國家安全局加密存取計畫:BULLRUN 行動
《衛報》、《普羅大眾報》與《紐約時報》於2013年9月詳細報導了國家安全局的加密存取行動。BULLRUN 行動以美國內戰中的一場戰役命名;而英國政府通信總部的對應行動則被命名為 EDGEHILL 行動,以英國內戰中的一場戰役命名。據《衛報》報導,「美國與英國情報機構已成功破解數以億計人們用以保護個人數據、網上交易及電子郵件隱私的線上加密技術。」達成加密存取的手段包括:
採取隱秘措施以確保國家安全局能掌控國際加密標準的制定、利用超級電腦以「暴力破解」加密,及——最為機密的部分——與科技公司和網際網路服務提供商合作。
BULLRUN 行動的啟動日期不詳;然而,一份2010年的英國政府通信總部文件指出,「在過去十年中,國家安全局一直領導著一場多管齊下的積極努力,破解廣泛使用的互聯網加密技術」,這暗示其起源可追溯至第二次密碼戰爭的結束。也許國家安全局意識到他們在加密資料存取的公共戰場上已失利,因而加大了對隱秘存取技術的投資;也有可能 BULLRUN 是另一個機密計畫的繼承者。2013年,BULLRUN 的投資達到2.549億美元,遠超過PRISM計畫的2000萬美元。國家安全局將「強力解密計畫」形容為美國在網絡空間中保持不受限制存取與運用的「入場費用」。然而,關於BULLRUN 能力的更多技術細節仍然不明。
BULLRUN 的主要活動之一是「積極與國內外資訊科技業界接觸,以隱秘影響或公開利用其商業產品設計」,並「在商用加密系統中插入弱點」,目的在於「使目標系統在進行訊息攔截時能夠被利用,並對這些修改擁有預先知悉的能力;而對消費者和其他對手而言,這些系統的安全性則仍保持完好。」這一描述讓人聯想到早前 Clipper 芯片的目標。史諾登檔案中並未點名與政府合作的公司,但提供了一些針對性的資訊。英國政府通信總部將目標鎖定在「四大巨頭」:谷歌、臉書、雅虎以及 Hotmail;同時,英國政府通信總部還成立了一個人力情報行動小組,負責在全球電信業中「識別、招募並管理隱秘線人」。報導中還詳述了國家安全局的商業解決方案中心,該中心旨在對業界的安全產品進行評估,並向政府客戶推銷,另有次要職能在於「利用與特定業界夥伴之敏感合作關係」,並以記者的話來說,「在安全產品中插入弱點」。藉由BULLRUN 行動,國家安全局期望在2013年能夠存取「一個主要通信服務提供商數據樞紐中流動的數據」,以及一個「主要的網際網路點對點語音與文字通訊系統」的數據。英國政府通信總部2010年的 EDGEHILL 行動目標是存取三家主要(未具名)網際網路公司的資料,以及30種類型的虛擬私人網路;而其希望到2013年能夠存取15家主要網際網路公司所使用的加密技術和300個虛擬私人網路。
主要擔憂若BULLRUN計畫的能力洩漏,將「損害業界關係」;一份2009年的英國政府通信總部文件指出,「失去對我們遵守保密協議能力的信心,將導致無法存取那些在開發新能力時能夠節省時間的專有資訊。」其次,被評為「中等風險」的是公眾的反應,可能會為我們及我們的政治主子帶來「不受歡迎的公眾輿論」。這些風險必須與英國政府通信總部的評估權衡:「隨著資訊流動改變、新應用程式迅速開發(並部署),以及普及加密的趨勢,訊號情報的效用將逐漸降低。」
布魯斯·施奈爾評論道:「國家安全局為了短視地竊聽而故意破壞線上安全,正是在破壞互聯網的根基。」而史諾登本人也表示,儘管有BULLRUN行動,「加密仍然有效。只要正確實施,強大的密碼系統是少數你可以信賴的東西之一。」
然而,史諾登的揭露也為一個流傳已久的謠言提供了可能的佐證:國家安全局破壞了一項著名的全球加密標準。
2007年8月,微軟的丹·舒莫與尼爾斯·弗格森在年度聖塔芭芭拉密碼會議上,進行了一場時長五分鐘的「高速演講」,題為「關於NIST SP800–90 Dual EC DRBG 中可能存在的後門」。NIST SP800–90是剛發布的偽隨機數生成(PRNG)標準,其國際對應標準為ISO 18031。這場非正式的簡報僅包含九頁投影片,但考慮到當時的政治背景,其內容比一場五分鐘的高速演講更值得成為主題演講。作者們發現了名為Dual_EC_DRBG的SP800–90 PRNG演算法中的一個缺陷,其中DRBG代表確定性隨機位生成器。偽隨機數生成器是密碼學的核心,用於產生公共密鑰加密中必不可少的質數、初始化向量、隨機身份驗證挑戰以及其他眾多應用。生成隨機數是密碼學中最棘手的問題之一,許多PRNG演算法都因此被發現存在缺陷。施奈爾總結其重要性道:「如果破解了隨機數生成器,那麼在大多數情況下,你就破解了整個安全系統。」SP800–90中包含四個獲批的PRNG:一個區塊加密演算法、一個雜湊函數、一個基於雜湊訊息認證碼(HMAC)的演算法,以及一條橢圓曲線(Dual_EC_DRBG)。施奈爾形容後者「比其他演算法慢上三個數量級」,並認為它之所以出現在標準中,僅僅是因為「它是由國家安全局力挺的」。在該標準中,有一系列固定數字(常數)被用來決定產生該橢圓曲線的參數,而這條曲線則負責演算法隨機性的產生。舒莫與弗格森發現,這些常數與第二組未知數字存在數學關係——正如施奈爾2007年的評論所述:
「它們就像是一把骨骼鑰匙。如果你知道那組秘密數字,只需收集32位元組的輸出,就能預測隨機數生成器的後續輸出……你只需要監控一條TLS互聯網加密連線,就可以破解該協定的安全性。如果你知道這些秘密數字,你就能徹底破解任何Dual_EC_DRBG的實例。」
舒莫與弗格森明確表示,「我們並不是在說……NIST故意在這個PRNG中植入後門。」但他們補充道,「這個PRNG的抗預測能力……取決於解決一個橢圓曲線離散對數問題的難度。(而我們不知道演算法設計者是否事先就知道這一點)」。在會議上,與會者的反應出奇地平靜,一位微軟經理評論說,「我想大家都覺得,‘嗯,這很有趣,’以及‘哇,看起來設計上可能有個缺陷,’但並沒有引起太大反響。」施奈爾後續的評論則更加憂慮:
「我們無法知道國家安全局是否掌握了那些秘密數字……我們也無法知道是否有國家安全局的員工私下擁有這些秘密數字。我們不知道是否有來自NIST的人掌握它們。也許誰都沒有。我們不知道那些常數究竟從何而來……我們只知道,不論是誰最初提出它們,都可能掌握著這個後門的鑰匙。而我們也知道,無論是NIST還是其他任何機構,都無法證明情況並非如此。這真是令人感到恐懼的事情。」
施奈爾總結說:
「如果這個故事讓你感到困惑,那就加入我們的行列吧。我實在不明白,國家安全局為什麼那麼堅持要將Dual_EC_DRBG納入標準。作為一個後門,這並無意義:它是公開的,且相當明顯。從工程角度來看也毫無意義:它實在太慢,沒有人會心甘情願使用它。」
施奈爾表示,這種不合常規「只能形容為後門……無論是NIST還是國家安全局,都有必要做出解釋。」
美國政府利用其採購實力,迫使供應商依據FIPS認證要求實作這項疑似演算法。Dual_EC_DRBG 被作為一種選用的偽隨機數生成器(PRNG)實現在多項產品中,包括微軟的SChannel(用於Internet Explorer以及網路伺服器Internet Information Services)和OpenSSL的FIPS模組;而RSA的BSAFE密碼庫則預設採用Dual_EC_DRBG作為偽隨機數生成器——雖然目前很少有證據顯示它在實際應用中被廣泛使用。這些庫的一個主要用途是生成用於建立SSL/TLS連線的隨機數,而SSL/TLS連線從安全的網頁瀏覽到虛擬私人網路(VPN)皆有應用。路透社2013年12月的報導指出,有兩位「熟悉合約」的消息人士透露,國家安全局曾支付RSA 1,000萬美元,以將Dual_EC_DRBG作為其BSAFE庫的預設偽隨機數生成器。報導亦指出,RSA在NIST核准之前就已採用了該演算法。RSA回應稱,「我們從未訂立過任何合約或參與任何項目,其目的在於削弱RSA產品或引入潛在的『後門』。」對於放棄這項演算法的呼聲,NIST回應道:
「我們沒有任何證據顯示有人擁有或將來會擁有那組假設存在的後門『秘密數字』……因此,我們目前不會撤回該演算法。」
NIST補充說,該標準在發布前經歷了「嚴謹」的審查流程,包括公開徵求意見期——而且該演算法中還包含了一種「隨機生成點(常數)的方法」,以防對後門產生疑慮。儘管提供了生成新常數的方法,但NIST從未在標準中說明用戶為何會選擇這麼做。NIST的標準文本本身也未包含替代的常數生成演算法,用戶若要使用該演算法,必須另行購買美國國家標準協會(ANSI)的標準。馬修·格林評論道,這就好比「把細節放在一個鎖住的檔案櫃底層,而這個檔案櫃又被丟棄在一間閒置的洗手間裡,門上還掛著一個牌子寫著『當心豹子』。」格林進一步指出,「據我們所知,在眾多商用軟體中實作Dual EC DRBG的過程中,從未有人使用過ANSI的替代生成程序。」
此事一直未受到廣泛關注,直到2013年9月,《紐約時報》聲稱從史諾登的檔案中找到了相關數據,確認國家安全局在操控Dual_EC_DRBG演算法中的角色。由於史諾登/國家安全局的原始檔案並未公開,公眾不得不依賴《紐約時報》對這些數據的評估。該報詳細描述了:
有機密的國家安全局備忘錄似乎證實,早在2007年發現的那個致命弱點,就是由該局精心設計的;國家安全局不僅撰寫了該標準,還積極推動它在國際組織中獲得認可。
隨後的一篇文章補充說:
國家安全局內部的備忘錄描述了該局如何在幕後推動同一標準在國際標準組織(ISO)中的採納。「一旦開始制定這個標準,整個過程就變得順利無比;然而,啟程之初卻極需技巧。」當時,加拿大的通信安全機構負責國際組織的標準制定流程,但機密文件描述,最終國家安全局奪取了主導權。備忘錄中寫道:「在與加拿大國家代表團負責人及C.S.E.進行了一些幕後斡旋後,為國家安全局提交草案重寫鋪平了道路。最終,國家安全局成為了唯一的編輯者。」
國際標準組織是一個由164個國家組成的團體,該組織在各領域協商標準,以促進國際間的互操作性。一旦某項標準獲得認可,其內容,例如Dual_EC_DRBG演算法,很快便迅速在全球流傳。《紐約時報》後來的一篇社論則更直白地評價道:
「國家安全局秘密地在系統中插入了一個『後門』,使聯邦間諜能夠破解任何使用該技術加密的數據……愛德華·史諾登這位前國家安全局承包商所洩露的文件清楚表明,該局從未遇到過一個不曾試圖滲透的加密系統。」
無論這段陳述的作者是否參與了對史諾登檔案的原始評估,或者是否找到了進一步支持其歸因與意圖的資料,目前尚不得而知;不過,並未提出任何補充證據。這並非說作者可能正確或不正確,而是早期評估中的謹慎態度無端被放棄了。
NIST夾在國家安全局與科技界之間。馬修·格林表示,「我從第一手的溝通中知道,NIST中有不少人對國家安全局的同事感到被背叛。」NIST隨後重新開放該標準以供公眾評論,聲明他們希望向密碼學界保證,「我們用來嚴格審查標準的公開透明流程仍然在運作。」NIST補充道,他們「絕不會故意削弱一項密碼標準」,而且「如果發現漏洞……將盡快予以修補。」然而,在NIST針對此議題的聲明中,語氣略顯強硬:
「關於標準制定流程,確實存在一些混淆……NIST的使命是制定保護聯邦資訊與資訊系統的標準和指引。由於人們對NIST標準抱有極高信心,許多私營產業團體也自願採用這些標準。」
這段文字可以被解讀為,「NIST標準並非為公眾而製,而是為政府製作——若你採用它們,所帶來的後果將由你自行承擔。」NIST也針對與國家安全局的合作發表聲明:
「國家安全局參與NIST密碼學開發過程,是因其專業知識受到認可。NIST亦依法律規定必須與國家安全局進行磋商。」
在另一份公告中,NIST建議在安全問題解決之前,不再使用Dual_EC_DRBG。然而,對於Dual_EC_DRBG是否真的包含後門,仍存在一些懷疑。記者Kim Zetter撰文指出:
「《紐約時報》並未釋出那些似乎能證明後門存在的備忘錄,而該報從機密文件中引用的原文也沒有提及演算法中的任何後門或國家安全局削弱該標準的努力,它們僅僅討論了推動該標準通過委員會審核的過程。」
生產加密電話的Silent Circle首席技術官Jon Callas曾在2007年觀看舒莫與弗格森的簡報,並未因此感到驚慌。在閱讀了2013年《紐約時報》的相關報導後,Callas評論道:
「如果國家安全局花費2.5億美元來削弱這個標準,而這就是他們所能做到的最佳效果,那麼我們就沒有什麼可擔心的……這實在是笨拙至極。當你戴上那種陰謀論者的帽子去猜測國家安全局會做出什麼時,你會期望看到更險惡、更馬基雅維利式的東西……而這個東西簡直荒謬得令人發笑,簡直就是像波里斯與娜塔莎那樣的把戲。」
Cryptography Research的首席科學家Paul Kocher則對「糟糕密碼學」的解釋嗤之以鼻,他指出:「糟糕的密碼學往往源於懶惰與無知……但在這個案例中,付出了極大努力來創造這個演算法,並選擇了一個恰好容易受到攻擊的結構。」他補充道:
「這個演算法在數學上最有創意的地方在於,你甚至無法證明它是否存在後門,這在密碼學中非常反常……通常後門的存在是可以被證明的,因為你可以看出來並加以利用……我從未見過如此奇異的漏洞。」
布魯斯·施奈爾也同意:
「如果我們生活在一個更仁慈的世界裡,那種(糟糕的程式編碼)可能是一個合理的解釋……但我們生活在一個極為惡意的世界裡……國家安全局已如此破壞了互聯網的根本信任,以至於我們無從分辨該信任什麼。我們必須懷疑一切,永遠無法百分之百確定。這就是最大的損害。」
意識到 Dual_EC_DRBG 再也無法獲得信任後,NIST 於 2014 年將其從 SP800–90A 標準中撤下。
2013 年底,NIST 宣布將檢討其標準制定程序,以努力重建公眾信任。這次檢討由一個名為「先進技術訪問委員會(VCAT)」的外部小組進行,該小組成員包括著名的 RSA Ron Rivest、普林斯頓大學的 Edward Felten,以及 Google 的 Vint Cerf。
VCAT 在 2014 年提交了報告。NIST 告訴委員會,他們花了「大量時間試圖弄清楚 Dual_EC_DRBG 發生了什麼」,但由於證據散佈於十多年之中,加上相關資料記錄不佳,使得調查工作十分艱難。NIST 承認存在「許多理由使我們本應拒絕或修改 Dual_EC_DRBG」,而這個演算法正是由國家安全局提供的。除了 NIST 所指出的常數問題(這些常數「可能是為了讓國家安全局能夠知道後門」而產生)之外,還存在「輕微的統計偏差」,意味著生成的隨機性水準未達應有標準。修正這一偏差將使利用所謂後門變得更困難。NIST 在開發過程中就發現了這兩個問題。NIST 的 John Kelsey 曾詢問 Cygnacom(支援偽隨機數生成標準開發的商業加密公司)的 Don Johnson,這些常數在開發時是從哪裡來的,Johnson 回答說,它們「本質上就是某個隨機私鑰的公鑰」;他並補充道,國家安全局不允許他公開討論這些常數。早在 2004 年,NIST 就直接詢問國家安全局這些常數的來源與生成方式,而 Niels Ferguson 於 2005 年向 NIST 提出了這一問題。國家安全局則回應說,這些常數是以安全且機密的方式生成的,最初是針對國家安全社群而設。國家安全局告訴 NIST,他們希望保持該演算法及其常數的現狀,以保存國家安全局既有的「投資」,並讓其客戶獲得 FIPS 認證——但同時「允許其他使用者生成自己的常數」也是合理的。NIST 告訴 VCAT,他們不認為該演算法中存在後門,理由是它「極為緩慢,看起來不太可能被廣泛使用……在其中設置後門似乎毫無意義。」NIST 也預期,由於其運算速度過慢,實際上只有國家安全局現有的國家安全客戶會使用 Dual_EC_DRBG。然而,NIST 也意識到他們對後門問題的表述方式不正確,他們並未問「我們是否認為 Dual_EC_DRBG 中有後門?」而是應該自問:「我們是否應該在標準中納入一個可能含有後門的演算法?」VCAT 得知,在 2007 年簡報之後,NIST 密碼學家 John Kelsey 曾向 SP800-90A 標準編輯委員會致歉,表示「未能提前意識到(國家安全局常數)問題會如此嚴重」。在下一次的編輯委員會會議上,曾討論是否應撤回該演算法,但由於他們認為此前已通過允許用戶生成自己的常數來解決此問題,NIST 最終未採取任何行動。關於統計偏差問題,NIST 則將評論權一再推給國家安全局。事後看來,NIST 承認他們本應通過延長 Dual_EC_DRBG 的截斷長度來修正這一偏差。VCAT 得知,NIST 驗證過的加密模組中有超過 50 個實作了該演算法,但 NIST 解釋說,這並不意味著該演算法被廣泛使用。
VCAT 小組成員各自提出了看法;Vint Cerf 評估道:
「在我看來,NIST 的代表在分析 Dual_EC_DRBG 問題時對自己要求特別嚴苛,甚至可能過於苛刻,但事後的分析鞏固了我的看法:NIST 必須具備足夠深厚的密碼學與數學知識,才能在不依賴國家安全局的情況下,全面評估所提演算法的優缺點。」
Felten 則認為,國家安全局極可能插入了後門,雖然「我所見到的證據顯示,NIST 當時本著善意相信並不存在後門;然而……NIST 未能獨立判斷,反而在 Dual_EC 問題上過度依賴國家安全局。」Felten 表示,統計偏差本可以被修正,但「國家安全局主張不需要修正,而 NIST 接受了這一主張。」他補充道:
「後來發現,如果 NIST 能通過修改標準丟棄部分有偏數據來解決偏差問題,這將順帶消除 Dual_EC 中潛在的後門。這或許就是國家安全局反對解決偏差問題的原因之一。」
Felten 指出,NIST 缺乏橢圓曲線專家,導致他們不得不依賴國家安全局。另一位 VCAT 成員、微軟的 Steven Lipner 對於是否存在國家安全局後門的看法則表述得較為含蓄:
「雖然並未出現 NIST 或國家安全局有意破壞該演算法安全性的明顯跡象,但 NIST 的討論揭示並承認了多項流程上的不足,這些不足使得一個可能脆弱的演算法能夠被標準化。」
Ron Rivest 的觀點則截然不同:
「近期的揭露與技術審查支持這樣一個假設:儘管如此,國家安全局在 Dual_EC_DRBG 標準的制定過程中,顯然是『手伸進了餅乾罐』。看來這項標準極有可能是國家安全局精心設計的,目的在於明確向國家安全局洩露使用者的密鑰資訊(而不洩露給其他任何人)。」
Rivest 繼續指出:
「Dual_EC_DRBG 標準顯然(而且我幾乎可以說,確實)包含了一個『後門』,使國家安全局能夠秘密存取數據。這個後門設計得相當巧妙,因為該標準並非設計得『脆弱』(使其他外國對手也能利用該弱點),而是『定製化』(只有創建者——即國家安全局——能夠獲得這種存取權)。當然,僅能限制存取於國家安全局之中,前提是國家安全局能保密其對這些…[常數]的認知,且沒有任何對手能夠計算出這些常數。」
Rivest 想知道,這是否可能是一種國家安全局能夠利用的妥協解決方案——一種他們認為只有本局能夠利用的存取方法。Rivest 評論道:
「然而,政治要求這種方法不能悄無聲息地實現,而必須通過一個民主政治過程明確獲得批准,並得到廣泛公眾的支持。事實上,這種公眾支持現在(也可能永遠)不存在,明確賦予國家安全局(或更廣泛地說,政府)不受限制存取加密數據的後門標準,根本無法獲得民主政治的批准。」
Rivest 問道,還有哪些其他標準可能因國家安全局的介入而「受污染」,「是否應該撤回其他標準?」他認為 NIST 必須加強自身的密碼能力,因為「NIST 已不能再如此天真地依賴國家安全局的指導。」Rivest 還建議,應重構 NIST 與國家安全局之間的關係,並且所有與標準相關的雙方通訊都應該公開記錄。
民權團體呼籲,除了先進技術訪問委員會(VCAT)的意見之外,還應要求重新檢討國家安全局與 NIST 之間自 1989 年首次公布、2010 年更新的諒解備忘錄。這些團體在致 NIST 及白宮的信中主張,NIST 應「公開說明國家安全局在未來標準制定及依國家安全局要求作出任何修改時,其諮詢的範圍與性質」,並且「在任何情況下,都不應考慮國家安全局或任何其他情報或執法機構的訊號情報需求」。
國家安全局對於關於 Dual_EC_DRBG 指控的回應,則是在之後數年中由其領導人陸續發表數項評論。2014 年,在 Infiltrate 安全會議上,國家安全局前技術主管 Richard “Dickie” George(2003 至 2011 年任職期間)提供了關於該演算法變數納入標準背景的說明。George 表示,Dual_EC_DRBG 變數的起源源於 1980 年代國家安全局在研發機密電話(如 Secure Telephone Unit 3,STU-III)時所面臨的一項挑戰,這些機密電話曾供包括總統在內的客戶使用。雖然國家安全局對於機密通訊設備所用技術與標準具有管轄權,但 NIST 則負責管理其非機密等效設備。為了使 STU-III 同時獲得機密及非機密通訊的認證,必須同時滿足 NIST 與國家安全局的標準。George 解釋說,對於 STU-III 而言,「問題在於它未獲批准用於非機密通訊,因此使用者必須在桌上放置兩部電話(分別用於機密與非機密通訊)。」George 說明,STU-III 無法獲得國家安全局對非機密通訊的認可,原因在於:
「我們的演算法……是機密的,並未包含在 NIST 標準中。所以,我只好去找我在 NIST 的朋友……我問他們能否放寬這項要求,讓政府人員只用一部電話。最終——雖然他們並不高興,但還是放寬了這項要求。他們說,請不要再把我們置於這樣的處境……因為我們不希望開始對這些標準發放豁免,我們希望大家都遵循這些標準。」
George 解釋,為避免此問題重演,國家安全局開發了 Suite-B 演算法集,這一系列演算法使用了 NIST 的標準,但:
「我們國家安全局喜歡使用我們自己的隨機數生成器,而我們打算採用對偶橢圓曲線隨機數生成器。我說,如果你們能將這個納入你們的標準,那麼其他人就不會使用它,因為它看起來難看而且極為緩慢,沒有人會願意用。但我自己卻可以使用它。」因此,他說:「這些參數只要被納入,你們就可以允許其他人放入任何他們想要的參數。」
2015 年,國家安全局研究主管 Michael Wertheimer 在回顧時表示:
「事後看來,國家安全局本應在安全研究人員發現潛在後門可能性後立即停止支持 Dual_EC_DRBG。說實話,我無法用任何其他詞語來形容我們未能放棄支持這個可疑演算法的失誤,除了感到遺憾。對國防部而言,部署新演算法的成本不足以成為繼續支持一個可疑演算法的合理理由。」
「我們支持 NIST 2014 年 4 月將該演算法移除的決定。此外,我們也意識到,我們對 Dual_EC_DRBG 的推崇使國家安全局整體推動安全標準的工作蒙上陰影。事實上,一些同事甚至從這個單一行動推論,認為國家安全局有更廣泛的議程——即『破壞互聯網加密』。但從我們的記錄來看,情況並非如此。不過,我們也理解,國家安全局必須在其標準工作中更加透明,並依據這種透明性行事。」
對於 Wertheimer 的評論,密碼學界反應並不正面。馬修·格林評論道:
「仔細一看,信中並未對將 Dual_EC_DRBG 納入國家標準表示遺憾。Wertheimer 指出的問題僅在於國家安全局在主要疑問提出後仍繼續支持該演算法。」
故事還出現了一個新的轉折,即對 Dual_EC_DRBG 的一項擴展,使其更易被利用。美國國防部主張,該演算法的隨機數(nonce)「應至少達到安全級別的兩倍長度」,因此請求增加一個名為「擴展隨機」(Extended Random,ER)的擴展。這項擴展由網路安全公司 RTFM 的 Eric Rescorla 與國家安全局的 Margaret Salter 於 2008 年 3 月在一份網路草案中提出,其資金來源得到美國國防部的承認。擴展隨機使得攻擊 Dual_EC_DRBG 的成本從 231 降至 215,因為攻擊者不再需要猜測額外缺失的 16 位元,這使攻擊速度快了多達 65,000 倍。馬修·格林評論道:「如果使用 Dual 橢圓曲線就像是在玩火柴,那麼加入擴展隨機就像是用汽油澆自己。」研究人員證實,在 BSAFE-Java 代碼中實作的某個版本中,暴露了足夠數量的連續輸出位元,能夠快速恢復會話密鑰。其他實作中的實驗顯示,「看似無害的實作決定」大大影響了漏洞的利用性。研究人員發現,RSA 的 B-Safe-C 最易被利用,而 OpenSSL 則較難攻擊。RSA 的首席技術專家 Sam Curry 表示:「我們本可以對國家安全局的意圖更加保持懷疑。我們之所以信任他們,是因為他們肩負著保護美國政府和美國關鍵基礎設施的任務。」Curry 沒有透露國家安全局是否支付給 RSA 以將 ER 納入 BSafe 安全套件。研究人員在 2014 年對互聯網進行掃描,發現使用 ER 的伺服器極少(在 800 萬台中僅有 386 台)。
最後,史諾登洩露的國家安全局加密文件顯示,該局擁有一個針對特定商用產品的加密密鑰數據庫,稱為「密鑰供應服務」;若所需密鑰不可用,則請求會轉發至「密鑰恢復服務」,以試圖獲取密鑰。但其他技術細節則未予公開。