其他
Juniper将放弃与NSA有关联的代码
网络设备商Juniper公司上周五表示,将停止使用分析人员认为是由NSA开发并试图进行窃听行为的安全代码。公司表示将于今年上半年推出安全软件新版本来替代那些由DualElliptic Curve技术生成的数字。
该决定做出的前一天,一个密码学团队在斯坦福大学的一次会议上发现Juniper的代码在2008年期间被修改多次,目的是为了监听客户的虚拟私人网络会话。上个月,Juniper表示已经发现并替换两段未经授权且允许“后门”访问的代码。研究人员表示这两段代码出现在2012年和2013年,而2014年出现的后门更是允许所有拥有正确密码的人查看所有的内容。2012年的代码改变了JuniperNetscreen产品中的一个数学常数,这个常数本来就允许作者进行窃听。随后公司发布补丁并用自2008年就在使用的版本进行了替换。而另外一个曲线常数是由NSA提供的,而且要求某些联邦证认证,它们出现在了斯诺登的解密文件中。截至目前,最具影响的双曲线采用者是RSA,它是存储公司EMC的一部分。据悉EMC与联邦政府签订了一份价值1000万美元的合同对其进行传播。
尽管学术界尚未提出2008、2012和2014代码的罪魁祸首,但正是在2008年,密码学家对双椭圆曲线提出了质疑。而有人认为NSA是最有可能的嫌疑,随后或许有来自其他国家的机构或顶级黑客取代了NSA。NSA方面尚未作出任何回应。
Juniper表示将继续进行调查,并拒绝回答有关版本修订的问题。