[轉帖]解密NSA真正的竊聽技術

解密NSA真正的竊聽技術

2013年，多虧前國家安全局員工愛德華·斯諾登（Edward Snowden）曝光了“棱鏡”項目，讓我們知道了美國國家安全局（NSA）能夠破解網際網路上使用的一些強加密算法，攔截基于VPN、SSH和HTTPS的數萬億通信連接配接，閱讀數全球數百萬計的私人電子郵件。

2015年，亞曆克斯·哈德曼（Alex Halderman）和納蒂亞·赫甯格（Nadia Heninger）上司的研究小組在ACM計算機和通信安全學術會議上發表了名為《不完美的前向安全：迪菲-赫爾曼算法的失敗》的論文。文中稱，NSA已經破解了迪菲-赫爾曼密鑰交換（DH）算法的通用實作，并得以竊聽大量的HHTPS、SSH、VPN連接配接。

DH算法通常用于在非可信通道中交換秘鑰，由于完全破解該算法所需要的時間可能長達數百甚至上千年，它被公衆認為是防止NSA和其它國家機構進行竊聽的一種技術手段。舉例而言，破解1024位DH算法中使用的秘鑰大概需要一年時間和數百萬美金的花費。

然而，研究者們在論文中稱，DH算法中常用的素數隻有少數幾個。Alexa排名前100萬的HTTPS域名中大約有92%一緻使用了DH算法中的兩個素數，這可能會促使NSA預先破解這兩個大素數，并通過這些伺服器竊聽全球幾乎所有的網際網路流量。考慮到NSA高達110美金的年度預算，這可能會讓NSA能夠承受破解的成本，實作所謂“突破性的分析能力”。

而且，由于隻有幾個廣泛使用的素數，解密它們得到的收益将非常巨大。隻破解一個1024位素數就可以讓NSA友善地通路全球三分之二的VPN和四分之一的SSH伺服器。若破解第二個1024位素數，NSA的竊聽範圍就可以覆寫Alexa HTTPS網站排名前一百萬的20%。換句話說，NSA隻要對大規模計算項目投資一次，就可以竊聽到數以萬億計的加密連接配接。

如今，來自賓夕法尼亞大學，法國國家資訊與自動化研究所（INRIA），法國國家科學研究所（INRIA）以及洛林大學的研究人員已經從實際上證明了美國國家安全局破解加密連接配接的方法。

Diffie-Hellman密鑰交換協定/算法(Diffie-Hellman KeyExchange/Agreement Algorithm)是一種確定共享KEY安全穿越不安全網絡的方法，允許協定（如HTTPS，SSH，VPN， SMTPS 和IPsec）協商一個密鑰并建立一個安全連接配接。

因為應用程式依賴diffie - hellman密鑰交換算法生成臨時密鑰使用了大量素數，完全破解該算法所需要的時間可能長達數百甚至上千年，是以想要解密安全通信所需的花費也是無法想象的。例如，破解1024位DH算法中使用的秘鑰大概需要一年時間和數百萬美金的花費。

然而，現在安全研究人員隻花費了2個月時間和3000個cpu就成功破解了一個1024位的密鑰，這可能幫助他們破解數萬億的基于 HTTPS的通信協定及其他安全傳輸層協定管道。

你可能會想，這些安全研究人員是如何使用如今的計算硬體完成實際需要數百年才能完成的事情。本周二，研究人員發表一份研究論文中解釋道，雖然diffie - hellman算法本身不包含任何後門，但是通過植入“陷阱門素數”就能被動解密加密通信，陷阱門是加密學中的後門，建構陷阱門可以讓因式分解變得更簡單。

此外，diffie - hellman算法選擇運用的密鑰大小（即小于或等于1024位）也是至關重要的。

研究人員建立了一個弱1024位diffie -hellman陷門函數，即從預定義組中随機選取大素數，事實表明，解決加強其安全性的離散對數問題要容易10000倍。

研究人員在研究報告中寫道：“目前總體上對1024位離散對數的估計表明，這種運算的可能範圍是那些能夠承擔數億美元專用硬體的群體。”

是以，進階黑客或是資源充足的機構知道素數是如何生成陷門函數的事實，想要解密1024位安全通信進而解讀離散對數以實作破解數億Diffie-Hellman加密通信的終極目标。NSA或類似機構如果能讓主流加密規格采用一個或多個陷阱門素數，那麼它們就能夠輕松的監視數以百萬計的加密通信。

研究人員還估計，對2048位密鑰進行類似的計算，即使是有陷阱門素數可能也需要花費比破解1024位密鑰多1600萬倍的努力，可能在未來今年内仍将是不可行的。

其實，美國國家标準與技術研究院（NIST）早在2010年就推薦将密鑰長度從1024位增加到2048位，但1024位密鑰仍然被廣泛使用，調查發現，Top 200,000 HTTPS網站中有22%使用1024位密鑰去執行密鑰交換。Java 8不支援長度超過1024位的密鑰。

是以，想要立竿見影地解決此問題的方法就是将2048位密鑰切換為4096位，但是，根據研究人員介紹，所有标準化素數應該與其種子一同釋出。

用于diffie - hellman密鑰交換算法的陷阱門素數（backdooring primes ）與在雙橢圓曲線确定性随機比特生成器中發現的名為“Dual_EC_DRBG”幾乎相同，它也被認為是由美國國家安全局提出的。

2006年，美國NIST釋出一項關于随機數生成方法的标準建議SP800-90A，其标題為《使用确定性随機比特生成器的随機數生成方法建議》，建議中包含了4種随機數生成方法，其中一種就是Dual_EC_DRBG。

2007年，來自微軟的Dan Shumow和Niels Ferguson 在一個密碼學國際會議上質疑Dual_EC_DRBG存在後門，他們表示在給定的點參數下随機數輸出是可以預測的。2007年11月，著名安全專家Bruce Schneier在​​http://Wired.com​​網站發表文章懷疑後門是由美國情報機構NSA故意引入的。此後，Dual_EC_DRBG算法被微軟公司應用于Windows Vista 、Windows7、 Windows8等作業系統。在此階段，Dual_EC_DRBG算法的後門問題僅為專業人士關注，對其安全性的質疑并沒有影響Dual_EC_DRBG算法的推廣和應用。

2013年6月，美國國家安全局爆發“棱鏡門”事件，9月The New York Times（《紐約時報》）發表文章稱根據斯諾登提供的資料，NSA在Dual_EC_DRBG算法中植入了後門，路透社則發表文章稱NSA秘密向知名安全技術公司RSA支付費用，以支援将Dual_EC_DRBG算法作為BSAFE産品的預設随機數源。Dual_EC_DRBG算法的安全性問題才廣為關注。