美國國家安全局間諜:你還能相信誰? -2013-12-15
路透社於星期五報導指出RSA簽訂一個祕密合約讓BSAFE工具中的亂數產生器預設為DUAL_EC_PRNG,而眾所皆知的是DUAL_EC_PRNG已被美國國家安全局設置了後門。
昨天RSA否認了這項報導:
近來新聞報導宣稱RSA與美國國家安全局簽訂一個”秘密合約”,將有缺陷的亂數產生器加入到BSAFE加密函式庫,我們嚴正地否認這項指控。
在業界努力發展更新、更強的加密方法時,我們於2004年就決定使用Dual EC DRBG當作BSAFE工具中預設的亂數產生器。而在當時的社會,備受信賴的美國國家安全局致力於強化而非弱化加密系統的安全性。
我們從Mark Klein和Edward Snowden了解到大部分關於美國國家安全局的事情,其中包括美國國家安全局直接竊聽AT&T(和大部分電信營運商)的主要通訊網路和通訊設備。
在禮拜五AT&T否認上述指控:
在它的聲明中,AT&T試圖去否認它向政府提供這種機會,Watts說: 我們不允許任何政府機關直接連接到我們的網路中,去收集、檢閱或者是取出我們顧客的資訊。
我曾經寫過關於美國國家安全局如何在網路和通訊技術上破壞我們對它的信任,關於許多公司的聲明以及他們實際上如何利用與濫用特別的字眼去謊稱他們沒有說謊的種種討論就是證明。
我再次重申:
上述的事情可能會破壞我們的國家。信任在我們的社會中是不可或缺的,如果我們無法相信政府或是那些跟日常生活密不可分的企業,社會將受到影響。一次又一次的研究顯示出生活在高度信任社會的價值和生活在低度信任社會的成本。
任何背叛或曾被朋友或伴侶所背叛的人都知道要重建信任並不簡單,其過程包含透明化、監督和負責。透明化的第一步就是坦誠布公,不是一次透露些許也不是因為礙於時勢才透露,而是完全地公開一切,並持續地公開。不再有秘密的法庭以秘密的法律作出祕密的判決,也就沒有這些隱藏著成本與效益的秘密程序。
監督指的是對美國國家安全局、聯邦調查局和其他的組織進行實質的限制,此限制結合以下幾點:法院將被當成執行法規的第三方,而不是一個魁儡機構;立法機關了解各種組織的運作,並定期討論其加強權力的要求;活躍的政府監督團體將分析和辯論政府的所作所為。
負責代表的是當有人違反法律、欺騙國會或是誤導民眾時,他們將會被追究其責任。美國國家安全局已經偏離正軌,雖然無法對於他們以特權遮掩的所做所為進行起訴,但我們必須清楚了解到未來這樣的行為是不被容忍的;負責也意味著投票,也就是說投票者需要知道我們的領導者以我們所賦予的權力做甚麼。
這是我們唯一可以重建信任的方法。除非顧客可以根據正確的產品資料去作出明智的決定,否則市場經濟將無法運作。這也是為什麼我們有像FDA一樣的機構、法律和禁令去對抗廣告不實。
美國國家安全局對網際網路造成最大的傷害就是我們不再知道誰值得信任,而這將是最難以修復的傷害。
本文為【資訊安全實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2013/12/nsa_spying_who.html
Leave a Reply