路透社曾在去年12月報道，美國國家安全局(NSA)與加密技術公司RSA達成了1000萬美元的協議，要求在移動終端廣泛使用的加密技術中放置后門。近日一組研究人員公布的調查結果更加令人震驚：當時RSA采用了兩個由NSA開發(fā)的加密工具，而不是此前報道中的一個。兩名知情人士稱，去年12月RSA收受了1000萬美元，將NSA提供的一套密碼系統(tǒng)設定為大量網站和計算機安全程序所使用軟件的默認系統(tǒng)。這套臭名昭著的“雙橢圓曲線”(Dual Elliptic Curve)系統(tǒng)從此成為了RSA安全軟件中生成隨機數的默認算法。但問題隨即出現，因為這套系統(tǒng)存在一個明顯缺陷(即“后門程序”)，能夠讓NSA通過隨機數生成算法的后門程序輕易破解各種加密數據。

此次來自美國約翰-霍普金斯大學、威斯康辛州立大學、伊利諾伊州立大學和另外幾所大學的9位教授在一份研究報告中表示，他們已經發(fā)現了NSA在RSA加密技術中放置的第二個解密工具。

根據路透社獲得的這份研究報告的復印件顯示，這幾位大學教授發(fā)現，這款名為“擴展隨機”(Extended Random)的工具能夠以比之前快幾萬倍的速度破解NSA目前采用的“雙橢圓曲線”軟件。

當路透社希望RSA對此事表態(tài)時，該公司并沒有對上述教授的研究結果提出質疑。RSA表示，該公司從未故意降低任何產品的安全性。RSA還指出，“擴展隨機”工具并未得到普遍應用，而且在過去六個月里這一工具一直在RSA的保護軟件移除名單之列。

RSA首席技術官薩姆·庫瑞(Sam Curry)向路透社表示：“我們本應該對NSA的意圖產生更多的懷疑。我們曾經如此信任NSA，因為他們承擔著保護美國政府和美國關鍵基礎設施的重任?！?/p>

庫瑞并沒有說明，美國政府是否向RSA提供現金資助，以要求后者將“擴展隨機”工具安裝到該公司的BSafe安全軟件套裝中。

NSA的一位女新聞發(fā)言人拒絕對上述研究報告以及開發(fā)“擴展隨機”工具的動機發(fā)表任何置評。

在過去數十年里，NSA一直在通過旗下的信息保護署(Information Assurance Directorate)與私人公司合作改進網絡安全水平。在“9·11”事件后，NSA增加了監(jiān)控范圍，其中就包括此前面臨嚴格限制的美國政府內部。

研究結果即將發(fā)表

2008年，在由美國國防部資助發(fā)表的一篇論文中，“擴展隨機”被說成可以提高由“雙橢圓曲線”系統(tǒng)生成的數字的隨機性。但此次研究小組的成員則表示，他們發(fā)現隨機性因此提高的程度極小，而由“擴展隨機”后門程序發(fā)送出來的額外數據卻大大降低了預測隨機安全數字的難度。

本周一，此次研究小組已經在網上發(fā)布了他們研究報告的概要，并計劃將包括全部研究結論的論文提交給在今年夏天召開的一個學術會議。這篇論文的合著作 者之一、美國威斯康辛州立大學的托馬斯·里斯滕帕特(Thomas Ristenpart)表示：“我們并沒有發(fā)現‘擴展隨機’工具帶來任何額外的安全保護作用?！?/p>

約翰-霍普金斯大學的馬修·格林(Matthew Green)教授也表示，政府對“擴展隨機”工具的官方解釋很難不讓人感到懷疑，尤其是考慮到“雙橢圓曲線”此前剛剛被認定成為美國的一項標準系統(tǒng)。格林 頗為形象地打了個比喻：“如果說使用‘雙橢圓曲線’好比玩弄火柴，那么再加上‘擴展隨機’就好比你把自己渾身灑滿汽油一般?！?/p>