新浪科技讯 12月24日下午消息,受RSA与美国国安局(NSA)密谋在其产品中可植入后门这一丑闻影响,网络安全提供商F-Secure公司的安全研究主管宣布将取消其在每年一度的RSA安全大会上的发言。RSA中国表示,对此事件不方便置评。
安全专家抵制RSA年度大会
据《华尔街日报》报道称,F-Secure首席安全研究官米考眠珀尼(Mikko Hypp渀攀渀)原本计划在2014年2月28日在RSA安全大会上发表题为《美政府是恶意软件的始作俑者》(Goverments as Malware Authors)的演讲。在写给EMC公司CEO的一封公开信中,他表示自己取消发言的部分原因是受到路透社曝出RSA与NSA密谋加密算法新闻的影响。
虽然此举吸引了业界的广泛关注,但他表示,他不指望其他美国安全研究专家共同采取抵制行为。“美政府的监控计划是针对外国人的。而我是个外国人,所以我取消对于RSA安全大会的支持。”他解释道。
据悉,RSA的年度会议定于2014年2月24日至28日举行,是电脑安全行业的重要会议,而且会吸引很多独立研究者参加。此次大会号称将有1.5万人参加。
米考眠珀尼所指新闻是路透社于12月20日报道的。据称,EMC旗下安全解决方案供应商RSA被指收受NSA1000万美元在其广受欢迎的安全软件产品BSafe中将带有缺陷的Dual_EC_DRBG随机数生成算法作为首选算法。
文字编辑工程师、计算机研究硕士余天升在知乎(网络问答社区)上表示,Dual_EC_DRBG是一种伪随机数生成算法,利用双椭圆曲线生成随机密钥,由于使用了来源不明的常数,而被业界怀疑有问题。使用这种有缺陷的随机算法所生成的加解密密钥有可能被攻击者预测到,存在安全隐患。
RSA公开否认与NSA密谋
12月23日,RSA在官方博客中发布声明称,RSA对与NSA的合作关系并未保密,而是公开宣传这一关系,同时表示致力于加强企业和政府的信息安全。
在此份声明中,RSA没有明确的措辞表示Dual_EC_DRBG算法存在缺陷,或直接否认此算法有潜在的安全隐患,而是强调它是被NIST(美国国家标准与技术研究所)认可的标准,于是继续使用该算法作为BSafe工具包的一个选项。
但是,据余天升介绍,在2007年8月,两名微软研究员Dan Shumow和Niels Ferguson发现Dual_EC_DRBG算法可以被植入后门。如果该算法选用的常数经过特殊选择,则算法的设计者若保存了选择常数的数据,便可获知该算法产生随机数列的前32个字节。
同时,他表示,曝光“棱镜门”事件的斯诺登后来披露的文件显示,NSA确实设计了一个带有缺陷的随机数生成算法,并通过NIST确立为国家标准。
RSA还表示:“从来不泄露客户合作的细节,也从没有订立任何合约、或者涉及任何项目,有意削弱RSA产品,或在产品上安插潜在的‘后门’给任何人使用。”不过,RSA并未直接否认其接受1000万美金加入NSA设计的有缺陷的Dual_EC_DRBG算法这一说法。
国内各方均保持沉默
RSA在信息安全界享誉盛名,致力于开发用户认证、加密和公钥管理系统,其产品BSafe是颇受欢迎的互联网安全软件工具,它可以令产品开发者获得安全认证方面的支持,包括互联网浏览器、无线设备、电子商务服务器、电子邮件系统和虚拟专用网络产品等。
据第三方调查机构显示,RSA在全球的市场份额达到70%。鉴于RSA产品在信息安全领域的广泛性和BSafe产品受欢迎的程度,存在安全隐患的加密算法一旦被确认是故意插入后门,将对RSA的客户产生负面影响。
据悉,RSA客户基础遍及各行各业,包括电子商贸、银行、政府机构、电信、宇航业、大学等,而超过500家公司在逾1000种应用软件安装有RSA 的BSafe安全软件。
新浪科技就此事致电前RSA中国市场部总经理,得到的答复是不方便对此发表言论。负责RSA事务的中国公关公司发言人也表示,对于此次敏感事件,RSA中国接受RSA总部公关指示,除总部公关发言人外,RSA其他人均无法提供任何信息。
据悉,RSA的中国客户包括三大电信运营商中国电信、中国移动、中国联通,和银行客户方面的中国银行、中国工商行、中国建设银行等,以及电信设备商华为和家电制造商海尔等。
中国电信办公厅新闻宣传处负责人对新浪科技表示,中电信暂无法评估此新闻对其造成的影响,已将信息上报给国家工业和信息化部。
全面代理RSA中国业务的神州数码和或受影响的华为公司对此事也暂时保持沉默。在新浪科技发稿前,各方均尚未有进一步回应。