檔案顯示，NSA確實設計了一個帶有缺陷的隨機數生成算法，並通過NIST確立為國家標準。

RSA還表示：“從來不泄露客戶合作的細節，也從沒有訂立任何合約、或者涉及任何項目，有意削弱RSA品，或在品上安插潛在的‘后門’給任何人使用。”不過，RSA並未直接否認其接受1000萬美金加入NSA設計的有缺陷的Dual_EC_DRBG算法這一法。

國內各方均保持沉默

RSA在信息安全界享譽盛名，致力於開發用戶認證、加密和公鑰管理系統，其品BSafe是頗受歡迎的互聯網安全軟件工具，它可以令品開發者獲得安全認證方面的支持，包括互聯網瀏覽器、無線設備、電子商務伺服器、電子郵件系統和虛擬專用網絡品等。

據第三方調查機構顯示，RSA在全球的市場份額達到70%。鑒於RSA品在信息安全領域的廣泛性和BSafe品受歡迎的程度，存在安全隱患的加密算法一旦被確認是故意插入后門，將對RSA的客戶生負面影響。

據悉，RSA目前在全球擁有8000萬客戶，客戶基礎遍及各行各業，包括電子商貿、銀行、政府機構、電信、宇航業、大學等，而超過500家公司在逾1000種應用軟件安裝有RSA 的BSafe安全軟件。

新浪科技就此事致電前RSA中國市場部總經理，得到的答覆是不方便對此發表言論。負責RSA事務的中國公關公司發言人也表示，對於此次敏感事件，RSA中國接受RSA總部公關指示，除總部公關發言人外，RSA其他人均無法提供任何信息。

據悉，RSA的中國客戶包括三大電信運營商中國電信、中國移動、中國聯通，和銀行客戶方面的中國銀行、中國工商行、中國建設銀行等，以及電信設備商華為和家電製造商海爾等。

中國電信辦公廳新聞宣傳處負責人對新浪科技表示，中電信暫無法評估此新聞對其造成的影響，已將信息上報給國家工業和信息化部。

全面代理RSA中國業務的神州數碼和或受影響的華為公司對此事也暫時保持沉默。在新浪科技發稿前，各方均尚未有進一步回應。(娜拉)