Windows安全漏洞反而破解了美国政府管制禁令

　　　加拿大Croptonym公司程序设计师上周发现微软Windows操作系统中 一个可疑的后门，并怀疑这 可能是为了方便让美 国国家安全局进行电子情报收集。虽然微软否认 这种说法，但无论如何，这个漏洞，反而阴错阳 差 的破解了美国政府的管制禁令。

　　美国国安局（NSA）的任务本来就是支持行院部门与 国防部收集电子情报。而这次被发现的后门刚好 是微 软命名为”_NSAKEY”的代码。无怪乎这个漏洞被披 露后，各种阴谋论纷纷出炉，许多人也觉得大有 可能。虽然这 个漏洞并不会马上造成资料被盗用 的危机，却可能造成更多人不信任微软的安全能 力，尤其上周微软的免费电子邮件Ho tmail才刚被人找出 大漏洞。

　　这次问题主要是出现在微软的Crypto API（CAPI）部份。CAPI可让一 般完全不懂编密的程 序人员也可进行资料加密保 护。例如网站要传送信用卡号时，便可呼叫CAPI作加 密，保护网友隐私权。不过美国政府 一向对加密 /解密软件相当敏感，并禁止加密软件的出口。

　　为了在民间需求与政府规定之间达成平衡，微软 想出一个解决方案：不在Windows中加入编码功能，但 却 允许用户外挂自己的加密软件。

　　但即使这样，美国政府还是反对，因为这麽一来 外人们还是可以通过微软Windows强大功能进行资料加 密 。

　　为此，微软又设计了一套CAPI机制，负责检查外挂模 组是否有电子签章，也就是说，任何想在Windo ws上加装 编码功能者必须先向微软申请，并保证不会出口 该软件。申请通过后，微软便会在该模组中加入 电子签章。 电子签章则通过公开锁钥（public key）验证。 每套Windows软件中都有一组公开锁钥，用来确定电子签 章的确由微软制作。

　　当CAPI发现新的加密软件时，它会以公开锁钥来验证 电子签章，若通过验证，Windows便允许用户 执行此套软 件，用户也可自由进行资料的加密解密。这种作 法让微软一方面可以在Windows放入加密功能，同时又 可 以在全球销售。

　　微软推出CAPI功能后便已公开这些信息。去年英国iCipher公 司科学家vanSomeren则发 现Windows里面藏有两组金钥。这表示有两 个团体可以制造电子签章。一家是微软，那另一 家又是谁？

　　这次加拿大工程师Fernandes则进一步发现这两组金钥一组 叫”_KEY”，另一组则称为”_NS AKEY”。Fernandes还发现Windows2000中有三组锁 钥。

　　虽然微软已经表示两组锁钥都在微软手中，另一 组只是做为备份用，但网络上质疑的声音还是不 少，因为若 另一组金钥匙在外人手里，那个人便 可制作破解过的加密软件，在对方不知情的情况 下把这套软件放入对方电脑中，之后 便可直接破 解对方加密信息。

　　不过不管如何，多了这组”_NSAKEY”反而破解了美国政 府禁止加密软件出口的限制。英国科学家Va n Someren当初会 寻找这组锁钥的用意便是想把它换掉，因为他在 英国工作，微软无法核准他的加密软件使用权 。

　　若有人直接把”_Key”替换掉，Windows就无法开机；但换掉 ”_NSAKEY”却不会有问题。 换言之，美国以外地区的人 只要知道怎麽换掉 _NSAKEY 就可以直接执行他们的加密软 件，不再受到微软限制。 Cryponym公司已经推出一套教人 怎麽作的软件。

　　Fernandes说：“Windows的出口管制功能其实已经名存实亡了！”