直到昨天,斯诺登才终于说出了最大的秘密,那就是(互联网)没有秘密。
稍事修整的斯诺登昨日又通过英国卫报爆料,称NSA和英国情报机构可破解包括VPN和HTTPS在内的绝大多数互联网隐私保护和加密技术,这意味着大多数经过加密的个人和商业网络通讯数据、在线交易信息,对NSA来说都唾手可得。
卫报援引安全专家观点指出:NSA的做法已经动摇了整个互联网的信任基础。
根据斯诺登提供的绝密文档,NSA和英国情报机构GCHQ的破解技术让互联网公司向用户承诺——用户的网络通讯、网银和医疗信息不会被包括政府和黑客在内的任何人解密,变成了一句空话。
NSA对互联网大规模解密的能力不是一天练成的,事实上是NSA长期的系统工程的成果,NSA主要通过以下三种方法达到目的:
1.采用秘密方法控制信息安全国际标准的制定(使可以被NSA破解的加密标准被采纳为国际标准)。
2.采用超级计算机暴力破解。(例如与IBM合作开发的定制芯片可以在数小时内破解1024位 RSA/DH密钥)
3.也是最严格保密的做法,与大型技术公司和互联网服务商合作,每年投入2.5亿美元用于与科技公司的“合作”费用。包括:a.在大型技术公司的商业产品中植入后门。b.在高科技公司里发展“自己人”。c.修改加密软件,降低信息安全产品的安全强度。
上图是GCHQ的一个试点项目,可以实时监听并解密来自互联网骨干光缆的数据
根据斯诺登披露的绝密文档,NSA和GCHQ的破解互联网加密技术的项目在2010年取得突破性进展,可以大规模解密从互联网主干网截获的海量数据。GCHQ还成立了专门的团队解密“四大”——Hotmail、Google、Yahoo和Facebook的用户数据。这意味着即使互联网公司在某些情况下拒绝向NSA和GCHQ提供用户数据,NSA也可以自行破解获取。
与棱镜项目每年2000万美元的预算相比,NSA和GCHQ每年与科技公司的“合作”项目——Sigint的预算则高达25亿美元。2011年以来,Sigint项目的开支累计高达8亿美元。
泄漏文档显示,NSA破解整个互联网的目的不仅仅是反恐,而且还涉及了重大的商业利益,包括“重塑全球市场”,以及破解4G手机加密技术等。
值得注意的是,Sigint的预算还覆盖了一个战略性的目标:控制信息安全国际标准。
绝密文档证实了安全专家们长期以来的一个猜测:2006年NSA秘密运作使美国国家标准与技术研究所(NIST)的起草的一份安全标准得以成为国际标准。文件中写道:
最终,NSA成了安全标准的独家起草者。
NSA的解密项目代号Bullrun,名字取自美国南北战争的一次关键战役。泄密文档显示Bullrun能够破解大多数网络安全协议,例如HTTPS、VoIP、SSL与 VPN技术。
随着Sigint和Bullrun项目的成熟,互联网和全体网民在NSA面前基本一丝不挂,但是目前还是有一些技术可以帮助个人或者企业避开NSA的监控,安全专家Bruce Schneie在卫报上介绍了五个工具,有兴趣的读者也可以参考阅读IT经理网之前的文章:个人如何逃避NSA的全球监控。
以下为斯诺登披露的NSA的“向加密宣战”的绝密文档,可以看出Sigint资助的项目包括从产业公关、削弱商业软件的加密强度到秘密运作使能被NSA破解的加密标准成为国际标准等。