爱德华·斯诺登（Edward Snowden）2013年泄密称，美国国家安全局（NSA）能够破解互联网上使用的一些强加密算法，拦截基于VPN、SSH和HTTPS的数万亿通信连接，阅读数全球数百万计的私人电子邮件。但这已经不是什么新鲜消息了，如今人们更加关注NSA是通过何种方法获得破解能力的。经过来自多个知名机构的14位密码学专家协同研究，这个问题如今可能有了答案。

亚历克斯·哈德曼（Alex Halderman）和纳蒂亚·赫宁格（Nadia Heninger）领导的研究小组在本周三举行的ACM计算机和通信安全学术会议上发表了名为《不完美的前向安全：迪菲-赫尔曼算法的失败》的论文。文中称，NSA已经破解了迪菲-赫尔曼密钥交换（DH）算法的通用实现，并得以窃听大量的HTTPS、SSH、VPN连接。

DH算法通常用于在非可信通道中交换秘钥，由于完全破解该算法所需要的时间可能长达数百甚至上千年，它被公众认为是防止NSA和其它国家机构进行窃听的一种技术手段。举例而言，破解1024位DH算法中使用的秘钥大概需要一年时间和数亿美金的花费。

然而，研究者们在论文中称，DH算法中常用的素数只有少数几个。考虑到NSA高达110亿美金的年度预算，这可能会让NSA能够承受破解的成本，实现所谓“突破性的分析能力”。

亚历克斯·哈德曼是密歇根大学的计算机科学与工程方向副教授，他说：“这篇论文没有讨论秘钥本身，而是讨论了DH算法选择特定素数的数学结构。这种逻辑类似于先破解素数，再破解使用此素数的DH链接。”他进一步解释称，素数应当是主流的攻击目标，因为DH算法所使用的素数通常是从标准素数列表中选出来的，而不是从无到有生成出来。

研究人员在本周三发布的一篇博文中表示：“由于只有几个广泛使用的素数，解密它们得到的收益将非常巨大。只破解一个1024位素数就可以让NSA方便地访问全球三分之二的VPN和四分之一的SSH服务器。若破解第二个1024位素数，NSA的窃听范围就可以覆盖Alexa HTTPS网站排名前一百万的20%。换句话说，NSA只要对大规模计算项目投资一次，就可以窃听到数以万亿计的加密连接。”

Alexa排名前100万的HTTPS域名中大约有92%一致使用了DH算法中的两个素数，这可能会促使NSA预先破解这两个大素数，并通过这些服务器窃听全球几乎所有的互联网流量。

两位研究者表示，NSA的这种秘钥破解项目的规模“自二战时破解英格码机以来还未出现过”。