有報(bào)道稱(chēng)，美國(guó)國(guó)家安全局(NSA)對(duì)RSA Security的加密工具的參與比最初聲稱(chēng)的要大，這引發(fā)了許多問(wèn)題。問(wèn)題很復(fù)雜，需要詳細(xì)查看。2013年12月，路透社的一份報(bào)告稱(chēng)RSA Security已從美國(guó)國(guó)家安全局(NSA)接受了1000萬(wàn)美元，此舉最終削弱了RSA BSAFE加密工具組件的安全性。3月31日，路透社發(fā)布了一份新報(bào)告，聲稱(chēng)NSA的參與影響了更廣泛的RSA BSAFE加密組件。

關(guān)于第二個(gè)與NSA相關(guān)的RSA漏洞的報(bào)告基于約翰·霍普金斯大學(xué)，威斯康星大學(xué)和伊利諾伊大學(xué)的教授最新發(fā)表的研究。有問(wèn)題的工具稱(chēng)為擴(kuò)展隨機(jī)擴(kuò)展，可以潛在地破解目前在安全領(lǐng)域廣泛使用的RSA雙橢圓曲線(EC)偽隨機(jī)數(shù)生成器。

擴(kuò)展隨機(jī)擴(kuò)展名被公布為互聯(lián)網(wǎng)工程任務(wù)組(IETF)草案在2008年4月，并明確列出了美國(guó)國(guó)家安全局作為草案的合著者。

研究報(bào)告指出：“ TLS的BSAFE實(shí)施使Dual EC后門(mén)特別容易以兩種方式利用。” “ Java版本的BSAFE在連接中包括指紋，使它們易于識(shí)別。C版本的BSAFE通過(guò)廣播更長(zhǎng)的隨機(jī)位字符串來(lái)大大加快攻擊速度，這比起最初在TLS中可能想象的更長(zhǎng)標(biāo)準(zhǔn)。”

RSA反復(fù)否認(rèn)它曾經(jīng)有意削弱加密功能以啟用NSA后門(mén)。在最近的RSA安全會(huì)議上，EMC執(zhí)行副總裁兼RSA執(zhí)行主席Art Coviello 表示，他的公司與NSA進(jìn)行了大量合作，以幫助提高安全性。但是，Coviello并未直接解決價(jià)值1000萬(wàn)美元的合同問(wèn)題。

RSA是否知道它正在幫助國(guó)家安全局啟用后門(mén)仍然是爭(zhēng)論的話題。

BeyondTrust的 CTO Marc Maiffret 告訴eWEEK，諸如此類(lèi)的啟示繼續(xù)表明，即使是安全公司也不能盲目地相信政府對(duì)安全系統(tǒng)的指導(dǎo)。

梅夫雷特說(shuō)：“盡管?chē)?guó)家安全局已經(jīng)做了很多事情來(lái)改善互聯(lián)網(wǎng)安全，但也有很多實(shí)例削弱了它。” “像RSA這樣出售問(wèn)題解決方案的公司應(yīng)該完全了解他們的解決方案，即使其中的某些部分可能來(lái)自學(xué)術(shù)界或政府的想法;否則，技術(shù)公司將發(fā)現(xiàn)自己很容易被顛覆。”

Rook Security董事總經(jīng)理兼首席執(zhí)行官JJ Thompson 告訴eWEEK，對(duì)此問(wèn)題還有另一種看法。湯普森說(shuō)：“真正的安全是骯臟的，我們應(yīng)該停止表現(xiàn)驚訝。” “即使公眾同意了美國(guó)國(guó)家安全局的部分行為值得懷疑，了解這一原因?yàn)楹我埠荜P(guān)鍵，而不僅僅是譴責(zé)美國(guó)國(guó)家安全局越界。”

湯普森補(bǔ)充說(shuō)，也許不越界的風(fēng)險(xiǎn)太高了，獲得的情報(bào)挽救了無(wú)數(shù)生命。

湯普森說(shuō)：“無(wú)論如何，無(wú)論舉行多少次參議院情報(bào)聽(tīng)證會(huì)，我們永遠(yuǎn)都不會(huì)知道;因?yàn)槿绻閳?bào)足夠有價(jià)值而違反法律，那么它的價(jià)值就足以掩蓋事實(shí)。”

NetIQ安全策略高級(jí)總監(jiān)Geoff Webb 告訴eWEEK，盡管有一些原因需要關(guān)注有關(guān)RSA加密潛在弱點(diǎn)的最新信息，但基本的加密算法本身仍然是安全的。韋伯說(shuō)：“這些旨在削弱加密過(guò)程的嘗試都是針對(duì)作為整體數(shù)據(jù)保護(hù)的一部分的隨機(jī)數(shù)發(fā)生器。” “這意味著一旦消除了這些弱點(diǎn)，我們?nèi)匀豢梢栽贗nternet上收回隱私。”

Webb將加密與交響樂(lè)團(tuán)進(jìn)行比較。他說(shuō)，大多數(shù)演奏家都很出色，但是如果您遇到一位糟糕的小提琴家，那么整個(gè)事情就會(huì)倒塌。

韋伯說(shuō)：“不過(guò)，我確實(shí)認(rèn)為，盡管我們可以使互聯(lián)網(wǎng)隱私重新回到正軌，但要收回對(duì)傳輸數(shù)據(jù)的安全性失去的信任和信心可能要花很長(zhǎng)時(shí)間，即使是應(yīng)該加密的數(shù)據(jù)也是如此。”