吳明宜Juniper Networks 表示將在今年上半年內推出新版安全軟體,以取代仰賴由雙橢圓曲線 (Dual Elliptic Curve, Dual_EC) 演算法產生的數字。
這是因為一群研究人員上星期在史丹福大學舉行的會議上公佈一項發現,指出 Juniper 的產品程式碼在 2008 年間遭到多方變更,用來竊聽客戶的 VPN 通訊內容。上個月 Juniper 曾表示發現並已修補了分別出現於 2012 及 2014 年兩個可能使用戶通訊遭駭客存取的漏洞。
加州大學聖地牙哥分校研究人員 Hovav Shacham 指出,2014 年的漏洞使任何擁有密碼的人都可以一覽用戶通訊。 2012 年的程式碼則變更了 Juniper Netscreen 系列防火牆產品軟體演算法的數學常數,為作者開了竊聽之門。
Juniper 上個月修改 Dual_EC 中的常數後,並以 2008 年使用至今的常數取代之。雖然 Juniper 未否認此次發現到的 2008 年程式碼的問題,但並未解釋何以使用該常數,以及何以 Dual_EC 受到廣泛批評後,該公司還是持續沿用。
前 NSA 特約僱員 Edward Snowden 文件還公佈另一個由 NSA 提供的曲線常數,也是作為後門程式之用。
目前 Dual_EC 演算法最大用戶是 EMC 旗下的 RSA,該公司曾經獲得美國聯邦政府上千萬的合約,以便將演算法嵌入於軟體中銷售給其他公司。
研究人員並未說明 2008 、 2012 或 2014 年是誰修改了 Juniper 的軟體程式碼。可能是對手買通 Juniper 員工或使其無意間插入程式碼來變更 Dual_EC,但 Juniper 自始至終並未公開這套加密法的存在。國際電腦科學研究所專家 Nicholas Weaver 認為 2008 年修改程式碼的以 NSA 嫌疑最大,但這些程式碼在 2012 及 2014 年可能遭其他國家的情報機關或高竿的駭客取代。
NSA 對此並未回應路透社。 Juniper 也不願對修改一事做出評論,只表示會持續調查此事。