主题：【原创】闲扯一下RSA受贿事件 -- 晨池

是闲扯，扯到哪里算哪里。好久没有在河里发主题贴了，怎么规矩不一样了？我想发到“信息软硬件”里头，版主方便就帮个忙

外链出处

微薄上看到的，密码加密公司RSA收了美国一千万美元，在生成随机数的算法里面加入了后门。那这意思应该是说，RSA的不对称加密在老美面前就是裸奔了？

不对称加密是密码学的一个标志性进展，允许你保留私钥但是公开一个对应的公钥，任何人使用你的公钥加密一个文件以后，只有用你的私钥才能解密；同样，你用自己的私钥加密一个文件以后，别人可以通过公钥来解密验证，只有对应的公钥才能解密。这样的特性使得不对称密钥配合使用可以实现数字签名、数字鉴权等等很多非常重要的功能。比如比特币就是基于不对称密码的，如果这个消息属实，那也许意味着，老美可以随时收回任何人的所有比特币。因为你能持有、支付比特币的凭证就是你保留的一个“钱包”文件，这个文件，正是不对称密码的私钥，但是这个私钥对应的公钥是公开出去的，老美（NSA）如果想收回你的比特币，只要拿到你的公钥然后根据公钥通过算法中的后门计算出来你的私钥，然后把你的比特币转到他自己的账户里就可以了。

当然这个事情RSA也能干，当然如果RSA不对称加密其实是在裸奔之影响比特币的话那也太幸运了，其实现在计算机加密中不对称加密几乎无处不在，RSA又是使用最广泛的——其实我就知道这一家。那就意味着计算机加密都在裸奔？

粗略翻译一下：外链出处

下图很熟悉把？我以前就用过。

一个密码后门直多少钱？如果你是NSA的话，直一千万美元。

感谢斯诺登吧，他在九月发布的文件中指出，RSA公司的不对称密码生成算法中被植入了NSA设置的人为缺陷。路透社报道 中指出，RSA公司收了NSA一千万美元以后植入了这些缺陷。

两个熟悉RSA的BSafe软件的人告诉路透社，RSA收了钱以后把NSA的加密公式设置成了BSafe软件中默认的密钥生成算法。

安全专家Bruce Schneier参与了对斯诺登泄密文件的分析，他说：“我们现在知道RSA受贿了，现在毫无疑问是不能信任他们的，但是以前他们却说什么把客户的安全放在第一位”。

RSA现在为存储公司EMC所拥有，和政府部门有长期的合作和瓜葛。在九十年代，这个公司还在阻止政府向电脑硬件添加一个用来监视所有电脑芯片的事情上出力很大。

它的加密算法也曾经被破解过:RSA-Conn VeriSign

但是这次的泄密更重要，Schneier说，因为这次泄密证实了以前对NSA的小伎俩的猜疑。

“你相信他们的历史上只会贿赂了这一家公司吗？”他说，“问题在于，我们根本不知道谁会参合进去。”

其他生产广泛使用的加密设备的公司，比如卖咖啡、赛门铁克、微软，你不知道谁没有被贿赂，也不知道谁值得信任。Schneier说。

RSA至今保持沉默，也没有回应路透的报道。

翻译完以后：

1、还是应该看看路透的原文才行，这则新闻透露的信息不够多，不能认定是否RSA算法就完全不可靠。

2、对信心的打击是最大的，RSA是名声很好也一直认为非常可靠的算法，尤其是1024位RSA不对称加密，现在恐怕不能那么信任了

3、原来RSA也马失前蹄过，居然VeriSign被破解了！VeriSign是Java代码加密的鉴权中心，如果VeriSign被破解了，意味着有可能你安装的一个手机Java软件即使是提示是你信任的公司出的其实完全可能是某邪恶山寨厂商出的恶意软件。

4、我觉得新闻有点言过其实，如果RSA已经被破解过，那么这次发现后门其实影响不会像我开始设想的那么大。也许RSA没有被破解过呢，因为从数学上说他们的算法确实不可能被破解，其次，如果RSA以前被破解过，那么现在很多加密系统为啥还用RSA呢，换个不行？

看完了路透原文，太长就不翻译了，一点新鲜的东西

1、有隐患的软件，现在能确认的只有BSafe，我真不知道这是什么。

2、RSA在事发以后强烈建议用户不要用默认的NSA算法——擦咧，不用建议用户也不会用了

3、这说明各种算法是有选项的，用户如果选择非默认算法就理论上可能不会出现漏洞，但是既然你的默认算法是NSA给的，那么不默认的算法我凭什么要相信呢？

4、RSA创建之初，中情局就注意到他们了，中情局担心RSA的加密无法破解。RSA算法早期研发领导人之一Martin Hellman说，中情局的人和他们联系过，要求他们不要把密钥弄的那么长。

5、事情是这样的，首先是NSA研发了一种产生随机数的算法叫做 Dual Elliptic Curve，然后RSA很快就在自己的软件里使用了这个算法来产生随机数，因为这个算法还没有被NIST批准，所以有些争议。这时NSA跳出说 Dual Elliptic Curve已经在美国政府当中广泛使用，所以是没问题的，于是就用了。但是仅仅一年时间就发现了很多这个算法导致的问题，密码学家Bruce Schneier说，这个算法问题太多了，以至于称它为后门可能更合适。在九月有报告声称RSA算法存在后门以后，RSA就开始强烈建议用户不要选择Dual Elliptic Curve算法来生成随机数。——如此说来，没有斯诺登什么事？还是那个九月的报告就是指斯诺登的文件？

这让我想起在大学上密码学的课程时候，老师给我们说：现在对称加密里128bit3DES是安全性得到认可的加密算法，也还没有发现这个算法有什么后门，但是，现在使用的这个算法和当初提出来的时候是不太一样的，不一样的地方很可能就是美国国家安全局修改的，虽然说各种研究还没有发现这个改动有什么问题，可是这毕竟是一个异常的情况，所以这个算法的可靠程度是受到强烈质疑的，也许你用暴力破解很久也无法解密，但是美国NSA很容易就可以解密呢？所以我国政府部门是不用这个加密算法的。

最后总结一下我的看法：

1、这事儿和老百姓没啥关系，咱的数据不加密也没人看，比如我的博客

2、计算机和网络加密是不会受到影响的，即使是某公司的重要数据，这些恐怕都不会入了NSA的法眼

3、不对称加密算法本身是没有问题的，受到影响的只有BSafe软件一个，有可能其他软件是有影响的，但是不对称加密算法本身是没有问题的。——比特币安全了，阿门

算法都是公开的，怎么可能预先加入后门，最多在算法的产品实现上加入后门。rsa这个算法，稍微研究下，自己都能写实现的程序。

现在计算机的能力已经为暴力破解RSA算法提供了可能，最新的versign ev pro里面专门加入了ECC算法。

secureID是RSA公司的动态口令的产品，不要等同于RSA算法，这个上面有后门倒是有可能。

应该是70年代，IBM刚搞出来的时候，就根据NSA的提议对S-Box做了修改，但未说明原因，所以一直有争议说是后门。不过90年代初差分分析被公开学术界发现后，证明那个修改是为了对抗可能的差分分析。

我一直冤枉了NSA呢哈哈

他们有意使用了存在缺陷的算法，把这个算法放在了BSafe这个软件里头，并且设置为了默认的选择。如果用户用了这个算法生成随机数加密，那么密文就很容易被破解

在路透的报道里就提到一个密码学家分析了这个有缺陷的算法以后就评价说，这个东西与其说是个加密算法，不如说是个后门更恰当

这样看来，密文不仅仅是容易被植入后门的NSA破解，同样其他机构想破解的话只要下点功夫也是没问题的。

secureID倒是没有说存在后门或者缺陷问题。

RSA算法我以为一直很强健呢，怎么也会被暴力破解了？我记得当时说法是，只有量子计算机这种密码学大杀器问世，RSA算法才会被破解呢

当初我老师的阴谋论是，每个加密算法都是NSA破解后才被广泛推广的。。。

给RSA把NSA的算法设成默认

NSA做的修改不是后门。不过对最近爆出来的事不太懂。

最近的事情我也是被声势给忽悠了，以为整个不对称加密要完蛋了呢，仔细看了看新闻才知道，不过是一个主流软件产品出了点问题而已嘛~

snowden俄罗斯也得灭口丫啊，涉及几乎所有用到电子交易的地方。不过有没有什么黑科技啥的，还真不好说，毕竟这玩意的强度还没有一般化的证明。

但是，现在随着数学和计算机技术的发展，貌似已经越来越可能了；至少今年verisign发布最新带ECC算法的证书时，就是提到了RSA可能被暴力的风险，来说明当前推出ECC的优越性。

这个从verisign上面对EV pro证书的介绍就可以看到。