北京时间12月21日下午消息，美国国安局(NSA)“棱镜门”监听丑闻又有新进展。据路透社报道，NSA曾与加密技术公司RSA达成了1000万美元的协议，要求在移动终端广泛使用的加密技术中放置后门。

两名知情人士称，RSA收受了1000万美元，将NSA提供的方程式设定为BSafe安全软件的优先或默认随机数生成算法。尽管这一金额看上去不多，但这已经相当于RSA公司有关部门年收入的三分之一。

此举将让NSA通过随机数生成算法Bsafe的后门程序轻易破解各种加密数据。RSA否认了相关的内容，并声称自己的加密算法只使用了国家认证的协议。而NSA则拒绝发表评论。

简而言之就是，NSA首先利用NIST(美国国家标准研究所)认证了这种有明显漏洞的算法为安全加密标准，然后再让RSA基于这种算法推出安全软件Bsafe。而企业级用户采购安全软件，则看到的是一个世界级企业采用NIST认证的加密标准开发的软件。

影响或非常巨大

RSA此次曝出的丑闻影响非常巨大，作为信息安全行业的基础性企业，RSA的的加密算法如果被安置后门，将影响到非常多的领域。

据悉，RSA目前在全球拥有8000万客户，客户基础遍及各行各业，包括电子商贸、银行、政府机构、电信、宇航业、大学等。 超过7000家企业，逾800万用户(包括财富500强中的90%)均使用RSA SecurID认证产品保护企业资料，而超过500家公司在逾1000种应用软件安装有RSA BSafe软件。据第三方调查机构显示，RSA在全球的市场份额达到70%。

在中国，RSA的通信客户包括中国电信(48.94, -0.76, -1.53%)、中国移动、中国联通(14.84, -0.17, -1.13%)、中国网通。银行客户有中国银行、中国农业银行、中国工商行、中国建设银行等。而在制造业，华为和海尔也是其主要的客户。据第三方调查机构显示，RSA在全球的市场份额达到70%。2004年4月，神州数码(中国)有限公司与RSA公司签约，成为独家全国总代理。

一位要求匿名的互联网安全专家对新浪科技表示，RSA是一种国际上通用的非对称算法，主要是提供双因素认证功能。即把密码拆分成两部分，一部分是用户设置的固定密码，另外一部分来自每个用户发放的可显示数字的硬件。该硬件基于时间、设备号和种子数计算出一个动态密码。固定密码加动态密码才构成整个认证密码。

他介绍说，目前在国内RSA产品的应用非常广泛，绝大多数互联网公司都在采用这套认证工具。在国外，不少军工、兵器类公司也都是RSA用户。美国国安局在RSA中设置后门意味着，密码动态密码部分已经被美国政府掌握。

曝光过程

RSA公司的行为令全世界震惊。该公司一直是隐私和安全的拥趸。上世纪九十年代，NSA试图通过加密芯片(Clipper Chip)，监控大量电脑和通讯产品，RSA公司曾带头抵制。

《纽约时报》今年9月曾披露，NSA前雇员、泄密人爱德华·斯诺登(Edward Snowden)披露的文件显示，NSA研发了一种随机数生成方程式，能够在加密产品中充当“后门”。此后，RSA公司呼吁用户停用植入了这些方程式的产品。

路透社随后报道称，RSA是该方程式的主要散播者， 该公司将其植入了一款名为BSafe的电脑安全软件。

RSA在一份声明中称：“RSA的行为一直符合客户的最大利益，无论如何都不会在产品中设计或植入任何后门。RSA产品的功能和特性完全自行决定。”

路透社采访了多名RSA公司的现任和前任雇员，大多数人认为该公司接受这份合同是错误的。许多人认为，RSA公司正在偏离专注于加密产品的轨道，是这起丑闻发生的原因之一。

但也有人认为，RSA公司被政府官员误导，后者将NSA提供的随机数生成方程式描述为一种先进的安全技术。一位知情人士称：“他们(NSA)并未显露真实目的。”该人士声称，政府官员并没有告诉RSA公司，他们知道如何破解加密。

路透社认为，RSA公司的这份合同表明，NSA加强监控的一大关键策略是：系统性破坏安全工具。斯诺登最近几个月披露的文件显示，NSA正利用“商业关系”推进这一目标，但并未指明哪家安全公司充当合作伙伴。

本周，美国白宫任命了一个委员会，调查美国监控政策，这一标志性的事件让NSA成为众矢之的。该委员会称“加密是互联网信任的核心基石”，并呼吁NSA停止任何破坏这一基石的行为。

(责任编辑：)