后门之王:谈一谈加密算法中的数学后门
作者: 日期:2018年01月05日 阅:26,511

政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。

在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。

上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。

演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。

两位法国密码学家解释道:“在不知道我们后门的情况下,BEA-1成功通过了所有统计检验和密码分析,NIST和NSA都正式考虑进行加密验证了。尤其是,BEA-1算法(80位块大小,120位密钥,11轮加密)本就是为抵御线性和差分密码分析而设计的。我们的算法在2017年2月公开,没人证明该后门可被轻易检测到,也没人展示过其利用方法。”

他们是如何做到的

黑帽大会的演讲中,菲利奥尔和般涅尔公开了该有意设置的后门,演示了如何利用该后门以区区600KB数据(300KB明文+300KB密文),在10秒钟内恢复出120位的密钥。这就是个概念验证,还有更复杂的后门可以被构造出来。

往算法中插入后门,和检测并证明后门的存在之间,在数学上是非常不对称的。也就是说,我们必须创建某种概念上的单向函数。

菲利奥尔研究加密算法数学后门多年,今年早些时候还发表了一篇关于块加密算法潜在问题的论文。

为什么即便在研究领域,数学也不流行

研究数学后门非常困难,吸引不了需要在时髦话题上频繁发表论文的研究人员。此类研究基本上也就是在情报机构(GCHQ、NSA等)的研发实验室做做,而且更多是后门的设计而非检测。

斯诺登爆料NSA花1000万美元,让 RSA Security 在其加密工具集中,默认使用脆弱的双椭圆曲线随机数生成算法(Dual_EC_DRBG)。这就展现出数学后门,或者设计后门,不只存在于理论上,而是很现实的东西。并且,Dual_EC_DRBG不是个案。

数学后门的例子有很多,但只有少数几个为人所知。

我确信所有出口版加密系统都会以某种方式嵌入后门,这直接违反了《瓦森纳协定》。Crypto AG(瑞士通信及信息安全公司)出口的加密机中含有NSA的后门就是个绝佳案例。其他不那么出名的例子还有一些。

有多少数学后门存在?

我们很难确知实现后门和数学后门的普遍程度和重要性。证明后门的存在是个很困难的数学问题。但分析国际规则就能很清楚地看出,至少出口的加密设备/技术中是有后门的。更令人担忧的是,大众监视的环境下,国内使用的加密技术中会不会也有后门?

那么,同行审查能不能免除数学后门呢?

菲利奥尔表示,这恐怕需要改革:

能够证明安全的“防御”远比能够证明不安全的“攻击”要难实现得多。最大的问题在于,学术上对安全证明困难度的忽视,造成我们都把“没有证据证明不安全”,直接当成了“安全的证据”。

攻击者不会把自己能做的所有事都公布出来,尤其是在情报机构势力庞大的密码学方面。于是,专家和学术研究界只能参考已知的攻击案例。想象一下NSA这种40年来随时有300名最聪明的数学家为其服务的机构能产出什么?那就是整套数学知识全集啊!

菲利奥尔还认为,作为行业标准被广泛审查过的AES算法,也未必安全,虽然他并没有证据证明该算法不安全。

即便我不能证明AES有漏洞,但也没人能证明这算法里就没有漏洞。老实说,美国会提供一个够安全的军用级加密算法而不施以任何形式的控制?反正我是不信的。

AES竞赛本就是由NIST组织的,还有NSA的技术支持(这都是众所周知的了)。在恐怖主义威胁甚嚣尘上的时代,美国才不会蠢到不去筹备作为常规武器“对策”的东西呢。像美国、英国、德国、法国等有点儿体面的国家,都不会在有高安全需求的事务上使用外国算法。他们强制使用国产产品和标准——从算法到其实现。

加密算法的选择、分析和标准化方式都需要改革。这得是个主要由开放密码社区驱动的,完全开放的过程。

相关阅读

人工神经网络也有后门!

前方高能:加密通信可埋下无法检测的后门

你以为只有WannaCry滥用了NSA漏洞?早有隐秘后门走在前面

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章