政府和情報(bào)機(jī)構(gòu)力圖控制或繞過(guò)對(duì)數(shù)據(jù)及通信的加密防護(hù)，而給加密算法開(kāi)個(gè)后門，被認(rèn)為是實(shí)現(xiàn)加密控制的最佳辦法。安全研究人員常會(huì)找尋加密算法實(shí)現(xiàn)中的漏洞，但卻不會(huì)投入太多精力在查找數(shù)學(xué)后門上。

在加密防護(hù)上，研究人員開(kāi)始驗(yàn)證信息安全交換和電子商務(wù)的支撐技術(shù)。埃里克·菲利奧爾，法國(guó)高等計(jì)算機(jī)、電子及自動(dòng)化學(xué)院(ESIEA)操作密碼學(xué)及病毒學(xué)實(shí)驗(yàn)室研究主管。他認(rèn)為，只有在協(xié)議/實(shí)現(xiàn)/管理層面的后門實(shí)現(xiàn)被普遍考慮到了，而在查找數(shù)學(xué)后門或設(shè)計(jì)后門上投入的努力，還遠(yuǎn)遠(yuǎn)不夠。

[[216695]]

近日舉行的歐洲黑帽大會(huì)上，菲利奧爾和他的同事阿諾德·般涅爾做了演講，題為“加密系統(tǒng)設(shè)計(jì)后門——我們能信任外國(guó)加密算法嗎？”，闡述了設(shè)計(jì)數(shù)學(xué)后門的可能性。

演講中，兩位研究人員提出了BEA-1塊加密算法。該算法類似AES，但含有一個(gè)可供進(jìn)行有效密碼分析的數(shù)學(xué)后門。

兩位法國(guó)密碼學(xué)家解釋道：“在不知道我們后門的情況下，BEA-1成功通過(guò)了所有統(tǒng)計(jì)檢驗(yàn)和密碼分析，NIST和NSA都正式考慮進(jìn)行加密驗(yàn)證了。尤其是，BEA-1算法（80位塊大小，120位密鑰，11輪加密）本就是為抵御線性和差分密碼分析而設(shè)計(jì)的。我們的算法在2017年2月公開(kāi)，沒(méi)人證明該后門可被輕易檢測(cè)到，也沒(méi)人展示過(guò)其利用方法。”

他們是如何做到的

黑帽大會(huì)的演講中，菲利奧爾和般涅爾公開(kāi)了該有意設(shè)置的后門，演示了如何利用該后門以區(qū)區(qū)600KB數(shù)據(jù)(300KB明文+300KB密文)，在10秒鐘內(nèi)恢復(fù)出120位的密鑰。這就是個(gè)概念驗(yàn)證，還有更復(fù)雜的后門可以被構(gòu)造出來(lái)。

往算法中插入后門，和檢測(cè)并證明后門的存在之間，在數(shù)學(xué)上是非常不對(duì)稱的。也就是說(shuō)，我們必須創(chuàng)建某種概念上的單向函數(shù)。

菲利奧爾研究加密算法數(shù)學(xué)后門多年，今年早些時(shí)候還發(fā)表了一篇關(guān)于塊加密算法潛在問(wèn)題的論文。

為什么即便在研究領(lǐng)域，數(shù)學(xué)也不流行

研究數(shù)學(xué)后門非常困難，吸引不了需要在時(shí)髦話題上頻繁發(fā)表論文的研究人員。此類研究基本上也就是在情報(bào)機(jī)構(gòu)（GCHQ、NSA等）的研發(fā)實(shí)驗(yàn)室做做，而且更多是后門的設(shè)計(jì)而非檢測(cè)。

斯諾登爆料NSA花1000萬(wàn)美元，讓 RSA Security 在其加密工具集中，默認(rèn)使用脆弱的雙橢圓曲線隨機(jī)數(shù)生成算法(Dual_EC_DRBG)。這就展現(xiàn)出數(shù)學(xué)后門，或者設(shè)計(jì)后門，不只存在于理論上，而是很現(xiàn)實(shí)的東西。并且，Dual_EC_DRBG不是個(gè)案。

數(shù)學(xué)后門的例子有很多，但只有少數(shù)幾個(gè)為人所知。

我確信所有出口版加密系統(tǒng)都會(huì)以某種方式嵌入后門，這直接違反了《瓦森納協(xié)定》。Crypto AG（瑞士通信及信息安全公司）出口的加密機(jī)中含有NSA的后門就是個(gè)絕佳案例。其他不那么出名的例子還有一些。

有多少數(shù)學(xué)后門存在？

我們很難確知實(shí)現(xiàn)后門和數(shù)學(xué)后門的普遍程度和重要性。證明后門的存在是個(gè)很困難的數(shù)學(xué)問(wèn)題。但分析國(guó)際規(guī)則就能很清楚地看出，至少出口的加密設(shè)備/技術(shù)中是有后門的。更令人擔(dān)憂的是，大眾監(jiān)視的環(huán)境下，國(guó)內(nèi)使用的加密技術(shù)中會(huì)不會(huì)也有后門？

那么，同行審查能不能免除數(shù)學(xué)后門呢？

菲利奧爾表示，這恐怕需要改革：

能夠證明安全的“防御”遠(yuǎn)比能夠證明不安全的“攻擊”要難實(shí)現(xiàn)得多。最大的問(wèn)題在于，學(xué)術(shù)上對(duì)安全證明困難度的忽視，造成我們都把“沒(méi)有證據(jù)證明不安全”，直接當(dāng)成了“安全的證據(jù)”。

攻擊者不會(huì)把自己能做的所有事都公布出來(lái)，尤其是在情報(bào)機(jī)構(gòu)勢(shì)力龐大的密碼學(xué)方面。于是，專家和學(xué)術(shù)研究界只能參考已知的攻擊案例。想象一下NSA這種40年來(lái)隨時(shí)有300名最聰明的數(shù)學(xué)家為其服務(wù)的機(jī)構(gòu)能產(chǎn)出什么？那就是整套數(shù)學(xué)知識(shí)全集啊！

菲利奧爾還認(rèn)為，作為行業(yè)標(biāo)準(zhǔn)被廣泛審查過(guò)的AES算法，也未必安全，雖然他并沒(méi)有證據(jù)證明該算法不安全。

即便我不能證明AES有漏洞，但也沒(méi)人能證明這算法里就沒(méi)有漏洞。老實(shí)說(shuō)，美國(guó)會(huì)提供一個(gè)夠安全的軍用級(jí)加密算法而不施以任何形式的控制？反正我是不信的。

AES競(jìng)賽本就是由NIST組織的，還有NSA的技術(shù)支持（這都是眾所周知的了）。在恐怖主義威脅甚囂塵上的時(shí)代，美國(guó)才不會(huì)蠢到不去籌備作為常規(guī)武器“對(duì)策”的東西呢。像美國(guó)、英國(guó)、德國(guó)、法國(guó)等有點(diǎn)兒體面的國(guó)家，都不會(huì)在有高安全需求的事務(wù)上使用外國(guó)算法。他們強(qiáng)制使用國(guó)產(chǎn)產(chǎn)品和標(biāo)準(zhǔn)——從算法到其實(shí)現(xiàn)。

加密算法的選擇、分析和標(biāo)準(zhǔn)化方式都需要改革。這得是個(gè)主要由開(kāi)放密碼社區(qū)驅(qū)動(dòng)的，完全開(kāi)放的過(guò)程。