[[81083]]

多年來，安全行業(yè)受益于由安全廠商、研究人員和媒體組成的道德準則。研究人員開展了一項有價值的任務(wù)是，從理論和實踐上找出 產(chǎn)品和技術(shù)的不足，預防潛在的攻擊。安全廠商采納這些研究成果，開發(fā)出更安全的產(chǎn)品。最終，媒體公開報道這一流程，幫助安全從業(yè)者和產(chǎn)品用戶，準確地評估有關(guān)這些潛在漏洞的風險，確保所有相關(guān)方采取必要的措施。

本周，RSA收到許多問詢、媒體轉(zhuǎn)載、博客鏈接和微博，聲稱科研人員“攻破”了RSA SecurID 800認證器。這是一個警示性的論斷，立即引起了讓那些已經(jīng)部署了RSA SecurID 800認證器的客戶的強烈關(guān)注。然而：唯一的問題是，這不是事實。很多報道夸大了這一研究的實踐意義，混淆技術(shù)語言，有可能影響安全從業(yè)者準確地評估他們正在使用產(chǎn)品的風險。最直接的結(jié)果是，讓產(chǎn)品用戶和廣大安全業(yè)界浪費時間，以澄清真實的情況。

讓我們看看到底發(fā)生了什么事，目前處在怎樣的狀況。

這個命名為“Project Team Prosecco”的研究組事實上沒有覆蓋任何有意義的新領(lǐng)域，具體到RSA產(chǎn)品這個案例，也沒有突顯出RSASecurID 800令牌(或任何其它RSA產(chǎn)品)用戶有任何實際的風險。顯然，這只是試圖繼續(xù)探索PKCS #1 v1.5缺陷的潛在影響，但不論這一研究的潛在結(jié)果如何，這始終是一項有益的實驗。

研究人員中所述的漏洞，有可能(但不太可能)攻擊者可以接入到用戶的智能卡設(shè)備和用戶的智能卡的PIN，并可能獲得對稱密鑰或其他加密的數(shù)據(jù)發(fā)送到智能卡。因為，它不會允許攻擊者危及智能卡上存儲的私鑰。在重申一次，它不會允許攻擊者危及智能卡上存儲的私鑰。

RSA的立場是，不要被媒體報道誤導。有媒體報道說RSA SecurID 800認證器“被攻破”。實際上，研究人員只是指出了在PKCS #1 v1.5(公鑰加密標準#1 1.5版)填充機制中廣泛采用的一個已知漏洞。研究中提到五家廠商采用這一標準，即Aladdin、Gemalto、RSA、Safenet和 Siemens。以下是RSA關(guān)于Project Team Prosecco研究的立場要點：

• 這一研究只與RSA SecurID 800令牌的智能卡功能有關(guān)。它不會對令牌的動態(tài)口令功能有任何影響。
• 它不會影響到RSA SecurID 700或其它RSA SecurID身份認證器，包括軟件令牌。只跟上面提到的RSA SecurID 800令牌的智能卡功能有關(guān)。
• 這不是一起有用的攻擊。這些研究人員只是開展了一次學術(shù)實驗，指出協(xié)議中的一個漏洞，然而一起真正的攻擊需要訪問RSA SecurID 800智能卡(例如，插入到一臺受攻擊的計算機)并使用用戶的智能卡密碼。如果發(fā)起攻擊的人已經(jīng)有智能卡和識別碼，就不需要演示任何攻擊，因此這一研究作為一個安全探索的增值有限。
• 這一漏洞并不會暴露智能卡上存儲的專有密鑰。由此推斷，這一具體的漏洞，不會讓入侵者成功地獲得與專有密鑰相對應的、用戶認證使用的公共密鑰。

我們給客戶的建議：

• 遵循有關(guān)終端安全的最佳實踐。包括確保用戶設(shè)備安裝最新的防惡意軟件和防病毒軟件。RSA提醒所有用戶安裝最新的操作系統(tǒng)安全補丁，并參考由微軟以及其它操作系統(tǒng)提供商為可信和非可信用戶提供的涉及安全配置和管理權(quán)限的操作系統(tǒng)加強指南。
• 遵循有關(guān)終端用戶安全意識的最佳實踐。使用完畢后，終端用戶應從USB接口處退出RSA SecurID 800設(shè)備。
• 在需要加密的應用中使用帶OAEP的PKCS #1 2.0版。并非只針對此類漏洞，RSA長期以來一直認為用戶應使用配置了OAEP(最優(yōu)非對稱加密填充)的、更高級的PKCS(公鑰加密標準) #1 2.0版。RSASecuriID 800技術(shù)支持這一標準。
• 確保RSA 認證客戶端為最新版。作為一個最佳實踐，用戶應使用2011年8月已經(jīng)問世的RSA 3.5.4或更高級別的中間件。

我們歡迎更多人研究我們的產(chǎn)品，研究我們和其它安全公司所使用的第三方技術(shù)，這將有助于改進我們共同的信息安全解決方案。但是，如果類似研究引起混淆或夸大的言論和報道，其結(jié)果是混亂、不必要的擔擾、非建設(shè)性的合作。我們認為，所有參與方都應該確保，給從業(yè)人員和安全業(yè)界提供準確、有用的信息。