微軟不保證Windows中加解密演算法的安全
以下是我的猜測:假設除了「 NSAKEY 是微軟的備用金鑰」一事之外, 微軟的Culp 所說的其他一切都是真的。請回頭看Culp回應當中被我用粗體字標出來的部分。用蓋橋的比喻來說,Culp的意思就是說:微軟的金鑰認證只管制包商初次蓋橋申請一切合法;至於以後包商可能會再自行進出維修橋樑,微軟根本就不會再次認證確認修補後的橋樑的安全性。我認為那個NSAKEY不是微軟自己的金鑰,而是 NSA的公鑰。每當NSA(包商)要進入「維修」橋樑時,微軟就用這把公鑰確認包商身份,如果確定是NSA,就放行,至於 NSA 進去做了什麼「維修」,按照Culp 的說法,那並不屬於微軟的權責範圍。這個猜測完全符合Culp所說的這幾句話:「微軟根本就沒把自己的私鑰分享給NSA」、 也 「從來就沒用這把金鑰簽章過任何CSP」, 因為那把金鑰的功用根本就不是用來認證簽章CSP的啊!
結論:不論我的猜測是否正確,Culp的首度回應及拒絕後續回應,很明確地證實了:微軟與 NSA 之間確實存有不可告人的秘密。另一個事實是:NSA長久以來一直企圖將加解密後門硬塞到各處去──其中之一是暗藏後門的亂數演算法 (產生金鑰時會用到)DUAL_EC_DRBG,已被成功地塞入國家標準NIST及微軟的 CAPI裡面(資料1、2)。
Culp 那段粗體字的話也講得很清楚:收錄在Windows裡面(也就是經過微軟簽章認證過)的加解密演算法,微軟並不保證其安全性。
再補幾個新聞連結:
1、每當微軟發現 Windows 的漏洞,會在修正問題之前第一時間先通知 NSA--這不只意謂著 NSA 對 Windows 零時差漏洞免疫,也意謂著NSA 經常可以用 Windows的零時差漏洞主動出手攻擊對手(中國注意)、盟友(歐盟已經在注意 -- 即使影響航班交流也不怕)、 及其他任何他看不爽或偷看了才爽的對象。呃... 我是說... 恐怖份子(資料1、2)。
2、微軟的新產品Xbox One 要求用戶必須站在它的鏡頭前面「校正」才能啟用、每二十四小時或更短的時間內必須連線上網、不可回收轉手出售或贈送給別人。為什麼要有這些不近情理、趕跑用戶的規定?是故意要襯托 Sony PS4 的讚嗎? 如果你的目標是賣產品,這些豬頭規定完全說不通;但如果你的目標是協助NSA 全面監控公民,這就很有道理了。還好後來微軟撤銷部分堅持。
3、最近被微軟買下的skype,到底有沒有被美國政府監聽?微軟聲稱skype內容有加密;但是被媒體追問細節時,又拒絕深入回答。也許它用的加解密服務,跟本文所談的CAPI有類似的後門?或是Chess計畫讓NSA更加不費吹灰之力就長驅直入?
看過這些事證之後,這句話你還說得出口嗎?「Windows 是安全的作業系統。」 事實上,如果你夠在乎資訊安全,任何看不見原始碼的作業系統都不值得信任──就像任何行事不透明的政黨都不值得信任一樣。Culp那一句「設計文件是微軟的智慧財產權」很明確地幫「所有不提供原始碼的專屬軟體廠商」明白地告訴你: 我的智慧財產權,重於你的資訊安全。
老實說,就連我這麼不信任微軟、這麼相信陰謀論的人,如果十幾年前看到 NSAKEY事件的新聞,大概也只是放在心上姑妄聽之而不太敢拿出來談──光是抗議IE-only跟docx專利這些明顯的問題都已經困難重重了。
不過,在整理完這些連結之後, 我甚至可以接受更進一步的陰謀論(如果有時間像這篇一樣詳細搜尋佐證資料的話)或許當初微軟真的是NSA一手扶養長大的?<== 還有其他更多陰謀論)。
大家一再地把各種證據攤在桌上,臺灣各級政府及大學電算中心主任對於 Windows所造成的資安問題,會不會終有反應呢?或者,他們會繼續無動於衷、 繼續裝死、讓我們更加確認:宣稱要保護國家機密的國安修法其實根本就沒有真正的資安專家參與、讓我們更加確認力挺Windows的CIO,其服務的對象並不是僱主?
該說的都說了;終究,我還是得領Office證照卓越大學的薪水過日子,僱主不聽, 我也就只能回家獨自安心地用著開放原始碼的Linux而已吧。有一天,當力挺 Windows的資訊教授們終於覺醒時,對於Last Christmas - I gave you my heart 這首歌也許終於會有點感覺! :-)
關於作者
洪朝貴,人稱「貴哥」,朝陽科技大學資訊管理系副教授。貴哥長期以來一直關注資訊人權,興趣是善用網路從事社會運動,反對以「保護智慧財產權」之名,行「控制資訊自由」之實。經營個人部落格:資訊人權貴ㄓ疑
本文轉自原作NSA 要求微軟安置在 Windows 裡的後門... 保護智財, 無可奉告,T客邦已取得轉載授權。
延伸閱讀:
美國 NSA 與 FBI 聯手入侵 Google、Apple、Facebook 等網路巨擘,收集人民網路活動資料
PRISM 非法監控事件,讓不追蹤用戶隱私的搜尋引擎 DuckDuckGo 流量暴增
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!