[[81083]]

多年來，安全行業受益于由安全廠商、研究人員和媒體組成的道德準則。研究人員開展了一項有價值的任務是，從理論和實踐上找出 產品和技術的不足，預防潛在的攻擊。安全廠商采納這些研究成果，開發出更安全的產品。最終，媒體公開報道這一流程，幫助安全從業者和產品用戶，準確地評估有關這些潛在漏洞的風險，確保所有相關方采取必要的措施。

本周，RSA收到許多問詢、媒體轉載、博客鏈接和微博，聲稱科研人員“攻破”了RSA SecurID 800認證器。這是一個警示性的論斷，立即引起了讓那些已經部署了RSA SecurID 800認證器的客戶的強烈關注。然而：唯一的問題是，這不是事實。很多報道夸大了這一研究的實踐意義，混淆技術語言，有可能影響安全從業者準確地評估他們正在使用產品的風險。最直接的結果是，讓產品用戶和廣大安全業界浪費時間，以澄清真實的情況。

讓我們看看到底發生了什么事，目前處在怎樣的狀況。

這個命名為“Project Team Prosecco”的研究組事實上沒有覆蓋任何有意義的新領域，具體到RSA產品這個案例，也沒有突顯出RSASecurID 800令牌(或任何其它RSA產品)用戶有任何實際的風險。顯然，這只是試圖繼續探索PKCS #1 v1.5缺陷的潛在影響，但不論這一研究的潛在結果如何，這始終是一項有益的實驗。

研究人員中所述的漏洞，有可能(但不太可能)攻擊者可以接入到用戶的智能卡設備和用戶的智能卡的PIN，并可能獲得對稱密鑰或其他加密的數據發送到智能卡。因為，它不會允許攻擊者危及智能卡上存儲的私鑰。在重申一次，它不會允許攻擊者危及智能卡上存儲的私鑰。

RSA的立場是，不要被媒體報道誤導。有媒體報道說RSA SecurID 800認證器“被攻破”。實際上，研究人員只是指出了在PKCS #1 v1.5(公鑰加密標準#1 1.5版)填充機制中廣泛采用的一個已知漏洞。研究中提到五家廠商采用這一標準，即Aladdin、Gemalto、RSA、Safenet和 Siemens。以下是RSA關于Project Team Prosecco研究的立場要點：

• 這一研究只與RSA SecurID 800令牌的智能卡功能有關。它不會對令牌的動態口令功能有任何影響。
• 它不會影響到RSA SecurID 700或其它RSA SecurID身份認證器，包括軟件令牌。只跟上面提到的RSA SecurID 800令牌的智能卡功能有關。
• 這不是一起有用的攻擊。這些研究人員只是開展了一次學術實驗，指出協議中的一個漏洞，然而一起真正的攻擊需要訪問RSA SecurID 800智能卡(例如，插入到一臺受攻擊的計算機)并使用用戶的智能卡密碼。如果發起攻擊的人已經有智能卡和識別碼，就不需要演示任何攻擊，因此這一研究作為一個安全探索的增值有限。
• 這一漏洞并不會暴露智能卡上存儲的專有密鑰。由此推斷，這一具體的漏洞，不會讓入侵者成功地獲得與專有密鑰相對應的、用戶認證使用的公共密鑰。

我們給客戶的建議：

• 遵循有關終端安全的最佳實踐。包括確保用戶設備安裝最新的防惡意軟件和防病毒軟件。RSA提醒所有用戶安裝最新的操作系統安全補丁，并參考由微軟以及其它操作系統提供商為可信和非可信用戶提供的涉及安全配置和管理權限的操作系統加強指南。
• 遵循有關終端用戶安全意識的最佳實踐。使用完畢后，終端用戶應從USB接口處退出RSA SecurID 800設備。
• 在需要加密的應用中使用帶OAEP的PKCS #1 2.0版。并非只針對此類漏洞，RSA長期以來一直認為用戶應使用配置了OAEP(最優非對稱加密填充)的、更高級的PKCS(公鑰加密標準) #1 2.0版。RSASecuriID 800技術支持這一標準。
• 確保RSA 認證客戶端為最新版。作為一個最佳實踐，用戶應使用2011年8月已經問世的RSA 3.5.4或更高級別的中間件。

我們歡迎更多人研究我們的產品，研究我們和其它安全公司所使用的第三方技術，這將有助于改進我們共同的信息安全解決方案。但是，如果類似研究引起混淆或夸大的言論和報道，其結果是混亂、不必要的擔擾、非建設性的合作。我們認為，所有參與方都應該確保，給從業人員和安全業界提供準確、有用的信息。