華為加密證書和密鑰居然進入了思科設備

在2003年，思科曾指控華為“抄襲代碼”，將華為子公司告上法庭。而當時思科的指控對象，就包括華為在美研發(fā)分支Futurewei。如今思科卻被爆出在自己的設備中使用了華為子公司Futurewei的證書和密鑰，并且使用了華為的代碼，遭ZDNet新聞網吐槽“尷尬”。

7月3日，思科在其官網一下子列舉19條程序安全相關聲明，建議其客戶對產品進行相關更新。

其中有一條聲明指出，思科250、350、350X和550X型號交換機，采用了開源程序包OpenDaylight中的一款密鑰證書。而這款密鑰證書出自Futurewei公司之手。后者是華為在美國的研發(fā)分支機構。

這個問題也不是思科自己排查出來的。而是網絡安全咨詢公司SEC Consult最早發(fā)現(xiàn)。該公司的物聯(lián)網部門的研究人員正在使用其IoT Inspector漏洞搜索軟件來探測思科Small Business 250系列交換機的固件映像，發(fā)現(xiàn)它們包含發(fā)給Futurewei Technologies的數字證書和密鑰。考慮到政治因素，沒有就這一事件做進一步推測?！?/p>

Futurewei Technologies是華為的美國研發(fā)部門。據報道，由于美國禁止華為使用美國技術，該研究部門正計劃與中國母艦分開，并禁止華為員工離職，放棄華為標識，并為員工創(chuàng)建自己獨立的IT系統(tǒng)。

但問題是為什么像思科這樣起訴華為專利的美國科技巨頭將其中國競爭對手的證書和密鑰放入自己的交換機中？

之所以會出現(xiàn)這個烏龍，思科方面的解釋是：該公司開發(fā)者在測試期間使用了華為的開源包，但后來忘記刪除相關組件。思科將這個鍋甩給軟件測試團隊FindlT Development，稱這是他們的“疏忽”。思科表示，目前已經刪除了上述產品中的華為密鑰證書。由于這個改動對產品安全問題影響不大，這條聲明的“警報等級”也是當天所有補丁聲明中最低的，為“消息級”。

為了進一步澄清，思科強調，證書和密鑰僅僅存在于文件系統(tǒng)中，并沒有被設備激活使用。