尽管美国国家安全局花费数十亿美元来破解加密技术,安全专家认为,如果部署正确的话,加密仍然是保护数据安全的最佳方式。
英国《卫报》和其他媒体本周发表文章介绍了NSA间谍机构如何通过后门程序、暴力破解、使用法院命令的合法拦截以及与其他技术供应商合作来绕过加密技术,这些文章都是基于前NSA合约雇员斯诺登泄露给记者的NSA内部文件。
这些报道指出,现在广泛用于保护网络通信、网上银行和医疗记录及商业机密的很多加密算法已经被NSA及其英国同僚GCHQ破解。
麻省理工学院的密码学博士兼PrivateCore公司首席技术官Steve Weis表示,尽管NSA如此神通广大,但加密学仍然非常难以破解。
他认为,NSA有可能是试图破解不安全的过时的加密技术部署。
例如,有文件表明,NSA创建了一个后门程序来进入NIST批准的加密标准--Dual EC DRBG,该标准被用来生成随机数。Weis指出,这个Dual EC DRBG标准已经实行六年,自从两名微软工程师发现这个NSA后门程序后就很少被使用了。
Weis表示,目前还不清楚NSA是否有能力破解更强大的加密技术,他称:“到目前为止,我还没有看到任何消息表明AES(高级加密标准)等算法被破解。”
加密技术供应商Voltage Security公司高级主管Dave Anderson表示,“如果正确部署的话,加密将会提供攻而不破的强大的安全性。”
Anderson表示:“这种安全性将需要非常强大的超级计算机花费数百万年时间来破解。但如果部署不当的话, 且密钥管理程序不完善的话,这种安全性会被削弱,攻击者只要使用中端电脑就可以在几个小时内破解。”
Anderson表示,NSA可能利用了支持加密的密钥管理程序中的漏洞,而不是破解加密技术本身。NSA也许能够破解财务和购物账号,但这只可能发生在加密部署不当的情况下,例如存在漏洞、不完整或者无效的密钥管理过程。
移动安全技术制造商Marble Security公司创始人兼首席技术官Dave Jevans表示,大家对NSA内部文件内容担忧的一部分是基于对一些事实的误解。
他表示,大多数电子邮件、web搜索、上网聊天和电话都不会被自动加密,所以NSA或者任何人都可以扫描网络流量来查看这些信息。
加密流量的主要问题就是密钥管理,加密密钥是非常长的、随机生成的密码,可以用来加密和解密互联网流量。他表示:“窃取密钥就像是窃取密码。”
NSA巨大的财力资源和人力资源让其可以有效地追踪加密密钥和加密管理系统,而不需要破解加密代码背后的算法。Jevans指出:“这比破解加密技术容易10亿倍。”
Weis指出,尽管NSA神通广大,但加密仍然是保护在线数据的最佳方式。
担心隐私问题的企业应考虑使用开源技术(例如OpenSSL,其代码始终是对开发商可见的)而不是商业软件,因为商业软件更容易受到NSA后门程序的攻击。他表示:“开发技术的代码就摆在那里,人们可以检查,并且可以看到其变化,至少可以确保没有明显的漏洞内置到软件中。”
- 坦克400柴油版:回归实用主义,售价24.98万元起,不花哨的硬派越野车
- 优步CEO揭秘:马斯克拒绝合作无人出租车业务,背后真相究竟如何?
- 青岛消防新装备:机器狗,3.6小时不间断救援,实力演绎科技救援
- 王兴兴直言:国内教育体系陈旧,亟需改革
- 马斯克飞行汽车试飞:颠覆传统交通,200万飞行新时代?
- 俞敏洪反思教育弊端:传统教育改革迫在眉睫
- 马斯克砍向自动驾驶监管:裁员美国交管局,自动驾驶监管人员减半,引发行业震动
- 字节AI团队大变阵辟谣后:揭露背后不实信息的真实面目
- 360董事长周鸿祎宣布:取消抖音送车门槛,2月28日直播大放送,不再夸大宣传,真实抽奖!
- 北京新规:燃油车占用充电车位将被罚款+拖离,绿色出行新风尚
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
