加密仍然是最好的保護(hù)數(shù)據(jù)的方式

盡管美國國家安全局花費(fèi)數(shù)十億美元來破解加密技術(shù)，安全專家認(rèn)為，如果部署正確的話，加密仍然是保護(hù)數(shù)據(jù)安全的最佳方式。

英國《衛(wèi)報》和其他媒體本周發(fā)表文章介紹了NSA間諜機(jī)構(gòu)如何通過后門程序、暴力破解、使用法院命令的合法攔截以及與其他技術(shù)供應(yīng)商合作來繞過加密技術(shù)，這些文章都是基于前NSA合約雇員斯諾登泄露給記者的NSA內(nèi)部文件。

這些報道指出，現(xiàn)在廣泛用于保護(hù)網(wǎng)絡(luò)通信、網(wǎng)上銀行和醫(yī)療記錄及商業(yè)機(jī)密的很多加密算法已經(jīng)被NSA及其英國同僚GCHQ破解。

麻省理工學(xué)院的密碼學(xué)博士兼PrivateCore公司首席技術(shù)官Steve Weis表示，盡管NSA如此神通廣大，但加密學(xué)仍然非常難以破解。

他認(rèn)為，NSA有可能是試圖破解不安全的過時的加密技術(shù)部署。

例如，有文件表明，NSA創(chuàng)建了一個后門程序來進(jìn)入NIST批準(zhǔn)的加密標(biāo)準(zhǔn)--Dual EC DRBG,該標(biāo)準(zhǔn)被用來生成隨機(jī)數(shù)。Weis指出，這個Dual EC DRBG標(biāo)準(zhǔn)已經(jīng)實(shí)行六年，自從兩名微軟工程師發(fā)現(xiàn)這個NSA后門程序后就很少被使用了。

Weis表示，目前還不清楚NSA是否有能力破解更強(qiáng)大的加密技術(shù)，他稱：“到目前為止，我還沒有看到任何消息表明AES（高級加密標(biāo)準(zhǔn)）等算法被破解。”

加密技術(shù)供應(yīng)商Voltage Security公司高級主管Dave Anderson表示，“如果正確部署的話，加密將會提供攻而不破的強(qiáng)大的安全性。”

Anderson表示：“這種安全性將需要非常強(qiáng)大的超級計(jì)算機(jī)花費(fèi)數(shù)百萬年時間來破解。但如果部署不當(dāng)?shù)脑挘?且密鑰管理程序不完善的話，這種安全性會被削弱，攻擊者只要使用中端電腦就可以在幾個小時內(nèi)破解。”

Anderson表示，NSA可能利用了支持加密的密鑰管理程序中的漏洞，而不是破解加密技術(shù)本身。NSA也許能夠破解財(cái)務(wù)和購物賬號，但這只可能發(fā)生在加密部署不當(dāng)?shù)那闆r下，例如存在漏洞、不完整或者無效的密鑰管理過程。

移動安全技術(shù)制造商Marble Security公司創(chuàng)始人兼首席技術(shù)官Dave Jevans表示，大家對NSA內(nèi)部文件內(nèi)容擔(dān)憂的一部分是基于對一些事實(shí)的誤解。

他表示，大多數(shù)電子郵件、web搜索、上網(wǎng)聊天和電話都不會被自動加密，所以NSA或者任何人都可以掃描網(wǎng)絡(luò)流量來查看這些信息。

加密流量的主要問題就是密鑰管理，加密密鑰是非常長的、隨機(jī)生成的密碼，可以用來加密和解密互聯(lián)網(wǎng)流量。他表示：“竊取密鑰就像是竊取密碼。”

NSA巨大的財(cái)力資源和人力資源讓其可以有效地追蹤加密密鑰和加密管理系統(tǒng)，而不需要破解加密代碼背后的算法。Jevans指出：“這比破解加密技術(shù)容易10億倍。”

Weis指出，盡管NSA神通廣大，但加密仍然是保護(hù)在線數(shù)據(jù)的最佳方式。

擔(dān)心隱私問題的企業(yè)應(yīng)考慮使用開源技術(shù)（例如OpenSSL,其代碼始終是對開發(fā)商可見的）而不是商業(yè)軟件，因?yàn)樯虡I(yè)軟件更容易受到NSA后門程序的攻擊。他表示：“開發(fā)技術(shù)的代碼就擺在那里，人們可以檢查，并且可以看到其變化，至少可以確保沒有明顯的漏洞內(nèi)置到軟件中。”

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。