N.S.A.如何破解了网络

日期:2017-02-07 04:21:19 作者:屠没囟 阅读:

<p>自从爱德华·斯诺登开始向全世界讲述国家安全局对全球通信的大规模监控以来已有将近三个月了,但“卫报”,“纽约时报”和“ProPublica”的最新披露可能是迄今为止最为深刻的:美国国家安全局及其合作机构在英国,政府通信总部具备绕过广泛使用的加密软件以访问私人数据的重要能力加密通过用密码加扰数据使情报机构成为问题,即使它们或任何其他第三方 - 派对,设法捕获它,他们无法读取它 - 除非他们拥有解密它或有能力破解加密方案的密钥加密已经变得更加普遍,因为NSA的“积极的,多重的努力打破广泛使用互联网加密技术“始于2000年当您登录Gmail或Facebook,通过iMe​​ssage聊天或ch eck您的银行帐户,数据通常是加密的这是因为加密对于日常Web交易至关重要;例如,如果您使用公园的开放式无线网络登录您的Gmail帐户,并且您的用户名和密码是以简单形式传输的,而不加密,那么使用同一网络的任何人都可能会捕获您的凭据</p><p>卫报写道,国家安全局和GCHQ在网上“破解了大部分加密”但我们并不确切地知道多少:“泰晤士报”写道“NSA解码能力的全部范围仅为有限群体所知来自所谓五眼的顶级分析师:美国国家安全局及其在英国,加拿大,澳大利亚和新西兰的同行“但它部署了”定制的,超高速的计算机来打破代码“,并与”科技公司合作“美国和国外为他们的产品建立切入点“虽然”泰晤士报“和”卫报“没有明确说明NSA及其合作伙伴有效无用的加密方案 - 以及该机构与该公司合作的公司有一些暗示 - 美国国家安全局已经完成了与Bullrun的合作,其打败网络加密的项目自2010年以来,NSA显然拥有对抗加密语音和文本通信的“突破性能力”,“卫报”称“通过互联网电缆收集的'大量'数据新开发'可利用'”美国国家安全局似乎找到了一些使用过时标准的互联网级加密协议的方法,但仍然无处不在:“卫报”写道,“该机构已经针对广泛使用的在线协议的功能,例如HTTPS,IP语音和安全套接字层“和纽约时报指出,”最密集的工作集中在美国普遍使用的加密,包括安全套接字层,或者SSL;虚拟专用网络或VPN;第四代或4G智能手机上使用的保护“超文本传输​​协议(HTTP)是Web通信的基础 - 它是浏览器地址栏中的”http“SSL是Web上最常见的加密协议之一并且得到了几乎所有网站的支持(它也被即时通讯和其他程序用于保护通过互联网的传输)HTTPS本质上是将SSL协议应用于HTTP,使得电子邮件和银行等在线服务成为可靠的虚拟网站专用网络使用户能够在公共网络上拥有保护其传输受到保护的私有连接在正常情况下,使用这些协议可以屏蔽数据免受NSA的拉网监控通信的影响,安全专家已经能够将某些数据拼凑在一起有关该机构能力范围的想法Mike Janke,加密通信公司Silent Circle的首席执行官 - 关闭几周前他的加密电子邮件服务 - 通过电话说,根据他所看到的信息和文献,他认为国家安全局开发了“一个巨大的按钮式扩展”能力,以几乎真实的方式击败或绕过SSL加密时间他补充说,“现实情况是,大多数安全领域已经知道较低级别的加密 - SSL,HTTPS,VPN--因其架构而极易被击败”Bruce Schneier,他看过Snowden文件,写道,国家安全局 已经绕过常见的网络加密“主要是通过作弊,而不是通过数学”而不是破坏支持加密方案的算法,Schneier建议国家安全局找到解决方法Matthew Green,一位着名的加密研究员,建议国家安全局可能有破坏了实现确定数据加密方式的算法的加密软件 - 特别是微软制造并被许多Web服务器用于加密的软件The Times写道:“该机构维护着特定商业产品加密密钥的内部数据库,称为密钥配置服务,它可以自动解码许多消息“有趣的是,它补充说,”独立的密码学家说很多可能是通过黑客攻击公司的计算机服务器来收集它们存储的“如果该机构拥有密钥,则没有必要破解加密算法托马斯德雷克,一名国家安全局举报人,由简梅尔在2005年描述该杂志通过电话表示,他认为2010年的突破可能更具戏剧性,可能是指广泛使用的“一些主线加密”算法的失败,如RSA算法或高级加密标准,256-比特级别(用于加密和解密信息的密钥的长度,以比特为单位,是决定加密方案破解难度的许多方面之一:128位加密现在相对容易; 2048位变得更加困难了一年前詹姆斯·邦福德(James Bamford)关于美国国家安全局(NSA)在犹他州的大规模新数据中心的文章中暗示了这种能力</p><p>新披露的最严重方面是国家安全局已经努力减少广泛使用的技术安全“泰晤士报”报道称,2006年,美国国家安全局故意将一个漏洞引入国家标准与技术研究院和国际标准化组织采用的加密标准</p><p>格林写道,因为加密行业“高度依赖”关于NIST标准“NSA还使用其商业解决方案中心,邀请包括初创企业在内的公司以提高安全性为幌子向该机构展示其技术,以”利用与特定行业合作伙伴的敏感,合作关系“并且秘密地​​使这些产品更容易受到NSA监督Schneier的影响,Schneier已经审查了这些文件因此,描述了这个过程:“基本上,NSA要求公司以不可检测的方式巧妙地改变他们的产品:使随机数发生器不那么随机,以某种方式泄漏密钥,为公钥交换协议添加一个共同的指数,等等关于“这就是为什么美国国家安全局特别要求”泰晤士报“和”卫报“不发布他们的文章,详细说明该计划的文件明确地反复警告需要保密:”不要询问或推测来源或方法“”泰晤士报“指出美国国家安全局希望“今年某个时候”获得对未命名的主要互联网电话和文本服务的完全未加密访问“卫报进一步规定它是”主要的互联网点对点语音和文本通信“,这听起来像它可能由Skype拥有,之前被称为NSA合作伙伴的Drake表示他确信Skype已经“受到损害”而且,在一个例子中,“纽约时报”指出“政府了解到一个外国情报目标订购了新的计算机硬件,这家美国制造商同意在产品发货之前插入一个后门“这比NSA和FBI在九十年代推动强制技术的法律要求更糟糕美国公民自由联盟的首席技术专家Chris Soghoian表示,“有一个秘密的后门,你会认为它是安全的”,而不是简单地避免Schneier所写的技术,“我的猜测是公司将后门构建到他们的产品中美国大公司的大多数加密产品都有非常适合NSA的后门,许多外国公司也可能做得很好“为Soghoian提出的一个更广泛的问题,设计后门商业技术的普遍努力得到了解决:”我们能否依靠技术由与美国政府有广泛关系的公司提供</p><p>“尽管美国国家安全局的计划范围很广,但其成功对于互联网级加密,强大的加密方案确实未被NS破解A,他们是“你最好的保护隐私”,Janke Pretty Good Privacy表示,如果与最新的算法一起使用,常见的加密程序仍然是安全的,他补充说,Silent使用的ZRTP加密也是如此Circle的语音和文本产品加密通信Janke相信他们的安全很大程度上是因为“它足以让政府批准它的使用”Soghoian说“我们需要的那种东西已经可用,它只是不在我们的浏览器而不是谷歌和Facebook“(但是,为了回应美国国家安全局的启示,谷歌快速跟踪其加密数据的计划,因为它在自己的数据中心之间拉链,以防止它受到情报机构的撬动)Janke注意到在本地层面,TrueCrypt,一个硬盘加密程序,以及Apple的本机硬盘加密工具都保持不间断虽然Drake说他只会信任2048位的加密方案,但他认为在很大程度上依赖于开源软件,他不会透露他如何保护自己的通信“我只是不想让别人知道我如何保护自己”,他说“我真的不相信任何商业信息”以回应最新的新泽西州的代表拉什霍尔特提出了一项法案,即“监视国家废除法案”,其中包括禁止国家安全局将这些后门安装到加密软件中,而国家情报总监詹姆斯·克拉普发表声明在“纽约时报”和“卫报”的报道之后,说美国国家安全局打算破解加密数据的事实“不是新闻”,霍尔特正确地说,“如果在这个过程中他们降低了我们所有人使用的加密安全性,这是一个全国性的净损害“结果是现在已经知道”国际足联在网络安全问题上不可信任,“Soghoian继续说道,”我真诚地希望NSA失去光彩T嘿,这是坏人;他们正在闯入系统;他们正在利用漏洞“可以想象他们有良好的意图然而,Soghoian继续说道,”他们像任何其他黑客一样行动他们窃取数据他们阅读私人通信“使用这种方法,但是给这个机构是多么容易怀疑的好处</p><p>正如许多人所做的那样,托马斯·德雷克将他所谓的“流氓机构”的世界观与乔治·奥威尔的“1984”的全面监视进行了比较,其中逃避的唯一方法是“在角落里畏缩我不想活下去就像我已经生活过那样,