请输入您要查询的百科知识:

 

词条 NSA密钥
释义

NSA密钥,是指1998年有人发现Windows操作系统中存在用途等详情不清的第二把密钥。1999年8月,加拿大Cryotonym公司首席科学家Andrew Fernandes宣布,他发现这第二把密钥叫做NSAkey,而NSA就是美国国家安全局的简称,也就是说,微软公司在每一份Windows操作系统中都安装了一个程序上的“后门”,专供NSA在需要时进入全世界Windows用户的电脑。

微软官网关于NSA密钥事件的澄清

在WINDOWS中,没有“后门”

发布日期: 1999年09月07日

原载:1999年9月3日

摘要:有报告指控微软“可能为国家安全局(National Security Agency)…安装了“后门”,以便美国政府可以很容易地访问他们的计算机。”这项指控是错误的。

这项指控的内容是什么?

此报告指控:CryptoAPI中带有一个被标为 NSA Key 的密钥,政府机构可以用这个"后门"开启或停止用户计算机中的安全服务。

Q:这项指控是真的吗?

A:不是。微软在所有的产品中都没有留后门。这和我们历史上一贯的立场是一致的:比如,我们一贯抵制政府对于保存密钥的各种提议,因为我们相信,这对用户和产业的利益是没有好处的。

Q:真的有两个密钥吗?

A:是的。但它们都是微软使用的。微软没有把它透漏给包括美国国家安全局或其他任何政府机构在内的第三方。

Q:什么是CryptoAPI?

A:CryptoAPI 是微软用来提供加密服务的技术。不同供应商可以开发独立的加密模块,这些模块叫做加密服务提供模块(CSP),他们可以通过CryptoAPI接口被任何程序调用。

Q:指控所指的密钥是什么?

A:密钥是用来验证CSP所带的数字签名的。

Q:为什么CSP要被验证?为什么由微软验证?

A:CryptoAPI 受美国加密出口法律的限制。在这个法律中,其中有一项要求微软确保CryptoAPI中只加载符合美国加密出口法律的CSP。这种验证,是通过数字签名实现的。在加载某个CSP之前,CryptoAPI需要确认该CSP中含有合法的数字签名。作为CryptoAPI的供应商,微软的部分责任是签发CSP。当提供商将要发布一个新的CSP时,他们把它提交给微软,并出示所得到的所有出口许可证,然后微软对该CSP进行数字签名,之后,它就可以被CryptoAPI使用了。

Q:为什么会有两个密钥?

A:一个是主密钥,另一个是备用密钥。

Q:为何需要一个备用密钥?

A:备用的密钥是用来做灾难恢复的。假设我们只有一个密钥,如果一个自然的灾难毁坏了保存密钥的建筑,所有以前签发的CSP不会受到影响,可以继续正常工作,因为用于验证的密钥已经存在于每一份Windows的拷贝中了。可是,对于新的CSP,微软如何来验证他们呢?这就需要一个和原密钥相匹配的备用密钥。

如果没有备用密钥,就需要完全重新发放新的密钥给成千上万的使用Windows 95, 98 ,NT的客户,显然,这将是个庞大的工程。

Q:有了这个备用密钥,就可以用它直接来签发、验证新的CSP了。

A:这就是为何需要两个密钥的原因,如果主密钥出了问题,则可以用备用密钥来签发、验证CSP,因为备用密钥也存在于每一份Windows的拷贝中。这样就不会影响到消费者的正常工作了。

Q:为何备份的密钥被标为"NSA密钥"这实在是一个不太合适的名字。

A:NSA负责审查所有美国加密技术的出口申请,设置这些密钥的目的之一是使我们确保符合NSA的技术审查规定。但是,它在设计的时候,被不幸地称为NSA密钥,该名字存于密钥的符号信息中。。微软将持有该密钥,而且不会把密钥泄漏给任何人,包括NSA。

Q:我听说在Windows2000中还有第三个密钥,是真的吗?

A:在Windows2000 的Beta版本中有第三个密钥,但是它并不是一个"后门"。这只不过是一个简单的测试密钥,是开发者在Windows 2000的开发阶段,用来测试CSP签名功能的。在Windows2000正式的版本中,将不存在这第三个密钥。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 0:31:27