你信任谁?这是一个问题,越来越多地要求由安全行业提供了增长的意义上说,美国国家安全局(NSA)一直试图削弱加密或获得进入后门的计算机的基础上,通过斯诺登泄露给媒体的文件。现在,信任也是一个新的会议名为TrustyCon将在旧金山的注意事项争夺2月27日,而大的RSA会议的安全专家也发生在这个城市的主题。
TrustyCon由动iSec合作伙伴组织电子前沿基金会(EFF)和Defcon黑客大会上,几乎在几天内销售一空它上周宣布之后。微软和CloudFlare的被赞助的情况下,与他人有望加入他们的行列,并进入到了EFF。TrustyCon的兴起已经推动行业反弹对NSA,其安防行业的广泛认为削弱了加密算法,称为双椭圆曲线确定性随机位发生器(双EC DRBG)是一个代理机构的后门。
一个文件标准和技术研究院(NIST)的网站显示计算机科学家有国家研究所,谁开了评论美国国家安全局影响的双EC DRBG去年,怀疑这是一个后门过,并建议删除双重EC DRBG作为NIST标准。
+也在网络世界:奥巴马总统赞扬国家安全局,在群众监督的改革提供很少|路透社报道:秘密合同而NSA和安全行业先锋约瑟夫·曼恩|著安全研究人员取消RSA大会上的讲话,以示抗议+
TrustyCon也是对安全公司RSA的强烈反对,RSA组织了一年一度的RSA大会。最近路透社报道称,RSA公司接受了美国国家安全局1000万美元,将双EC DRBG作为BSAFE工具集的默认配置。RSA在12月底尴尬地回应了这则调查新闻报道,称“与美国国家安全局没有‘秘密合同’来将已知的有缺陷的随机数生成器纳入其BSAFE加密库。”我们断然否认这项指控。自从BSAFE这个话题出现后,RSA就强调它不会故意做任何伤害客户的事情。
但是RSA没有——现在也不会——明确反驳文章的主要观点,即RSA与美国国家安全局签订了BSAFE工具箱中有关双EC DRBG的合同。RSA在12月22日对世界的回应中表示,该公司与美国国家安全局合作,“既是一个供应商,也是安全社区的活跃成员。”我们从来没有保守过这段关系的秘密,事实上我们已经公开了它。我们的明确目标一直是加强商业和政府安全。RSA继续说,它在2004年在BSAFE中添加了双EC DRBG。“当时,NSA在整个社区加强而不是削弱加密的努力中扮演着值得信赖的角色。”
对企业更大的问题是:你能相信NIST?
- 亚历克斯·斯塔莫斯,CTO在互联网阿蒂米斯
在RSA消息人士说,国家安全局和信任这个话题将在下个月采取了在其会议。RSA执行主席艺术科维洛通常使用他的时间在数千参会者发布新产品或策略前,但今年的压力是解释断言各地BSAFE,双EC DRBG和NSA扑朔迷离。
一些在安防行业是如此与RSA心烦,或至少其缺乏对BSAFE工具箱明确的解释,NSA和双EC DRBG,他们是在RSA大会上抗议辍学扬声器。这些包括F-Secure公司的米科,美国公民自由联盟的Chris Soghoian,亚当·兰利和谷歌的克里斯·帕尔默,联邦军玛西娅霍夫曼,Mozilla的亚历福勒,以及卡巴斯基实验室的罗埃尔Schouwenberg。
因此TrustyCon已涌现于光。组织者亚历克斯·斯塔莫斯,CTO在NCC Group的阿蒂米斯互联网,说他有关于抵制的想法复杂的情绪,肯定TrustyCon会议并不意味着是反RSA。但是斯坦默斯不说什么是可以信任的主题是要讨论,他预计TrustyCon,其中将包括一些RSA大会的抗议者,将于今后几年。当被问及美国国家安全局是否可以信任,斯坦默斯说,该机构的双重作用使得它很难知道哪个国家安全局你在任何给定的时间聊天。
“在它的信息安全保障的作用,它制定标准的业务,并保持从对手美国安全,”斯坦默斯说。但在更多的军事作用,国家安全局在许多做法搞来访问这一定不是商业利益的信息和收集数据。许多高科技公司提供的在线服务所有的方式感到相当“背叛”由斯诺登爆料的NSA已经辛辛苦苦破坏他们的安全得到它想要的信息,他指出。
目前,大多数安全专家相信双EC DRBG是国家安全局的后门斯坦默斯说。“对企业更重要的问题是:你能相信NIST?”他们不能,他指出,如果NIST - 这与美国国家安全局密切合作 - 也是在标准countenancing NSA后门。
双EC DRBG算法,在2006年由NIST标准化,已经进入许多网络产品,包括通过EMC安全部门RSA销售的BSAFE工具包。在去年秋天双EC DRBG可能是美国国家安全局后门的新闻引发众怒后,NIST重新开放了这个有争议的密码标准新的意见。
资料以PowerPoint格式提供发布在NIST网站上NIST的计算机科学家John Kelsey表示,该研究所认为Dual EC DRBG很有可能是美国国家安全局的后门,NIST计划将其作为标准去除。Kelsey参与了Dual EC DRBG的最初审批过程,也没有立即对NIST的公共事务发表评论,可能是因为华盛顿特区的大雪天。
这份名为“800-90和双EC DRBG, John Kelsey, NIST”的NIST PTT文件简单地说明了国家安全局的陷阱门可能在哪里。
在双EC DRBG的“参数,P和Q”的技术描述中,“最终来自美国国家安全局双EC DRBG的设计者”,基本问题是:“如果你不信任产生P和Q的人怎么办?”
NIST文档接着说,“P和Q可以被生成来插入后门,”指出这个问题在几年前就被提出了。NIST的文件说,有关美国国家安全局插入了双EC公司的陷阱门的新闻报道“让讨论从一个完全不同的角度”。NIST在去年秋天发布了一份“通知,告诉所有人停止使用双EC DRBG直到有进一步通知”。
“我们目前的计划是取消双EC DRBG,”NIST文件称。“它的性能相当慢;许多供应商已经在他们的产品中删除或禁用了它。文件说,可能会有一个“逐步淘汰阶段”。
美国国家安全局和信任的话题在无数媒体报道中不断出现。例如,今天在瑞士达沃斯举行的世界经济论坛年会上,雅虎首席执行官玛丽莎·梅耶尔在小组讨论中表示,她希望奥巴马政府对国安局收集的数据提供更大的透明度。“我们需要能够与我们的用户重建信任,不仅在美国,而且在国际上,”她说。
然而,在他上周关于国家安全局的演讲在美国,奥巴马总统没有谈及国安局后门或削弱加密的棘手话题,也没有任何迹象表明他会这么做。
Ellen Messmer是IDG网站Network World的高有个足球雷竞技app级编辑,她在该网站上报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com