“牛奔河”计划

2001年–2007年–与英国政府通信总部合作项目非持续进行项目Bullrun（风格化表达为BULLRUN）是一个高度机密的计划，用于破解在线通信和数据的加密，该计划由美国国家安全局（NSA）运行。在英国政府通讯总部（GCHQ）中类似计划的代号为Edgehill。根据《卫报》披露的BULLRUN分类指南（BULLRUN classification guide），该计划使用多种方法，包括计算机网络利用、拦截 、行业关系与其他情报界实体的协作以及先进的数学技术。爱德华·斯诺登在2013年泄漏了有关该计划存在的信息。尽管斯诺登的文档没有包含有关确切的密码分析功能的技术信息，因为斯诺登没有获得此类信息的许可访问权，但它们确实包含了2010 GCHQ演示文稿，其中声称“此前已丢弃的大量的互联网加密数据，现在可以被利用”。在美国情报官员的要求下，新闻界还对斯诺登文件中发现的有关该程序的许多技术细节进行了审查。在斯诺登泄漏的所有计划中，“Bullrun破密计划”是至泄漏时的成本最高的计划。斯诺登声称，自2011年以来，用于Bullrun的成本总计8亿美元。披露的文件显示，Bullrun试图“击败特定网络通信技术中，所使用的加密”。根据NSA的《BULLRUN分类指南》，BULLRUN不是敏感的限制访问讯息（SCI）受控制系统或限制访问讯息，但必须在所有其他分类和传播标记之后的分类行中显示代码字。 此外，建议使用特殊控制的信息标签进一步限制有关特定密码成功的任何细节（除了标记为“最高机密//特殊情报（Top Secret//SI））； 可能的BULLRUN ECI标签的非排他性列表为：APERIODIC，AMBULANT，AUNTIE，PAINTEDEAGLE，PAWLEYS，PITCHFORD，PENDLETON，PICARESQUE和PIEDMONT，这些标签的含义没有任何细节。只有五眼联盟（FVEY）的高层人员才能访问该计划，包括美国国家安全局（NSA）、以及英国政府通信总部（GCHQ）、加拿大通信安全机构（CSE）、澳大利亚信号局（ASD）、新西兰政府通信安全局（GCSB）的信号情报机构。 在代理机构继续尝试对其进行解密的同时，无法无限期保留当前技术无法解密的信号。通过由NSA设计的Clipper芯片 ，该芯片使用Skipjack算法，刻意保留有后门，并使用各种专门设计的法律，例如通信协助执法法（CALEA），数字空间电子安全法（英语：Cyberspace Electronic Security Act）（CESA）和对加密软件出口的限制（如伯恩斯坦诉美国的证据）。美国政府已公开在1990年代曾试图确保其获得通信和解密的能力，特别是诸如密钥托管，对后门的委婉说法之类的技术措施，遭到批评而且收效甚微。美国国家安全局（NSA）鼓励安全技术制造商向其披露产品或加密密钥的后门，以便NSA可以访问加密的数据。然而，出于对加密技术的广泛釆用的担心，NSA也开始秘密地影响和削弱基本的加密安全性。并试图通过协议、法律力量或网络攻击获取后门。根据Bullrun的一份简报文件，该机构已成功渗透到安全套接字层和虚拟专用网 （VPN）。《纽约时报》报道宣称：“到了2006年，通过破解保护性的VPN，该局已攻破了三家外国航空公司、一个旅行预订系统、一个外国政府的核能部门，以及另一个外国政府互联网服务的通讯系统。到了2010年，英国反制加密的Edgehill计划已成功破解了30个目标的VPN，而且设立了再破解300个的目标”作为Bullrun的一部分，NSA还积极于“将漏洞插入到目标使用的商业加密系统，IT系统，网络和端点通信设备中”。《纽约时报》报导称，随机数生成器Dual_EC_DRBG包含了来自NSA的后门，这将使NSA可以依靠该随机数生成器来破坏加密。尽管在标准发布后不久就知道Dual_EC_DRBG是一种不安全且缓慢的随机数生成器，并且在2007年发现了潜在的NSA后门，并且没有这些缺陷的替代品已经通过认证并得到广泛使用，但是RSA Security在2013年9月之前，继续在BSAFE Toolkit和Data Protection Manager这两项产品中使用Dual_EC_DRBG。虽然RSA Security否认有意向BSAFE插入后门程序，但没有解释为何在2006年和2007年发现Dual_EC_DRBG的缺陷明显后，仍然继续使用。有报导宣称，2013年12月20日，RSA接受了NSA的1000万美元付款，将随机数生成器设置为默认值。到2010年，NSA已开发出针对互联网加密流量的“开创性的手段”。GCHQ的一份文件警告说，“这些手段是信号情报项目中最脆弱的一部分，不慎披露这一简单的“事实”可能会警醒对手，并立即导致该手段的无效化。” 另一份内部文件指出，“它们不存在‘必要知悉（英语：need to know）’”。包括布鲁斯·施奈尔和克里斯托弗·索霍安（英语：Christopher Soghoian）在内的许多专家纷纷猜测，这是指对RC4的成功攻击，这种1987年的加密算法仍在至少50%的SSL/TLS的流量中使用，并考虑到RC4有数个已知的弱点，这是一个合理的途径。其他人则猜测，NSA已获得破解1024位RSA和迪菲-赫尔曼密钥交换公钥的能力。一组研究人员指出，一些非一次性的1024位素数在迪菲-赫尔曼密钥交换的实现中广泛重用，且NSA对这些素数进行了预先计算，以利用它们来实时的攻破加密。在BULLRUN的启示之后，包括FreeBSD和OpenSSL在内的一些开源项目已经不愿（完全）信任基于硬件的加密原语 。许多其他软件项目，公司和组织也对安全性和加密过程进行了评估。例如，Google将其TLS证书的密钥长度增加了一倍，从1024位增加到2048位。NSA后门的揭露和标准的故意复杂化，导致了让它们参加标准化机构的强烈反对。在披露之前，鉴于NSA在这些委员会中的存在，鉴于其在加密方面的专业知识，NSA的参与被视为一个优势。有人猜测，NSA知道了心脏出血漏洞，该漏洞导致主流网站容易遭受密码盗窃的侵害，但并未透露此信息以便为自己利用。“BULLRUN”这个名字取自美国南北战争的第一场重大战役-第一次牛奔河之役（First Battle of Bull Run）。它的前身“Manassas”（马纳沙斯），是出自该战役的另一个称呼，也是主战场所在。“EDGEHILL”来自埃奇希尔战役（Battle of Edgehill），这是英国内战的第一场战役。