2015年是密碼學(xué)應(yīng)用標(biāo)志性的一年，2016年或許沒有那么絢麗奪目，但全世界的研究人員仍在繼續(xù)精進(jìn)密碼技術(shù)。

TLS 1.3 設(shè)計(jì)完成

2016年密碼學(xué)最大的實(shí)踐發(fā)展，就是安全傳輸層協(xié)議(TSL) 1.3 版。TLS是應(yīng)用廣泛的重要加密協(xié)議，也是安全互聯(lián)網(wǎng)通信的基礎(chǔ)。在數(shù)百位研究人員和工程師長(zhǎng)達(dá)數(shù)年的鉆研之后，新的TLS設(shè)計(jì)從密碼學(xué)的角度看終于可被認(rèn)為是完工了。該協(xié)議如今支持Firefox、Chrome和Opera。雖然看起來像是個(gè)小版本升級(jí)，TLS 1.3 卻是 TLS 1.2 的重大再設(shè)計(jì)(1.2版已存世8年有余)。事實(shí)上，最富爭(zhēng)議的問題之一，是要不要改個(gè)名字來表明 TLS 1.3 所做的重大改進(jìn)呢？

用戶從哪兒感受到 TLS 1.3 ？速度！TLS 1.3 就是為速度而生，尤其是大幅減少了重復(fù)連接時(shí)數(shù)據(jù)發(fā)送前的網(wǎng)絡(luò)往返通信數(shù)量，最低可減至1次往返(1-RTT)乃至0次。這些理念之前已經(jīng)以實(shí)驗(yàn)形式出現(xiàn)過——QUIC協(xié)議(谷歌制定的一種基于UDP的低時(shí)延互聯(lián)網(wǎng)傳輸層協(xié)議)和早期TLS中。但作為 TLS 1.3 默認(rèn)行為的一部分，它們很快就會(huì)得到廣泛應(yīng)用。這意味著延遲減少和網(wǎng)頁加載速度的加快。

另外，TLS 1.3 應(yīng)將成為安全智慧的顯著改進(jìn)。它吸收了TLS幾十年實(shí)踐中的兩大主要教訓(xùn)。首先，該協(xié)議摒棄了對(duì)一些舊協(xié)議功能和過時(shí)加密算法的支持，大幅瘦身。其次，TLS 1.3 引入了模式檢查，用以在很多舊版TLS和SSL中查找漏洞。TLS 1.3 在標(biāo)準(zhǔn)化過程中經(jīng)歷加密社區(qū)的廣泛分析，而不是等到協(xié)議被廣泛部署難以修補(bǔ)的時(shí)候才這么做。

對(duì)后量子加密的要求仍在繼續(xù)

加密社區(qū)一直在努力嘗試從當(dāng)今算法(其中很多在實(shí)用量子計(jì)算機(jī)出現(xiàn)后就會(huì)變得徹底不安全)遷移到后量子加密。

自去年年底美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)(NIST)發(fā)布了后量子算法標(biāo)準(zhǔn)化計(jì)劃，算法轉(zhuǎn)型便受到了大幅推動(dòng)。NIST在今年2月公布了首份工作報(bào)告，并在8月發(fā)布了一份召集算法提案的草案。研究人員一直在爭(zhēng)論后量子算法的目標(biāo)到底該是什么(以及，雙橢圓曲線(DualEC)標(biāo)準(zhǔn)后門事件之后，NIST是否還應(yīng)在后量子算法標(biāo)準(zhǔn)化過程中擔(dān)任領(lǐng)導(dǎo)角色)。

同時(shí)，谷歌在實(shí)用性實(shí)驗(yàn)中采用了新希望( New Hope )后量子密鑰交換算法，來保護(hù)谷歌服務(wù)器和Chrome瀏覽器之間的真實(shí)流量。這是后量子加密在現(xiàn)實(shí)世界中的首例部署應(yīng)用。該實(shí)驗(yàn)的結(jié)果表明，計(jì)算成本幾乎可以忽略不計(jì)，但因更大的密鑰規(guī)模導(dǎo)致的帶寬消耗有所增加。另一隊(duì)研究人員采用不同的算法，向TLS協(xié)議中加入了量子阻抗的密鑰交換。

關(guān)于后量子加密，我們不知道的東西還很多，但我們已開始探索其實(shí)際工程意義。

關(guān)于給加密算法安后門的新思考

很長(zhǎng)時(shí)間里，設(shè)計(jì)表面安全但暗藏后門的加密系統(tǒng)，一直是爭(zhēng)議焦點(diǎn)。((“盜碼學(xué)（kleptography)”一次在1996年被創(chuàng)造出來，用以描述此類概念。)但斯諾登的揭秘，尤其是DUAL_EC偽隨機(jī)數(shù)字生成器被NSA故意安置后門的消息，激發(fā)了對(duì)加密算法后門安置方法的更多研究。法國和美國研究人員組成的一個(gè)團(tuán)隊(duì)就發(fā)表了一篇論文，展示了技巧地選擇素?cái)?shù)可使離散對(duì)數(shù)計(jì)算變得簡(jiǎn)單容易，足以破壞Diffie-Hellman密鑰交換的安全性。

更糟的是，這種后門素?cái)?shù)無法與其他隨機(jī)選擇的素?cái)?shù)相區(qū)別。

RFC 5114：NIST的又一后門加密標(biāo)準(zhǔn)？

說到后門，今年還發(fā)現(xiàn)了另一個(gè)可能被后門了的標(biāo)準(zhǔn)：RFC 5114。該很少為人所知的標(biāo)準(zhǔn)是在2008編寫的，某種程度上，這玩意兒一直很神秘。該協(xié)議是由國防承包商BBN編寫的，目的是標(biāo)準(zhǔn)化NIST之前公布的某些參數(shù)。它定義了8個(gè)Diffie-Hellman組，可用于與互聯(lián)網(wǎng)工程任務(wù)組(IETF)的協(xié)議協(xié)同工作，提供互聯(lián)網(wǎng)通信安全性。最終，這些密鑰進(jìn)入到了一些廣泛使用的加密庫中，比如OpenSSL和 Bouncy Castle (java平臺(tái)輕量級(jí)加密包)。然而，其中一些組被發(fā)現(xiàn)十分可疑：沒有提供對(duì)產(chǎn)生過程和方法的任何說明(意味著可能被后門了)，只要參數(shù)沒有被仔細(xì)審查，便無力對(duì)抗小組約束攻擊。

雖然沒有切實(shí)證據(jù)，這還是導(dǎo)致了該標(biāo)準(zhǔn)是否被故意后門的一些爭(zhēng)論。作為回應(yīng)，該標(biāo)準(zhǔn)的其中一位作者聲明稱，這有部分原因是為了給一位實(shí)習(xí)生一個(gè)“相對(duì)容易”的項(xiàng)目來完成。NIST的一名密碼學(xué)家聲稱，該標(biāo)準(zhǔn)不過是寫來給使用曲線算法的人提供測(cè)試數(shù)據(jù)的，“當(dāng)然不是作為給實(shí)際使用或采納的人的建議”。該不良標(biāo)準(zhǔn)正是因其無能而提出的可能性無疑是存在的，但圍繞它的質(zhì)疑，凸顯出一直以來對(duì)NIST作為密碼標(biāo)準(zhǔn)化機(jī)構(gòu)的信任缺失。

美國總統(tǒng)大選暴露密碼可否認(rèn)性問題

可否認(rèn)性，及其對(duì)立面——不可抵賴性，是加密通信可具有的兩個(gè)基本技術(shù)特性：系統(tǒng)應(yīng)該向局外人提供證據(jù)證明消息是由特定發(fā)送者發(fā)送的嗎(不可抵賴性)？或者，系統(tǒng)應(yīng)確保任何局外人都能根據(jù)需要修改記錄(可否認(rèn)性)以便被泄通信不會(huì)牽連其他？這些屬性的現(xiàn)實(shí)必要性，是加密社區(qū)長(zhǎng)久以來的爭(zhēng)議重災(zāi)區(qū)。2016總統(tǒng)大選的新聞報(bào)道所掩蓋掉的，是不可抵賴性出其不意的崛起。資深民主黨政客們，包括副總統(tǒng)候選人蒂姆·凱恩及前DNC主席丹娜·布拉齊爾，正式聲明稱被泄DNC電子郵件是被篡改過的。

然而，網(wǎng)絡(luò)偵探們很快證實(shí)，電郵是以hillaryclinton.com郵件服務(wù)器的正確密鑰，經(jīng)域名密鑰識(shí)別郵件協(xié)議(DKIM)簽署的。關(guān)于這些簽名，有很多防止誤解的說明：其中一些郵件來自不支持DKIM的外部地址，因而可能被修改過，DKIM只斷言特定郵件服務(wù)器發(fā)送了消息(而不是某個(gè)個(gè)人用戶)，所以，有可能是hillaryclinton.com的DKIM密鑰被盜或被惡意內(nèi)部人士使用了，被泄郵件緩存也有可能被故意漏掉了某些郵件(DKIM證據(jù)不會(huì)揭露這個(gè)的)。然而，這可能是我們?cè)诓豢傻仲嚰用茏C據(jù)的價(jià)值(或無價(jià)值)中所有的最引人矚目的數(shù)據(jù)點(diǎn)了。

攻擊只會(huì)變得更好

一系列新型改進(jìn)版攻擊已被發(fā)現(xiàn)。其中值得注意的是：

HEIST攻擊改進(jìn)了之前BREACH和CRIME等Oracle壓縮攻擊的通用性，可通過惡意JavaScript從網(wǎng)頁盜取敏感數(shù)據(jù)。盡管因?yàn)榇祟惞舻娘L(fēng)險(xiǎn)而在2014年就決定從 TLS 1.3 中完全摒棄對(duì)壓縮的支持，這一漏洞還是進(jìn)一步顯示出了往HTTP之類復(fù)雜協(xié)議中添加加密功能的困難性。DROWN攻擊利用幾十歲高齡的SSLv2協(xié)議漏洞，破壞Web服務(wù)器的RSA簽名密鑰。如很多之前的TLS/SSL攻擊(POODLE、FREAK等等)，DROWN依賴的是現(xiàn)代Web瀏覽器已不支持的老舊協(xié)議。然而，這依然是很現(xiàn)實(shí)的重大缺陷，因?yàn)楣粽呖梢杂么朔椒ūI取Web服務(wù)器上那與現(xiàn)代客戶端所用相同的密鑰。該攻擊再一次提醒了我們：維持對(duì)過時(shí)加密協(xié)議的支持是有多不安全！Sweet32攻擊顯示出：64比特塊密碼(著名的三重DES和Blowfish)以CBC模式使用時(shí)，無法抵御碰撞攻擊。生日悖論告訴我們，只需觀察大約 2^(64/2) = 2^32 個(gè)加密塊——即32GB數(shù)據(jù)，就可以1/2的概率找到碰撞。這再一次暴露出，早該拋棄的遺留密碼卻依然在約1%的加密Web流量中被使用。可能有點(diǎn)點(diǎn)遠(yuǎn)離實(shí)際系統(tǒng)，新攻擊在某些配對(duì)友好的橢圓曲線族中被發(fā)現(xiàn)，包括了流行的 Barreto-Naehrig 曲線。雖然當(dāng)今互聯(lián)網(wǎng)加密中并沒有廣泛使用配對(duì)友好的曲線算法，它們卻是一系列高級(jí)加密系統(tǒng)的基礎(chǔ)，比如Zcash中用到的高效零知識(shí)證明，或Pond使用的組簽名。安全隨機(jī)性依然是密碼系統(tǒng)中的脆弱點(diǎn)：只要不能產(chǎn)生真正隨機(jī)的數(shù)字，就不能創(chuàng)建真正不可預(yù)測(cè)的密鑰。GnuPG項(xiàng)目(廣泛使用的PGP軟件維護(hù)者)宣稱修復(fù)了Libcrypt隨機(jī)數(shù)產(chǎn)生方法中的缺陷，堵上了這個(gè)存在了18年的漏洞。雖然實(shí)際利用該漏洞并不容易，此類攻擊顯露出PRNG庫中的微小漏洞可因從未導(dǎo)致功能上的可見損失而隱身數(shù)十年之久。

吐故納新：HTTPS仍在緩慢堅(jiān)實(shí)的路上

HTTPS正慢慢變得更加安全：

SHA-1散列函數(shù)在2016年就達(dá)美國法定最低飲酒年齡了——21歲，但是沒人會(huì)慶祝這個(gè)生日。相反，我們正逐漸逼近讓這個(gè)過時(shí)算法退休的終點(diǎn)。有那么點(diǎn)點(diǎn)令人驚訝的是，今年并沒有發(fā)現(xiàn)任何SHA-1碰撞攻擊——算法被攻破的無可辯駁的明證。不過，瀏覽器廠商可不會(huì)等到真出現(xiàn)碰撞。微軟、谷歌、Mozilla，全都宣稱2017年起自己的瀏覽器不再接受SHA-1證書。雖然還需要一段時(shí)間，對(duì)SHA-A的協(xié)同拋棄，依然是加密社區(qū)的大勝利。據(jù)觀察，瀏覽器市場(chǎng)激勵(lì)廠商不擅自移除不安全舊協(xié)議，因此，廠商在SHA-1被完全攻破之前達(dá)成棄用時(shí)間線是個(gè)積極的跡象。對(duì)證書透明性(CT)的支持繼續(xù)增長(zhǎng)。CT是設(shè)計(jì)來提供哪些證書被頒發(fā)給哪些域名的公開記錄協(xié)議。今年6月1日開始，所有賽門鐵克頒發(fā)的證書就被包含到CT記錄中(會(huì)被Chrome和Firefox拒絕)。網(wǎng)站可用Chrome的HSTS預(yù)加載列表(Firefox也用)來選擇要求CT。就在本周，F(xiàn)acebook發(fā)布了首個(gè)基于Web的CT記錄監(jiān)視工具。RFC 7748，橢圓曲線Curve25519和Curve448 (“金發(fā)姑娘”)的標(biāo)準(zhǔn)化，終于完成了。這兩個(gè)曲線算法在 TLS 1.3 中可用，提供更快的表現(xiàn)，作為P-256之類NIST支持的經(jīng)典曲線算法集的替代選擇。