12月23日,EMC旗下安全服务商RSA Security今天在官方博客上发表文章,否认了外界对于其被美国国家安全局(NSA)买通,在加密产品中留后门的报道。
本周末,路透社援引消息人士的话称,RSA与NSA签署了价值1000万美元的秘密合同,将存在后门的Dual_EC_DRBG算法作为该公司加密产品的默认伪随机数字生成器。“近日有媒体报道称,RSA与NSA签署了一项秘密合同,将一个已知存在漏洞的随机数字生成器加入到BSAFE加密库中。对此我们断然否认。”RSA在博客中回应称。RSA称,该公司在2004年决定将Dual_EC_DRBG作为默认算法,这一算法只是提供给用户的众多算法之一。“作为一家安全公司,RSA从不泄露客户合同细节,但是我们也绝对不会以弱化RSA产品的方式签署任何合同或参与到任何项目中,也不会在我们的产品中留下可能存在的后门”RSA称。
Dual_EC_DRBG作为密码算法的合理性也一直备受质疑。2007年11月,安全专辑布鲁斯·施奈尔(Bruce Schneier)就详细介绍了该算法使用秘密常量产生的漏洞。“如果你知道秘密常量,你只需要在收集32比特的输出结果后,就可以预测随机码生成器的输出结果。在实际情况下,要想破解该安全协议,你只需要监测传输层安全加密链接。如果你知道秘密常量,就能够完全破解任何使用Dual_EC_DRBG算法的产品。”他说。
今年9月,美国国家标准技术研究院(NIST)建议不要使用Dual_EC_DRBG算法。在NIST推荐后,RSA也发出了同样的建议。根据爱德华·斯诺登(Edward Snowden)公关的文件备忘录,Dual_EC_DRBG包含一个为NSA预留的后门。
见凤凰科技: “RSA否认被美国安局买通在算法中留后门”
