後門之王：談一談加密演算法中的數學後門

政府和情報機構力圖控制或繞過對數據及通信的加密防護，而給加密演算法開個後門，被認為是實現加密控制的最佳辦法。安全研究人員常會找尋加密演算法實現中的漏洞，但卻不會投入太多精力在查找數學後門上。

在加密防護上，研究人員開始驗證信息安全交換和電子商務的支撐技術。埃里克·菲利奧爾，法國高等計算機、電子及自動化學院(ESIEA)操作密碼學及病毒學實驗室研究主管。他認為，只有在協議/實現/管理層面的後門實現被普遍考慮到了，而在查找數學後門或設計後門上投入的努力，還遠遠不夠。

上周舉行的歐洲黑帽大會上，菲利奧爾和他的同事阿諾德·般涅爾做了演講，題為「加密系統設計後門——我們能信任外國加密演算法嗎？」，闡述了設計數學後門的可能性。

演講中，兩位研究人員提出了BEA-1塊加密演算法。該演算法類似AES，但含有一個可供進行有效密碼分析的數學後門。

兩位法國密碼學家解釋道：「在不知道我們後門的情況下，BEA-1成功通過了所有統計檢驗和密碼分析，NIST和NSA都正式考慮進行加密驗證了。尤其是，BEA-1演算法（80位塊大小，120位密鑰，11輪加密）本就是為抵禦線性和差分密碼分析而設計的。我們的演算法在2017年2月公開，沒人證明該後門可被輕易檢測到，也沒人展示過其利用方法。」

他們是如何做到的

黑帽大會的演講中，菲利奧爾和般涅爾公開了該有意設置的後門，演示了如何利用該後門以區區600KB數據(300KB明文+300KB密文)，在10秒鐘內恢復出120位的密鑰。這就是個概念驗證，還有更複雜的後門可以被構造出來。

「

往演算法中插入後門，和檢測並證明後門的存在之間，在數學上是非常不對稱的。也就是說，我們必須創建某種概念上的單向函數。

菲利奧爾研究加密演算法數學後門多年，今年早些時候還發表了一篇關於塊加密演算法潛在問題的論文。

為什麼即便在研究領域，數學也不流行

研究數學後門非常困難，吸引不了需要在時髦話題上頻繁發表論文的研究人員。此類研究基本上也就是在情報機構（GCHQ、NSA等）的研發實驗室做做，而且更多是後門的設計而非檢測。

斯諾登爆料NSA花1000萬美元，讓 RSA Security 在其加密工具集中，默認使用脆弱的雙橢圓曲線隨機數生成演算法(Dual_EC_DRBG)。這就展現出數學後門，或者設計後門，不只存在於理論上，而是很現實的東西。並且，Dual_EC_DRBG不是個案。

數學後門的例子有很多，但只有少數幾個為人所知。

「

我確信所有出口版加密系統都會以某種方式嵌入後門，這直接違反了《瓦森納協定》。Crypto AG（瑞士通信及信息安全公司）出口的加密機中含有NSA的後門就是個絕佳案例。其他不那麼出名的例子還有一些。

有多少數學後門存在？

我們很難確知實現後門和數學後門的普遍程度和重要性。證明後門的存在是個很困難的數學問題。但分析國際規則就能很清楚地看出，至少出口的加密設備/技術中是有後門的。更令人擔憂的是，大眾監視的環境下，國內使用的加密技術中會不會也有後門？

那麼，同行審查能不能免除數學後門呢？

菲利奧爾表示，這恐怕需要改革：

「

能夠證明安全的「防禦」遠比能夠證明不安全的「攻擊」要難實現得多。最大的問題在於，學術上對安全證明困難度的忽視，造成我們都把「沒有證據證明不安全」，直接當成了「安全的證據」。

攻擊者不會把自己能做的所有事都公布出來，尤其是在情報機構勢力龐大的密碼學方面。於是，專家和學術研究界只能參考已知的攻擊案例。想像一下NSA這種40年來隨時有300名最聰明的數學家為其服務的機構能產出什麼？那就是整套數學知識全集啊！

菲利奧爾還認為，作為行業標準被廣泛審查過的AES演算法，也未必安全，雖然他並沒有證據證明該演算法不安全。

「

即便我不能證明AES有漏洞，但也沒人能證明這演算法里就沒有漏洞。老實說，美國會提供一個夠安全的軍用級加密演算法而不施以任何形式的控制？反正我是不信的。

AES競賽本就是由NIST組織的，還有NSA的技術支持（這都是眾所周知的了）。在恐怖主義威脅甚囂塵上的時代，美國才不會蠢到不去籌備作為常規武器「對策」的東西呢。像美國、英國、德國、法國等有點兒體面的國家，都不會在有高安全需求的事務上使用外國演算法。他們強制使用國產產品和標準——從演算法到其實現。

加密演算法的選擇、分析和標準化方式都需要改革。這得是個主要由開放密碼社區驅動的，完全開放的過程。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！