斯诺登后遗症:加密技术何去何从?(一)
作者:星期一, 三月 31, 20140

lock

NSA爆出监控丑闻后,全球政府和企业对加密技术的关注热情空前高涨。麻省理工科技评论的一篇文章更是将2014年称为“加密年”。谷歌、微软、Facebook等互联网企业纷纷通过强制使用加密协议,扩大加密应用范围等方式来挽救被斯诺登毁掉的用户信心,但这样做真的有效吗?

近日IDG Connect走访了多位安全技术专家,包括学院派教授和企业CEO,讨论加密技术的过去和未来,以及在后斯诺登时代面临的种种技术和社会难题。以下是安全牛对采访的摘译和评述,内容主要分为两大部分,分别讨论影响密码学发展的“两只手”——学院和政府,以下为第一部分:

自从斯坦福大学教授Diffie和Hellman1976年发布里程碑式的论文“密码学的新方向”以来,我们今天使用的加密技术基本上没有经历过什么重大改变。全球科技顾问Adrian Culley认为:“改变的只是加密的强度和普及性,例如在线购物,以及免费加密系统的出现,例如TrueCrypt允许那些不是密码专家的人也能加密他们的数据。”

前海军情报官员,布拉德福特大学网络安全研究中心教授Simon Shepherd认为,加密行业主要有“两只手”在操控,”一方面是受美国的NSA和英国的CESG(CGHQ的分支)控制的政府势力,另一方面是学院派。”

事实上从1974年IBM与NSA合作开发DES加密算法开始, 学院派与政府之间的分歧就开始显现。在1975年DES还未成为正式标准时,Hellman就曾给美国国家标准局写信指出:“目前提交的的这个数据加密标准,也许能防范商业攻击,但是在情报部门的攻击下极度脆弱。”

学院的影响力

“加密技术的演进通常都在学院中进行,并通过出版物免费与公众分享。而这些研究成果被快速转化为加密软件,并发布到互联网上。如今有大量超级棒的加密软件都是免费的,如果使用正确,几乎没有政府能够破解。”Shepherd说道。

学院派的影响还不仅仅停留在技术源头的层面,例如在斯诺登曝光NSA全球监控项目并引发互联网有史以来最大的安全信任危机时,今年1月份美国麻省理工学院、耶鲁大学、卡内基梅隆大学、斯坦福大学等五十多家知名大学的密码学教授曾联名写公开信给美国政府,呼吁停止破坏安全标准、植入后门以及窃听商业数据中心。

虽然学院引导着密码学的发展,但并不能决定最终的互联网安全,相比秘钥长度和算法,其实施更加重要。例如缺乏经验的加密技术人员很容易在代码层面部署加密时出错(编者按:例如苹果iOS和OSX系统的SSL/TLS连接验证安全漏洞的原因仅仅是因为程序员“手滑了”),从而使得加密的安全性大打折扣。加密技术面临的挑战很少是因为算法的一致性出了问题,而是在加密技术实施和系统应用时出现了问题,例如秘钥管理、纯文本的处理方式以及很多常见的计算机安全问题等。

加密的进化

Cigital的首席顾问Paco Hope认为,加密行业正在发生巨变。“我们在加密设计时越来越多地提到摩尔定律,使得,加密机制的灵活性正显得越来越重要,例如能够更换算法,或者在不改变基本设计的情况下改变加密方法。PBKDF2这样的算法甚至明确表明可以根据破解者的计算机性能的提升而“调高功率”。

斯诺登事件后,很多大企业都纷纷提升了安全防护标准,例如谷歌、雅虎和微软在服务种都开始启用默认加密(谷歌最近强制Gmail用户使用HTTPS安全连接)。但遗憾的是,强制使用HTTPS的做法只能防范一些零散黑客,却根本无法抵御有组织的黑客组织甚至国家级的黑客部队。

在接下来的第二部分,我们将讨论NSA等政府情报部门对商业加密技术的影响(待续)


相关文章

写一条评论

 

 

0条评论