RSA加密算法“裝后門” 用戶該如何抉擇?

來源：互聯(lián)網(wǎng)   發(fā)布日期：2014-01-27 19:22:10   瀏覽：6198次  

近日，一則“美政府千萬美元收買RSA加密算法裝后門”的報(bào)道引發(fā)了關(guān)于加密技術(shù)安全性的激烈討論。該報(bào)道據(jù)路透社消息稱，美國國家安全局(NSA)曾與加密技術(shù)公司RSA達(dá)成了1000萬美元的協(xié)議，要求在移動(dòng)終端廣泛使用的加密技術(shù)中放置后門。RSA將NSA提供的方程式設(shè)定為BSafe安全軟件的優(yōu)先或默認(rèn)隨機(jī)數(shù)生成算法。此舉將讓NSA通過隨機(jī)數(shù)生成算法Bsafe的后門程序輕易破解各種加密數(shù)據(jù)！

“棱鏡門”監(jiān)聽丑聞再度升級(jí)

據(jù)《紐約時(shí)報(bào)》今年9月曾披露，NSA前雇員、泄密人斯諾登披露的文件顯示，NSA研發(fā)了一種隨機(jī)數(shù)生成方程式，能夠在加密產(chǎn)品中充當(dāng)“后門”。此后，RSA公司呼吁用戶停用植入了這些方程式的產(chǎn)品。該隨機(jī)數(shù)生成方程式使用的算法中有些數(shù)字是固定的，密碼學(xué)家能夠?qū)⑵渥鳛槿f能鑰匙通過一些內(nèi)置的算法進(jìn)行破解。該算法最有名的一個(gè)缺陷是DUAL_EC_DRBG，密碼學(xué)家?guī)啄昵熬桶l(fā)現(xiàn)了這個(gè)問題。

分析人士認(rèn)為，RSA算法本身沒什么問題，因?yàn)槊荑�理論上隨機(jī)產(chǎn)生，猜對密鑰如同大海撈針。但是，如果NSA確實(shí)放置了后門，那么這個(gè)算法的安全性將不復(fù)存在。

“后門”影響巨大

作為信息安全行業(yè)基礎(chǔ)性企業(yè)，RSA在全球的市場份額達(dá)到70%。RSA客戶遍及各行各業(yè)，包括電子商貿(mào)、銀行、政府機(jī)構(gòu)、電信、宇航業(yè)、大學(xué)等，其中有超過7000家企業(yè)，逾800萬用戶(包括財(cái)富500強(qiáng)中的90%)均使用RSASecurID認(rèn)證產(chǎn)品保護(hù)企業(yè)資料，而超過500家公司在逾1000種應(yīng)用軟件安裝有RSABSafe軟件。RSA的加密算法如果被安置后門，影響范圍將及其巨大。

RSASecurID是一項(xiàng)在允許用戶登陸到微軟Windows環(huán)境之前就能證明其身份的認(rèn)證解決方案。RSASecurID雙因素身份認(rèn)證系統(tǒng)由令牌、代理軟件和認(rèn)證服務(wù)器構(gòu)成，其實(shí)現(xiàn)原理為：認(rèn)證服務(wù)器和令牌采用相同的RSA時(shí)間同步算法和128位隨機(jī)數(shù)種子文件生產(chǎn)令牌碼，在相同時(shí)刻認(rèn)證服務(wù)器和令牌產(chǎn)生的令牌碼相同則認(rèn)證通過。

基于國密算法，拒絕后門

隨著國家密碼管理局關(guān)于實(shí)施SM2算法的相關(guān)要求及標(biāo)準(zhǔn)與規(guī)范的發(fā)布（國密局字[2011]50號(hào)），目前全面采用國產(chǎn)通用加密算法的條件和時(shí)機(jī)已經(jīng)日趨成熟。建立和發(fā)展基于國產(chǎn)通用算法的商用密碼支撐體系和應(yīng)用體系已經(jīng)成為我國商用密碼產(chǎn)業(yè)的重要任務(wù)和重大發(fā)展機(jī)遇。

國內(nèi)令牌產(chǎn)品廠商也嚴(yán)格按照國密局要求使用國密算法作為產(chǎn)品的支撐。筆者近日正使用的一款TOPSEC動(dòng)態(tài)令牌就是典型的基于國密SM3算法的產(chǎn)品。該款產(chǎn)品設(shè)置有K5、K8兩個(gè)型號(hào)，此外還支持手機(jī)令牌與短信令牌。

TOPSECK5/K8

筆者使用后發(fā)現(xiàn)，TOPSEC動(dòng)態(tài)令牌產(chǎn)品采用真隨機(jī)數(shù)發(fā)生器設(shè)備生成一組真隨機(jī)數(shù)，并結(jié)合令牌屬性（比如：令牌型號(hào)，令牌序列號(hào)，到期時(shí)間）生成一個(gè)具備唯一性的128位數(shù)值，作為令牌的種子文件。將該種子文件放在令牌及服務(wù)器內(nèi)，默認(rèn)使用SM3國密算法生成令牌碼，同時(shí)還支持用戶自定義SM1、SM2等符合國密要求的加密算法，完全滿足政府、金融、證券、運(yùn)營商等企事業(yè)單位的實(shí)際業(yè)務(wù)及安全性需求。

若此次“裝后門”事件得到證實(shí)，或許將是基于國密算法的商用密碼支撐體系和應(yīng)用體系的又一次機(jī)遇。

贊助本站