在密碼學(xué)領(lǐng)域,秘密植入可竊聽通信數(shù)據(jù)的“后門”是長期以來困擾眾學(xué)者的噩夢,但這并不意味著密碼學(xué)家們就不能欣賞破密者的解密藝術(shù)。時至今日,一組密碼專家們就發(fā)表了一份針對多種弱化加密系統(tǒng)的方法的評估報告,報告顯示:某些后門明顯比其他更優(yōu)良——在隱匿性、抵賴性,甚至保護(hù)受害者隱私不被其他后門植入者知曉的排他性方面。
在這份名為《偷偷弱化加密系統(tǒng)》(Surreptitiously Weakening Cryptographic Systems)的報告中,著名密碼學(xué)家兼作家布魯斯·施奈爾和來自威斯康星大學(xué)及華盛頓大學(xué)的研究員們從間諜的視角探討加密藝術(shù)問題:哪種類型的內(nèi)置后門監(jiān)控是最好的?
他們分析了近20年來加密系統(tǒng)中存在過的刻意或看起來非刻意的漏洞,并排了個序。結(jié)果顯示(盡管很不樂意承認(rèn)),美國國家安全局(NSA)最近的一種破密方法是最佳選擇,不管是在有效性、隱匿監(jiān)視性,還是在避免對互聯(lián)網(wǎng)安全的連帶傷害上。
“這是一份創(chuàng)建更好后門的指南。但你看它的目的是為了可以做出更好的后門防護(hù)。”施奈爾說。這位安全專家最近出了本書《數(shù)據(jù)與巨人》(Data and Goliath),關(guān)注企業(yè)和政府監(jiān)視問題。“這些內(nèi)容NSA早在20年前就知道了,中國人和俄羅斯人也了然于心。我們只是努力趕上他們,了解這些重要的東西。”
研究人員們探討了多種加密系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)方法以使它們可以為竊聽者所利用。這些方法從缺陷隨機(jī)數(shù)生成到密鑰泄露到密碼破譯技巧,各種各樣。然后,研究人員按一定的指標(biāo)給它們排序,比如:不可檢測性、公開性(后門植入需要多少背后交易)、抵賴性、易用性、范圍、準(zhǔn)確性和可控性。
下面就是弱點(diǎn)排序表和它們對間諜的潛在好處。(L——低,M——中等,H——高)
舉個例子,壞隨機(jī)數(shù)字生成器。它能被很容易地植入到軟件中,無須經(jīng)過太多人的手,且一旦被發(fā)現(xiàn),還能推脫成原生的編碼錯誤而非蓄意后門。說到這個例子,研究人員指的是Debian SSL在2006年的一個實(shí)現(xiàn),那里面有兩行代碼被注釋掉了,直接移除了為系統(tǒng)加密產(chǎn)生足夠隨機(jī)數(shù)所需的“信息熵”來源。研究人員們承認(rèn),加密機(jī)制被破壞不是蓄意的,只是一個程序員試圖避免被安全工具檢出警告消息的結(jié)果。但這一漏洞仍然僅需一名碼農(nóng)就能造成,兩年中都沒被發(fā)現(xiàn),并且發(fā)現(xiàn)這一漏洞的任何人都能導(dǎo)致Debian SSL加密系統(tǒng)的全面崩潰。
另一種類型,更加微妙的破壞加密系統(tǒng)的方法,研究人員稱其為“實(shí)現(xiàn)脆弱性”,通常出現(xiàn)在復(fù)雜難懂的系統(tǒng)設(shè)計(jì)上,程序員們會在使用它們的軟件中不可避免地留下可供利用的漏洞。“很多重要的標(biāo)準(zhǔn),如互聯(lián)網(wǎng)安全性協(xié)議(IPSec)、安全傳輸層協(xié)議(TLS)等,都令人遺憾地臃腫不堪、太過復(fù)雜、設(shè)計(jì)蹩腳……常常倚賴面向公共委員會的設(shè)計(jì)方法。復(fù)雜性也許是委員會設(shè)計(jì)模式的基本產(chǎn)物,但圖謀不軌者也可以將公共開發(fā)進(jìn)程導(dǎo)向脆弱的設(shè)計(jì)。”這種形式的破壞,一旦被發(fā)現(xiàn),可以很容易地偽裝成繁瑣過程中的一個小失誤。
不過,話題轉(zhuǎn)向“可控性”——誰能利用你埋下的安全隱患——這個問題的時候,研究人員們果斷將實(shí)現(xiàn)脆弱性和壞數(shù)字生成標(biāo)成了“低”。使用壞隨機(jī)數(shù)字生成器或者利用脆弱的加密實(shí)現(xiàn)機(jī)制的話,隨便哪個有足夠能力的密碼專家發(fā)現(xiàn)了那個漏洞都可以利用它在你的目標(biāo)上進(jìn)進(jìn)出出。“很明顯,這類東西有些在連帶傷害方面是災(zāi)難性的。”報告的共同作者,威斯康星大學(xué)計(jì)算機(jī)科學(xué)家托馬斯·里斯滕帕特說。“如果你讓一個破壞者在關(guān)鍵系統(tǒng)里留下了能被其他人利用的漏洞,那對客戶的安全性而言就是災(zāi)難性的。”
事實(shí)上,在“可控性”一項(xiàng)上被貼上“低”標(biāo)簽的幾乎包括了其他所有方法,只除了一個:被研究人員稱為“后門常量”的。這種方法的可控性被他們標(biāo)為了“高”。后門常量就是只有確切知道某一特定的不可猜值的人才能利用的后門。這種后門的主要例子存在于隨機(jī)數(shù)字生成器的標(biāo)準(zhǔn)——雙橢圓曲線確定性隨機(jī)比特生成器(Dual_EC_DRBG)。這一生成器是加密企業(yè)RSA使用的,但在2013年愛德華·斯諾登泄密事件中被踢爆早已為NSA所控。
想要利用雙橢圓曲線的后門必須知道非常具體的一段信息:標(biāo)準(zhǔn)中橢圓曲線兩個位置間的數(shù)學(xué)關(guān)系。知道這段信息的人就可以構(gòu)造出隨機(jī)數(shù)生成器所需的種子值,也就可以獲得用以解密信息的隨機(jī)值。而不知道這段信息的話,后門也就毫無用處,即使你清楚有這么個后門的存在。
這種“后門常量”花招很難被發(fā)現(xiàn),報告中給它在不可檢測性上評分為“高”也是基于此。盡管密碼學(xué)家們,包括施奈爾自己在內(nèi),早在2007年就懷疑Dual_EC有后門了,卻沒人能證明后門真的存在,Dual_EC也就一直在用著——直到斯諾登踢爆真相。但另一方面講,一旦被曝光,這種類型的后門幾乎無法搪塞,因此在可抵賴性上評分為“低”。不過,考慮到像Dual_EC這樣的后門是報告中提到的所有后門里連帶傷害可能性最低的,施奈爾認(rèn)為這種技術(shù)還是“最接近理想的”。
雙橢圓曲線加密
這并不是說密碼學(xué)家們喜歡這種技術(shù)。畢竟,加密是用于在雙方間建立私密性的,而不是在雙方間還要插足一個完美后門的創(chuàng)建者。“對可能成為NSA受害者的人而言,這種后門依然是個問題。”報告共同作者,威斯康星大學(xué)研究員馬修·德里克森 言道。
實(shí)際上,施奈爾將Dual_EC后門的謹(jǐn)慎歸結(jié)于它對隱匿性的重視而不是NSA對互聯(lián)網(wǎng)用戶安全的維護(hù)上。“連帶傷害很煩人,會讓你更容易被發(fā)現(xiàn)。這就是個自私自利的準(zhǔn)則,才不是什么‘人性良善的一面’”。
施奈爾說研究人員發(fā)布這份報告的目的,不是為了促進(jìn)加密系統(tǒng)中的后門,而是為了更好地弄清楚它們以便可以連根拔除之。“自然,無論或好或壞,總有些辦法可以留下后門。最安全的辦法就是根本別碰它。”