昨天除了新冠疫情的熱點外,一條外媒消息在通信圈裡沸騰了——據美國、德國、瑞士等三國媒體報道,美國中情局CIA和德國BND聯邦情報局通過暗中控制一家頂級加密公司 Crypto AG,秘密控制了全球各國政府數十年來的絕密通信。
1. 美國CIA和德國BND秘密購買了Crypto AG,通過該公司出售加密設備給他國,並藉此進行監視,以便輕鬆破解密碼並解讀他國信息。
2. 從二戰後到本世紀初,這家瑞士公司向全球約100多個國家和地區提供編碼通信設備,其中包括伊朗、拉美的軍政府,互為對手的巴基斯坦和印度,甚至包括梵蒂岡。
購買Crypto AG設備的100多個國家和地球(紅色區域)
3. 在20世紀80年代,來自Crypto AG的情報佔美國所有外國通信破譯的大約40%。
4. Crypto AG出售的設備上加入了一些“設計缺陷”,CIA和BND能夠進行竊聽,竊聽對象不僅包括伊朗、巴基斯坦這類敵人,也包括自己的眾多盟國。
5.由於懷疑該公司的背景,中國和前蘇聯都沒有購買Crypto AG的加密機。
早期加密機
6. CIA的買賣得到了什麼?強大的情報:比如,1978年,美國總統吉米·卡特在和埃及總統薩達特、以色列總理貝京在戴維營舉行埃及-以色列和平協議談判時,美國監聽了薩達特與開羅的所有通信內容。再如,在1979年人質危機期間,中央情報局CIA和國家安全局NSA監聽了德黑蘭革命政府。
7.里根總統宣稱美國確信利比亞參與了1986年柏林迪斯科舞廳爆炸案後,Crypto AG的設備安全性開始引起人們的懷疑。6年後,伊朗情報部門逮捕了Crypto AG的一名推銷員Hans Buehler,不過很快Crypto AG為他支付了100萬美金的保釋金,這筆錢是德國BDN出的。
早期加密機
8. 多數Crypto AG員工對此不知情,1977年,該公司一名工程師試圖為敘利亞政府修復Crypto AG產品中的漏洞,並對算法中的“後門”產生懷疑,很快就被解僱了。
9. 《巴爾的摩太陽報》於1995年最早揭露了美情報部門這樁醜聞,導致幾個國家停止購買Crypto AG產品,但還有很多國家繼續購買和使用,包括伊朗。
10. BND最早於1990年初放棄股份,轉給美國,但是隨著在線技術,包括更多先進的加密技術、應用程序的出現,CIA終於在2018年出售了該公司。
11. 從CIA購買Crypto AG資產的兩家公司否認與CIA有任何牽連。瑞士政府目前已派員調查這家公司。
12. 據稱是CIA內部洩露的此事,給華盛頓郵報提供的報告題目為“世紀情報政變”。
華盛頓郵報的報道,來自網絡,侵刪
我們怎麼看待這件事?來看幾個問題:
1. 加密設備為何成為CIA竊密之“手”
自古以來,加密技術都是作戰情報破譯與反破譯的核心所在。早在公元5世紀,古希臘人就發明了斯巴達密碼,二戰時德軍使用大名鼎鼎的ENIGMA密碼機,盟軍因無法破解不斷被迎頭痛擊,多虧1939年,丘吉爾支持下,一個年輕的天才在倫敦的布萊切利莊園對其徹底破解徹底扭轉二戰局勢,那個天才就是圖靈,那個破解ENIGMA密碼的龐大機器就是世界最早期的計算機。
在當時,一部加密機的威力相當於遠程導彈。二戰後,世界格局變幻莫測,加密機成為各國政府加密通信的重要工具。簡單講Crypto AG加密機的工作就是把機密文件加密後傳輸或者存儲,從目前公佈的信息看,Crypto AG加密機可能集成了帶有漏洞的算法,使CIA可以輕而易舉從“數學後門”中獲取情報。相當於CIA假手瑞士公司,堂而皇之地在100多個國家政府部門裝了竊聽器。
2. 防不勝防的加密技術“後門”,可能就在我們身邊?
Crypto AG加密機這招,說實話,好防,因為是外掛設備,容易被識破。而且這種外掛技術很快就被淘汰了,所以美國媒體爆出來的這個消息即便不是解密檔案,也已經是過去式的歷史事件了。
現在最應該注意的是,美國積累了大量更卓越的竊密、監聽技術。這其中有很大一部分是通過在加密技術中設置“數學後門”實現的。比如2013年的稜鏡門事件中,斯諾登就披露CIA通過在網絡通信協議設置漏洞,實現對外國政府、企業和個人無差別竊密、監聽的目的。通信協議是構成網絡連接的基本規則,目前最基礎的網絡通信協議是TCP/IP協議,在此基礎上還有面嚮應用的互聯網HTTP超文本傳輸協議、電子郵件IMAP、SMTP、POP3協議等,蓄意弱化這些通信協議相當於全世界在使用網絡時,已經在美國情報部門面前“裸奔”,而且很多通信協議不斷升級、更新,卻依然頻頻被爆出漏洞,就像WiFi標準(美國IEEE 802.11協議)中的安全機制,從WEP到WPA、WPA2、WPA3,這麼多年不斷更新,不斷有漏洞。協議漏洞分兩種,一種是設計者主觀無意的技術漏洞,另一種就是主觀故意留下的“數學後門”。這是斯諾登給全球帶來的警示。不過很可惜,6年過去了,斯諾登還在躲避美國的追捕,但很多人已經把這件事忘了。
協議中的後門已經很高級了,但還比不過“後門之王”——加密算法中的數學後門 。法國高等計算機、電子及自動化學院(ESIEA)應用密碼學及病毒學實驗室研究主管埃裡克在2018年的歐洲黑帽大會上就提及過,BEA-1分組加密算法,該算法類似AES,但含有一個可供進行有效密碼分析的數學後門。利用該後門以區區600KB數據(300KB明文+300KB密文),在10秒鐘內就能恢復出120位的密鑰。儘管AES迄今還沒曝光數學後門,但這個算法從軍用級到全球公開,卻沒有任何形式的後門,是否值得懷疑呢?
3.美中情局”世紀情報政變“,給我們什麼啟示?
Crypto AG事件曝光後,很多網友提出,美國是在賊喊捉賊,沒錯,這些年不正是美國等西方國家大肆炒作“中國威脅論”,最近還號稱中國“黑客”竊取美國信息,中國外交部在回應中也沒給面子直接懟回去了。美方還不斷質疑中興、華為在產品中設置後門,極力阻止中國基礎信息技術產品和設備進入國際市場,是不是很像十幾年前打壓WAPI標準的那些路數?
Crypto事件恰恰反映美國在網絡安全問題上的雙重標準,算是給一直支持美國的一些西方國家敲響了一記警鐘。
對我們而言呢?這件事雖然對中國沒有影響,但是再次提醒了我們自主技術的重要性,別覺得別人家的技術用著順手,好用,就看不上咱們自己企業做的技術;別總是不經過仔細的研究,就來那套“不過是從別人的技術那裡加了點自己的東西而已”的說辭,研究了嗎?找相關發明人回應了嗎?也不要再動不動就說自主技術不好用,技術就是在不斷應用中演進的,你不用怎麼能好用起來呢?
特別是對網絡安全協議技術在內的通信協議技術,多留個心,別忘了斯諾登不要命的提醒;也特別留意那些用了外國加密算法的技術,加密技術用國產的,這不僅是國家安全,也是一種主權。更何況今年1月1日起《密碼法》正式實施後,從合規性的角度,也更應該用國產加密技術。
最後,讓我們用美國國務卿、前中情局局長彭佩奧的名言做結尾:"我們撒謊,我們欺騙,我們盜竊,我們還有一門課程來教這些,這才是美國不斷進取的榮耀。"
閱讀更多 通信觀察 的文章
