- 发帖可能变空内容,邪门暂不知所以然
- 『稷下学宫』新认证方式,24年网站打算和努力目标
主题:【原创】闲扯一下RSA受贿事件 -- 晨池
家园 【原创】闲扯一下RSA受贿事件 是闲扯,扯到哪里算哪里。好久没有在河里发主题贴了,怎么规矩不一样了?我想发到“信息软硬件”里头,版主方便就帮个忙
微薄上看到的,密码加密公司RSA收了美国一千万美元,在生成随机数的算法里面加入了后门。那这意思应该是说,RSA的不对称加密在老美面前就是裸奔了?
不对称加密是密码学的一个标志性进展,允许你保留私钥但是公开一个对应的公钥,任何人使用你的公钥加密一个文件以后,只有用你的私钥才能解密;同样,你用自己的私钥加密一个文件以后,别人可以通过公钥来解密验证,只有对应的公钥才能解密。这样的特性使得不对称密钥配合使用可以实现数字签名、数字鉴权等等很多非常重要的功能。比如比特币就是基于不对称密码的,如果这个消息属实,那也许意味着,老美可以随时收回任何人的所有比特币。因为你能持有、支付比特币的凭证就是你保留的一个“钱包”文件,这个文件,正是不对称密码的私钥,但是这个私钥对应的公钥是公开出去的,老美(NSA)如果想收回你的比特币,只要拿到你的公钥然后根据公钥通过算法中的后门计算出来你的私钥,然后把你的比特币转到他自己的账户里就可以了。
当然这个事情RSA也能干,当然如果RSA不对称加密其实是在裸奔之影响比特币的话那也太幸运了,其实现在计算机加密中不对称加密几乎无处不在,RSA又是使用最广泛的——其实我就知道这一家。那就意味着计算机加密都在裸奔?
粗略翻译一下:外链出处
下图很熟悉把?我以前就用过。
外链图片需谨慎,可能会被源头改一个密码后门直多少钱?如果你是NSA的话,直一千万美元。
感谢斯诺登吧,他在九月发布的文件中指出,RSA公司的不对称密码生成算法中被植入了NSA设置的人为缺陷。路透社报道 中指出,RSA公司收了NSA一千万美元以后植入了这些缺陷。
两个熟悉RSA的BSafe软件的人告诉路透社,RSA收了钱以后把NSA的加密公式设置成了BSafe软件中默认的密钥生成算法。
安全专家Bruce Schneier参与了对斯诺登泄密文件的分析,他说:“我们现在知道RSA受贿了,现在毫无疑问是不能信任他们的,但是以前他们却说什么把客户的安全放在第一位”。
RSA现在为存储公司EMC所拥有,和政府部门有长期的合作和瓜葛。在九十年代,这个公司还在阻止政府向电脑硬件添加一个用来监视所有电脑芯片的事情上出力很大。
它的加密算法也曾经被破解过:RSA-Conn VeriSign
但是这次的泄密更重要,Schneier说,因为这次泄密证实了以前对NSA的小伎俩的猜疑。
“你相信他们的历史上只会贿赂了这一家公司吗?”他说,“问题在于,我们根本不知道谁会参合进去。”
其他生产广泛使用的加密设备的公司,比如卖咖啡、赛门铁克、微软,你不知道谁没有被贿赂,也不知道谁值得信任。Schneier说。
RSA至今保持沉默,也没有回应路透的报道。
翻译完以后:
1、还是应该看看路透的原文才行,这则新闻透露的信息不够多,不能认定是否RSA算法就完全不可靠。
2、对信心的打击是最大的,RSA是名声很好也一直认为非常可靠的算法,尤其是1024位RSA不对称加密,现在恐怕不能那么信任了
3、原来RSA也马失前蹄过,居然VeriSign被破解了!VeriSign是Java代码加密的鉴权中心,如果VeriSign被破解了,意味着有可能你安装的一个手机Java软件即使是提示是你信任的公司出的其实完全可能是某邪恶山寨厂商出的恶意软件。
4、我觉得新闻有点言过其实,如果RSA已经被破解过,那么这次发现后门其实影响不会像我开始设想的那么大。也许RSA没有被破解过呢,因为从数学上说他们的算法确实不可能被破解,其次,如果RSA以前被破解过,那么现在很多加密系统为啥还用RSA呢,换个不行?
看完了路透原文,太长就不翻译了,一点新鲜的东西
1、有隐患的软件,现在能确认的只有BSafe,我真不知道这是什么。
2、RSA在事发以后强烈建议用户不要用默认的NSA算法——擦咧,不用建议用户也不会用了
3、这说明各种算法是有选项的,用户如果选择非默认算法就理论上可能不会出现漏洞,但是既然你的默认算法是NSA给的,那么不默认的算法我凭什么要相信呢?
4、RSA创建之初,中情局就注意到他们了,中情局担心RSA的加密无法破解。RSA算法早期研发领导人之一Martin Hellman说,中情局的人和他们联系过,要求他们不要把密钥弄的那么长。
5、事情是这样的,首先是NSA研发了一种产生随机数的算法叫做 Dual Elliptic Curve,然后RSA很快就在自己的软件里使用了这个算法来产生随机数,因为这个算法还没有被NIST批准,所以有些争议。这时NSA跳出说 Dual Elliptic Curve已经在美国政府当中广泛使用,所以是没问题的,于是就用了。但是仅仅一年时间就发现了很多这个算法导致的问题,密码学家Bruce Schneier说,这个算法问题太多了,以至于称它为后门可能更合适。在九月有报告声称RSA算法存在后门以后,RSA就开始强烈建议用户不要选择Dual Elliptic Curve算法来生成随机数。——如此说来,没有斯诺登什么事?还是那个九月的报告就是指斯诺登的文件?
这让我想起在大学上密码学的课程时候,老师给我们说:现在对称加密里128bit3DES是安全性得到认可的加密算法,也还没有发现这个算法有什么后门,但是,现在使用的这个算法和当初提出来的时候是不太一样的,不一样的地方很可能就是美国国家安全局修改的,虽然说各种研究还没有发现这个改动有什么问题,可是这毕竟是一个异常的情况,所以这个算法的可靠程度是受到强烈质疑的,也许你用暴力破解很久也无法解密,但是美国NSA很容易就可以解密呢?所以我国政府部门是不用这个加密算法的。
最后总结一下我的看法:
1、这事儿和老百姓没啥关系,咱的数据不加密也没人看,比如我的博客
2、计算机和网络加密是不会受到影响的,即使是某公司的重要数据,这些恐怕都不会入了NSA的法眼
3、不对称加密算法本身是没有问题的,受到影响的只有BSafe软件一个,有可能其他软件是有影响的,但是不对称加密算法本身是没有问题的。——比特币安全了,阿门
通宝推:李根,家园 这件事情和RSA算法没有关系,但是可能更危险 RSA算法出来好几十年了,基本上是认可其安全性的。缺点就是密钥长度太长了。有人提到4k-bit的RSA,可以肯定,这么长的密钥,应用是非常受限的。智能卡的应用,目前也就只定义到不到2Kbit。如果非要求用4kbit RSA级别的安全,肯定会用其他算法了。比如国内pboc 3.0,就定义了256-bit的椭圆曲线。但是,对于密码用户来说,椭圆曲线还是太新了,其算法以及实现的安全性都有待证明。NSA的这个做法,就不得不让人怀疑,他们可能比别人对该椭圆曲线知道更多的东西。随机数是安全的核心功能,各种安全协议都会用到大量的随机数。如果NSA在随机数发生器里有后门的话,很可能其产生的随机数是夹杂里某些关键信息的。这些信息混杂在随机数里。外人看上去就是随机数,NSA却可以从中提取关键信息。这就非常可怕了。
DES让人诟病的主要原因是,其Sbox的代数结构从未公开,是直接给的几张查找表;AES则完全公开。当然,经过这么多年的分析,大家的确没有发现什么漏洞。主要就是对其56-bit的密钥长度有意见,也许NSA认为当时这么长的密钥只有NSA的机器能够暴力破解吧。
PS,另外一个类似的奇葩就是咱们中国的SM4算法,sbox也只给了查找表,没有给出其代数结构和设计原理。当然了,大家都知道sbox的设计依赖非线性的特性。有了AES的先例,拿某个gf(2^8)的逆运算为基础来设计sbox有优良的特性。有人就去猜SM4的sbox必然是某个gf(2^8)加上一些简单运算。经过一些穷举,把SM4 sbox的代数结构就找到。
家园 歪个楼 兄台05年注册一共就发了两个贴,还有一个回给了我,太幸福了!你也是太能潜水啦
RSA密钥太长确实是问题,而且RSA好像解密的效率也很低。我记得是会用RSA来传递一个对称加密的密钥,这个对称加密的密钥尽量一次一密或者尽量提高加密强度。把RSA直接用来解密文件就有点效率太低了
当然要是数字签名,就没办法啦
椭圆曲线这个我还是刚刚在看新闻的时候才知道的,毕竟不是这方面的专业人士,只有一点当时上课的积累,我已经太落后了太落后了
家园 据说先前RSA也顽抗了 一阵,以致不少骨干跳槽 当然最后从了,卖了个好价钱。
家园 闲说一个自己相关的RSA加密 大约是2001年左右(前后两年吧,记不清不想查了),自己做了两款共享软件在网上卖。用的是序列号机制。其中一款序列号用的是一般加密算法,结果发布5天时间后,网上就有了生成序列号的注册机。当时RSA算法刚刚兴起,于是我就想尝试下。于是网上看了基本原理,找了个开源的RSA基本算法库(很基本,就是原理的直接应用,没有RSA公司用于藏猫腻的区区弯弯),再稍加修改,就应用到下一款软件的序列号机制中了。记得当时生成的密匙位数较低(受限于算法库的位数,也不想花时间改进了)。然后,大约是半年左右才出现注册机。
由此,感觉RSA算法还比较行。后来在考虑一个版权保护软件项目时有想正式使用RSA算法,当时RSA公司已经申请了相关版权,于是还和RSA公司做了初步联系。当时咨询授权价格,RSA公司回答说要报项目应用的细节然后才给报价,当时觉得麻烦就没有再联系了。
家园 RSA算法的专利 RSA算法的专利在2000年就失效了。如果需要用,自己写一个也可以。倒是Phil Zimmermann创建的PGP, 当时的确是侵犯了RSA的专利。
家园 NSA提供了三个密钥生成算法中的一个。这一千万应该是 给RSA把NSA的算法设成默认
家园 震惊了。NSA竟然没有完全破解。。。 当初我老师的阴谋论是,每个加密算法都是NSA破解后才被广泛推广的。。。
家园 NSA 要不这样做,水平还不如你这个老师了
家园 DES的问题是被称作S-Box的替换矩阵被NSA建议修改 应该是70年代,IBM刚搞出来的时候,就根据NSA的提议对S-Box做了修改,但未说明原因,所以一直有争议说是后门。不过90年代初差分分析被公开学术界发现后,证明那个修改是为了对抗可能的差分分析。