据有关部门通报,RSA公司的Bsafe加密软件中使用的伪随机数字生成器Dual_EC_DRBG(双椭圆曲线确定性随机数字生成器)存在漏洞,因此依赖该加密技术的加密系统均存在被破解风险。
1) 漏洞信息:
RSA公司的Bsafe加密软件库是一个面向应用开发者的软件工具,该工具已广泛应用于路由器、服务器、数据库、操作系统、应用软件和处理器芯片中,开发者将BSafe嵌入到程序中以获得安全特性支持,包括加解密、证书颁发、SSL等。Bsafe加密软件中使用的伪随机数字生成器Dual_EC_DRBG创建加密密钥,该算法存在漏洞,攻击者可获取加密秘钥。
2) 处置要求
请科技网各部门核查目前使用的网络设备、服务器、数据库、操作系统、应用软件及芯片加密解密算法实现是否使用了RSA公司提供的Bsafe加密软件。目前已知,EMC旗下RSA公司的BSafe工具和数据保护管理软件均默认使用Dual_EC_DRBG技术算法,因此涉及EMC以及RSA公司的各系统、设备请重点进行排查。
若确认系统中存在上述风险,建议采取以下措施:
1、在确定系统漏洞漏洞修复前,暂时停止使用存在漏洞的系统。
2、停止使用Dual EC_DRBG,改用其它的伪随机数生成算法,BSafe产品文档含有更换默认伪随机数生成算法的技术指导文件(参见附件)。 条件允许的情况下,设备系统中替换或停用BSafe加密工具。
|