,国家安全局(NSA)已经成功地说服了软件,硬件和服务的总部位于美国的供应商安装后门间谍目的恐惧创造的世界各地的信任危机。
已经有,当然,常年怀疑美国国家安全局寻求后门,但文件由前国家安全局承包商泄露爱德华斯诺登上个月确认。而无论是NSA也没有国家情报总监克拉珀詹姆斯 - 他的办公室也常成为奥巴马政府的喉舌有关NSA纠葛说话 - 曾试图劝阻,否则我们。人们越来越担心美国国家安全局后门的可能几乎无处不在导致网络供应商,客户和安全研究人员的问题,他们相信什么。
在一篇文章纽约时报基于斯诺登,泄露的文件,甚至问题已知的加密随机位发生器是否叫“双椭圆曲线确定性随机位发生器”通过国家技术研究所推广是由几年前在它的工作NSA密码学家颠覆。加密专家们提出了年前,他们在双EC DRBG看到古怪的问题,但标准继续被广泛采用和使用。
反应愤怒的流露,NIST表示,它没有任何NSA后门,决定打开双EC DRBG标准9月10日征求公众意见的了解,说如果漏洞被发现NIST将与加密社区工作地址他们。“NIST不会刻意削弱加密标准,” NIST在一份声明中说。
保罗·科赫尔,总裁兼首席科学家密码研究,是许多加密专家认为认为双EC DRGB不包含NSA后门之一。“这是一个不寻常的后门程序,它需要一个秘密利用它,”科赫尔说。他说这是“与结论NSA可以打破它是一致的。”只有这样,才能得到这个“铁证”,虽然是“揭示秘密打破它。”而确凿证据将是关键的本身,他说。
双EC DRBG技术已被广泛部署,通过它包含它的RSA BSAFE工具箱并非最不重要的。RSA,EMC信息安全事业部,使得BSAFE工具包可添加一系列的加密功能于厂商或企业设计的软件,和双EC DRBG是它的默认值。
之后的日子NIST说,这是开放双重EC DRBG公众意见,RSA发布咨询与它的RSA BSAFE和RSA数据保护管理器,告诉客户他们应该放弃双EC DRBG和使用其他加密技术。一些密码学家甚至施放RSA的动机诽谤,但RSA坚决否认涉及到国家安全局后门任何故意的行为。
“RSA总是表现在它的客户的最佳利益,并在任何情况下不RSA设计或能够在我们的产品有任何后门,”该公司在9月20日公告中说。在大多数情况下,换出双EC DRBG被看作是一个简单的配置变化,但在某些情况下,它不会是。数以百计的高科技产品,包括来自思科,BMC和EMC存储产品为好,都包括在内,因为提供的RSA BSAFE的双EC DRBG。
连锁反应
不论是否涉及双重EC DRBG确凿的证据被发现过,从这个和其他NSA启示给美国产业的损害已经完成。
“NIST标准由国家安全局审查,”芬兰的SSH通信安全公司的首席执行官大肚Ylonen,说,说他感觉到周围的美国产品和服务的信心和信誉危机。“我们。云服务已投入有很好的理由的问题“。
而如果NSA表示信心一些技术,比如可信平台模块(TPM),硬件安全可信计算组规范,反应经常怀疑这是否真的值得与否,他指出。随着深远的影响的一个例子,Ylonen说,自从有关NSA的斯诺登文件外泄,芬兰停止电子通信使馆之间的绝密材料,宁愿快递这样的信息来代替。
马尔科姆·哈金斯,英特尔公司副总裁,首席信息安全和隐私官
马尔科姆·哈金斯,英特尔公司副总裁兼首席信息安全和隐私官员说,英特尔没有理由在TPM怀疑一个后门,并增加了英特尔本身“不支持任何创建在技术安全和信任一个后门。”
他说,英特尔正在关注供应链的安全性和购买从自己的认可和信任的供应商名单。不过,他承认,斯诺登启示创建了轰动,并在一定程度上的反弹。从他自己的角度来说,他没有观测到在表达缺乏来自总部位于美国的供应商在技术的信心首席信息安全官的方式太多了,但他们有时会听到在上管理和执行层面对此表示。
SSH的Ylonen坦言偶尔会感觉“偏执狂”有关国家安全局或其他国家的间谍机构网络,窥探的可能,承认他甚至担心,他们会使用无证SSH密钥,以获得进入系统,已知的漏洞。但他万万没有想到的是什么斯诺登泄漏建议有关NSA的程度。
泄露的文件斯诺登NSA建议一直忙于颠覆性的网络产品多年,或许与它的工作盟友的英国,GCHQ,放置在为此高科技企业“痣”。
国家安全局怀疑,例如,使用欺骗性的X.509证书进行人在这方面的中间人针对其目标的攻击。
所以现在的问题是,已经在国家安全局一直在做这更加保证它可以在任何商业世界一直试图多年能安全地窥探?
这个问题是由近50个技术专家有技术的社会影响长远的利益要求。他们来自大学和研究团体(包括哈佛大学,约翰霍普金斯大学和卡耐基梅隆大学),以及维护公众利益集团,包括电子前沿基金会和民主中心科技冰雹。其中的几个安全专家与AVG技术,BT,Mozilla和静音圈产业或开放源码的连接。同时,他们申请他们的意见对国家安全局10月4日根据他们自己的意见,不一定是他们的雇主。他们的意见已提交给一个所谓的“评审组”总统去年八月成立检讨如何情报机构使用的技术。
与哗然超过NSA是如何运作面前,奥巴马总统在八月成立了所谓的“情报和通信技术的国家情报评估组的主任。”该审查小组的目的是“回顾我们的情报和通信技术”与即将交付的“发现”总统的目标。
该审查小组要回答的主要问题是美国如何能够”利用其技术收集能力在最佳保护我们的国家安全和推进我们的外交政策,同时尊重我们的隐私和公民自由的承2020欧洲杯夺冠热门诺的方式,认识到我们需要维护公众的信任,并降低未授权泄露的风险。”
该审查小组由理查德·克拉克,迈克尔·莫雷尔,杰弗里·斯通,桑斯坦和彼得·斯尔的。克拉克,现在的顾问,曾在美国情报漫长的职业生涯,是前白宫网络安全顾问。
技术专家解决奥巴马任命的审查小组表达了什么出名约NSA监控深切关注。
“我们已经了解了这个监控设备显示,这是复杂的,系统的和国家的最先进的,”组中的文件中说。“它包含广阔的收集,定位和使用欺诈性的X.509证书处理系统,以及强大的技术,如高速互联网过滤设备和入侵技术,如人在这方面的中间人攻击,借壳机制种植在软件和硬件“。
技术专家说,他们希望审查小组会发现究竟是怎么NSA和目标英国GCHQ AMASS内容,即使给情报收集的秘密性的信息充分披露是不可能的。在众多的技术专家是布鲁斯,用BT作为附属于英国电信托管安全解决方案的首席技术官和许多文章,包括一些关于美国国家安全局根据自己的一些文件斯诺登读的作者。
在他们的归档技术专家都在问了很多问题,包括是否NSA黑客进入远程服务器,也许是“暗中获取或秘密密钥材料没有钥匙持有人的授权或通知。”另一个问题是,“是否NSA地方操作工,分析师或代理美国公司内部以方便密钥材料暗中或隐蔽的访问?它这样做是美国之外的?2020欧洲杯夺冠热门它与英国GCHQ在做这个合作?”
在大约50个技术专家也表示,评估组任命由美国总统奥巴马应该询问NSA如何保持浩瀚的信息数量它收集的安全,尽量减少数据泄露的机会。专家们表示更应该对被称为NSA的PRISM方案通过斯诺登发现,它如何收集目标的内容。
关于RSA BSAFE问题,该集团说,“NIST和RSA已经开始公开召回的标准,并依赖于BSAFE,并告知用户,他们更可能包含一个后门程序的产品。这不仅致力于破坏NIST的信誉,而且它已使得它更容易为那些将窥视依赖于美国的安全工具业务通信。”
该专家备案说,“现实情况是,后门程序和隐蔽的访问机制是脆弱的,往往是有组织的犯罪分子,黑客和其他国家政府的军事和情报机构利用,他们可以通过使用非脆弱的通信方式很容易被绕过。这些后门的启示已经对美国贸易产生负面影响,因为企业和世界各地的用户提供了必要的安全通信有可能对产品和服务在美国以外的样子。”2020欧洲杯夺冠热门
高科技产业是越来越警惕一下下斯诺登启示 - 无论是成熟的真或假的一段时间 - 可能带来的。
一个主要的恐惧,一个公司代表说,私下是有一天我们会看到尖叫的头条新闻,他的公司有一个高管,几年前在产品制造某种秘密协议与NSA嵌入一个后门。如何将供应商生存下去呢?
And the question of putting a tech-savvy insider into a high-tech firm who could compromise products or services on behalf of an intelligence agency would be fairly simple, thinks Kocher of Cryptography Research.“ There’s no doubt in my mind that’s being done.”
科赫尔说,NSA启示已经创建了一个“在安全领域纯真的丧失。”美国国家安全局已经给出了数十亿美元由美国政府来攻击商业系统。但不需要他们的错误来种植这么多只是剥削者基于弱点已经存在,科赫尔笔记。现在,他的结论是,该美国更了解国家安全局,也许是时候学习有关情报机构在世界各地更专制国家发生的事情一点。
艾伦斯默是在网络世界中,IDG出版和网站,在那里她介绍有关信息安全的足球竞猜app软件新闻和技术发展趋势的高级编辑。Twitter的:MessmerE。电子邮件:emessmer@nww.com