RSA算法缺陷被证明是人为后门
作者: 日期:2014年01月08日 阅:8,281

Cybersecurity

RSA算法后门动摇美国科技产业信誉根基一文中,曾引述卫报的安全专家的说法:NSA的做法已经动摇了整个互联网的信任基础。安全业界都清楚,NSA对互联网大规模解密的能力不是一天练成的,是NSA长期的系统工程的成果,但是,在RSA算法后门曝光后,RSA立刻出面否认是该事件的同谋者,声称自己也是受害者。在RSA洗白自己之前,必须先明确一个原则性的问题:RSA的算法缺陷(DUAL_EC_DRBG)业界很早就注意到了,但其本身到底是技术缺陷还是人为设置的后门呢?

2013年12月路透社曾爆料称著名加密产品开发商RSA在收取NSA上千万美元后,在其软件Bsafe中嵌入了NSA开发的,被植入后门的伪随机数生成算法(Dual_EC——DRBG,双椭圆曲线确定性随机比特生成器),NSA还利用NIST认证该漏洞算法为安全加密标准,使得该算法成为大量软件产品默认使用的随机数生成器。

RSA加密算法可以看作是随机数生成器,但是有些数字是固定的,密码学家能够将其作为万能钥匙通过一些内置的算法进行破解。该算法最有名的一个缺陷是DUAL_EC_DRBG,密码学家几年前就发现了这个问题。

过去一年之中,对于双椭圆算法的质疑声从未间断。密码学权威Bruce Schneier在一篇文章中称,该算法公式中的弱点“只能被称为后门”。在今年9月“棱镜门”事件曝光后,RSA公司呼吁用户停用包含双椭圆算法的产品。

近日比利时计算机科学专家Aris Adamantiadis发表了Dual_EC_DRBG后门的概念验证研究报告,认为Dual_EC_DRBG的后门是被有意植入的,指出Dual_EC_DRBG使用了一个秘密的值去计算一个椭圆曲线点常量,他并不知道这个秘密值,认为可能只有NSA能利用这个后门。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章