斯諾登:NSA可破解大多數互聯網加密技術
直到昨天,斯諾登才終于說出了最大的秘密,那就是(互聯網)沒有秘密。
稍事修整的斯諾登昨日又通過英國衛報爆料,稱NSA和英國情報機構可破解包括V*N和HTTPS在內的絕大多數互聯網隱私保護和加密技術,這意味著大多數經過加密的個人和商業網絡通訊數據、在線交易信息,對NSA來說都唾手可得。
衛報援引安全專家觀點指出:NSA的做法已經動搖了整個互聯網的信任基礎。
根據斯諾登提供的絕密文檔,NSA和英國情報機構GCHQ的破解技術讓互聯網公司向用戶承諾——用戶的網絡通訊、網銀和醫療信息不會被包括政府和黑客在內的任何人解密,變成了一句空話。
NSA對互聯網大規模解密的能力不是一天練成的,事實上是NSA長期的系統工程的成果,NSA主要通過以下三種方法達到目的:
1.采用秘密方法控制信息安全國際標準的制定。
2.采用超級計算機暴力破解。
3.也是最嚴格保密的做法與大型技術公司和互聯網服務商合作,包括:a.在大型技術公司的商業產品中植入后門。b.在高科技公司里發展“自己人”。c.每年投入2.5億美元用于與科技公司的“合作”費用。
上圖是GCHQ的一個試點項目,可以實時監聽并解密來自互聯網骨干光纜的數據
根據斯諾登披露的絕密文檔,NSA和GCHQ的破解互聯網加密技術的項目在2010年取得突破性進展,可以大規模解密從互聯網主干網截獲的海量數 據。GCHQ還成立了專門的團隊解密“四大”——Hotmail、Google、Yahoo和非死book的用戶數據。這意味著即使互聯網公司在某些 情況下拒絕向NSA和GCHQ提供用戶數據,NSA也可以自行破解獲取。
與棱鏡項目每年2000萬美元的預算相比,NSA和GCHQ每年與科技公司的“合作”項目——Sigint的預算則高達25億美元。2011年以來,Sigint項目的開支累計高達8億美元。
泄漏文檔顯示,NSA破解整個互聯網的目的不僅僅是反恐,而且還涉及了重大的商業利益,包括“重塑全球市場”,以及破解4G手機加密技術等。
值得注意的是,Sigint的預算還覆蓋了一個戰略性的目標:控制信息安全國際標準。
絕密文檔證實了安全專家們長期以來的一個猜測:2006年NSA秘密運作使美國國家標準與技術研究所(NIST)的起草的一份安全標準得以成為國際標準。文件中寫道:
最終,NSA成了安全標準的獨家起草者。
NSA的解密項目代號Bullrun,名字取自美國南北戰爭的一次關鍵戰役。泄密文檔顯示Bullrun能夠破解大多數網絡安全協議,例如HTTPS、VoIP、SSL與 V*N技術。
隨著Sigint和Bullrun項目的成熟,互聯網和全體網民在NSA面前基本一絲不掛,但是目前還是有一些技術可以幫助個人或者企業避開NSA的監控,安全專家Bruce Schneie在衛報上介紹了五個工具,有興趣的讀者也可以參考閱讀IT經理網之前的文章:個人如何逃避NSA的全球監控。
文章來自IT經理網