|
2015年是密碼學應用標志性的一年,2016年或許沒有那么絢麗奪目�,但全世界的研究人員仍在繼續(xù)精進密碼技術(shù)。
TLS 1.3 設計完成
2016年密碼學最大的實踐發(fā)展�����,就是安全傳輸層協(xié)議(TSL) 1.3 版�����。TLS是應用廣泛的重要加密協(xié)議�,也是安全互聯(lián)網(wǎng)通信的基礎(chǔ)。在數(shù)百位研究人員和工程師長達數(shù)年的鉆研之后�,新的TLS設計從密碼學的角度看終于可被認為是完工了。該協(xié)議如今支持Firefox�����、Chrome和Opera��。雖然看起來像是個小版本升級���,TLS 1.3 卻是 TLS 1.2 的重大再設計(1.2版已存世8年有余)����。事實上,最富爭議的問題之一�,是要不要改個名字來表明 TLS 1.3 所做的重大改進呢?
用戶從哪兒感受到 TLS 1.3 ����?速度!TLS 1.3 就是為速度而生���,尤其是大幅減少了重復連接時數(shù)據(jù)發(fā)送前的網(wǎng)絡往返通信數(shù)量���,最低可減至1次往返(1-RTT)乃至0次。這些理念之前已經(jīng)以實驗形式出現(xiàn)過——QUIC協(xié)議(谷歌制定的一種基于UDP的低時延互聯(lián)網(wǎng)傳輸層協(xié)議)和早期TLS中����。但作為 TLS 1.3 默認行為的一部分�,它們很快就會得到廣泛應用。這意味著延遲減少和網(wǎng)頁加載速度的加快��。
另外���,TLS 1.3 應將成為安全智慧的顯著改進�。它吸收了TLS幾十年實踐中的兩大主要教訓。首先�����,該協(xié)議摒棄了對一些舊協(xié)議功能和過時加密算法的支持�,大幅瘦身。其次����,TLS 1.3 引入了模式檢查,用以在很多舊版TLS和SSL中查找漏洞�。TLS 1.3 在標準化過程中經(jīng)歷加密社區(qū)的廣泛分析,而不是等到協(xié)議被廣泛部署難以修補的時候才這么做�。
對后量子加密的要求仍在繼續(xù)
加密社區(qū)一直在努力嘗試從當今算法(其中很多在實用量子計算機出現(xiàn)后就會變得徹底不安全)遷移到后量子加密。
自去年年底美國國家標準與技術(shù)協(xié)會(NIST)發(fā)布了后量子算法標準化計劃����,算法轉(zhuǎn)型便受到了大幅推動。NIST在今年2月公布了首份工作報告��,并在8月發(fā)布了一份召集算法提案的草案�。研究人員一直在爭論后量子算法的目標到底該是什么(以及,雙橢圓曲線(DualEC)標準后門事件之后�,NIST是否還應在后量子算法標準化過程中擔任領(lǐng)導角色)。
同時�,谷歌在實用性實驗中采用了新希望( New Hope )后量子密鑰交換算法�,來保護谷歌服務器和Chrome瀏覽器之間的真實流量��。這是后量子加密在現(xiàn)實世界中的首例部署應用���。該實驗的結(jié)果表明�,計算成本幾乎可以忽略不計�����,但因更大的密鑰規(guī)模導致的帶寬消耗有所增加�����。另一隊研究人員采用不同的算法�����,向TLS協(xié)議中加入了量子阻抗的密鑰交換��。
關(guān)于后量子加密����,我們不知道的東西還很多���,但我們已開始探索其實際工程意義���。
關(guān)于給加密算法安后門的新思考
很長時間里���,設計表面安全但暗藏后門的加密系統(tǒng),一直是爭議焦點��。((“盜碼學(kleptography)”一次在1996年被創(chuàng)造出來��,用以描述此類概念����。)但斯諾登的揭秘,尤其是DUAL_EC偽隨機數(shù)字生成器被NSA故意安置后門的消息����,激發(fā)了對加密算法后門安置方法的更多研究。法國和美國研究人員組成的一個團隊就發(fā)表了一篇論文�����,展示了技巧地選擇素數(shù)可使離散對數(shù)計算變得簡單容易��,足以破壞Diffie-Hellman密鑰交換的安全性。
更糟的是���,這種后門素數(shù)無法與其他隨機選擇的素數(shù)相區(qū)別�。
RFC 5114:NIST的又一后門加密標準���?
說到后門��,今年還發(fā)現(xiàn)了另一個可能被后門了的標準:RFC 5114��。該很少為人所知的標準是在2008編寫的���,某種程度上,這玩意兒一直很神秘���。該協(xié)議是由國防承包商BBN編寫的�,目的是標準化NIST之前公布的某些參數(shù)��。它定義了8個Diffie-Hellman組�,可用于與互聯(lián)網(wǎng)工程任務組(IETF)的協(xié)議協(xié)同工作,提供互聯(lián)網(wǎng)通信安全性���。最終�����,這些密鑰進入到了一些廣泛使用的加密庫中���,比如OpenSSL和 Bouncy Castle (java平臺輕量級加密包)。然而�����,其中一些組被發(fā)現(xiàn)十分可疑:沒有提供對產(chǎn)生過程和方法的任何說明(意味著可能被后門了)���,只要參數(shù)沒有被仔細審查����,便無力對抗小組約束攻擊���。
雖然沒有切實證據(jù)�,這還是導致了該標準是否被故意后門的一些爭論���。作為回應���,該標準的其中一位作者聲明稱,這有部分原因是為了給一位實習生一個“相對容易”的項目來完成。NIST的一名密碼學家聲稱�����,該標準不過是寫來給使用曲線算法的人提供測試數(shù)據(jù)的�����,“當然不是作為給實際使用或采納的人的建議”����。該不良標準正是因其無能而提出的可能性無疑是存在的,但圍繞它的質(zhì)疑�,凸顯出一直以來對NIST作為密碼標準化機構(gòu)的信任缺失。
美國總統(tǒng)大選暴露密碼可否認性問題
可否認性��,及其對立面——不可抵賴性���,是加密通信可具有的兩個基本技術(shù)特性:系統(tǒng)應該向局外人提供證據(jù)證明消息是由特定發(fā)送者發(fā)送的嗎(不可抵賴性)�����?或者���,系統(tǒng)應確保任何局外人都能根據(jù)需要修改記錄(可否認性)以便被泄通信不會牽連其他��?這些屬性的現(xiàn)實必要性���,是加密社區(qū)長久以來的爭議重災區(qū)���。2016總統(tǒng)大選的新聞報道所掩蓋掉的�����,是不可抵賴性出其不意的崛起�。資深民主黨政客們�����,包括副總統(tǒng)候選人蒂姆·凱恩及前DNC主席丹娜·布拉齊爾�����,正式聲明稱被泄DNC電子郵件是被篡改過的���。
然而���,網(wǎng)絡偵探們很快證實���,電郵是以hillaryclinton.com郵件服務器的正確密鑰,經(jīng)域名密鑰識別郵件協(xié)議(DKIM)簽署的����。關(guān)于這些簽名,有很多防止誤解的說明:其中一些郵件來自不支持DKIM的外部地址����,因而可能被修改過,DKIM只斷言特定郵件服務器發(fā)送了消息(而不是某個個人用戶)�,所以,有可能是hillaryclinton.com的DKIM密鑰被盜或被惡意內(nèi)部人士使用了����,被泄郵件緩存也有可能被故意漏掉了某些郵件(DKIM證據(jù)不會揭露這個的)。然而��,這可能是我們在不可抵賴加密證據(jù)的價值(或無價值)中所有的最引人矚目的數(shù)據(jù)點了����。
攻擊只會變得更好
一系列新型改進版攻擊已被發(fā)現(xiàn)。其中值得注意的是:
HEIST攻擊改進了之前BREACH和CRIME等Oracle壓縮攻擊的通用性�����,可通過惡意JavaScript從網(wǎng)頁盜取敏感數(shù)據(jù)。盡管因為此類攻擊的風險而在2014年就決定從 TLS 1.3 中完全摒棄對壓縮的支持�����,這一漏洞還是進一步顯示出了往HTTP之類復雜協(xié)議中添加加密功能的困難性����。
DROWN攻擊利用幾十歲高齡的SSLv2協(xié)議漏洞,破壞Web服務器的RSA簽名密鑰��。如很多之前的TLS/SSL攻擊(POODLE����、FREAK等等)���,DROWN依賴的是現(xiàn)代Web瀏覽器已不支持的老舊協(xié)議��。然而�,這依然是很現(xiàn)實的重大缺陷�,因為攻擊者可以用此方法盜取Web服務器上那與現(xiàn)代客戶端所用相同的密鑰。該攻擊再一次提醒了我們:維持對過時加密協(xié)議的支持是有多不安全�!
Sweet32攻擊顯示出:64比特塊密碼(著名的三重DES和Blowfish)以CBC模式使用時,無法抵御碰撞攻擊���。生日悖論告訴我們�����,只需觀察大約 2^(64/2) = 2^32 個加密塊——即32GB數(shù)據(jù)���,就可以1/2的概率找到碰撞����。這再一次暴露出��,早該拋棄的遺留密碼卻依然在約1%的加密Web流量中被使用����。
可能有點點遠離實際系統(tǒng),新攻擊在某些配對友好的橢圓曲線族中被發(fā)現(xiàn)�,包括了流行的 Barreto-Naehrig 曲線。雖然當今互聯(lián)網(wǎng)加密中并沒有廣泛使用配對友好的曲線算法�,它們卻是一系列高級加密系統(tǒng)的基礎(chǔ),比如Zcash中用到的高效零知識證明��,或Pond使用的組簽名�。
安全隨機性依然是密碼系統(tǒng)中的脆弱點:只要不能產(chǎn)生真正隨機的數(shù)字,就不能創(chuàng)建真正不可預測的密鑰���。GnuPG項目(廣泛使用的PGP軟件維護者)宣稱修復了Libcrypt隨機數(shù)產(chǎn)生方法中的缺陷��,堵上了這個存在了18年的漏洞��。雖然實際利用該漏洞并不容易�,此類攻擊顯露出PRNG庫中的微小漏洞可因從未導致功能上的可見損失而隱身數(shù)十年之久。
吐故納新:HTTPS仍在緩慢堅實的路上
HTTPS正慢慢變得更加安全:
SHA-1散列函數(shù)在2016年就達美國法定最低飲酒年齡了——21歲��,但是沒人會慶祝這個生日���。相反����,我們正逐漸逼近讓這個過時算法退休的終點����。有那么點點令人驚訝的是���,今年并沒有發(fā)現(xiàn)任何SHA-1碰撞攻擊——算法被攻破的無可辯駁的明證����。不過���,瀏覽器廠商可不會等到真出現(xiàn)碰撞�����。微軟�、谷歌、Mozilla�,全都宣稱2017年起自己的瀏覽器不再接受SHA-1證書。雖然還需要一段時間��,對SHA-A的協(xié)同拋棄��,依然是加密社區(qū)的大勝利���。據(jù)觀察�����,瀏覽器市場激勵廠商不擅自移除不安全舊協(xié)議�,因此����,廠商在SHA-1被完全攻破之前達成棄用時間線是個積極的跡象。
對證書透明性(CT)的支持繼續(xù)增長。CT是設計來提供哪些證書被頒發(fā)給哪些域名的公開記錄協(xié)議��。今年6月1日開始�,所有賽門鐵克頒發(fā)的證書就被包含到CT記錄中(會被Chrome和Firefox拒絕)。網(wǎng)站可用Chrome的HSTS預加載列表(Firefox也用)來選擇要求CT���。就在本周��,F(xiàn)acebook發(fā)布了首個基于Web的CT記錄監(jiān)視工具����。
RFC 7748�,橢圓曲線Curve25519和Curve448 (“金發(fā)姑娘”)的標準化,終于完成了���。這兩個曲線算法在 TLS 1.3 中可用����,提供更快的表現(xiàn)���,作為P-256之類NIST支持的經(jīng)典曲線算法集的替代選擇。
---
在訂閱號里�,長按公眾號,即可“置頂”
|
