原文:http://dr.waynehuang.cc/2013/12/nsa-rsa-backdoor.html
史諾登揭露的美國國安局「稜鏡門」監聽醜聞,真是一波未息、一波又起,而此次拖出了全球加解密之龍頭資安廠商:RSA(已被 EMC 併購)!路透社20日報導,路透社綜合史諾登所公布出的機密檔案,以及兩位知情人士之訪談,獲知美國國安局以約三億台幣的佣金,買通了 RSA,刻意協助美國國安局大量散播有弱點的加解密亂碼產生機制,以達成後門效應,讓美國國安局得以大量解密網路上之資料。
RSA 產品被各國大量運用於加解密需求上,例如台灣的自然人憑證(稍早學者質疑安全性)、醫事憑證IC卡等,就使用到了 RSA。RSA 演算法由三位知名密碼學專家所共同發明:Ron "R"ivest、Adi "S"hamir、與 Len "A"dleman,三位也因此於 2002 年獲得計算機科學界的諾貝爾獎:杜林獎(Turing Award)。他們也同時是 RSA 公司的共同創辦人。
RSA 每年負責舉辦資安界最大的產業會議:RSA Conference,每年 "R"ivest 與 "S"hamir 都會上台參加論壇。阿碼科技從 2006 年起便每年參加並設攤位展示我們的技術與產品,而我本人也擔任過兩年的講師。朋友問此事對於 RSA 公司的影響;我覺得我們得想此案對於整個資安界的影響。如果連 RSA 這種不論規模或聲望都是資安界龍頭的廠商,也會有這種事情發生,那麼到底還發生過多少類似事件?以後類似事件是否會持續(於台面下)發生?
當然,在史諾登揭露「稜鏡門」監聽案前,美國國安局於主流作業系統與加解密系統中埋後門一事,早有許多人跳出來指證,也引起不少專家猜測。然而指證歸指證、猜測歸猜測,大家始終沒半法確定其真實性。此次史諾登算是平反了許多當時被質疑的專家學者吧!但這麼肯定的答案,發生在你我身邊,也不免讓我們的生活,蒙上了更厚的一層陰影。剛看到報導:『台灣二○一三代表字大選昨揭曉,「假」字以一萬七千七百九十票登上寶座,囊括近三成票數,遙遙領先第二名的「黑」字』。我想不論是「假」字或「黑」字,都可以是全球 2013 年的代表字吧!
下圖為今年 RSA Conference 2013 論壇之照片,左二為 Whitfield Diffie(B 點中我們提到的 Diffie-Hellman 的 Diffie),左三為 R"ivest,左四為 "S"hamir:
關於此案細節部分,路透社的報導技術層面不夠深入,於是我自己做了一些功課,並整理重點分享於此:http://dr.waynehuang.cc/2013/12/nsa-rsa-backdoor.html 本帖最後由 wayne.armorize 於 2013-12-22 06:25 編輯
|
|
