在密碼學領域,秘密植入可竊聽通信數據的“后門”是長期以來困擾眾學者的噩夢,但這并不意味著密碼學家們就不能欣賞破密者的解密藝術。時至今日,一組密碼專家們就發表了一份針對多種弱化加密系統的方法的評估報告,報告顯示:某些后門明顯比其他更優良——在隱匿性、抵賴性,甚至保護受害者隱私不被其他后門植入者知曉的排他性方面。
在這份名為《偷偷弱化加密系統》(Surreptitiously Weakening Cryptographic Systems)的報告中,著名密碼學家兼作家布魯斯·施奈爾和來自威斯康星大學及華盛頓大學的研究員們從間諜的視角探討加密藝術問題:哪種類型的內置后門監控是最好的?
他們分析了近20年來加密系統中存在過的刻意或看起來非刻意的漏洞,并排了個序。結果顯示(盡管很不樂意承認),美國國家安全局(NSA)最近的一種破密方法是最佳選擇,不管是在有效性、隱匿監視性,還是在避免對互聯網安全的連帶傷害上。
“這是一份創建更好后門的指南。但你看它的目的是為了可以做出更好的后門防護。”施奈爾說。這位安全專家最近出了本書《數據與巨人》(Data and Goliath),關注企業和政府監視問題。“這些內容NSA早在20年前就知道了,中國人和俄羅斯人也了然于心。我們只是努力趕上他們,了解這些重要的東西。”
研究人員們探討了多種加密系統的設計和實現方法以使它們可以為竊聽者所利用。這些方法從缺陷隨機數生成到密鑰泄露到密碼破譯技巧,各種各樣。然后,研究人員按一定的指標給它們排序,比如:不可檢測性、公開性(后門植入需要多少背后交易)、抵賴性、易用性、范圍、準確性和可控性。
下面就是弱點排序表和它們對間諜的潛在好處。(L——低,M——中等,H——高)
舉個例子,壞隨機數字生成器。它能被很容易地植入到軟件中,無須經過太多人的手,且一旦被發現,還能推脫成原生的編碼錯誤而非蓄意后門。說到這個例子,研究人員指的是Debian SSL在2006年的一個實現,那里面有兩行代碼被注釋掉了,直接移除了為系統加密產生足夠隨機數所需的“信息熵”來源。研究人員們承認,加密機制被破壞不是蓄意的,只是一個程序員試圖避免被安全工具檢出警告消息的結果。但這一漏洞仍然僅需一名碼農就能造成,兩年中都沒被發現,并且發現這一漏洞的任何人都能導致Debian SSL加密系統的全面崩潰。
另一種類型,更加微妙的破壞加密系統的方法,研究人員稱其為“實現脆弱性”,通常出現在復雜難懂的系統設計上,程序員們會在使用它們的軟件中不可避免地留下可供利用的漏洞。“很多重要的標準,如互聯網安全性協議(IPSec)、安全傳輸層協議(TLS)等,都令人遺憾地臃腫不堪、太過復雜、設計蹩腳……常常倚賴面向公共委員會的設計方法。復雜性也許是委員會設計模式的基本產物,但圖謀不軌者也可以將公共開發進程導向脆弱的設計。”這種形式的破壞,一旦被發現,可以很容易地偽裝成繁瑣過程中的一個小失誤。
不過,話題轉向“可控性”——誰能利用你埋下的安全隱患——這個問題的時候,研究人員們果斷將實現脆弱性和壞數字生成標成了“低”。使用壞隨機數字生成器或者利用脆弱的加密實現機制的話,隨便哪個有足夠能力的密碼專家發現了那個漏洞都可以利用它在你的目標上進進出出。“很明顯,這類東西有些在連帶傷害方面是災難性的。”報告的共同作者,威斯康星大學計算機科學家托馬斯·里斯滕帕特說。“如果你讓一個破壞者在關鍵系統里留下了能被其他人利用的漏洞,那對客戶的安全性而言就是災難性的。”
事實上,在“可控性”一項上被貼上“低”標簽的幾乎包括了其他所有方法,只除了一個:被研究人員稱為“后門常量”的。這種方法的可控性被他們標為了“高”。后門常量就是只有確切知道某一特定的不可猜值的人才能利用的后門。這種后門的主要例子存在于隨機數字生成器的標準——雙橢圓曲線確定性隨機比特生成器(Dual_EC_DRBG)。這一生成器是加密企業RSA使用的,但在2013年愛德華·斯諾登泄密事件中被踢爆早已為NSA所控。
想要利用雙橢圓曲線的后門必須知道非常具體的一段信息:標準中橢圓曲線兩個位置間的數學關系。知道這段信息的人就可以構造出隨機數生成器所需的種子值,也就可以獲得用以解密信息的隨機值。而不知道這段信息的話,后門也就毫無用處,即使你清楚有這么個后門的存在。
這種“后門常量”花招很難被發現,報告中給它在不可檢測性上評分為“高”也是基于此。盡管密碼學家們,包括施奈爾自己在內,早在2007年就懷疑Dual_EC有后門了,卻沒人能證明后門真的存在,Dual_EC也就一直在用著——直到斯諾登踢爆真相。但另一方面講,一旦被曝光,這種類型的后門幾乎無法搪塞,因此在可抵賴性上評分為“低”。不過,考慮到像Dual_EC這樣的后門是報告中提到的所有后門里連帶傷害可能性最低的,施奈爾認為這種技術還是“最接近理想的”。
雙橢圓曲線加密
這并不是說密碼學家們喜歡這種技術。畢竟,加密是用于在雙方間建立私密性的,而不是在雙方間還要插足一個完美后門的創建者。“對可能成為NSA受害者的人而言,這種后門依然是個問題。”報告共同作者,威斯康星大學研究員馬修·德里克森 言道。
實際上,施奈爾將Dual_EC后門的謹慎歸結于它對隱匿性的重視而不是NSA對互聯網用戶安全的維護上。“連帶傷害很煩人,會讓你更容易被發現。這就是個自私自利的準則,才不是什么‘人性良善的一面’”。
施奈爾說研究人員發布這份報告的目的,不是為了促進加密系統中的后門,而是為了更好地弄清楚它們以便可以連根拔除之。“自然,無論或好或壞,總有些辦法可以留下后門。最安全的辦法就是根本別碰它。”
京公網安備 11010502049343號