BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

OpenBSD中存在后门的声明并未得到确认

| 作者 Abel Avram 关注 7 他的粉丝 ,译者 张龙 关注 12 他的粉丝 发布于 2010年12月30日. 估计阅读时间: 3 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

本月初有人声称FBI要求在OpenBSD的IPsec栈中加上后门。在审核完代码后,OpenBSD的创建者Theo de Raadt得出如下结论:在这个开源操作系统中并不存在这种威胁。

软件工程师Theo de Raadt是OpenBSD与OpenSSH项目的创建者,他近日说收到了来自于Gregory Perry的一封私人邮件,Gregory Perry是NETSEC的前CTO,负责资助OpenBSD Crypto Framework,同时还在2000——2001期间担任FBI的咨询师。Perry声称有些开发者在OpenBSD的IPsec栈中加入了大量后门,这是根据FBI的要求做的,以此作为交换来获得FBI的资助:

我与FBI签订的保密协议前不久到期了,我希望你能认清这样一个事实:FBI向OCF中加入了大量后门和攻击泄漏机制,目的是为了监控EOUSA实现的站点到站点之间的VPB加密系统,EOUSA则是FBI的上一层组织。Jason Wright和其他几位开发者负责实现这些后门,我建议你最好检查一下Wright和其他几位曾供职于NETSEC的开发者提交的所有代码。

de Raadt将这封邮件发给了Gmane新闻组,并邀请IPsec代码的用户对其进行检查以确认这种说法是否属实:

自从我们免费发布了IPSEC栈后,很多项目/产品都使用了其中的大量代码。十年内,IPSEC代码经历了很多变化与修复,因此现在很难确认这些说法的真实性。

这则新闻出现在很多新闻站点上,人们开始怀疑美国政府一直在监测计算机之间的通信。一周后,de Raadt就这个问题发表了调查结果。他相信“NETSEC可能像传言所说的那样编写了后门”,但“如果他们真的写了的话,我不相信他们会加到我们的系统当中,他们可能将其部署到了自己的产品中“。根据Raadt所述,在审查过程中发现了两个严重的Bug,一个与Cipher-Block Chaining(CBC) Oracle攻击有关。

Gregory Perry在信中所提到的编写后门的开发者之一Jason L. Wright否认了他这种说法

我要说的是我并没有向OpenBSD操作系统和OpenBSD Crypto Framework(OCF)中添加后门。我在工作中所接触的代码只与支持框架的设备驱动有关。我自己根本就没有碰过isakmpd和photurisd(用户密钥管理程序),我也很少接触ipsec内核(cryptodev与cryptosoft)。但我欢迎大家审核我向OpenBSD提交的一切代码。

最后的结论就是OpenBSD中并没有后门,但这个事件提醒某些开发者要再一次检查自己的代码。

查看英文原文:Allegations of a Backdoor in OpenBSD Are Not Confirmed

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT