前美国国家安全局技术主管:云计算不值得信任
2010-03-09 网络世界 编辑:胡杨编译
前美国国家安全局技术主管在RSA会议上发表讲话说,他不信任云计算服务并且直率地批评厂商放任多年没有修复的软件安全漏洞。
Brian Snow说,他的讲话代表他自己,并不代表美国国家安全局。他说,云计算基础设施能够提供用户可以安全访问的服务。但是,云计算共享的性质让人们怀疑通过云计算中的其他用户实施攻击的渠道。
Snow是作为年度译解密码者小组的成员在RSA会议上发表讲话的。另一位成员说,他也不信任云计算。但是,他讨厌云计算是基于担心国家安全局可能要做什么。
RSA加密算法三个发明人中的“S”、以色列魏茨曼科学研究所的计算机科学教授阿迪·萨莫尔(Adi Shamir)也因为同样的原因对信赖云计算服务提出了警告。他怀疑在电信网络和互联网上传输信息的保密性。他说,电话系统是安全的,但是,美国国家安全局能够接触到网络上的主要交叉路口。在旧金山的AT&T公司办公室的后台有通向国家安全局的通道。
萨莫尔说,政府访问委托给公共云计算提供商的资产是相同的。他怀疑在某些情况下云计算提供商将成为受政府间谍机构影响的公司,就像Crypto AG公司的安全设备为国家安全局提供一个后门以便访问购买这种设备的外国政府机构发生的加密的信息。他说,请不要使用Crypto AG的设备。
关于另一个话题,Snow说,许多商业应用程序和安全产品包含已知的安全漏洞或者弱点。接受这些产品的用户不知道这些漏洞或者没有全面分析这些漏洞。这种信任就像是拥有不可靠的华尔街衍生投资产品的委托投资者。就像美国金融市场去年崩溃那样,网络安全可能面临“信任泡沫破灭”。
Snow在讲话中提到微软一个存在17年的没有修复的安全漏洞。在这种安全漏洞被利用之前修复这个安全漏洞对厂商是有商业好处的,因此,他们应该这样做。在你第一次闻到攻击的味道之前就要修复这个安全漏洞。
Snow在这个小组委员会上承认,NSA加密算法的译解密码者在20年的时间里在大学和商业安全厂商中输给了竞争对手,但是,在密码方案和在解密能力方面仍然具有优势。
Snow说,我确实相信NSA仍然领先,但是,领先不多,只有几年时间。我认为我们目前仍然稍微领先。他说,在80年代,NSA能够做的事情与商业加密技术能够做的事情有很大的差距。现在,我们很接近并且非常缓慢地朝着成熟的方向发展。
NSA有许多物理博士数学家和密码专家研究加密通讯和破解代码,并且还有另一个关键优势。我们欺骗。我们阅读出版的任何学术文章。我们的研究成果却不发表。
威特菲尔德·迪菲(whitfield diffie)(也就是迪菲-海尔曼密钥交换中的迪菲)说,NSA领先可能与这个事实有关,一些密码问题,如核指挥与控制平台,超出了学术研究的范围。做这种事情是非法的、昂贵的和令人沮丧的。他说,任何私下做的工作都立即成为保密的东西,研究人员不能公开讨论或者邀功。
迪菲说,商业密码的需求不允许彻底地改进。那是NSA工作的标志。有一些实际的问题是NSA不能面对的,例如,迅速开发能够销售给企业的作为有价值的资产的产品。
Snow提出的NSA具有优势的说法似乎会激怒一些人。他指出,当NSA技术期刊中的论文题目解密到1983年的时候,这些论文没有一个是关于公共密钥加密的。萨莫尔说,这表明NSA是落后的。
但是,Snow说,也许这个题目已经写了,只是用了其它的名字。当技术在并行地分别开发的时候,开发人员没有必要使用相同的词汇。(胡杨编译)