研究人員警告，當今互聯(lián)網(wǎng)上許多用來保護通信的1024位密鑰，其基于的質(zhì)數(shù)能夠以無法檢測的方式埋下后門。

[[173504]]

網(wǎng)站、電子郵件、VPN、SSH，以及其他網(wǎng)絡連接使用著許多公鑰加密算法，其難于破解的特性來自于離散對數(shù)的數(shù)學復雜性。使用傳統(tǒng)的方法不能有效地計算大質(zhì)數(shù)群組的離散對數(shù)，因此想要破解強加密，在計算實現(xiàn)上不大行得通。

大多數(shù)密鑰生成算法都基于可驗證的隨機產(chǎn)生的質(zhì)數(shù)參數(shù)。然而，很多參數(shù)卻是標準化的，Diffie-Hellman和DSA之類流行加密算法一直在使用這些參數(shù)，卻從未公布過用來產(chǎn)生它們的種子。這就根本無法分辨這些質(zhì)數(shù)有沒有被故意植入了“后門”——有意選擇那些可以減省破密所需計算量的質(zhì)數(shù)。

來自賓夕法尼亞大學、法國國家信息與自動化研究所(INRIA)、法國國家科學研究院(CNRS)和洛林大學的研究人員發(fā)表了一篇論文，揭示了為什么該密碼透明性的缺乏是有問題的，且可能意味著當前使用的很多密鑰都是基于有后門的質(zhì)數(shù)——除了其創(chuàng)造者，沒人知道后門的存在。

為證明這一點，研究人員創(chuàng)建了一個帶后門的1024位 Diffie-Hellman 質(zhì)數(shù)，并演示了解決這個質(zhì)數(shù)的離散對數(shù)問題，比解決真正隨機質(zhì)數(shù)的離散對數(shù)問題，要簡單好幾個數(shù)量級。

研究人員在論文中說道：“目前對普通1024位離散對數(shù)問題的估算顯示，此類計算可能需要數(shù)億美元的特殊硬件支持。相反，對一個特意做了陷阱的質(zhì)數(shù)做離散對數(shù)計算，我們用學校的機群算了2個月就算出來了。”

問題在于：對不知道后門的人而言，要證明質(zhì)數(shù)被設了陷阱幾乎是不可能的。

加密算法實現(xiàn)者在采用可驗證質(zhì)數(shù)產(chǎn)生機制上的普遍失敗，意味著弱質(zhì)數(shù)的使用實際上是不可檢測的，也不太可能引起關注。

這在概念上與雙橢圓曲線(Dual_EC)隨機數(shù)生成器里發(fā)現(xiàn)的后門很類似。該后門被懷疑是美國國家安全局故意引入的。不過，那個后門好找得多，而且，不像 Diffie-Hellman 或DSA，Dual_EC從未被廣泛采納。

由于其完美的向前保密屬性能在密鑰失竊時保住過往通信安全，瞬時Diffie-Hellman算法(DHE)，正慢慢取代RSA算法作為TLS協(xié)議中的密鑰交換算法。然而，帶后門質(zhì)數(shù)的使用，可能會讓這一安全優(yōu)勢毀于一旦。

更糟的是，盡管美國國家標準與技術局(NIST)2010年起就在建議采用更高密鑰位數(shù)，1024位密鑰依然在網(wǎng)上廣泛使用。據(jù) SSL Pulse 項目所言，互聯(lián)網(wǎng)140000個頂級HTTPS網(wǎng)站中有22%使用的是1024位的密鑰。

基于離散對數(shù)破解困難性的加密系統(tǒng)，應將1024位質(zhì)數(shù)的使用看做不安全因素。論文中針對帶后門質(zhì)數(shù)的離散對數(shù)計算，僅適用于1024位大小，針對此類后門的最有效防護，就是總是采用任何計算都不適用的密鑰位數(shù)大小。

研究人員估測，對2048位密鑰進行類似計算，即便采用帶后門的質(zhì)數(shù)，也會比對1024位密鑰要難上1600萬倍，很多年后都不可行。當前解決方案，就是切換成2048位密鑰，但在未來，所有標準化質(zhì)數(shù)都應當連同其種子一起公布。

前NSA雇員愛德華·斯諾登在2013年揭秘的文件顯示，該間諜機構有能力解密大量VPN流量。去年，一組研究人員猜測，個中原因，可能就是一小撮固定或標準化質(zhì)數(shù)組在實踐中的廣泛使用。

那個時候，研究人員在論文中寫道：“對一個1024位質(zhì)數(shù)組進行預計算，可能會導致18%的流行HTTPS網(wǎng)站被被動監(jiān)聽;第二組被預計算，則會讓66%的 IPSec VPN 和26%的SSH服務器流量被解密。對NSA泄露文件的精密解讀顯示，該機構對VPN的攻擊，符合其在這方面有了成功突破的表現(xiàn)。”