在拉斯维加斯的黑帽安全会议上,四位相关专家:阿历克斯·斯坦默斯、汤姆·瑞特、托马斯·普拉赛克和杰维德·塞缪尔,恳请所有与密码学有关的人,从软件开发工作者,到证书管理机构,再到那些购买了SSL安全证书的公司,要他们更换新的算法与协议。专家们唯恐其花费了一天时间,却发现自己的加密结构被变化的数学方法证明毫无用处,极不安全。
我们以前曾经介绍过何为“非对称加密”及其对安全通讯的重要性。“非对称加密”算法有一对密码,这一对密码的其中之一能够解密用另外一个密码加密的数据,但却不能解密用其本身加密的数据。
非对称性加密算法基于一个基本的假说,特定的数学运算是“有难度的”,意即进行这次数学运算所需的时间会使得密码的长度相应地成比例增长(“指数时间”)。这项假设现在还未得到确切证实,没有人能确定它的真实性,其存在的风险是这些问题实际上很“简单”,所谓简单是说,某些算法仅会在特定时间段(指数时间)运行,运行后会使密码长度恒定不变(多项式时间)。
应用最为广泛的非对称性算法(Diffie Hellman, RSA, and DSA)取决于两个问题的复杂性:因数分解与离散对数,数学界现在的状况是还未出现针对这两个问题的任何简便的多项式时间算法,然而经过数十年的稳步发展,过去六个月所做的努力已经就离散对数问题有了一些相应的解决办法.
当前,还没有已知的方法促成这些改变真的会用于攻击密码,但这些改变已经足够使加密专家们神经紧绷了,他们用曾经攻击过SSL密码的BEAST、CRIME、BREACH这三个方法进行了一次攻击模拟,这些攻击方法的理论基础都是几年之前的了,但长期以来专家们都认为这些方法仅是理论上可行,是不可能用于实际攻击的。现在就需要新一批专家有新的看法,努力将其应用到实际攻击中。
如果上述攻击成功,将会使整个软件业措手不及,许多不允许新算法与新协议轻易植入的软件已证实很难改变,甚至根本不可能改变,这意味着让软件变成对BEAST、CRIME、BREACH免疫的加密结构要比想象的困难得多,尽管有新的算法和协议可以避免漏洞遭受攻击,兼容性方面的问题却导致它们不是那么容易实现和运用。
针对SSL的攻击至少范围上相当狭窄,效果上微乎其微,但是针对因数分解与离散对数问题的多项式时间算法可不能步其后尘,其将会易于采用,最大限度的发挥SSL/TLS,SSH,PGP,或其他加密通讯方法的作用。(这两个数学问题,因数分解与离散对数,分别来看的话,有许多相似之处,所以可以用解决因数分解问题的算法解决离散对数问题,反之亦然)。
更糟的是,攻击会使得用值得信任的方法来更新系统成为空想,操作系统如windows,OSX这些依靠数字签名的系统,它们的数学算法也正如上所述,依赖这些算法,操作系统方能保护计算机免受恶意或欺诈性更新的危害,如果算法本身遭到破环,系统就无法确定更新是否可靠。
这场灾难并不是一定会发生,也许有朝一日会有证据证明这两个问题真的很难——这风险已经足够让专家们头疼的了,改变BEAST的难度等等问题明显的证明,如果软件业想在这场加密革命中生存下去,必须从现在起就做出改变,如果单单等着某位天才的数学家来解决这些问题,那时做得再多也于事无补了。
幸运的是,解决这些问题的方法确实存在,现在有一种叫做“椭圆曲线密码”(ECC)的加密算法,ECC与另外的非对称加密算法类似,基于一个证明了其难度的数学问题(此即,椭圆曲线离散对数),ECC有另外的属性证明其数学基础与因数分解问题和常规的离散对数问题完全不同,针对那两个数学问题的突破口实施的攻击对ECC并不奏效。
然而,对ECC的支持仍存在很大问题,这一技术大部分是黑莓的专利技术,并已经开始实行,某些客户端虽已经支持安装启用符合美国政府标准的ECC,但日益凸显的专利问题使一些经销商拒绝支持此项技术。
进一步说,支持使用ECC的协议,像是TLS1.2(最新一代SSL技术)还未广泛应用,证书管理机构对ECC的认证也稍显缓慢。
因此,专家们恳请整个计算机行业做两件事,其一,现在就采用ECC。其二,确保运用加密技术的系统灵活可变,其绝对不能满是对新算法的限制与陈旧的协议,而必须是使算法与协议的更新快而容易,以确保软件系统能够跟上数学研究的步伐,及时采用新的技术。密码危机可能永远不会发生,但我们应做好做准备应对它的到来。
【本文由大轩独家授权中国数字科技馆使用,未经许可请勿转载。商业或非商业使用请联系中国数字科技馆】
京公网安备11010502039775号
