研究人員警告，當(dāng)今互聯(lián)網(wǎng)上許多用來保護(hù)通信的1024位密鑰，其基于的質(zhì)數(shù)能夠以無法檢測(cè)的方式埋下后門。

網(wǎng)站、電子郵件、VPN、SSH，以及其他網(wǎng)絡(luò)連接使用著許多公鑰加密算法，其難于破解的特性來自于離散對(duì)數(shù)的數(shù)學(xué)復(fù)雜性。使用傳統(tǒng)的方法不能有效地計(jì)算大質(zhì)數(shù)群組的離散對(duì)數(shù)，因此想要破解強(qiáng)加密，在計(jì)算實(shí)現(xiàn)上不大行得通。

大多數(shù)密鑰生成算法都基于可驗(yàn)證的隨機(jī)產(chǎn)生的質(zhì)數(shù)參數(shù)。然而，很多參數(shù)卻是標(biāo)準(zhǔn)化的，Diffie-Hellman和DSA之類流行加密算法一直在使用這些參數(shù)，卻從未公布過用來產(chǎn)生它們的種子。這就根本無法分辨這些質(zhì)數(shù)有沒有被故意植入了“后門”——有意選擇那些可以減省破密所需計(jì)算量的質(zhì)數(shù)。

來自賓夕法尼亞大學(xué)、法國(guó)國(guó)家信息與自動(dòng)化研究所(INRIA)、法國(guó)國(guó)家科學(xué)研究院(CNRS)和洛林大學(xué)的研究人員發(fā)表了一篇論文，揭示了為什么該密碼透明性的缺乏是有問題的，且可能意味著當(dāng)前使用的很多密鑰都是基于有后門的質(zhì)數(shù)——除了其創(chuàng)造者，沒人知道后門的存在。

為證明這一點(diǎn)，研究人員創(chuàng)建了一個(gè)帶后門的1024位 Diffie-Hellman 質(zhì)數(shù)，并演示了解決這個(gè)質(zhì)數(shù)的離散對(duì)數(shù)問題，比解決真正隨機(jī)質(zhì)數(shù)的離散對(duì)數(shù)問題，要簡(jiǎn)單好幾個(gè)數(shù)量級(jí)。

研究人員在論文中說道：“目前對(duì)普通1024位離散對(duì)數(shù)問題的估算顯示，此類計(jì)算可能需要數(shù)億美元的特殊硬件支持。相反，對(duì)一個(gè)特意做了陷阱的質(zhì)數(shù)做離散對(duì)數(shù)計(jì)算，我們用學(xué)校的機(jī)群算了2個(gè)月就算出來了。”

問題在于：對(duì)不知道后門的人而言，要證明質(zhì)數(shù)被設(shè)了陷阱幾乎是不可能的。

加密算法實(shí)現(xiàn)者在采用可驗(yàn)證質(zhì)數(shù)產(chǎn)生機(jī)制上的普遍失敗，意味著弱質(zhì)數(shù)的使用實(shí)際上是不可檢測(cè)的，也不太可能引起關(guān)注。

這在概念上與雙橢圓曲線(Dual_EC)隨機(jī)數(shù)生成器里發(fā)現(xiàn)的后門很類似。該后門被懷疑是美國(guó)國(guó)家安全局故意引入的。不過，那個(gè)后門好找得多，而且，不像 Diffie-Hellman 或DSA，Dual_EC從未被廣泛采納。

由于其完美的向前保密屬性能在密鑰失竊時(shí)保住過往通信安全，瞬時(shí)Diffie-Hellman算法(DHE)，正慢慢取代RSA算法作為TLS協(xié)議中的密鑰交換算法。然而，帶后門質(zhì)數(shù)的使用，可能會(huì)讓這一安全優(yōu)勢(shì)毀于一旦。

更糟的是，盡管美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)2010年起就在建議采用更高密鑰位數(shù)，1024位密鑰依然在網(wǎng)上廣泛使用。據(jù) SSL Pulse 項(xiàng)目所言，互聯(lián)網(wǎng)140000個(gè)頂級(jí)HTTPS網(wǎng)站中有22%使用的是1024位的密鑰。

基于離散對(duì)數(shù)破解困難性的加密系統(tǒng)，應(yīng)將1024位質(zhì)數(shù)的使用看做不安全因素。論文中針對(duì)帶后門質(zhì)數(shù)的離散對(duì)數(shù)計(jì)算，僅適用于1024位大小，針對(duì)此類后門的最有效防護(hù)，就是總是采用任何計(jì)算都不適用的密鑰位數(shù)大小。

研究人員估測(cè)，對(duì)2048位密鑰進(jìn)行類似計(jì)算，即便采用帶后門的質(zhì)數(shù)，也會(huì)比對(duì)1024位密鑰要難上1600萬倍，很多年后都不可行。當(dāng)前解決方案，就是切換成2048位密鑰，但在未來，所有標(biāo)準(zhǔn)化質(zhì)數(shù)都應(yīng)當(dāng)連同其種子一起公布。

前NSA雇員愛德華·斯諾登在2013年揭秘的文件顯示，該間諜機(jī)構(gòu)有能力解密大量VPN流量。去年，一組研究人員猜測(cè)，個(gè)中原因，可能就是一小撮固定或標(biāo)準(zhǔn)化質(zhì)數(shù)組在實(shí)踐中的廣泛使用。

那個(gè)時(shí)候，研究人員在論文中寫道：“對(duì)一個(gè)1024位質(zhì)數(shù)組進(jìn)行預(yù)計(jì)算，可能會(huì)導(dǎo)致18%的流行HTTPS網(wǎng)站被被動(dòng)監(jiān)聽；第二組被預(yù)計(jì)算，則會(huì)讓66%的 IPSec VPN 和26%的SSH服務(wù)器流量被解密。對(duì)NSA泄露文件的精密解讀顯示，該機(jī)構(gòu)對(duì)VPN的攻擊，符合其在這方面有了成功突破的表現(xiàn)。”