美国国安局对中国使用顶级网络武器证据曝光，其中有哪些细节值得关注？

再一次重申一个事实：开源不安全 。

之前曝光的恶意代码植入证明了社区压根没有能力防范这种从源代码的恶意代码植入。

而随这一些linux横跨10多年的超长期漏洞曝光，这也证明了植入恶意代码和破解是两个层面的事情。

很多人包括网安的人不能理解为什么会开源还不安全？

因为漏洞无处不在，而且往往方法超乎正常人的想象。DES的S盒设计方法现在还是秘密，RSA官方推出的随机数生成器有问题等等，再到随便的一个缓存区溢出漏洞等等。（曝光全靠斯诺登和阿桑奇）

整个平台庞大而繁琐，使得发现漏洞变得几乎不可能，全世界有这种漏洞查找能力的人屈指可数，还都在各国国安内部，发现不一定会公布。而植入后门几乎是必然的低成本选择，因此对于开源产品各国必然会选择植入后门。

但是只使用闭源不利于企业发展，怎么选用就是大学问。

有对于开源算法改造，例如使用私有hash算法（我很难以理解为什么绝大多数知乎大v认为算法保密没有意义，科克霍夫的法则的片面性在des,md5后就充分曝光了）。它指的是算法设计者不要依靠保密算法来实现安全性，因为以往算法类型也是密钥的组成一部分，同时泄露风险较高，所以在19世纪说了这句话。

但你是算法设计者嘛？中国人都没有参与到这些算法设计里面，安全性可以直接认为是0。也许sha256(x)=0的解就在nsa手中，但无数区块链的黑洞地址设为了它。

而建立私有协议将是极其简单的事情，只需要修改一下ck参数或者p盒参数就可以实现，甚至简单的加一层掩码都能提高一定的安全性，希望中国企业可以重视起来吧 。