Juniper将放弃与NSA有关联的代码

网络设备商Juniper公司上周五表示，将停止使用分析人员认为是由NSA开发并试图进行窃听行为的安全代码。公司表示将于今年上半年推出安全软件新版本来替代那些由DualElliptic Curve技术生成的数字。

该决定做出的前一天，一个密码学团队在斯坦福大学的一次会议上发现Juniper的代码在2008年期间被修改多次，目的是为了监听客户的虚拟私人网络会话。上个月，Juniper表示已经发现并替换两段未经授权且允许“后门”访问的代码。研究人员表示这两段代码出现在2012年和2013年，而2014年出现的后门更是允许所有拥有正确密码的人查看所有的内容。2012年的代码改变了JuniperNetscreen产品中的一个数学常数，这个常数本来就允许作者进行窃听。随后公司发布补丁并用自2008年就在使用的版本进行了替换。而另外一个曲线常数是由NSA提供的，而且要求某些联邦证认证，它们出现在了斯诺登的解密文件中。截至目前，最具影响的双曲线采用者是RSA，它是存储公司EMC的一部分。据悉EMC与联邦政府签订了一份价值1000万美元的合同对其进行传播。

尽管学术界尚未提出2008、2012和2014代码的罪魁祸首，但正是在2008年，密码学家对双椭圆曲线提出了质疑。而有人认为NSA是最有可能的嫌疑，随后或许有来自其他国家的机构或顶级黑客取代了NSA。NSA方面尚未作出任何回应。

Juniper表示将继续进行调查，并拒绝回答有关版本修订的问题。