NSA 对 RSA 的渗透比以前认为的更深入

路透社独家报道,NSA 对RSA的渗透比以前认为的更深入,它不是在RSA的加密产品嵌入了一个存在后门的伪随机生成器而是两个。除了众所周知的Dual EC_DRBG双椭圆曲线确定性随机比特生成器外,还有一个是Extended Random。在理论上,Extended Random作为第二个随机性来源,可以使得加密密钥更安全。

但约翰霍普金斯大学的加密学专家Matt Green教授等人在一篇即将发布的研究报告中指出,在Extended Random的帮助下,攻击者破解RSA双椭圆曲线加密软件密码的速度将能加快数万倍。

NSA 在Extended Random协议的开发上扮演着重要角色,协议作者之一的Margaret Salter当时是NSA的一位技术总监,目前在Mozilla工作,他和Mozilla 都拒绝发表评论。Extended Random最早被宣传能增强双椭圆曲线算法所生成随机数的随机性。Green教授说,使用Dual EC_DRBG就像是玩火,而使用Extended Random就像自己身上浇汽油。

文章转载自 开源中国社区 [http://www.oschina.net]

时间: 2024-09-12 08:44:46

NSA 对 RSA 的渗透比以前认为的更深入的相关文章

思科高管在RSA:安全行业需要做得更好

"如果你知道将要受到影响,你会以不同的方式保证安全吗?" "如今安全行业不得不回答这个问题,因为正面临着越来越多的数据泄漏有针对性的攻击."思科首席安全架构师.SourceFire创始人Martin Roesch本周四旧金山举行的2015 RSA大会主题演讲中这样表示. "今天我们所面临的现实是非常有趣的.我们真的需要做得更好."Roesch这样说道."不仅仅是关于创建.生产和出货新的安全技术以逐步改善这个问题.--要比这做得更好.这实

当AI全面渗透零售,如何更多更快更好的让消费者掏腰包?

日前,麦肯锡全球研究所发布了<人工智能:下一个数字前沿>的报告,其中分析了当前大热的人工智能实际落地情况,尤其是在零售.制造业.电力.医疗.教育这五大领域的实际应用.雷锋网就其中"零售业"情况为您进行编译和解读. 零售商们已经开始在产业链的大部分地方应用AI,机器学习以及机器人学.最重要的是,AI技术在诸如促销.分类和供应链等领域内,能够很大程度上减少手动操作.短中期来看,三个机遇最大的领域是促销.分类和补给.大部分零售商都在这些领域进行了AI实验."数字原住民&

云安全和目标攻击成为RSA大会热点话题

网络犯罪可能长期使用着 同样的攻击技术,然而在今天这样一 个信息爆炸的时代, 大量的信息使得他们能更容易地攻击特定的用户并实施更为 复杂的社会工程策略.IDC安全产品和服务团队副总裁兼行业分析师Chirstian Christiansen称,目标攻击利用的是浏览器漏洞, 然后试图 寻找Web应用中的漏洞,并巧妙地达到欺骗终端用户和渗透企业网络的目的.从最近发生 的Google和近二十多家其他公司被袭事件中我们可以发现这样的事实:很多企业可能太依赖于传统的安全方式来保护 终端机器,其中包括病毒特征

瑞星专家详谈企业防黑渗透测试的必要性

本文讲的是 :   瑞星专家详谈企业防黑渗透测试的必要性 ,  [IT168技术]随着电子商务.电子政务的发展,越来越多的重点单位和企业在安全上投入了巨大的精力和资金,但有时候用户会有这样的感受:当基本的软硬件设施配置好之后,安全防卫水平就到了一个相对的瓶颈,再加大投入并不能明显提高安全水平.实际上,这种"安全玻璃天花板"在很多行业和企业中都存在,近期兴起的"渗透测试"成为了解决这个问题的新角度之一. 渗透测试是一种全新的安全防护思路,将安全防护从被动转换成了主动.

《黑客秘笈——渗透测试实用指南》—第2章2.3节 外部或内部的主动式信息收集

2.3 外部或内部的主动式信息收集 黑客秘笈--渗透测试实用指南 主动式信息收集就是通过主动扫描确认目标安装的操作系统和网络服务,并发现潜在漏洞的过程.即主动式信息收集必定对指定的网络段进行扫描.无论是在网络的内部还是外部进行扫描,主动式信息收集都要采用得当的扫描工具. 本书不会详细介绍扫描器的运行方法,毕竟大多数读者已经非常熟悉扫描工具了.如果您尚未掌握扫描工具的使用方法,我推荐您用社区版的Nexpose,或者用试用版的Nessus进行练习.在家里或者实验室里进行网络扫描,了解这些工具获取可发

McAfee与EMC旗下信息安全事业部RSA宣布达成技术合作伙伴关系

摘要: 北京时间2月16日消息,据国外媒体报道,McAfee与EMC旗下信息安全事业部RSA宣布达成技术合作伙伴关系,为客户提供集成安全解决方案以确保在IT环境下的信息安全. 北京时间2月16日消息,据国外媒体报道,McAfee与EMC旗下信息安全事业部RSA宣布达成技术合作伙伴关系,为客户提供集成安全解决方案以确保在IT环境下的信息安全. McAfee总裁兼CEO戴夫·德沃特(Dave DeWalt)表示,"要解决新的.复杂的以及不断变化的威胁需要整体的安全解决方案,这在一个封闭的环境中是无法

江永清总结2009年RSA取得的成绩

新年伊始,北京的出行交通就被一场突如其来的暴雪阻碍.然而,RSA服务安全的热情似乎并没有被这场大雪妨碍.1月6日,笔者对RSA, EMC信息安全事业部大中华区总经理江永清进行了专访.江总在专访中为我们总结了2009年RSA取得的成绩,同时,对2010年,安全市场,特别是数据保护和企业内控市场做出了预测.金融危机下的飞速增长2007年11月,江永清成为RSA大中华区总经理,经过一年的适应,2009年正应该是他出成绩的时候.然而,外界环境的突然变化让整个IT产业陷入低迷,08年底的金融风暴席卷全球,

企业:怎样的渗透测试频率是合适的?

Kevin Beaver是Principle Logic LLC的创始人和首席顾问,他有16年的IT和信息安全的工作经验.在进入信息安全服务行业前,他的工作曾经涉及卫生保健.电子商务.金融和教育行业的信息技术和安全.他擅长的领域包括网络和无线网络安全.信息安全评估和事故回应. Kevin是Technology Association of Georgia的Information Security Society创始人和主席,而且是几家大学和企业的IT顾问团成员.他在Southern Polyte

企业内部渗透测试节省预算的几点建议

从成本和安全专业技术角度 来看,选择企业内部渗透测试比外部顾问更值得考虑,但这并不是简单的工作."拥有内部渗透测试人员的好处在于他们非常专注,"安全公司Lares 咨询公司创始人Chris Nickerson表示,"他们能够追踪最 新的攻击方式和漏洞,不间断监测系统,以及实践和提高自己的技能, 但是为了实现这些目的,他们必须专注."Nickerson指出,大公司有资本成立完全致力于测试的团队,而对于大多数公司而言,渗透测试只是测试人员的部分职责."渗透测试