破除加密系统 如何人不知鬼不觉地设置后门
发布时间:2022-05-11 09:20:35 所属栏目:安全 来源:互联网
导读:在密码学领域,秘密植入可窃听通信数据的后门是长期以来困扰众学者的噩梦,但这并不意味着密码学家们就不能欣赏破密者的解密艺术。时至今日,一组密码专家们就发表了一份针对多种弱化加密系统的方法的评估报告,报告显示:某些后门明显比其他更优良在隐匿性
 在密码学领域,秘密植入可窃听通信数据的“后门”是长期以来困扰众学者的噩梦,但这并不意味着密码学家们就不能欣赏破密者的解密艺术。时至今日,一组密码专家们就发表了一份针对多种弱化加密系统的方法的评估报告,报告显示:某些后门明显比其他更优良——在隐匿性、抵赖性,甚至保护受害者隐私不被其他后门植入者知晓的排他性方面。 在这份名为《偷偷弱化加密系统》(Surreptitiously Weakening Cryptographic Systems)的报告中,著名密码学家兼作家布鲁斯·施奈尔和来自威斯康星大学及华盛顿大学的研究员们从间谍的视角探讨加密艺术问题:哪种类型的内置后门监控是***的? 他们分析了近20年来加密系统中存在过的刻意或看起来非刻意的漏洞,并排了个序。结果显示(尽管很不乐意承认),美国国家安全局(NSA)最近的一种破密方法是***选择,不管是在有效性、隐匿监视性,还是在避免对互联网安全的连带伤害上。 举个例子,坏随机数字生成器。它能被很容易地植入到软件中,无须经过太多人的手,且一旦被发现,还能推脱成原生的编码错误而非蓄意后门。说到这个例子,研究人员指的是Debian SSL在2006年的一个实现,那里面有两行代码被注释掉了,直接移除了为系统加密产生足够随机数所需的“信息熵”来源。研究人员们承认,加密机制被破坏不是蓄意的,只是一个程序员试图避免被安全工具检出警告消息的结果。但这一漏洞仍然仅需一名码农就能造成,两年中都没被发现,并且发现这一漏洞的任何人都能导致Debian SSL加密系统的全面崩溃。 另一种类型,更加微妙的破坏加密系统的方法,研究人员称其为“实现脆弱性”,通常出现在复杂难懂的系统设计上,程序员们会在使用它们的软件中不可避免地留下可供利用的漏洞。“很多重要的标准,如互联网安全性协议(IPSec)、安全传输层协议(TLS)等,都令人遗憾地臃肿不堪、太过复杂、设计蹩脚……常常倚赖面向公共委员会的设计方法。复杂性也许是委员会设计模式的基本产物,但图谋不轨者也可以将公共开发进程导向脆弱的设计。”这种形式的破坏,一旦被发现,可以很容易地伪装成繁琐过程中的一个小失误。 不过,话题转向“可控性”——谁能利用你埋下的安全隐患——这个问题的时候,研究人员们果断将实现脆弱性和坏数字生成标成了“低”。使用坏随机数字生成器或者利用脆弱的加密实现机制的话,随便哪个有足够能力的密码专家发现了那个漏洞都可以利用它在你的目标上进进出出。“很明显,这类东西有些在连带伤害方面是灾难性的。”报告的共同作者,威斯康星大学计算机科学家托马斯·里斯滕帕特说。“如果你让一个破坏者在关键系统里留下了能被其他人利用的漏洞,那对客户的安全性而言就是灾难性的。” (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号