“斯诺登启示录”中没有任何内容甚至暗示了任何特殊的 NSA 破坏 RSA 的能力。即使把斯诺登所说的都当成福音，NSA 仍然和其他人一样，这意味着破解 1024 位 RSA 是“理论上可行的”，但需要构建一个非常特殊的机器，其设计已经粗略勾勒出来，将花费数百万美元，而且至关重要的是，这将需要相当长的时间（数月......）来破解每一个密钥。对于 2048 位的 RSA 密钥，忘记它。

根据所有斯诺登支持的信息，当 NSA “破解 SSL”时，他们会明智地这样做，即不会预先突破密码学。相反，他们贿赂托管站点以将间谍钩子直接放在清晰的数据上，尽管有 SSL。这更便宜，工作可靠，并且不需要调用科幻级别的假设密码分析进步或外星技术。

构建和使用破坏 RSA 的技术进行大规模 SSL 间谍活动会让我觉得 NSA 对预算的使用效率极低。

尽管如此，还是有RSA的替代品，其中一些自 20 年前 SSL 3.0 时代以来就已成为 SSL 的一部分。使用标准核心协议（现在称为TLS 1.2），您拥有 DH_DSS 和 DHE_DSS 密码套件，其中涉及用于密钥交换的Diffie-Hellman和用于签名的DSA（使用 DH_DSS，服务器的证书包含 DH 公钥和颁发CA 包含一个 DSA 公钥；使用 DHE_DSS，服务器的证书包含一个 DSA 公钥，并且 DH 密钥对是即时生成的）。椭圆曲线变体也已定义。现代浏览器和 Web 服务器支持 DHE_DSS 及其椭圆曲线变体。

从历史上看，这些替代方案的开发不是为了安全，而是为了修复 RSA 的一些感知或据称的弱点；之所以将它们放入 SSL，是因为当时 RSA 在美国仍然获得专利，而美国联邦政府需要一个无专利但安全的协议供自己使用。

现在 RSA 专利已经过期（超过 12 年），每个人都使用 RSA。然而，替代方案已经准备就绪，如果 RSA 出现故障，将使用这些替代方案。它目前没有，即使是针对 NSA。

以下文章解释了 NSA 可能破坏 SSL 安全性的一些方式：

http://blog.cryptographyengineering.com/2013/12/how-does-nsa-break-ssl.html

总而言之，以下是 NSA 可能用来破解互联网加密的一些方法：

• 通过远程软件利用或传票和禁言令破坏 RSA 密钥。

• 包揽硬件加密芯片

• 侧通道攻击 - 例如 BREACH 攻击，请参阅“SSL，在 30 秒内完成” - http://breachattack.com

• 弱随机数生成器——例如非常可疑的 Dual_EC RNG，它是 RSA 的 BSAFE 库的默认值。

此外，可以在此处阅读 NSA 的解密程序代号“BULLRUN”：

http://en.wikipedia.org/wiki/Bullrun_(decryption_program)

我认为 RSA 没有其他选择，因为它是所有公钥加密机制中最常用的算法，我在某处读到 NSA 支付 RSA 以保持算法最弱，实际上使用少于 1024 位的 RSA 密钥很容易受到暴力破解强制攻击，安全专家推荐 2048 位作为密钥长度，但 NSA 仍然有可能进行间谍活动，因为他们可以通过某种方式获取用于加密的密钥。我个人推荐使用“TOR 项目”，这是一个基于洋葱路由的很棒的项目，但不便之处在于计算时间和路由的延迟。