編者按(2015 年 11 月 16 日):在 11 月 13 日巴黎發生恐怖襲擊事件以及隨之而來的關於反恐努力和加密通訊的辯論之後,《大眾科學》重新發布以下文章。
自從愛德華·斯諾登開始其針對國家安全域性 (NSA) 的揭發行動以來的三個月裡,這位前政府承包商揭露了該機構大規模線上竊聽行動,並試圖規避用於保護數字通訊的加密技術。最新的指控表明,美國國家安全域性操縱並削弱了國家標準與技術研究院 (NIST) 幾年前釋出的一項密碼學標準。
結果,NIST 上週公開勸阻科技公司使用該密碼學方法,並承諾讓公眾有機會對修訂後的標準發表意見。這個修復可能不會太困難——該標準中被汙染的部分是一種效率極低的演算法,安全專家很久以前就認為它存在問題。事實上,專家們說,最大的謎團是為什麼美國國家安全域性認為任何公司或政府機構會願意使用這種特定的演算法來保護他們的資料。“它肯定不是為了向社群提供高效的演算法而插入到標準中的,”計算機儲存供應商 EMC 的 RSA 安全部門的首席科學家阿里·朱爾斯 (Ari Juels) 說。
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來關於塑造我們當今世界的發現和想法的具有影響力的故事。
NIST 特別出版物 800-90 密碼學標準包括四種不同的演算法,稱為“確定性隨機位生成器”,或 DRBG,用於編碼資料。應美國國家安全域性的要求加入的演算法——雙橢圓曲線確定性隨機位生成,或 Dual_EC_DRBG——很容易被篡改,並可能允許該機構建立一個所謂的後門,他們可以利用這個後門來確定演算法生成的值,從而基本上使其在保持資訊秘密方面的效力失效,根據斯諾登洩露給《紐約時報》、《衛報》和 ProPublica 的檔案。
朱爾斯說,美國國家安全域性基本上對任何將資料委託給 Dual_EC_DRBG 演算法的人進行了“盜竊式”攻擊,這會透過密碼後門有意洩露資料。“自 1996 年以來,安全分析師和程式設計師一直在編寫和測試盜竊式系統,但直到現在,你很難找到一個實際使用的系統,”他補充說。
NIST 的工作是制定標準和指南,以保護聯邦資訊和資料系統,並且行業通常會遵循其建議來使用自己的技術。“重新討論這個標準很可能是 NIST 的一個挽回面子的舉動,”朱爾斯說。“他們或許可以直接拋棄這個演算法,但那樣看起來可能比徵求公眾意見更糟糕。”
多年來,計算機科學家一直懷疑 Dual_EC_DRBG 中存在這樣一個後門。荷蘭埃因霍溫理工大學的安全研究人員在 2006 年 5 月指出,該演算法不安全,並且對其發起攻擊非常容易,只需“一臺普通的個人電腦”即可。第二年,兩位微軟工程師將 Dual_EC_DRBG 標記為可能包含後門(pdf),儘管他們沒有指責 NIST 和美國國家安全域性故意將其插入那裡。
NIST 否認了這些指控,在其網站上指出,該機構“依法”需要與美國國家安全域性協商,並宣告“NIST 不會故意削弱密碼學標準。”*
然而,這似乎正是發生的事情。斯諾登提供的檔案顯示,該情報機構在編寫 NIST 現在警告不要使用的標準方面發揮了關鍵作用,《紐約時報》報道稱。NIST 於 2006 年釋出了該密碼學標準,國際標準化組織 (ISO) 後來為 163 個成員國採用了該標準。
儘管 Dual_EC_DRBG 存在已知缺陷,但包括微軟、思科、賽門鐵克和 RSA 在內的知名科技公司在其產品的密碼學庫中包含了該演算法,主要是因為他們需要它才有資格獲得政府合同,密碼學家布魯斯·施奈爾說。是否啟用該演算法由購買這些產品的私營公司決定,根據 RSA 的朱爾斯說,在 Dual_EC_DRBG 的情況下,他們不太可能這樣做。
斯諾登的最新披露可能會讓 NIST 和美國國家安全域性有些難堪,但這並不會損害密碼學作為一種安全措施的整體信譽,資料、計算機和網路安全系統設計公司密碼學研究的創始人、總裁兼首席科學家保羅·科赫 (Paul Kocher) 說。試圖使用後門作為擊敗密碼學手段的努力表明,該基本技術仍然非常強大。“這裡真的沒有任何東西會影響密碼學的基礎數學,”他補充說。
有缺陷的軟體和有缺陷的作業系統仍然對資料安全和網際網路隱私構成更大的威脅。真正的問題是政府的信譽。“從政治角度來看,這種事情非常重要,”科赫說。“你期望政府會以純粹的意圖制定安全標準。當這條線被跨越時,即使它不是在一個廣泛使用的程式中,那顯然也令人不安。”
*編者注(2013 年 9 月 18 日):此句話在釋出後進行了編輯。原文指出,NIST 最初只是否認其故意削弱了密碼學標準。NIST 向《大眾科學》表示,它堅持其不會故意削弱它的宣告。