OpenBSD 中存在后门的声明并未得到确认

阅读数:901 2010 年 12 月 29 日

话题:安全架构DevOps语言 & 开发

本月初有人声称 FBI 要求在 OpenBSD 的 IPsec 栈中加上后门。在审核完代码后,OpenBSD 的创建者 Theo de Raadt 得出如下结论:在这个开源操作系统中并不存在这种威胁。

软件工程师Theo de Raadt是 OpenBSD 与 OpenSSH 项目的创建者,他近日说收到了来自于 Gregory Perry 的一封私人邮件,Gregory Perry 是 NETSEC 的前 CTO,负责资助 OpenBSD Crypto Framework,同时还在 2000——2001 期间担任 FBI 的咨询师。Perry 声称有些开发者在 OpenBSD 的IPsec 栈中加入了大量后门,这是根据 FBI 的要求做的,以此作为交换来获得 FBI 的资助:

我与 FBI 签订的保密协议前不久到期了,我希望你能认清这样一个事实:FBI 向 OCF 中加入了大量后门和攻击泄漏机制,目的是为了监控 EOUSA 实现的站点到站点之间的 VPB 加密系统,EOUSA 则是 FBI 的上一层组织。Jason Wright 和其他几位开发者负责实现这些后门,我建议你最好检查一下 Wright 和其他几位曾供职于 NETSEC 的开发者提交的所有代码。

de Raadt将这封邮件发给了 Gmane 新闻组,并邀请 IPsec 代码的用户对其进行检查以确认这种说法是否属实:

自从我们免费发布了 IPSEC 栈后,很多项目 / 产品都使用了其中的大量代码。十年内,IPSEC 代码经历了很多变化与修复,因此现在很难确认这些说法的真实性。

这则新闻出现在很多新闻站点上,人们开始怀疑美国政府一直在监测计算机之间的通信。一周后,de Raadt 就这个问题发表了调查结果。他相信“NETSEC 可能像传言所说的那样编写了后门”,但“如果他们真的写了的话,我不相信他们会加到我们的系统当中,他们可能将其部署到了自己的产品中“。根据 Raadt 所述,在审查过程中发现了两个严重的 Bug,一个与 Cipher-Block Chaining(CBC) Oracle 攻击有关。

Gregory Perry 在信中所提到的编写后门的开发者之一 Jason L. Wright否认了他这种说法

我要说的是我并没有向 OpenBSD 操作系统和 OpenBSD Crypto Framework(OCF)中添加后门。我在工作中所接触的代码只与支持框架的设备驱动有关。我自己根本就没有碰过 isakmpd 和 photurisd(用户密钥管理程序),我也很少接触 ipsec 内核(cryptodev 与 cryptosoft)。但我欢迎大家审核我向 OpenBSD 提交的一切代码。

最后的结论就是 OpenBSD 中并没有后门,但这个事件提醒某些开发者要再一次检查自己的代码。

查看英文原文:Allegations of a Backdoor in OpenBSD Are Not Confirmed