后门之王:谈一谈加密算法中的数学后门
政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。
在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。
上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。
演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。
两位法国密码学家解释道:“在不知道我们后门的情况下,BEA-1成功通过了所有统计检验和密码分析,NIST和NSA都正式考虑进行加密验证了。尤其是,BEA-1算法(80位块大小,120位密钥,11轮加密)本就是为抵御线性和差分密码分析而设计的。我们的算法在2017年2月公开,没人证明该后门可被轻易检测到,也没人展示过其利用方法。”
他们是如何做到的
黑帽大会的演讲中,菲利奥尔和般涅尔公开了该有意设置的后门,演示了如何利用该后门以区区600KB数据(300KB明文+300KB密文),在10秒钟内恢复出120位的密钥。这就是个概念验证,还有更复杂的后门可以被构造出来。
“
往算法中插入后门,和检测并证明后门的存在之间,在数学上是非常不对称的。也就是说,我们必须创建某种概念上的单向函数。
菲利奥尔研究加密算法数学后门多年,今年早些时候还发表了一篇关于块加密算法潜在问题的论文。
为什么即便在研究领域,数学也不流行
研究数学后门非常困难,吸引不了需要在时髦话题上频繁发表论文的研究人员。此类研究基本上也就是在情报机构(GCHQ、NSA等)的研发实验室做做,而且更多是后门的设计而非检测。
斯诺登爆料NSA花1000万美元,让 RSA Security 在其加密工具集中,默认使用脆弱的双椭圆曲线随机数生成算法(Dual_EC_DRBG)。这就展现出数学后门,或者设计后门,不只存在于理论上,而是很现实的东西。并且,Dual_EC_DRBG不是个案。
数学后门的例子有很多,但只有少数几个为人所知。
“
我确信所有出口版加密系统都会以某种方式嵌入后门,这直接违反了《瓦森纳协定》。Crypto AG(瑞士通信及信息安全公司)出口的加密机中含有NSA的后门就是个绝佳案例。其他不那么出名的例子还有一些。
有多少数学后门存在?
我们很难确知实现后门和数学后门的普遍程度和重要性。证明后门的存在是个很困难的数学问题。但分析国际规则就能很清楚地看出,至少出口的加密设备/技术中是有后门的。更令人担忧的是,大众监视的环境下,国内使用的加密技术中会不会也有后门?
那么,同行审查能不能免除数学后门呢?
菲利奥尔表示,这恐怕需要改革:
“
能够证明安全的“防御”远比能够证明不安全的“攻击”要难实现得多。最大的问题在于,学术上对安全证明困难度的忽视,造成我们都把“没有证据证明不安全”,直接当成了“安全的证据”。
攻击者不会把自己能做的所有事都公布出来,尤其是在情报机构势力庞大的密码学方面。于是,专家和学术研究界只能参考已知的攻击案例。想象一下NSA这种40年来随时有300名最聪明的数学家为其服务的机构能产出什么?那就是整套数学知识全集啊!
菲利奥尔还认为,作为行业标准被广泛审查过的AES算法,也未必安全,虽然他并没有证据证明该算法不安全。
“
即便我不能证明AES有漏洞,但也没人能证明这算法里就没有漏洞。老实说,美国会提供一个够安全的军用级加密算法而不施以任何形式的控制?反正我是不信的。
AES竞赛本就是由NIST组织的,还有NSA的技术支持(这都是众所周知的了)。在恐怖主义威胁甚嚣尘上的时代,美国才不会蠢到不去筹备作为常规武器“对策”的东西呢。像美国、英国、德国、法国等有点儿体面的国家,都不会在有高安全需求的事务上使用外国算法。他们强制使用国产产品和标准——从算法到其实现。
加密算法的选择、分析和标准化方式都需要改革。这得是个主要由开放密码社区驱动的,完全开放的过程。
政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。
在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。
上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。
演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。
两位法国密码学家解释道:“在不知道我们后门的情况下,BEA-1成功通过了所有统计检验和密码分析,NIST和NSA都正式考虑进行加密验证了。尤其是,BEA-1算法(80位块大小,120位密钥,11轮加密)本就是为抵御线性和差分密码分析而设计的。我们的算法在2017年2月公开,没人证明该后门可被轻易检测到,也没人展示过其利用方法。”
他们是如何做到的
黑帽大会的演讲中,菲利奥尔和般涅尔公开了该有意设置的后门,演示了如何利用该后门以区区600KB数据(300KB明文+300KB密文),在10秒钟内恢复出120位的密钥。这就是个概念验证,还有更复杂的后门可以被构造出来。
“
往算法中插入后门,和检测并证明后门的存在之间,在数学上是非常不对称的。也就是说,我们必须创建某种概念上的单向函数。
菲利奥尔研究加密算法数学后门多年,今年早些时候还发表了一篇关于块加密算法潜在问题的论文。
为什么即便在研究领域,数学也不流行
研究数学后门非常困难,吸引不了需要在时髦话题上频繁发表论文的研究人员。此类研究基本上也就是在情报机构(GCHQ、NSA等)的研发实验室做做,而且更多是后门的设计而非检测。
斯诺登爆料NSA花1000万美元,让 RSA Security 在其加密工具集中,默认使用脆弱的双椭圆曲线随机数生成算法(Dual_EC_DRBG)。这就展现出数学后门,或者设计后门,不只存在于理论上,而是很现实的东西。并且,Dual_EC_DRBG不是个案。
数学后门的例子有很多,但只有少数几个为人所知。
“
我确信所有出口版加密系统都会以某种方式嵌入后门,这直接违反了《瓦森纳协定》。Crypto AG(瑞士通信及信息安全公司)出口的加密机中含有NSA的后门就是个绝佳案例。其他不那么出名的例子还有一些。
有多少数学后门存在?
我们很难确知实现后门和数学后门的普遍程度和重要性。证明后门的存在是个很困难的数学问题。但分析国际规则就能很清楚地看出,至少出口的加密设备/技术中是有后门的。更令人担忧的是,大众监视的环境下,国内使用的加密技术中会不会也有后门?
那么,同行审查能不能免除数学后门呢?
菲利奥尔表示,这恐怕需要改革:
“
能够证明安全的“防御”远比能够证明不安全的“攻击”要难实现得多。最大的问题在于,学术上对安全证明困难度的忽视,造成我们都把“没有证据证明不安全”,直接当成了“安全的证据”。
攻击者不会把自己能做的所有事都公布出来,尤其是在情报机构势力庞大的密码学方面。于是,专家和学术研究界只能参考已知的攻击案例。想象一下NSA这种40年来随时有300名最聪明的数学家为其服务的机构能产出什么?那就是整套数学知识全集啊!
菲利奥尔还认为,作为行业标准被广泛审查过的AES算法,也未必安全,虽然他并没有证据证明该算法不安全。
“
即便我不能证明AES有漏洞,但也没人能证明这算法里就没有漏洞。老实说,美国会提供一个够安全的军用级加密算法而不施以任何形式的控制?反正我是不信的。
AES竞赛本就是由NIST组织的,还有NSA的技术支持(这都是众所周知的了)。在恐怖主义威胁甚嚣尘上的时代,美国才不会蠢到不去筹备作为常规武器“对策”的东西呢。像美国、英国、德国、法国等有点儿体面的国家,都不会在有高安全需求的事务上使用外国算法。他们强制使用国产产品和标准——从算法到其实现。
加密算法的选择、分析和标准化方式都需要改革。这得是个主要由开放密码社区驱动的,完全开放的过程。
http://mp.weixin.qq.com/s/7r-CBA6VLvSrlayMEVqYzA
政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。
在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。
上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。
演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。
两位法国密码学家解释道:“在不知道我们后门的情况下,BEA-1成功通过了所有统计检验和密码分析,NIST和NSA都正式考虑进行加密验证了。尤其是,BEA-1算法(80位块大小,120位密钥,11轮加密)本就是为抵御线性和差分密码分析而设计的。我们的算法在2017年2月公开,没人证明该后门可被轻易检测到,也没人展示过其利用方法。”
他们是如何做到的
黑帽大会的演讲中,菲利奥尔和般涅尔公开了该有意设置的后门,演示了如何利用该后门以区区600KB数据(300KB明文+300KB密文),在10秒钟内恢复出120位的密钥。这就是个概念验证,还有更复杂的后门可以被构造出来。
“
往算法中插入后门,和检测并证明后门的存在之间,在数学上是非常不对称的。也就是说,我们必须创建某种概念上的单向函数。
菲利奥尔研究加密算法数学后门多年,今年早些时候还发表了一篇关于块加密算法潜在问题的论文。
为什么即便在研究领域,数学也不流行
研究数学后门非常困难,吸引不了需要在时髦话题上频繁发表论文的研究人员。此类研究基本上也就是在情报机构(GCHQ、NSA等)的研发实验室做做,而且更多是后门的设计而非检测。
斯诺登爆料NSA花1000万美元,让 RSA Security 在其加密工具集中,默认使用脆弱的双椭圆曲线随机数生成算法(Dual_EC_DRBG)。这就展现出数学后门,或者设计后门,不只存在于理论上,而是很现实的东西。并且,Dual_EC_DRBG不是个案。
数学后门的例子有很多,但只有少数几个为人所知。
“
我确信所有出口版加密系统都会以某种方式嵌入后门,这直接违反了《瓦森纳协定》。Crypto AG(瑞士通信及信息安全公司)出口的加密机中含有NSA的后门就是个绝佳案例。其他不那么出名的例子还有一些。
有多少数学后门存在?
我们很难确知实现后门和数学后门的普遍程度和重要性。证明后门的存在是个很困难的数学问题。但分析国际规则就能很清楚地看出,至少出口的加密设备/技术中是有后门的。更令人担忧的是,大众监视的环境下,国内使用的加密技术中会不会也有后门?
那么,同行审查能不能免除数学后门呢?
菲利奥尔表示,这恐怕需要改革:
“
能够证明安全的“防御”远比能够证明不安全的“攻击”要难实现得多。最大的问题在于,学术上对安全证明困难度的忽视,造成我们都把“没有证据证明不安全”,直接当成了“安全的证据”。
攻击者不会把自己能做的所有事都公布出来,尤其是在情报机构势力庞大的密码学方面。于是,专家和学术研究界只能参考已知的攻击案例。想象一下NSA这种40年来随时有300名最聪明的数学家为其服务的机构能产出什么?那就是整套数学知识全集啊!
菲利奥尔还认为,作为行业标准被广泛审查过的AES算法,也未必安全,虽然他并没有证据证明该算法不安全。
“
即便我不能证明AES有漏洞,但也没人能证明这算法里就没有漏洞。老实说,美国会提供一个够安全的军用级加密算法而不施以任何形式的控制?反正我是不信的。
AES竞赛本就是由NIST组织的,还有NSA的技术支持(这都是众所周知的了)。在恐怖主义威胁甚嚣尘上的时代,美国才不会蠢到不去筹备作为常规武器“对策”的东西呢。像美国、英国、德国、法国等有点儿体面的国家,都不会在有高安全需求的事务上使用外国算法。他们强制使用国产产品和标准——从算法到其实现。
加密算法的选择、分析和标准化方式都需要改革。这得是个主要由开放密码社区驱动的,完全开放的过程。
后门之王:谈一谈加密算法中的数学后门相关推荐
- python语法中infile语句_浅谈pymysql查询语句中带有in时传递参数的问题
直接给出例子说明: cs = conn.cursor() img_ids = [1,2,3] sql = "select img_url from img_url_table where i ...
- 计算机技术在农业上应用论文,浅谈计算机在农业中的应用论文(2)
浅谈计算机在农业中的应用论文篇二 <计算机技术在农业管理中的科学应用> 摘要:文章依据现代农业管理思想的内涵结合计算机应用技术的充分优势展开了如何在农业管理中全面应用计算机技术实现数字化. ...
- 浅谈线程池(中):独立线程池的作用及IO线程池
在上一篇文章中,我们简单讨论了线程池的作用,以及CLR线程池的一些特性.不过关于线程池的基本概念还没有结束,这次我们再来补充一些必要的信息,有助于我们在程序中选择合适的使用方式. 独立线程池 上次我们 ...
- php编码 js解码,浅谈php和js中json的编码和解码
php中 1)编码 $jsonstr = json_encode($array) 2)解码 $arr = json_decode($jsonstr) echo json_encode("中文 ...
- python查询数据库带逗号_浅谈pymysql查询语句中带有in时传递参数的问题
直接给出例子说明: cs = conn.cursor() img_ids = [1,2,3] sql = "select img_url from img_url_table where i ...
- 一起谈.NET技术,从.NET中委托写法的演变谈开去(中):Lambda表达式及其优势...
在上一篇文章中我们简单探讨了.NET 1.x和.NET 2.0中委托表现形式的变化,以及.NET 2.0中匿名方法的优势.目的及注意事项.那么现在我们来谈一下.NET 3.5(C# 3.0)中,委托的 ...
- 谈计算机知识对学生的作用,浅谈计算机在教学中的作用
浅谈计算机在教学中的作用 时间:2017-07-19 08:54:57 浅谈计算机在教学中的作用 计算机基础教育的教学目标是使学生掌握计算机的基本知识和操作技能,把计算机作为获取和交流信息的工具,为学 ...
- 浅谈surging服务引擎中的rabbitmq组件和容器化部署
1.前言 上个星期完成了surging 的0.9.0.1 更新工作,此版本通过nuget下载引擎组件,下载后,无需通过代码build集成,引擎会通过Sidecar模式自动扫描装配异构组件来构建服务引擎 ...
- 技术思考:也谈知识图谱平台中的数据流程与构建范式思考
笔者之前写过一篇文章<关于知识图谱标准化构建平台的思考:知识图谱只能做项目,不能做平台?>,地址:https://blog.csdn.net/lhy2014/article/details ...
最新文章
- deeplearning模型库
- 关于魔法方法的一点总结
- 许式伟:毕业两年成为首席架构师,我的技术学习方法论
- poi向word插入图片_如何使用word裁剪图片图形?如何使用word修整图片?
- mysql中distinct关键字,MySQL关键字Distinct的详细介绍
- Can 总线 收发原理
- 关于前端的一些基础知识
- Google Adsense的技巧、诀窍和秘密
- myeclipse 10破解
- 芯片工程师常用英文黑话
- 重新安装OFFICE2010失败
- Java虚拟机 - JVM是什么?
- 肖申克的救赎-救赎自己的心灵
- 让VMWare拥有Intel千兆网卡
- 使用ArcGIS制作专题等值线图
- 图片瘦身的正确姿势,让你的 CDN 费用省 50% 以上!
- 目前所有ewebeditor版本***的漏洞与问题总结
- 【带你看看开源圈的新趋势】GITHUB OCTOVERSE 2022 详细解读
- ArrayList这篇就够了
- u盘显示有内存点开却什么都没有?