时事经纬
08-09-13
NSA暗中开发强大信息解码技术
最新披露的文件显示,美国国家安全局(NSA)在长期的加密技术秘密战争中占了上风,它利用超级计算机、技术花招、法院指令和幕后劝说,对互联网时代保护日常通讯隐私的主要工具造成了损害。
加密技术,或称数码干扰技术,可以为国际商业和银行系统提供防卫、保护商业机密和医疗记录等敏感数据,并自动为美国及世界各地民众的电子邮件、网页搜索、网络通讯和通话提供安全保证。
上述文件表明,国家安全局绕开或破解了大部分加密技术。
网络公司保证他们的数据绝不会遭到他人窥探,即便政府情报机构也无法获得这些数据,而NSA则希望他们继续这么认为。
根据斯诺登所提供的文件,NSA把它最近在解密受保护信息方面所取得的成功归入最核心机密的行列,只有那些可以接触代号为Bullrun的高保密项目的人才能了解相关讯息。
该项目始于2000年,当时加密工具正在逐渐覆盖整个网络,为了保留自己的窃听能力,NSA便投资数十亿美元开展了一项秘密活动。
20世纪90年代,NSA希望能在所有加密讯息中安插自己的“后门”,但最终却在这场公开斗争中败北,然后它便试图通过秘密行动来达到同样的目的。
为了破解密码,NSA采用了定制的高级计算机,而且还开始与国内外的科技公司进行合作,在这些公司的产品中建立入口。文件并未表明哪些公司曾参与这个过程。
在一些案例中,公司表示,它们受到了政府胁迫,不得不交出自己的主密钥或是建立后门。此外,NSA还利用自己作为世界上最有经验的密码制造者的影响力,秘密在世界各地的软硬件开发商所遵循的加密标准上设置了薄弱环节。
“过去10年中,为了破解各种广泛使用的网络加密技术,NSA针对多个方向大力开展工作,”2010年的一份备忘录表示。
“现在正在获得密码分析能力,此前被丢弃的海量加密网络数据目前可被利用。”这份备忘录来自一场与NSA对应的英国机构政府通讯总部为员工举行的关于NSA成就的通报会。
NSA力度最强的一些工作都集中在美国广泛使用的加密术上,其中包括安全套层(Secure Sockets Layer,简称SSL)、虚拟专用网(virtual private networks,简称VPN),以及4G智能手机所使用的保护措施。很多美国人在发送邮件、网上购物、通过公司计算机网络与同事交流,以及通过4G网络使用电话或平板电脑时,都会依赖这些保护措施,而他们往往不会意识到这一点。
几乎可以肯定,GCHQ曾与NSA就此展开密切合作。一份文件称,至少在过去三年中,GCHQ尝试用各种手段来获取最受欢迎的互联网公司——谷歌、雅虎、Facebook和微软Hotmail——中受保护的通讯。文件还显示,截至2012年,GCHQ开发了进入谷歌系统的“新途径”。
“风险在于,当你在系统中插入了后门,你不会是唯一能利用它的人,”约翰斯·霍普金斯大学密码学研究员马修·D·格林说。“这些后门也可能被利用来打击美国通讯。”
曾联合设计SSL协议的著名编码师保罗·科克(Paul Kocher)回忆称,NSA在20世纪90年代曾要求在所有加密系统里安插叫做“Clipper芯片”(Clipper Chip)的政府后门,并最终失败。
“但他们不顾一切,还是这么做了,而且没有告诉任何人,”科克说。他说他理解NSA的使命,但是他担心允许NSA不受限制地获取私人讯息会带来危险。
“情报界一直都在担心世界会陷入永远‘静默’的状态,但他们如今却不费吹灰之力就能在瞬间全面侵入人们的隐私之中,”他说,“这简直是间谍活动的黄金时代。”
“在未来,超级大国的成败将取决于它们密码分析项目的实力,” 2007年的一份文件写道, “美国要想继续不受限制地访问和使用网络空间,这就是入场费。”
NSA解码能力究竟有多强大只有少数顶级分析师知道,他们来自所谓的“五只眼”(Five Eyes):NSA及其在英国、加拿大、澳大利亚和新西兰的对应机构。只有他们能充分接触Bullrun项目,及其前身项目Manassas——这两个名字都取自美国南北战争中的战役。GCHQ的一个平行的反解密项目叫作Edgehill,名字取自17世纪英国内战的首个战役。
斯诺登泄露的一份情报预算文件显示, NSA每年花费逾2.5亿美元在Sigint促进计划(Sigint Enabling Project)上,这个项目“主动积极地接触美国和外国IT产业,暗中或公开影响它们的商业产品设计”,让这些产品“可被利用”。Sigint是电子窃听技术的术语“信号情报”(signals intelligence)的缩写。
这些文件显示,今年,Sigint项目找到了进入某些为企业和政府编码信息的加密芯片的数个途径,方法要么是通过与芯片制造商合作来植入后门,要么是暗中利用现有的安全缺陷。NSA还有望获得完整权限,从而在加密前访问一家未具名的大型互联网电话与短信服务公司、一家中东互联网公司,以及三个外国政府的通讯信息。
有一次,在美国政府了解到某外国情报目标订购了新的计算机硬件之后,美国制造商同意在硬件出货之前植入一个后门。
NSA在其2013年的预算申请中强调了“与各大电信运营商保持合作伙伴关系,使全球网络有利于其他信息搜集活动”——也就是说,获得更多的窃听机会。
据《卫报》报道,NSA跟微软公司的管理层合作,可以在加密前访问该公司人气最高的服务项目,比如Outlook电子邮件、互联网通话与聊天软件Skype,以及该公司的云存储服务SkyDrive。
微软强调,自己只是遵从了政府的“合法要求” ,而且在某些情况下,合作显然是迫不得已的。熟悉内情的人士透露,政府曾经要求一些公司交出所有用户通信的加密密钥。如果公司高管拒绝执行秘密法庭颁发的这个命令,可能会被处以罚款或监禁。
NSA的文件显示,该机构有一个名为密钥供应服务(Key Provisioning Service)的内部数据库,里面是特定商业产品的加密密钥,可以自动解码很多信息。如果解码所需的密钥不在数据库中,它会向密钥收回服务(Key Recovery Service)发送请求。后者就会设法获取相应的密钥。
如何得到密钥是保密的,但一些独立的密码专家称,许多密钥很可能都是通过秘密侵入相关企业存储密钥的计算机服务器来获取的。
与此同时,NSA也刻意削弱了开发人员采用的国际加密标准。该机构2013年的预算申请中阐述的目标之一是“影响商用公钥技术的政策、标准和规范”,而这种技术是最常见的加密方法。
密码专家早就怀疑NSA在一个标准中植入了漏洞。这个标准于2006年被负责美国加密标准的国家标准与技术研究院(National Institute of Standards and Technology)所采用,后来又被拥有163个成员国的国际标准化组织(International Organization for Standardization)采纳。
NSA的数份机密备忘录似乎证实了,微软的两个密码破译人员2007年在标准中发现的致命漏洞是该机构的手笔。NSA编制了这个标准,花大力气把它推向国际社会,并在私下里称这个任务是“需要精妙应对的挑战”。
“最终, NSA成为了唯一的编撰者。 ”备忘录中写道。
NSA项目有时也被用来削弱这种保护。举例来说,NSA旗下的商业解决方案中心曾以改善美国网络安全为名,邀请加密技术开发机构来展示它们的产品和服务。但一份绝密NSA文件显示,该机构的黑客部门使用同一个项目培养并“利用跟特定行业合作伙伴之间的敏感合作关系”,以达到把漏洞植入到互联网安全产品中的目的。
通过引入此类后门,NSA悄无声息地获得了在公开场合未能取得的成效。20年前,美国官方对一些强大加密软件的流行担忧起来,比如程序开发员菲尔·齐默尔曼设计的“完美隐私软件”(Pretty Good Privacy,简称PGP)。克林顿政府提出了Clipper芯片予以还击。如果推行下去,NSA将始终掌握密钥,实际上会使电子加密失去作用。
这项提议在很大范围内遭遇了强烈反对,并出人意料地团结了一批人,其中包括参议院里的政治对头,比如来自密苏里州的共和党人约翰·阿什克罗夫特(John Ashcroft)和来自马萨诸塞州的民主党人约翰·克里(John Kerry),还有电视传教士帕特·罗伯森(Pat Robertson)、一批硅谷高管,以及美国公民自由联盟(American Civil Liberties Union)。他们都认为,Clipper不仅会让宪法第四修正案形同虚设,还会扼杀美国在科技领域的全球领先优势。
1996年,白宫终于让步。但很快地,NSA就开始尝试,在加密成为主流之前进行预先准备并予以阻挠。
“每项新技术都需要新的专业知识来对其进行利用,越快越好,”一份机密文件中这样写道。
每次出现创新性的加密方式都会让他们心生焦虑。当齐默尔曼推出了加密电话技术Zfone时,NSA分析师通过电子邮件竞相传阅这一消息,邮件主题栏上写着“此事不妙”。
一份NSA文件显示,到了2006年,通过破解保护性的VPN,该局已攻破了三家外国航空公司、一个旅行预订系统、一个外国政府的核能部门,以及另一个外国政府互联网服务的通讯系统。
到了2010年,英国反制加密的Edgehill计划已成功破解了30个目标的VPN,而且设立了再破解300个的目标。
不过,这些机构的目的是要摆脱逐个破解目标工具的局面,迈向实时解译通过全世界光纤和互联网交换机的所有信息,仅需事后搜寻解密材料来获取有价值的情报。
2010年的一份材料呼吁,采取“全新的方式来进行随机解码,而非逐个破解目标”。就在当年,Bullrun的一份报告文件宣称,NSA已获取了针对加密网络聊天与电话的“突破性能力”。该机构在破解SSL和VPN上也不断有所斩获。
不过,NSA担心,一旦解码的“实情”广为人知,就会丧失长时间努力得来的优势。GCHQ概述Bullrun计划的一份文件中警告,“这些能力是Sigint项目中最为脆弱的部分,无意间泄露这一简单‘实情’的话,可能会让对手警觉,并导致能力的迅速丧失。”
自从斯诺登的揭秘激起外界对NSA触角太广、侵犯隐私的批评,美国科技企业就面临着消费者和公众的审视。一些人认为,业界与政府的关系太过紧密。作为回应,一些企业开始反击他们眼中的政府的霸道行为。
谷歌、雅虎、微软和Facebook都施加了压力,希望允许它们披露有关政府下达秘密合作要求的更多信息。由于不愿满足NSA的要求,小型邮件加密企业Lavabit干脆关门,因为公司认为NSA要求的是机密客户信息。另一家企业Silent Circle宁可终止邮件服务也不愿满足类似的要求。
实际上,当NSA不断得寸进尺的时候,业界都做出了让步。
Lavabit的创始人拉达尔·莱韦森(Ladar Levison)给失望的客户写了一封公开信,给出了不详的警告。“除非国会采取行动,或是法院做出强有力的判例,”文中写道,“我强烈建议,任何人都不要把自己的私人信息交给与美国有任何实际联系的公司。”
|