北京時間12月29日早間消息,德國《明鏡周刊》對愛德華·斯諾登(Edward Snowden)披露的最新文件進行的解讀顯示,美國國家安全局(以下簡稱“NSA”)仍有一些尚未破解的加密工具。
文件顯示,截至2012年,仍有一些電子郵件和聊天工具未被NSA破解。例如,NSA追蹤整個Tor網絡的用戶時就會面臨“重大問題”,在破解通過電子郵件提供商Zoho大幅加密的電子郵件時也存在很大的困難。
另外,當用戶使用開源磁盤加密程序TrueCrypt加密數據后,NSA也會面臨類似的破解困難。不過,TrueCrypt已于今年早些時候關閉。PGP加密工具和OTR聊天加密也會給NSA帶來破解困難,因此全部信息都沒有出現在該系統中,只是顯示了一條:“這條PGP加密信息無法破解。”
但并非所有服務都這么幸運。事實上,追蹤普通網絡中的文件對NSA來說易如反掌,而通過俄羅斯電子郵件服務Mail.ru發送的加密郵件也相對比較容易破解。另外,虛擬私有網絡(VPN)也無法為用戶提供太多保護:文件顯示,NSA正在開發一種技術,可以實現每小時監控2萬個VPN連接。
最值得警惕的或許在于,NSA似乎已經完全繞過了HTTPS系統,這是一種在網站和瀏覽器之間使用的安全連接。2012年末,該機構每天大約可以攔截1000萬個HTTP連接。
不過,PGP和Tor用戶也并非絕對安全。執法部門已經使用各種技巧成功對Tor發起了攻擊。另外,即使是最先進的加密工具,也無法逃避本機惡意軟件的感染。2012年的文件還顯示,NSA難以破解AES加密標準——這是加密行業使用最為廣泛的標準之一。但業內人士擔心,NSA已經通過此后兩年的努力成功破解了這一標準。
對安全人員來說,這一結果喜憂參半。很多被破解的標準已經被公認存在瑕疵,所以HTTPS被破解的消息雖然值得警惕,但并不令人意外。與此同時,PGP或Tor等工具的使用者卻應該如釋重負。
但研究人員應當意識到,雖然他們曾經認為加密工具使之在加密大戰中取得了勝利,但實際結果并非如此。
京公網安備 11010502049343號