有報道稱(chēng)，美國國家安全局(NSA)對RSA Security的加密工具的參與比最初聲稱(chēng)的要大，這引發(fā)了許多問(wèn)題。問(wèn)題很復雜，需要詳細查看。2013年12月，路透社的一份報告稱(chēng)RSA Security已從美國國家安全局(NSA)接受了1000萬(wàn)美元，此舉最終削弱了RSA BSAFE加密工具組件的安全性。3月31日，路透社發(fā)布了一份新報告，聲稱(chēng)NSA的參與影響了更廣泛的RSA BSAFE加密組件。

關(guān)于第二個(gè)與NSA相關(guān)的RSA漏洞的報告基于約翰·霍普金斯大學(xué)，威斯康星大學(xué)和伊利諾伊大學(xué)的教授最新發(fā)表的研究。有問(wèn)題的工具稱(chēng)為擴展隨機擴展，可以潛在地破解目前在安全領(lǐng)域廣泛使用的RSA雙橢圓曲線(xiàn)(EC)偽隨機數生成器。

擴展隨機擴展名被公布為互聯(lián)網(wǎng)工程任務(wù)組(IETF)草案在2008年4月，并明確列出了美國國家安全局作為草案的合著(zhù)者。

研究報告指出：“ TLS的BSAFE實(shí)施使Dual EC后門(mén)特別容易以?xún)煞N方式利用。” “ Java版本的BSAFE在連接中包括指紋，使它們易于識別。C版本的BSAFE通過(guò)廣播更長(cháng)的隨機位字符串來(lái)大大加快攻擊速度，這比起最初在TLS中可能想象的更長(cháng)標準。”

RSA反復否認它曾經(jīng)有意削弱加密功能以啟用NSA后門(mén)。在最近的RSA安全會(huì )議上，EMC執行副總裁兼RSA執行主席Art Coviello 表示，他的公司與NSA進(jìn)行了大量合作，以幫助提高安全性。但是，Coviello并未直接解決價(jià)值1000萬(wàn)美元的合同問(wèn)題。

RSA是否知道它正在幫助國家安全局啟用后門(mén)仍然是爭論的話(huà)題。

BeyondTrust的 CTO Marc Maiffret 告訴eWEEK，諸如此類(lèi)的啟示繼續表明，即使是安全公司也不能盲目地相信政府對安全系統的指導。

梅夫雷特說(shuō)：“盡管?chē)野踩忠呀?jīng)做了很多事情來(lái)改善互聯(lián)網(wǎng)安全，但也有很多實(shí)例削弱了它。” “像RSA這樣出售問(wèn)題解決方案的公司應該完全了解他們的解決方案，即使其中的某些部分可能來(lái)自學(xué)術(shù)界或政府的想法;否則，技術(shù)公司將發(fā)現自己很容易被顛覆。”

Rook Security董事總經(jīng)理兼首席執行官JJ Thompson 告訴eWEEK，對此問(wèn)題還有另一種看法。湯普森說(shuō)：“真正的安全是骯臟的，我們應該停止表現驚訝。” “即使公眾同意了美國國家安全局的部分行為值得懷疑，了解這一原因為何也很關(guān)鍵，而不僅僅是譴責美國國家安全局越界。”

湯普森補充說(shuō)，也許不越界的風(fēng)險太高了，獲得的情報挽救了無(wú)數生命。

湯普森說(shuō)：“無(wú)論如何，無(wú)論舉行多少次參議院情報聽(tīng)證會(huì )，我們永遠都不會(huì )知道;因為如果情報足夠有價(jià)值而違反法律，那么它的價(jià)值就足以掩蓋事實(shí)。”

NetIQ安全策略高級總監Geoff Webb 告訴eWEEK，盡管有一些原因需要關(guān)注有關(guān)RSA加密潛在弱點(diǎn)的最新信息，但基本的加密算法本身仍然是安全的。韋伯說(shuō)：“這些旨在削弱加密過(guò)程的嘗試都是針對作為整體數據保護的一部分的隨機數發(fā)生器。” “這意味著(zhù)一旦消除了這些弱點(diǎn)，我們仍然可以在Internet上收回隱私。”

Webb將加密與交響樂(lè )團進(jìn)行比較。他說(shuō)，大多數演奏家都很出色，但是如果您遇到一位糟糕的小提琴家，那么整個(gè)事情就會(huì )倒塌。

韋伯說(shuō)：“不過(guò)，我確實(shí)認為，盡管我們可以使互聯(lián)網(wǎng)隱私重新回到正軌，但要收回對傳輸數據的安全性失去的信任和信心可能要花很長(cháng)時(shí)間，即使是應該加密的數據也是如此。”