破解加密系统 如何人不知鬼不觉地设置后门
作者: 日期:2015年03月04日 阅:3,293

16-How to Sabotage Encryption Software (And Not Get Caught)

在密码学领域,秘密植入可窃听通信数据的“后门”是长期以来困扰众学者的噩梦,但这并不意味着密码学家们就不能欣赏破密者的解密艺术。时至今日,一组密码专家们就发表了一份针对多种弱化加密系统的方法的评估报告,报告显示:某些后门明显比其他更优良——在隐匿性、抵赖性,甚至保护受害者隐私不被其他后门植入者知晓的排他性方面。

在这份名为《偷偷弱化加密系统》(Surreptitiously Weakening Cryptographic Systems)的报告中,著名密码学家兼作家 布鲁斯·施奈尔和来自威斯康星大学及华盛顿大学的研究员们从间谍的视角探讨加密艺术问题:哪种类型的内置后门监控是最好的?

他们分析了近20年来加密系统中存在过的刻意或看起来非刻意的漏洞,并排了个序。结果显示(尽管很不乐意承认),美国国家安全局(NSA)最近的一种破密方法是最佳选择,不管是在有效性、隐匿监视性,还是在避免对互联网安全的连带伤害上。

“这是一份创建更好后门的指南。但你看它的目的是为了可以做出更好的后门防护。”施奈尔说。这位安全专家最近出了本书《数据与巨人》(Data and Goliath),关注企业和政府监视问题。“这些内容NSA早在20年前就知道了,中国人和俄罗斯人也了然于心。我们只是努力赶上他们,了解这些重要的东西。”

研究人员们探讨了多种加密系统的设计和实现方法以使它们可以为窃听者所利用。这些方法从缺陷随机数生成到密钥泄露到密码破译技巧,各种各样。然后,研究人员按一定的指标给它们排序,比如:不可检测性、公开性(后门植入需要多少背后交易)、抵赖性、易用性、范围、准确性和可控性。

下面就是弱点排序表和它们对间谍的潜在好处。(L——低,M——中等,H——高)

16-How to Sabotage Encryption Software (And Not Get Caught)-2

举个例子,坏随机数字生成器。它能被很容易地植入到软件中,无须经过太多人的手,且一旦被发现,还能推脱成原生的编码错误而非蓄意后门。说到这个例子,研究人员指的是Debian SSL在2006年的一个实现,那里面有两行代码被注释掉了,直接移除了为系统加密产生足够随机数所需的“信息熵”来源。研究人员们承认,加密机制被破坏不是蓄意的,只是一个程序员试图避免被安全工具检出警告消息的结果。但这一漏洞仍然仅需一名码农就能造成,两年中都没被发现,并且发现这一漏洞的任何人都能导致Debian SSL加密系统的全面崩溃。

另一种类型,更加微妙的破坏加密系统的方法,研究人员称其为“实现脆弱性”,通常出现在复杂难懂的系统设计上,程序员们会在使用它们的软件中不可避免地留下可供利用的漏洞。“很多重要的标准,如互联网安全性协议(IPsec)、安全传输层协议(TLS)等,都令人遗憾地臃肿不堪、太过复杂、设计蹩脚……常常倚赖面向公共委员会的设计方法。复杂性也许是委员会设计模式的基本产物,但图谋不轨者也可以将公共开发进程导向脆弱的设计。”这种形式的破坏,一旦被发现,可以很容易地伪装成繁琐过程中的一个小失误。

不过,话题转向“可控性”——谁能利用你埋下的安全隐患——这个问题的时候,研究人员们果断将实现脆弱性和坏数字生成标成了“低”。使用坏随机数字生成器或者利用脆弱的加密实现机制的话,随便哪个有足够能力的密码专家发现了那个漏洞都可以利用它在你的目标上进进出出。“很明显,这类东西有些在连带伤害方面是灾难性的。”报告的共同作者,威斯康星大学计算机科学家托马斯·里斯滕帕特说。“如果你让一个破坏者在关键系统里留下了能被其他人利用的漏洞,那对客户的安全性而言就是灾难性的。”

事实上,在“可控性”一项上被贴上“低”标签的几乎包括了其他所有方法,只除了一个:被研究人员称为“后门常量”的。这种方法的可控性被他们标为了“高”。后门常量就是只有确切知道某一特定的不可猜值的人才能利用的后门。这种后门的主要例子存在于随机数字生成器的标准——双椭圆曲线确定性随机比特生成器(Dual_EC_DRBG)。这一生成器是加密企业RSA使用的,但在2013年爱德华·斯诺登泄密事件中被踢爆早已为NSA所控。

想要利用双椭圆曲线的后门必须知道非常具体的一段信息:标准中椭圆曲线两个位置间的数学关系。知道这段信息的人就可以构造出随机数生成器所需的种子值,也就可以获得用以解密信息的随机值。而不知道这段信息的话,后门也就毫无用处,即使你清楚有这么个后门的存在。

这种“后门常量”花招很难被发现,报告中给它在不可检测性上评分为“高”也是基于此。尽管密码学家们,包括施奈尔自己在内,早在2007年就怀疑Dual_EC有后门了,却没人能证明后门真的存在,Dual_EC也就一直在用着——直到斯诺登踢爆真相。但另一方面讲,一旦被曝光,这种类型的后门几乎无法搪塞,因此在可抵赖性上评分为“低”。不过,考虑到像Dual_EC这样的后门是报告中提到的所有后门里连带伤害可能性最低的,施奈尔认为这种技术还是“最接近理想的”。

6_副本双椭圆曲线加密

这并不是说密码学家们喜欢这种技术。毕竟,加密是用于在双方间建立私密性的,而不是在双方间还要插足一个完美后门的创建者。“对可能成为NSA受害者的人而言,这种后门依然是个问题。”报告共同作者,威斯康星大学研究员马修·德里克森 言道。

实际上,施奈尔将Dual_EC后门的谨慎归结于它对隐匿性的重视而不是NSA对互联网用户安全的维护上。“连带伤害很烦人,会让你更容易被发现。这就是个自私自利的准则,才不是什么‘人性良善的一面’”。

施奈尔说研究人员发布这份报告的目的,不是为了促进加密系统中的后门,而是为了更好地弄清楚它们以便可以连根拔除之。“自然,无论或好或坏,总有些办法可以留下后门。最安全的办法就是根本别碰它。”

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章