后门之王:谈一谈加密算法中的数学后门

2024-03-14 20:58

本文主要是介绍后门之王:谈一谈加密算法中的数学后门,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!





政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。


在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。


上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。


演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。


两位法国密码学家解释道:“在不知道我们后门的情况下,BEA-1成功通过了所有统计检验和密码分析,NIST和NSA都正式考虑进行加密验证了。尤其是,BEA-1算法(80位块大小,120位密钥,11轮加密)本就是为抵御线性和差分密码分析而设计的。我们的算法在2017年2月公开,没人证明该后门可被轻易检测到,也没人展示过其利用方法。”


他们是如何做到的


黑帽大会的演讲中,菲利奥尔和般涅尔公开了该有意设置的后门,演示了如何利用该后门以区区600KB数据(300KB明文+300KB密文),在10秒钟内恢复出120位的密钥。这就是个概念验证,还有更复杂的后门可以被构造出来。


往算法中插入后门,和检测并证明后门的存在之间,在数学上是非常不对称的。也就是说,我们必须创建某种概念上的单向函数。


菲利奥尔研究加密算法数学后门多年,今年早些时候还发表了一篇关于块加密算法潜在问题的论文。


为什么即便在研究领域,数学也不流行


研究数学后门非常困难,吸引不了需要在时髦话题上频繁发表论文的研究人员。此类研究基本上也就是在情报机构(GCHQ、NSA等)的研发实验室做做,而且更多是后门的设计而非检测。


斯诺登爆料NSA花1000万美元,让 RSA Security 在其加密工具集中,默认使用脆弱的双椭圆曲线随机数生成算法(Dual_EC_DRBG)。这就展现出数学后门,或者设计后门,不只存在于理论上,而是很现实的东西。并且,Dual_EC_DRBG不是个案。


数学后门的例子有很多,但只有少数几个为人所知。


我确信所有出口版加密系统都会以某种方式嵌入后门,这直接违反了《瓦森纳协定》。Crypto AG(瑞士通信及信息安全公司)出口的加密机中含有NSA的后门就是个绝佳案例。其他不那么出名的例子还有一些。


有多少数学后门存在?


我们很难确知实现后门和数学后门的普遍程度和重要性。证明后门的存在是个很困难的数学问题。但分析国际规则就能很清楚地看出,至少出口的加密设备/技术中是有后门的。更令人担忧的是,大众监视的环境下,国内使用的加密技术中会不会也有后门?


那么,同行审查能不能免除数学后门呢?


菲利奥尔表示,这恐怕需要改革:


能够证明安全的“防御”远比能够证明不安全的“攻击”要难实现得多。最大的问题在于,学术上对安全证明困难度的忽视,造成我们都把“没有证据证明不安全”,直接当成了“安全的证据”


攻击者不会把自己能做的所有事都公布出来,尤其是在情报机构势力庞大的密码学方面。于是,专家和学术研究界只能参考已知的攻击案例。想象一下NSA这种40年来随时有300名最聪明的数学家为其服务的机构能产出什么?那就是整套数学知识全集啊!


菲利奥尔还认为,作为行业标准被广泛审查过的AES算法,也未必安全,虽然他并没有证据证明该算法不安全


即便我不能证明AES有漏洞,但也没人能证明这算法里就没有漏洞。老实说,美国会提供一个够安全的军用级加密算法而不施以任何形式的控制?反正我是不信的


AES竞赛本就是由NIST组织的,还有NSA的技术支持(这都是众所周知的了)。在恐怖主义威胁甚嚣尘上的时代,美国才不会蠢到不去筹备作为常规武器“对策”的东西呢。像美国、英国、德国、法国等有点儿体面的国家,都不会在有高安全需求的事务上使用外国算法。他们强制使用国产产品和标准——从算法到其实现。


加密算法的选择、分析和标准化方式都需要改革。这得是个主要由开放密码社区驱动的,完全开放的过程。


政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。


在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。


上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。


演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。


两位法国密码学家解释道:“在不知道我们后门的情况下,BEA-1成功通过了所有统计检验和密码分析,NIST和NSA都正式考虑进行加密验证了。尤其是,BEA-1算法(80位块大小,120位密钥,11轮加密)本就是为抵御线性和差分密码分析而设计的。我们的算法在2017年2月公开,没人证明该后门可被轻易检测到,也没人展示过其利用方法。”


他们是如何做到的


黑帽大会的演讲中,菲利奥尔和般涅尔公开了该有意设置的后门,演示了如何利用该后门以区区600KB数据(300KB明文+300KB密文),在10秒钟内恢复出120位的密钥。这就是个概念验证,还有更复杂的后门可以被构造出来。


往算法中插入后门,和检测并证明后门的存在之间,在数学上是非常不对称的。也就是说,我们必须创建某种概念上的单向函数。


菲利奥尔研究加密算法数学后门多年,今年早些时候还发表了一篇关于块加密算法潜在问题的论文。


为什么即便在研究领域,数学也不流行


研究数学后门非常困难,吸引不了需要在时髦话题上频繁发表论文的研究人员。此类研究基本上也就是在情报机构(GCHQ、NSA等)的研发实验室做做,而且更多是后门的设计而非检测。


斯诺登爆料NSA花1000万美元,让 RSA Security 在其加密工具集中,默认使用脆弱的双椭圆曲线随机数生成算法(Dual_EC_DRBG)。这就展现出数学后门,或者设计后门,不只存在于理论上,而是很现实的东西。并且,Dual_EC_DRBG不是个案。


数学后门的例子有很多,但只有少数几个为人所知。


我确信所有出口版加密系统都会以某种方式嵌入后门,这直接违反了《瓦森纳协定》。Crypto AG(瑞士通信及信息安全公司)出口的加密机中含有NSA的后门就是个绝佳案例。其他不那么出名的例子还有一些。


有多少数学后门存在?


我们很难确知实现后门和数学后门的普遍程度和重要性。证明后门的存在是个很困难的数学问题。但分析国际规则就能很清楚地看出,至少出口的加密设备/技术中是有后门的。更令人担忧的是,大众监视的环境下,国内使用的加密技术中会不会也有后门?


那么,同行审查能不能免除数学后门呢?


菲利奥尔表示,这恐怕需要改革:


能够证明安全的“防御”远比能够证明不安全的“攻击”要难实现得多。最大的问题在于,学术上对安全证明困难度的忽视,造成我们都把“没有证据证明不安全”,直接当成了“安全的证据”。


攻击者不会把自己能做的所有事都公布出来,尤其是在情报机构势力庞大的密码学方面。于是,专家和学术研究界只能参考已知的攻击案例。想象一下NSA这种40年来随时有300名最聪明的数学家为其服务的机构能产出什么?那就是整套数学知识全集啊!


菲利奥尔还认为,作为行业标准被广泛审查过的AES算法,也未必安全,虽然他并没有证据证明该算法不安全。


即便我不能证明AES有漏洞,但也没人能证明这算法里就没有漏洞。老实说,美国会提供一个够安全的军用级加密算法而不施以任何形式的控制?反正我是不信的


AES竞赛本就是由NIST组织的,还有NSA的技术支持(这都是众所周知的了)。在恐怖主义威胁甚嚣尘上的时代,美国才不会蠢到不去筹备作为常规武器“对策”的东西呢。像美国、英国、德国、法国等有点儿体面的国家,都不会在有高安全需求的事务上使用外国算法。他们强制使用国产产品和标准——从算法到其实现。


加密算法的选择、分析和标准化方式都需要改革。这得是个主要由开放密码社区驱动的,完全开放的过程。


http://mp.weixin.qq.com/s/7r-CBA6VLvSrlayMEVqYzA


政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。


在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。


上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。


演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。


两位法国密码学家解释道:“在不知道我们后门的情况下,BEA-1成功通过了所有统计检验和密码分析,NIST和NSA都正式考虑进行加密验证了。尤其是,BEA-1算法(80位块大小,120位密钥,11轮加密)本就是为抵御线性和差分密码分析而设计的。我们的算法在2017年2月公开,没人证明该后门可被轻易检测到,也没人展示过其利用方法。”


他们是如何做到的


黑帽大会的演讲中,菲利奥尔和般涅尔公开了该有意设置的后门,演示了如何利用该后门以区区600KB数据(300KB明文+300KB密文),在10秒钟内恢复出120位的密钥。这就是个概念验证,还有更复杂的后门可以被构造出来。


往算法中插入后门,和检测并证明后门的存在之间,在数学上是非常不对称的。也就是说,我们必须创建某种概念上的单向函数。


菲利奥尔研究加密算法数学后门多年,今年早些时候还发表了一篇关于块加密算法潜在问题的论文。


为什么即便在研究领域,数学也不流行


研究数学后门非常困难,吸引不了需要在时髦话题上频繁发表论文的研究人员。此类研究基本上也就是在情报机构(GCHQ、NSA等)的研发实验室做做,而且更多是后门的设计而非检测。


斯诺登爆料NSA花1000万美元,让 RSA Security 在其加密工具集中,默认使用脆弱的双椭圆曲线随机数生成算法(Dual_EC_DRBG)。这就展现出数学后门,或者设计后门,不只存在于理论上,而是很现实的东西。并且,Dual_EC_DRBG不是个案。


数学后门的例子有很多,但只有少数几个为人所知。


我确信所有出口版加密系统都会以某种方式嵌入后门,这直接违反了《瓦森纳协定》。Crypto AG(瑞士通信及信息安全公司)出口的加密机中含有NSA的后门就是个绝佳案例。其他不那么出名的例子还有一些。


有多少数学后门存在?


我们很难确知实现后门和数学后门的普遍程度和重要性。证明后门的存在是个很困难的数学问题。但分析国际规则就能很清楚地看出,至少出口的加密设备/技术中是有后门的。更令人担忧的是,大众监视的环境下,国内使用的加密技术中会不会也有后门?


那么,同行审查能不能免除数学后门呢?


菲利奥尔表示,这恐怕需要改革:


能够证明安全的“防御”远比能够证明不安全的“攻击”要难实现得多。最大的问题在于,学术上对安全证明困难度的忽视,造成我们都把“没有证据证明不安全”,直接当成了“安全的证据”。


攻击者不会把自己能做的所有事都公布出来,尤其是在情报机构势力庞大的密码学方面。于是,专家和学术研究界只能参考已知的攻击案例。想象一下NSA这种40年来随时有300名最聪明的数学家为其服务的机构能产出什么?那就是整套数学知识全集啊!


菲利奥尔还认为,作为行业标准被广泛审查过的AES算法,也未必安全,虽然他并没有证据证明该算法不安全。


即便我不能证明AES有漏洞,但也没人能证明这算法里就没有漏洞。老实说,美国会提供一个够安全的军用级加密算法而不施以任何形式的控制?反正我是不信的


AES竞赛本就是由NIST组织的,还有NSA的技术支持(这都是众所周知的了)。在恐怖主义威胁甚嚣尘上的时代,美国才不会蠢到不去筹备作为常规武器“对策”的东西呢。像美国、英国、德国、法国等有点儿体面的国家,都不会在有高安全需求的事务上使用外国算法。他们强制使用国产产品和标准——从算法到其实现。


加密算法的选择、分析和标准化方式都需要改革。这得是个主要由开放密码社区驱动的,完全开放的过程。

这篇关于后门之王:谈一谈加密算法中的数学后门的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/809706

相关文章

uva 10014 Simple calculations(数学推导)

直接按照题意来推导最后的结果就行了。 开始的时候只做到了第一个推导,第二次没有继续下去。 代码: #include<stdio.h>int main(){int T, n, i;double a, aa, sum, temp, ans;scanf("%d", &T);while(T--){scanf("%d", &n);scanf("%lf", &first);scanf

uva 10025 The ? 1 ? 2 ? ... ? n = k problem(数学)

题意是    ?  1  ?  2  ?  ...  ?  n = k 式子中给k,? 处可以填 + 也可以填 - ,问最小满足条件的n。 e.g k = 12  - 1 + 2 + 3 + 4 + 5 + 6 - 7 = 12 with n = 7。 先给证明,令 S(n) = 1 + 2 + 3 + 4 + 5 + .... + n 暴搜n,搜出当 S(n) >=

uva 11044 Searching for Nessy(小学数学)

题意是给出一个n*m的格子,求出里面有多少个不重合的九宫格。 (rows / 3) * (columns / 3) K.o 代码: #include <stdio.h>int main(){int ncase;scanf("%d", &ncase);while (ncase--){int rows, columns;scanf("%d%d", &rows, &col

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

数学建模笔记—— 非线性规划

数学建模笔记—— 非线性规划 非线性规划1. 模型原理1.1 非线性规划的标准型1.2 非线性规划求解的Matlab函数 2. 典型例题3. matlab代码求解3.1 例1 一个简单示例3.2 例2 选址问题1. 第一问 线性规划2. 第二问 非线性规划 非线性规划 非线性规划是一种求解目标函数或约束条件中有一个或几个非线性函数的最优化问题的方法。运筹学的一个重要分支。2

CSP-J基础之数学基础 初等数论 一篇搞懂(一)

文章目录 前言声明初等数论是什么初等数论历史1. **古代时期**2. **中世纪时期**3. **文艺复兴与近代**4. **现代时期** 整数的整除性约数什么样的整数除什么样的整数才能得到整数?条件:举例说明:一般化: 判断两个数能否被整除 因数与倍数质数与复合数使用开根号法判定质数哥德巴赫猜想最大公因数与辗转相除法计算最大公因数的常用方法:举几个例子:例子 1: 计算 12 和 18

2024年AMC10美国数学竞赛倒计时两个月:吃透1250道真题和知识点(持续)

根据通知,2024年AMC10美国数学竞赛的报名还有两周,正式比赛还有两个月就要开始了。计划参赛的孩子们要记好时间,认真备考,最后冲刺再提高成绩。 那么如何备考2024年AMC10美国数学竞赛呢?做真题,吃透真题和背后的知识点是备考AMC8、AMC10有效的方法之一。通过做真题,可以帮助孩子找到真实竞赛的感觉,而且更加贴近比赛的内容,可以通过真题查漏补缺,更有针对性的补齐知识的短板。

一些数学经验总结——关于将原一元二次函数增加一些限制条件后最优结果的对比(主要针对公平关切相关的建模)

1.没有分段的情况 原函数为一元二次凹函数(开口向下),如下: 因为要使得其存在正解,必须满足,那么。 上述函数的最优结果为:,。 对应的mathematica代码如下: Clear["Global`*"]f0[x_, a_, b_, c_, d_] := (a*x - b)*(d - c*x);(*(b c+a d)/(2 a c)*)Maximize[{f0[x, a, b,

2024年高教社杯数学建模国赛最后一步——结果检验-事关最终奖项

2024年国赛已经来到了最后一天,有必要去给大家讲解一下,我们不需要过多的去关注模型的结果,因为模型的结果的分值设定项最多不到20分。但是如果大家真的非常关注的话,那有必要给大家讲解一下论文结果相关的问题。很多的论文,上至国赛优秀论文下至不获奖的论文并不是所有的论文都可以进行完整的复现求解,大部分数模论文都为存在一个灰色地带。         白色地带即认为所有的代码均可运行、公开

CSP-J基础之数学基础 初等数论 一篇搞懂(二)

文章目录 前言算术基本定理简介什么是质数?举个简单例子:重要的结论:算术基本定理公式解释:举例: 算术基本定理的求法如何找出质因数:举个简单的例子: 重要的步骤:C++实现 同余举个例子:同余的性质简介1. 同余的自反性2. 同余的对称性3. 同余的传递性4. 同余的加法性质5. 同余的乘法性质 推论 总结 前言 在计算机科学和数学中,初等数论是一个重要的基础领域,涉及到整数