加密通信可能具有无法检测到的后门

研究人员警告说在现有密码系统中使用标准化或硬编码的素数

研究人员再次表明,使用1024位加密密钥是一个坏主意。
Thinkstock

研究人员警告说,当今用于保护互联网通信安全的许多1024位密钥可能基于素数,而素数却以一种无法察觉的方式故意后门。

许多用于保护Internet上的Web,电子邮件,VPN,SSH和其他类型的连接安全的公钥加密算法都是从离散对数的数学复杂性中获得优势的-无法有效地计算大素数组的离散对数使用经典方法完成。这就是使破解强加密在计算上不可行的原因。

大多数密钥生成算法都依赖于主要参数,这些参数的生成被认为是随机的。但是,许多参数已经标准化,并且已在流行的加密算法(例如Diffie-Hellman和DSA)中使用,而用于生成它们的种子却从未发布过。例如,这使得无法判断素数是否被有意地“后门”了-选择它们以简化破解加密通常所需的计算。

宾夕法尼亚大学,INRIA,CNRS和洛林大学的研究人员最近发表了论文 一篇论文 他们在其中说明了为什么缺乏加密透明性会带来问题,并且可能意味着当今使用的许多加密密钥都是基于后门素数,除了创建它们的人之外,其他任何人都不知道。

为了证明这一点,研究人员创建了后门的1024位Diffie-Hellman素数,并表明解决离散对数问题要比真正随机的问题容易几个数量级。

研究人员在论文中说:“目前对1024位离散日志的估计通常表明,对于负担得起数亿美元专用硬件的对手来说,这种计算可能在范围之内。” “相比之下,我们能够在两个月的学术集群中,对一个特殊的陷阱素数执行离散的对数计算。”

问题是,对于一个不了解后门的人来说,证明素数首先被困住是几乎不可能的。

“实施者几乎普遍无法使用可验证的素数生成实践,这意味着在实践中使用弱素数将是无法检测到的,也不太可能引起人们的注意。”

这在概念上类似于 Dual_EC随机数生成器中找到后门,据信是由美国国家安全局推出的。但是,找到后门要容易得多,与Diffie-Hellman或DSA不同,Dual_EC从未得到广泛采用。

Diffie-Hellman临时(DHE)正在慢慢取代RSA,将其作为TLS中的首选密钥交换算法,这是因为其完美的前向保密性,即使将来密钥被泄露,它也可以确保过去的通信安全。但是,使用后门素数会破坏该安全性好处。

此外,尽管美国国家标准技术研究院建议自2010年起过渡到更大的密钥大小,但1024位密钥仍在网上广泛使用。 SSL Pulse项目,在互联网上前14万个启用HTTPS的网站中,有22%使用1024位密钥。

研究人员说:“我们的结果再次提醒我们:基于离散对数的硬度,对于加密系统的安全性,应认为1024位素数是不安全的。” “对于后门素数进行离散对数计算仅是可行的,因为它具有1024位大小,而针对这种类型的任何后门,最有效的保护措施始终是使用无法进行任何计算的密钥大小。”

研究人员估计,即使使用后门素数,对2048位密钥执行类似的计算也将比对1024位密钥进行困难1600万倍的计算,并且在未来许多年中仍将不可行。研究人员说,立即的解决方案是切换到2048位密钥,但是将来所有标准素数都应与其种子一起发布。

美国国家安全局前承包商爱德华·斯诺登(Edward Snowden)在2013年泄露的文件表明,该机构具有解密大量VPN流量的能力。去年,一组研究人员推测其原因是少数固定或标准化素数在实践中的广泛使用。

研究人员说:“对单个1024位组执行预计算将允许在18%的流行HTTPS站点上进行被动窃听,而第二组将允许对66%的IPsec VPN和26%SSH服务器的流量进行解密。” 他们当时的论文。 “仔细阅读已发布的NSA漏洞,可以发现该机构对VPN的攻击与这种突破是一致的。”

有关:

版权© 2016 IDG通讯,Inc.