政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。
在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。
上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。
演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。
两位法国密码学家解释道:“在不知道我们后门的情况下,BEA-1成功通过了所有统计检验和密码分析,NIST和NSA都正式考虑进行加密验证了。尤其是,BEA-1算法(80位块大小,120位密钥,11轮加密)本就是为抵御线性和差分密码分析而设计的。我们的算法在2017年2月公开,没人证明该后门可被轻易检测到,也没人展示过其利用方法。”
他们是如何做到的
黑帽大会的演讲中,菲利奥尔和般涅尔公开了该有意设置的后门,演示了如何利用该后门以区区600KB数据(300KB明文+300KB密文),在10秒钟内恢复出120位的密钥。这就是个概念验证,还有更复杂的后门可以被构造出来。
“
往算法中插入后门,和检测并证明后门的存在之间,在数学上是非常不对称的。也就是说,我们必须创建某种概念上的单向函数。
菲利奥尔研究加密算法数学后门多年,今年早些时候还发表了一篇关于块加密算法潜在问题的论文。
为什么即便在研究领域,数学也不流行
研究数学后门非常困难,吸引不了需要在时髦话题上频繁发表论文的研究人员。此类研究基本上也就是在情报机构(GCHQ、NSA等)的研发实验室做做,而且更多是后门的设计而非检测。
斯诺登爆料NSA花1000万美元,让 RSA Security 在其加密工具集中,默认使用脆弱的双椭圆曲线随机数生成算法(Dual_EC_DRBG)。这就展现出数学后门,或者设计后门,不只存在于理论上,而是很现实的东西。并且,Dual_EC_DRBG不是个案。
数学后门的例子有很多,但只有少数几个为人所知。
“
我确信所有出口版加密系统都会以某种方式嵌入后门,这直接违反了《瓦森纳协定》。Crypto AG(瑞士通信及信息安全公司)出口的加密机中含有NSA的后门就是个绝佳案例。其他不那么出名的例子还有一些。
有多少数学后门存在?
我们很难确知实现后门和数学后门的普遍程度和重要性。证明后门的存在是个很困难的数学问题。但分析国际规则就能很清楚地看出,至少出口的加密设备/技术中是有后门的。更令人担忧的是,大众监视的环境下,国内使用的加密技术中会不会也有后门?
那么,同行审查能不能免除数学后门呢?
菲利奥尔表示,这恐怕需要改革:
“
能够证明安全的“防御”远比能够证明不安全的“攻击”要难实现得多。最大的问题在于,学术上对安全证明困难度的忽视,造成我们都把“没有证据证明不安全”,直接当成了“安全的证据”。
攻击者不会把自己能做的所有事都公布出来,尤其是在情报机构势力庞大的密码学方面。于是,专家和学术研究界只能参考已知的攻击案例。想象一下NSA这种40年来随时有300名最聪明的数学家为其服务的机构能产出什么?那就是整套数学知识全集啊!
菲利奥尔还认为,作为行业标准被广泛审查过的AES算法,也未必安全,虽然他并没有证据证明该算法不安全。
“
即便我不能证明AES有漏洞,但也没人能证明这算法里就没有漏洞。老实说,美国会提供一个够安全的军用级加密算法而不施以任何形式的控制?反正我是不信的。
AES竞赛本就是由NIST组织的,还有NSA的技术支持(这都是众所周知的了)。在恐怖主义威胁甚嚣尘上的时代,美国才不会蠢到不去筹备作为常规武器“对策”的东西呢。像美国、英国、德国、法国等有点儿体面的国家,都不会在有高安全需求的事务上使用外国算法。他们强制使用国产产品和标准——从算法到其实现。
加密算法的选择、分析和标准化方式都需要改革。这得是个主要由开放密码社区驱动的,完全开放的过程。
政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。
在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。
上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。
演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。
两位法国密码学家解释道:“在不知道我们后门的情况下,BEA-1成功通过了所有统计检验和密码分析,NIST和NSA都正式考虑进行加密验证了。尤其是,BEA-1算法(80位块大小,120位密钥,11轮加密)本就是为抵御线性和差分密码分析而设计的。我们的算法在2017年2月公开,没人证明该后门可被轻易检测到,也没人展示过其利用方法。”
他们是如何做到的
黑帽大会的演讲中,菲利奥尔和般涅尔公开了该有意设置的后门,演示了如何利用该后门以区区600KB数据(300KB明文+300KB密文),在10秒钟内恢复出120位的密钥。这就是个概念验证,还有更复杂的后门可以被构造出来。
“
往算法中插入后门,和检测并证明后门的存在之间,在数学上是非常不对称的。也就是说,我们必须创建某种概念上的单向函数。
菲利奥尔研究加密算法数学后门多年,今年早些时候还发表了一篇关于块加密算法潜在问题的论文。
为什么即便在研究领域,数学也不流行
研究数学后门非常困难,吸引不了需要在时髦话题上频繁发表论文的研究人员。此类研究基本上也就是在情报机构(GCHQ、NSA等)的研发实验室做做,而且更多是后门的设计而非检测。
斯诺登爆料NSA花1000万美元,让 RSA Security 在其加密工具集中,默认使用脆弱的双椭圆曲线随机数生成算法(Dual_EC_DRBG)。这就展现出数学后门,或者设计后门,不只存在于理论上,而是很现实的东西。并且,Dual_EC_DRBG不是个案。
数学后门的例子有很多,但只有少数几个为人所知。
“
我确信所有出口版加密系统都会以某种方式嵌入后门,这直接违反了《瓦森纳协定》。Crypto AG(瑞士通信及信息安全公司)出口的加密机中含有NSA的后门就是个绝佳案例。其他不那么出名的例子还有一些。
有多少数学后门存在?
我们很难确知实现后门和数学后门的普遍程度和重要性。证明后门的存在是个很困难的数学问题。但分析国际规则就能很清楚地看出,至少出口的加密设备/技术中是有后门的。更令人担忧的是,大众监视的环境下,国内使用的加密技术中会不会也有后门?
那么,同行审查能不能免除数学后门呢?
菲利奥尔表示,这恐怕需要改革:
“
能够证明安全的“防御”远比能够证明不安全的“攻击”要难实现得多。最大的问题在于,学术上对安全证明困难度的忽视,造成我们都把“没有证据证明不安全”,直接当成了“安全的证据”。
攻击者不会把自己能做的所有事都公布出来,尤其是在情报机构势力庞大的密码学方面。于是,专家和学术研究界只能参考已知的攻击案例。想象一下NSA这种40年来随时有300名最聪明的数学家为其服务的机构能产出什么?那就是整套数学知识全集啊!
菲利奥尔还认为,作为行业标准被广泛审查过的AES算法,也未必安全,虽然他并没有证据证明该算法不安全。
“
即便我不能证明AES有漏洞,但也没人能证明这算法里就没有漏洞。老实说,美国会提供一个够安全的军用级加密算法而不施以任何形式的控制?反正我是不信的。
AES竞赛本就是由NIST组织的,还有NSA的技术支持(这都是众所周知的了)。在恐怖主义威胁甚嚣尘上的时代,美国才不会蠢到不去筹备作为常规武器“对策”的东西呢。像美国、英国、德国、法国等有点儿体面的国家,都不会在有高安全需求的事务上使用外国算法。他们强制使用国产产品和标准——从算法到其实现。
加密算法的选择、分析和标准化方式都需要改革。这得是个主要由开放密码社区驱动的,完全开放的过程。
http://mp.weixin.qq.com/s/7r-CBA6VLvSrlayMEVqYzA
政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。
在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。
上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。
演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。
两位法国密码学家解释道:“在不知道我们后门的情况下,BEA-1成功通过了所有统计检验和密码分析,NIST和NSA都正式考虑进行加密验证了。尤其是,BEA-1算法(80位块大小,120位密钥,11轮加密)本就是为抵御线性和差分密码分析而设计的。我们的算法在2017年2月公开,没人证明该后门可被轻易检测到,也没人展示过其利用方法。”
他们是如何做到的
黑帽大会的演讲中,菲利奥尔和般涅尔公开了该有意设置的后门,演示了如何利用该后门以区区600KB数据(300KB明文+300KB密文),在10秒钟内恢复出120位的密钥。这就是个概念验证,还有更复杂的后门可以被构造出来。
“
往算法中插入后门,和检测并证明后门的存在之间,在数学上是非常不对称的。也就是说,我们必须创建某种概念上的单向函数。
菲利奥尔研究加密算法数学后门多年,今年早些时候还发表了一篇关于块加密算法潜在问题的论文。
为什么即便在研究领域,数学也不流行
研究数学后门非常困难,吸引不了需要在时髦话题上频繁发表论文的研究人员。此类研究基本上也就是在情报机构(GCHQ、NSA等)的研发实验室做做,而且更多是后门的设计而非检测。
斯诺登爆料NSA花1000万美元,让 RSA Security 在其加密工具集中,默认使用脆弱的双椭圆曲线随机数生成算法(Dual_EC_DRBG)。这就展现出数学后门,或者设计后门,不只存在于理论上,而是很现实的东西。并且,Dual_EC_DRBG不是个案。
数学后门的例子有很多,但只有少数几个为人所知。
“
我确信所有出口版加密系统都会以某种方式嵌入后门,这直接违反了《瓦森纳协定》。Crypto AG(瑞士通信及信息安全公司)出口的加密机中含有NSA的后门就是个绝佳案例。其他不那么出名的例子还有一些。
有多少数学后门存在?
我们很难确知实现后门和数学后门的普遍程度和重要性。证明后门的存在是个很困难的数学问题。但分析国际规则就能很清楚地看出,至少出口的加密设备/技术中是有后门的。更令人担忧的是,大众监视的环境下,国内使用的加密技术中会不会也有后门?
那么,同行审查能不能免除数学后门呢?
菲利奥尔表示,这恐怕需要改革:
“
能够证明安全的“防御”远比能够证明不安全的“攻击”要难实现得多。最大的问题在于,学术上对安全证明困难度的忽视,造成我们都把“没有证据证明不安全”,直接当成了“安全的证据”。
攻击者不会把自己能做的所有事都公布出来,尤其是在情报机构势力庞大的密码学方面。于是,专家和学术研究界只能参考已知的攻击案例。想象一下NSA这种40年来随时有300名最聪明的数学家为其服务的机构能产出什么?那就是整套数学知识全集啊!
菲利奥尔还认为,作为行业标准被广泛审查过的AES算法,也未必安全,虽然他并没有证据证明该算法不安全。
“
即便我不能证明AES有漏洞,但也没人能证明这算法里就没有漏洞。老实说,美国会提供一个够安全的军用级加密算法而不施以任何形式的控制?反正我是不信的。
AES竞赛本就是由NIST组织的,还有NSA的技术支持(这都是众所周知的了)。在恐怖主义威胁甚嚣尘上的时代,美国才不会蠢到不去筹备作为常规武器“对策”的东西呢。像美国、英国、德国、法国等有点儿体面的国家,都不会在有高安全需求的事务上使用外国算法。他们强制使用国产产品和标准——从算法到其实现。
加密算法的选择、分析和标准化方式都需要改革。这得是个主要由开放密码社区驱动的,完全开放的过程。
2027
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
