编者按(2015 年 11 月 16 日):在 11 月 13 日巴黎发生恐怖袭击事件以及随之而来的关于反恐努力和加密通信的辩论之后,《大众科学》重新发布以下文章。
自从爱德华·斯诺登开始其针对国家安全局 (NSA) 的揭发行动以来的三个月里,这位前政府承包商揭露了该机构大规模在线窃听行动,并试图规避用于保护数字通信的加密技术。最新的指控表明,美国国家安全局操纵并削弱了国家标准与技术研究院 (NIST) 几年前发布的一项密码学标准。
结果,NIST 上周公开劝阻科技公司使用该密码学方法,并承诺让公众有机会对修订后的标准发表意见。这个修复可能不会太困难——该标准中被污染的部分是一种效率极低的算法,安全专家很久以前就认为它存在问题。事实上,专家们说,最大的谜团是为什么美国国家安全局认为任何公司或政府机构会愿意使用这种特定的算法来保护他们的数据。“它肯定不是为了向社区提供高效的算法而插入到标准中的,”计算机存储供应商 EMC 的 RSA 安全部门的首席科学家阿里·朱尔斯 (Ari Juels) 说。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保未来关于塑造我们当今世界的发现和想法的具有影响力的故事。
NIST 特别出版物 800-90 密码学标准包括四种不同的算法,称为“确定性随机位生成器”,或 DRBG,用于编码数据。应美国国家安全局的要求加入的算法——双椭圆曲线确定性随机位生成,或 Dual_EC_DRBG——很容易被篡改,并可能允许该机构建立一个所谓的后门,他们可以利用这个后门来确定算法生成的值,从而基本上使其在保持信息秘密方面的效力失效,根据斯诺登泄露给《纽约时报》、《卫报》和 ProPublica 的文件。
朱尔斯说,美国国家安全局基本上对任何将数据委托给 Dual_EC_DRBG 算法的人进行了“盗窃式”攻击,这会通过密码后门有意泄露数据。“自 1996 年以来,安全分析师和程序员一直在编写和测试盗窃式系统,但直到现在,你很难找到一个实际使用的系统,”他补充说。
NIST 的工作是制定标准和指南,以保护联邦信息和数据系统,并且行业通常会遵循其建议来使用自己的技术。“重新讨论这个标准很可能是 NIST 的一个挽回面子的举动,”朱尔斯说。“他们或许可以直接抛弃这个算法,但那样看起来可能比征求公众意见更糟糕。”
多年来,计算机科学家一直怀疑 Dual_EC_DRBG 中存在这样一个后门。荷兰埃因霍温理工大学的安全研究人员在 2006 年 5 月指出,该算法不安全,并且对其发起攻击非常容易,只需“一台普通的个人电脑”即可。第二年,两位微软工程师将 Dual_EC_DRBG 标记为可能包含后门(pdf),尽管他们没有指责 NIST 和美国国家安全局故意将其插入那里。
NIST 否认了这些指控,在其网站上指出,该机构“依法”需要与美国国家安全局协商,并声明“NIST 不会故意削弱密码学标准。”*
然而,这似乎正是发生的事情。斯诺登提供的文件显示,该情报机构在编写 NIST 现在警告不要使用的标准方面发挥了关键作用,《纽约时报》报道称。NIST 于 2006 年发布了该密码学标准,国际标准化组织 (ISO) 后来为 163 个成员国采用了该标准。
尽管 Dual_EC_DRBG 存在已知缺陷,但包括微软、思科、赛门铁克和 RSA 在内的知名科技公司在其产品的密码学库中包含了该算法,主要是因为他们需要它才有资格获得政府合同,密码学家布鲁斯·施奈尔说。是否启用该算法由购买这些产品的私营公司决定,根据 RSA 的朱尔斯说,在 Dual_EC_DRBG 的情况下,他们不太可能这样做。
斯诺登的最新披露可能会让 NIST 和美国国家安全局有些难堪,但这并不会损害密码学作为一种安全措施的整体信誉,数据、计算机和网络安全系统设计公司密码学研究的创始人、总裁兼首席科学家保罗·科赫 (Paul Kocher) 说。试图使用后门作为击败密码学手段的努力表明,该基本技术仍然非常强大。“这里真的没有任何东西会影响密码学的基础数学,”他补充说。
有缺陷的软件和有缺陷的操作系统仍然对数据安全和互联网隐私构成更大的威胁。真正的问题是政府的信誉。“从政治角度来看,这种事情非常重要,”科赫说。“你期望政府会以纯粹的意图制定安全标准。当这条线被跨越时,即使它不是在一个广泛使用的程序中,那显然也令人不安。”
*编者注(2013 年 9 月 18 日):此句话在发布后进行了编辑。原文指出,NIST 最初只是否认其故意削弱了密码学标准。NIST 向《大众科学》表示,它坚持其不会故意削弱它的声明。