外行對加密後門的解釋
在媒體上,我有時會讀到加密算法中的“後門”。我想了解這樣的後門實際上是由什麼組成的。是嗎:
a) 數學公式中的一個隱藏弱點可能導致安全性在合理的時間內被蠻力破壞,而不是宇宙的預期壽命?
或 b) 一個簡單的漏洞,使知情人可以在沒有任何暴力攻擊的情況下提取資訊;這是一種“直接進入”的方式!
我不知道是否有可能在不涉及復雜數學的情況下回答這個問題,但我希望答案可以盡可能通俗易懂。創建這樣的後門將涉及使其幾乎不可能被發現的挑戰。此外,如果被發現,其創建者可以否認惡意意圖並說這只是一個誠實的錯誤。關於它如何工作以及在實踐中發揮作用的資訊也會很有趣!
後門加密算法中有兩個有些正交的概念:
- 後門可以是顯式的或隱式的。顯式後門是每個人都知道它存在的後門。隱式後門力求不被算法所有者檢測到。當然,當存在顯式後門時,人們傾向於完全避免使用該算法,因此顯式後門可能希望僅在存在強制實施者使用後門系統的法律框架的情況下才能工作。
一個顯式後門的例子是Clipper 晶片(最終被放棄)。後門實際上並不在算法中,更多的是在將算法組裝成協議,從技術上講,它是一種自動密鑰託管方法。對於隱式後門,可以將Dual EC DRBG作為一個著名的例子:它只有在沒有人意識到它被後門的情況下才起作用。 2. 後門的安全性可能是可量化的,也可能不是。在 Dual EC DRBG 的情況下,該機制使用了成熟的數學路徑:NSA 知道利用後門需要了解基於離散對數(在橢圓曲線上)的內部密鑰。
不可量化的安全性是指當您嘗試推送例如自願存在缺陷的算法或您知道未發布的密碼分析方法的算法時發生的情況。對於間諜機構來說,這是一個非常危險的遊戲,因為您無法真正知道第三方是否能找到漏洞。從長遠來看,這種後門往往會適得其反。
有趣的是,美國國家安全域傾向於不使用不可量化的後門。一個很好的例子是DES。在設計它時,美國國家安全域認為它可以解決前期的 2 56窮舉搜尋,並且沒有其他人(尤其是蘇聯人)擁有這方面的技術和預算。NSA 還知道一種新的密碼分析方法(差分密碼分析)。所以當NSA介入DES的設計時,它堅持將密鑰從64位縮短到56位(這是增加了一個可量化的後門,而且是相當明顯的,所以準顯式的),並且還要加強針對差分密碼分析的設計。這是一個很好的例子,說明 NSA 如何有意識地避免使用不可量化的後門。間諜機構除了不能進行間諜活動外,最害怕的只有一件事:其他競爭間諜機構也可能進行間諜活動。
因此,一個真正好的後門是使用數學來提供可量化的安全性以防止未經授權使用後門。如果不明確後門,就很難獲得可量化的安全性。該領域的“同類最佳”是 Dual EC DRBG,甚至在斯諾登業務之前,密碼學家就已經發現它很奇怪,並強烈懷疑是犯規(參見 2007 年的分析,比斯諾登早 6 年)。
您對加密後門的兩種表述都是有效的。然而,一種更有效且更難檢測的方法在於對用於生成私鑰和公鑰的隨機生成器進行偏置(已知範例)。這個想法是,如果您可以預測隨機生成器的輸出,那麼您可以輕鬆地生成相同的私鑰/公鑰,然後像您是合法所有者一樣解密任何消息。
使用這種方法隱藏後門可能更容易(!!採取這種假設時要格外小心!!),因為隨機數生成器的分析非常複雜且成本高昂。這裡的密碼學家可能會比我更好地回答這個問題。