多名美国专家在一份14日发布的报告中说,美国国家安全局在参与制定美国官方软件安全标准的过程中,可能故意留下了“后门”,以便获取资料和信息。
美国商务部下属国家标准与技术研究所负责审批旨在防止软件“被黑”的算法。根据美国法律规定,在这一过程中,国家标准与技术研究所需要征求国安局专家的意见。
然而,根据国安局承包商前雇员爱德华·斯诺登先前曝光的信息,国家标准与技术研究所批准的其中一个算法其实是国安局的“木马”。一些媒体报道,国安局可以利用这些算法“攻破”多个使用普遍的安全软件。
消息曝光后,国家标准与技术研究所与国安局的联系引发外界批评。国家标准与技术研究所停用了这一名为“双椭圆曲线”的算法,委托其外部顾问委员会和一个独立调查小组进行调查并作出建议。
专家们在14日发布的报告中指出,在制定“双椭圆曲线”的过程中,存在一只来自国安局的“被隐藏的手”。报告建议国家标准与技术研究所重新审视有关征求国安局意见的规定,因为这些规定阻碍了国家标准与技术研究所“独立开发最佳加密标准的能力”。
【故意留破绽】
调查汇集了多名互联网和网络安全的重量级专家。其中一些专家以个人名义给出了更为直接的意见和建议。
“某些特定曲线算法包含了某种后门,这种可能性是存在的,”美国麻省理工学院教授和RSA网络安全公司创始人罗恩·李维斯特写道。
“互联网之父”之一的文特·瑟夫则认为,负责情报的国安局“插手”国家标准与技术研究所的职责,令人无法接受。
另一名曾经参与创建互联网的专家埃德·费尔滕认为,国安局可能参与制定了一些算法,它们可以通过一般的安全测试,但在强大的网络攻击下并非无懈可击;同时,国安局则拥有运算能力强大的计算机设备。
李维斯特认为,国家标准与技术研究所应该要求国安局公开所有关于现有标准的信息。“如果国安局拒绝调查要求,那么那些国安局显著参与的标准应该被认定是‘被污染的’。”
多名专家认为,国家标准与技术研究所应该加强自身制定算法和标准的能力,减少对国安局的依赖。(林昊)
