NSA是如何监控并破解P2P加密机制的？

E安全1月2日文 文件共享技术下载盗版猖獗多年，“盗版”文件共享体系规模不断扩大，终于招致了美国家安全局NSA的重点关注。直到Spotify与Netflix等热门服务出现，这个现象有所缓解。

“盗版”文件共享体系规模巨大

2004年初，仅美国国内就有近800万民众通过LimeWire、eDonkey、Kazza以及BitTorrent等点对点（简称P2P）应用下载音乐作品。虽然很难准确量化全球范围内文件交换所产生的互联网流量规模，但部分专家估计其比例接近40%（2016年这一比例还不到11%）。

Spotify（声田）：是全球最大的正版流媒体音乐服务平台，2008年10月在瑞典首都斯德哥尔摩正式上线。Spotify在早期使用P2P技术来加速自己音乐的缓冲，但Spotify之后在全球布局了更多的服务器和带宽，因此P2P技术已经停用。截止到2015年1月，Spotify已经拥有超过6000万的用户，其中1500万为付费用户。

Netflix（Nasdaq NFLX） ：成立于1997年，是一家在线影片租赁提供商，主要提供Netflix超大数量的DVD并免费递送。

“树大招风”引美国NSA关注

存在如此庞大的文件共享体系，吸引美国国家安局（NSA）的关注也在意料之中。根据举报者斯诺登提供的文件，NSA曾组建起一支专门负责研究P2P互联网流量的专项小组。根据2005年NSA在内部新闻站点SIDtoday中发布的一篇文章，NSA所关注的并非版权侵犯，而是希望通过监测此类活动找到更多有价值信息。

密切注意非简单数据文件共享

一位来自NSA文件共享分析与安全漏洞评估平台（简称FAVA平台）的研究员在SIDtoday发表的一篇文章中解释称，“通过研究我们收集的数据库，可以明确发现大多数“目标”都在利用各类热门文件共享应用程序。但如果他们只是借此共享自己最喜欢的流行歌曲，那么相关流量恐怕就没什么价值了。”

如何实现监控？

为了对P2P网络进行监控，NSA需要对各类服务所使用的协议进行解码，甚至在某些情况下破解其加密机制以查看当前正在交换的文件内容，而这方面工作至少已经影响到两款高人气应用程序。这位研究人员写道：“我们已经开发出对Kazaa（P2P文件共享工具）与eDonkey（文件分享网络）流量进行解密与解码的能力，可以确定用户正在共享哪些文件以及执行哪些查询。”

根据文章介绍，NSA方面已经开发出多种破解Kazaa加密机制的手段，希望借此从存储在计算机上的注册表项中提取信息，具体包括“电子邮箱地址、国家/地区码、用户名、下载文件位置以及当前加密的最新搜索列表等”，而且尽管作者并没有详细说明，但其仍声称“我们发现监控目标利用P2P系统进行搜索与共享的文件颇为令人惊讶，其中并非只包含简单无害的音乐及电影文件。”

文件共享加密机制多年无改进

Kazaa这个工具目前已经不复存在，其网站已于2012年关停，然而eDonkey网络仍然在活跃当中——虽然人气早已无法与当年相提并论。时至今日，eDonkey使用的加密机制仍然与2004年其诞生时毫无区别。作为eDonkey网络中的热门程序之一，eMule（电驴）在过去七年多时间中同样从未进行过更新。

在采访当中，eMule开发者团队的一位代表解释称，eDonkey的加密机制从来不以安全保障为目标。这位开发人员强调称，“eMule将其协议称为加密‘混淆’而非加密。这项功能主要用于阻止互联网服务供应商以及本地路由器通过简单的深度分组检查控制其功能，而非保护通信内容免受窥探。”

这位开发者同时补充称，“毫无疑问，NSA方面能够在必要时对此类流量进行监控。但解决这类问题并不是该协议加密的初衷（而且在编写该程序时，流量监控问题还不像现在这么严重）。”

NSA还开发出一款名为GRIMPLATE的程序，用于研究国防部员工如何使用BitTorrent，判断其使用方式是否存在恶意风险，并尝试对此类行为加以阻止。根据NSA在2012年SIGDEV大会上公布的保密报告，其计划开发新的信号情报来源。在国防部网络中处理敏感但非加密信息的计算机——“NIPRnet主机之间存在大量BitTorrent日常会话，同样的情况也发生在美国所关注的俄罗斯与中国外部网络当中。”

英国也对P2P破解感兴趣

除了NSA的FAVA平台小组的研究人员们以外，其他群体对于P2P技术同样抱有深厚兴趣。

根据英国电子情报机构政府通讯总部（简称GCHQ）的内部维基页面显示，英国在2010年也开始对“主动P2P破解研究”抱有兴趣。该页面还提到了DIRTY RAT，这款GCHQ Web应用当时被分析师们用于“识别用户在eMule（Kademlia）以及BitTorrent网络上共享/下载的具体文件。

举例来说，我们可以报告谁（其IP地址与用户ID）在eMule上以‘jihad’为文件名进行信息共享。如果发现有人在共享这类极端主义出版物，我们将能够在eMule与BitTorrent网络上及时发现。

该内部维基页面显示说明还提及将信息与执法机构共享的思路。“DIRTY RAT随后把情报交付至伦敦警察厅，而我们目前也已经开始与英国儿童保护机构CEOP以及FBI建立初步合作。”GCHQ还开发出相关技术以对各文件共享网络的用户实施主动P2P监控。其中一款名为PLAGUE RAT的工具“有能力替换eMule的搜索结果并向目标提供经过调整的内容。根据针对自身以及真实目标的测试，该工具确切能够成功完成任务。”

美国NSA拒绝对此发表评论。GCHQ则对具体问题避而不谈，仅发出一份声明表示：

“GCHQ的一切工作皆符合严格的法律与政策框架，旨在确保我们的行为获得授权、确有必要且适当。另外，相关工作受到来自美国国务院、调查权委员会办公室（简称IPCO）以及议美国会情报与安全委员会的严密监督。我们的所有行动流程皆严格遵循相关要求。英国的信息拦截活动亦全面遵循〈欧洲人权公约〉的规定。”

更多内容：远程监控