2013年12月24日星期二

墙外楼: 西西河:闲扯一下RSA受贿事件

墙外楼
网络热门话题追踪 
Thousands of Free eBooks

BookBub brings you free & bargain national bestselling eBooks in the genres of your choice! Sign up now & join 1.5 million happy readers.
From our sponsors
西西河:闲扯一下RSA受贿事件
Dec 24th 2013, 04:45, by 墙外仙

裸奔,真的是裸奔,知道RSA吗?加密算法公司RSA被美国国家安全局以一千万美元买通,在随机数生产算法里放置后门。

微薄上看到的,密码加密公司RSA收了美国一千万美元,在生成随机数的算法里面加入了后门。那这意思应该是说,RSA的不对称加密在老美面前就是裸奔了?

不对称加密是密码学的一个标志性进展,允许你保留私钥但是公开一个对应的公钥,任何人使用你的公钥加密一个文件以后,只有用你的私钥才能解密;同样,你用自己的私钥加密一个文件以后,别人可以通过公钥来解密验证,只有对应的公钥才能解密。这样的特性使得不对称密钥配合使用可以实现数字签名、数字鉴权等等很多非常重要的功能。比如比特币就是基于不对称密码的,如果这个消息属实,那也许意味着,老美可以随时收回任何人的所有比特币。因为你能持有、支付比特币的凭证就是你保留的一个"钱包"文件,这个文件,正是不对称密码的私钥,但是这个私钥对应的公钥是公开出去的,老美(NSA)如果想收回你的比特币,只要拿到你的公钥然后根据公钥通过算法中的后门计算出来你的私钥,然后把你的比特币转到他自己的账户里就可以了。

当然这个事情RSA也能干,当然如果RSA不对称加密其实是在裸奔之影响比特币的话那也太幸运了,其实现在计算机加密中不对称加密几乎无处不在,RSA又是使用最广泛的——其实我就知道这一家。那就意味着计算机加密都在裸奔?

下图很熟悉把?我以前就用过。

800px-SecureID_token_new_610x458

一个密码后门直多少钱?如果你是NSA的话,直一千万美元。

感谢斯诺登吧,他在九月发布的文件中指出,RSA公司的不对称密码生成算法中被植入了NSA设置的人为缺陷。路透社报道 中指出,RSA公司收了NSA一千万美元以后植入了这些缺陷。

两个熟悉RSA的BSafe软件的人告诉路透社,RSA收了钱以后把NSA的加密公式设置成了BSafe软件中默认的密钥生成算法。

安全专家Bruce Schneier参与了对斯诺登泄密文件的分析,他说:"我们现在知道RSA受贿了,现在毫无疑问是不能信任他们的,但是以前他们却说什么把客户的安全放在第一位"。

RSA现在为存储公司EMC所拥有,和政府部门有长期的合作和瓜葛。在九十年代,这个公司还在阻止政府向电脑硬件添加一个用来监视所有电脑芯片的事情上出力很大。

它的加密算法也曾经被破解过:RSA-Conn VeriSign

但是这次的泄密更重要,Schneier说,因为这次泄密证实了以前对NSA的小伎俩的猜疑。

"你相信他们的历史上只会贿赂了这一家公司吗?"他说,"问题在于,我们根本不知道谁会参合进去。"

其他生产广泛使用的加密设备的公司,比如卖咖啡、赛门铁克、微软,你不知道谁没有被贿赂,也不知道谁值得信任。Schneier说。

RSA至今保持沉默,也没有回应路透的报道。

翻译完以后:

1、还是应该看看路透的原文才行,这则新闻透露的信息不够多,不能认定是否RSA算法就完全不可靠。

2、对信心的打击是最大的,RSA是名声很好也一直认为非常可靠的算法,尤其是1024位RSA不对称加密,现在恐怕不能那么信任了

3、原来RSA也马失前蹄过,居然VeriSign被破解了!VeriSign是Java代码加密的鉴权中心,如果VeriSign被破解了,意味着有可能你安装的一个手机Java软件即使是提示是你信任的公司出的其实完全可能是某邪恶山寨厂商出的恶意软件。

4、我觉得新闻有点言过其实,如果RSA已经被破解过,那么这次发现后门其实影响不会像我开始设想的那么大。也许RSA没有被破解过呢,因为从数学上说他们的算法确实不可能被破解,其次,如果RSA以前被破解过,那么现在很多加密系统为啥还用RSA呢,换个不行?

看完了路透原文,太长就不翻译了,一点新鲜的东西

1、有隐患的软件,现在能确认的只有BSafe,我真不知道这是什么。

2、RSA在事发以后强烈建议用户不要用默认的NSA算法——擦咧,不用建议用户也不会用了

3、这说明各种算法是有选项的,用户如果选择非默认算法就理论上可能不会出现漏洞,但是既然你的默认算法是NSA给的,那么不默认的算法我凭什么要相信呢?

4、RSA创建之初,中情局就注意到他们了,中情局担心RSA的加密无法破解。RSA算法早期研发领导人之一Martin Hellman说,中情局的人和他们联系过,要求他们不要把密钥弄的那么长。

5、事情是这样的,首先是NSA研发了一种产生随机数的算法叫做 Dual Elliptic Curve,然后RSA很快就在自己的软件里使用了这个算法来产生随机数,因为这个算法还没有被NIST批准,所以有些争议。这时NSA跳出说 Dual Elliptic Curve已经在美国政府当中广泛使用,所以是没问题的,于是就用了。但是仅仅一年时间就发现了很多这个算法导致的问题,密码学家Bruce Schneier说,这个算法问题太多了,以至于称它为后门可能更合适。在九月有报告声称RSA算法存在后门以后,RSA就开始强烈建议用户不要选择Dual Elliptic Curve算法来生成随机数。——如此说来,没有斯诺登什么事?还是那个九月的报告就是指斯诺登的文件?

这让我想起在大学上密码学的课程时候,老师给我们说:现在对称加密里128bit3DES是安全性得到认可的加密算法,也还没有发现这个算法有什么后门,但是,现在使用的这个算法和当初提出来的时候是不太一样的,不一样的地方很可能就是美国国家安全局修改的,虽然说各种研究还没有发现这个改动有什么问题,可是这毕竟是一个异常的情况,所以这个算法的可靠程度是受到强烈质疑的,也许你用暴力破解很久也无法解密,但是美国NSA很容易就可以解密呢?所以我国政府部门是不用这个加密算法的。

最后总结一下我的看法:

1、这事儿和老百姓没啥关系,咱的数据不加密也没人看,比如我的博客

2、计算机和网络加密是不会受到影响的,即使是某公司的重要数据,这些恐怕都不会入了NSA的法眼

3、不对称加密算法本身是没有问题的,受到影响的只有BSafe软件一个,有可能其他软件是有影响的,但是不对称加密算法本身是没有问题的。——比特币安全了,阿门

闲说一个自己相关的RSA加密
大约是2001年左右(前后两年吧,记不清不想查了),自己做了两款共享软件在网上卖。用的是序列号机制。其中一款序列号用的是一般加密算法,结果发布5天时间后,网上就有了生成序列号的注册机。当时RSA算法刚刚兴起,于是我就想尝试下。于是网上看了基本原理,找了个开源的RSA基本算法库(很基本,就是原理的直接应用,没有RSA公司用于藏猫腻的区区弯弯),再稍加修改,就应用到下一款软件的序列号机制中了。记得当时生成的密匙位数较低(受限于算法库的位数,也不想花时间改进了)。然后,大约是半年左右才出现注册机。
由此,感觉RSA算法还比较行。后来在考虑一个版权保护软件项目时有想正式使用RSA算法,当时RSA公司已经申请了相关版权,于是还和RSA公司做了初步联系。当时咨询授权价格,RSA公司回答说要报项目应用的细节然后才给报价,当时觉得麻烦就没有再联系了。

NSA提供了三个密钥生成算法中的一个。这一千万应该是给RSA把NSA的算法设成默认

震惊了。NSA竟然没有完全破解。。。
当初我老师的阴谋论是,每个加密算法都是NSA破解后才被广泛推广的。。。

DES的问题是被称作S-Box的替换矩阵被NSA建议修改
应该是70年代,IBM刚搞出来的时候,就根据NSA的提议对S-Box做了修改,但未说明原因,所以一直有争议说是后门。不过90年代初差分分析被公开学术界发现后,证明那个修改是为了对抗可能的差分分析。

哦,那就是说其实是没有植入后门了?
我一直冤枉了NSA呢哈哈

至少目前看来,在DES上NSA做的修改不是后门。不过对最近爆出来的事不太懂。

我仔细搜索了一下,确实DES上是冤枉NSA了
最近的事情我也是被声势给忽悠了,以为整个不对称加密要完蛋了呢,仔细看了看新闻才知道,不过是一个主流软件产品出了点问题而已嘛~

那不能,如果是非对称要完蛋的节奏
snowden俄罗斯也得灭口丫啊,涉及几乎所有用到电子交易的地方。不过有没有什么黑科技啥的,还真不好说,毕竟这玩意的强度还没有一般化的证明。

哈哈,是呀,我一开始也有点纳闷,因为从原理和来讲要让一个算法完蛋除非数学上出问题,比如利用两个大质数的非对称加密要完蛋,要么是一开始发表论文的时候作者就留了后手还没有被各大牛人发现(不可能)要么有新的非常快的计算质数的办法,这都不太可能嘛!
但是给微波上还有新闻里一通忽悠,一开始我真的以为是非对称要完蛋,后来看了那两条新闻的具体内容才知道完全不是这么一回事儿嘛

常识性错误
算法都是公开的,怎么可能预先加入后门,最多在算法的产品实现上加入后门。rsa这个算法,稍微研究下,自己都能写实现的程序。
现在计算机的能力已经为暴力破解RSA算法提供了可能,最新的versign ev pro里面专门加入了ECC算法。
secureID是RSA公司的动态口令的产品,不要等同于RSA算法,这个上面有后门倒是有可能。

兄台说的没错,我理解是这样的
他们有意使用了存在缺陷的算法,把这个算法放在了BSafe这个软件里头,并且设置为了默认的选择。如果用户用了这个算法生成随机数加密,那么密文就很容易被破解
在路透的报道里就提到一个密码学家分析了这个有缺陷的算法以后就评价说,这个东西与其说是个加密算法,不如说是个后门更恰当
这样看来,密文不仅仅是容易被植入后门的NSA破解,同样其他机构想破解的话只要下点功夫也是没问题的。
secureID倒是没有说存在后门或者缺陷问题。
RSA算法我以为一直很强健呢,怎么也会被暴力破解了?我记得当时说法是,只有量子计算机这种密码学大杀器问世,RSA算法才会被破解呢

RSA安全的基础在于,计算机难以进行快速的因式分解计算
但是,现在随着数学和计算机技术的发展,貌似已经越来越可能了;至少今年verisign发布最新带ECC算法的证书时,就是提到了RSA可能被暴力的风险,来说明当前推出ECC的优越性。
这个从verisign上面对EV pro证书的介绍就可以看到。

我对密码学的认识还停留在十年前上课介绍的那点东西呢
一直以为RSA1024就是牢不可破的,没想到RSA4096都岌岌可危了

RSA 4096还没到岌岌可危的地步
除非计算理论出现重大突破,4k RSA key还是很保险的。但EC跟RSA比优势明显,就是key的长度短得多,结果就是SSL certificate的长度也短得多,想像一下像mail.google.com这种每天被访问几十亿次的网站,每次连接都要做SSL handshake,用2048的RSA key跟224的EC key相比,效果差不多,长度缩短了快1.8K,这是个很惊人的加速。

我国用的是ecc,椭圆曲线加密

本文免翻墙链接:谷歌镜像 | 亚马逊镜像

Shop Amazon Gift Cards - Perfect Gifts Anytime

相关日志

You are receiving this email because you subscribed to this feed at blogtrottr.com.

If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions

没有评论:

发表评论