加密通信可能有一个无法察觉的后门
研究人员警告说,今天用于保护互联网通信的许多1024位钥匙可能基于以未定检测的方式故意回理的素数。
许多用于保护网站,电子邮件,VPN,SSH和Internet的其他类型连接的许多公钥加密算法从离散对数的数学复杂度导出它们的实力 - 计算大型素数组的计算离散对数不能有效使用古典方法完成。这是构成强烈加密的原因,计算地不切实际。
大多数关键代算法依赖于原始参数,其生成应该是可判断随机的。然而,许多参数已经标准化,并且正在使用Diffie-Hellman和DSA的流行的加密算法中,而没有用于生成曾经发布的种子。这使得可以判断例如Primes是否被故意“回溯” - 选择以简化通常需要裂解加密的计算。
宾夕法尼亚州大学的研究人员,CNRS和UniversitédeLorraine最近发表了一篇论文,他们展示了为什么这种缺乏加密透明度是有问题的,这可能意味着今天使用的许多加密密钥都基于没有任何人的回归巡回队员 - 除了那些谁创造了他们 - 知道。
为了证明这一点,研究人员创建了一个回溯的1024位Diffie-Hellman序列,并显示了解决离散的日志问题,而不是真正随机的数量级。
“一般而言,1024位离散登录的当前估计表明,这些计算可能在一个能够提供资助数亿美元的专用硬件的对手的范围内,”研究人员在纸上说。“相比之下,我们能够在学术集群的两个月内专门陷入特殊的陷入困境的素数来执行离散的日志计算。”
问题是,对于那些没有关于后门了解的人,证明素数一直陷入困境,这几乎是不可能的。
“近乎普遍失效的实施者使用可验证的主要生成实践意味着在实践中使用弱素质将无法察觉,而不太可能提高眉毛。”
这在概念上类似于Dual_ec随机数发生器中发现的后门,这些后门被认为已被美国国家安全局引入。然而,后台可以更容易地找到,与Diffie-Hellman或DSA不同,Dual_ec从未收到过广泛的采用。
Diffie-Hellman星期六(DHE)正在缓慢地替换RSA作为TLS中首选的关键交换算法,因为它的完美秘密属性,即使将来的钥匙遭到危险,也应该通过它来保持过去的通信。但是,使用后卫的素数将破坏安全福利。
此外,尽管美国国家标准和技术研究所推荐自2010年以来,但是,尽管美国国家标准和技术研究所仍然广泛使用1024位密钥。根据SSL脉冲项目,22%的互联网上的140,000个HTTPS的网站使用1024位键。
研究人员表示,“我们的结果是另一个提醒人们应该被认为是1024位兴奋剂,即基于离散对伐西的硬度的密码系统的安全性。”“由于1024位尺寸,我们回溯主要素数的离散对数计算是可行的,并且对这种类型的任何后门的最有效保护一直是使用任何计算不可行的关键尺寸。”
研究人员估计,即使使用后托的键对2048位键进行类似的计算,比1024位钥匙更难,这将是比1024位钥匙更难以置信的。研究人员表示,即时解决方案是切换到2048位键,但在未来,所有标准化的素数应与其种子一起发布。
2013年由前NSA承包商Edward Snowden泄露的文件表明,该机构能够解密大量的VPN流量。去年,一群研究人员推测,这是对此的原因是少量固定或标准化的素质的实践中的广泛使用。
“为单个1024位组执行预先计算将允许以18%的流行HTTPS站点的被动窃听,第二组将允许将流量解密为66%的IPSec VPN和26%的SSH服务器,”研究人员在他们的中间说当时的纸张。“出版的NSA泄漏的密切阅读表明,该机构对VPN的攻击是符合如此突破。”