前不久，我寫到NSA可能在安全標(biāo)準(zhǔn)中植入后門。今天，我們談一談NSA被指責(zé)在標(biāo)準(zhǔn)中植入后門的兩個(gè)案例，然后通過它們來區(qū)分兩種后門之間的不同。

[[89142]]

第一個(gè)案例

是關(guān)于NIST標(biāo)準(zhǔn)，SP 800-90A，該標(biāo)準(zhǔn)詳細(xì)說明了一種偽隨機(jī)數(shù)生成器(PseudoRandom Generator 以下簡(jiǎn)稱PRG)。一個(gè)RPG可以通過計(jì)算得到一小組不可預(yù)料的隨機(jī)比特，并進(jìn)而“延展”得到大量的隨機(jī)比特?cái)?shù)。在密碼學(xué)中，PRG作為大多數(shù)密鑰的源頭，是必需的。因此，如果你能“破解”某些人的PRG，你就能預(yù)測(cè)其使用的密鑰，進(jìn)而擊潰其整個(gè)加密算法。

NIST標(biāo)準(zhǔn)中提供了一些核心算法供PRG選擇。其中一個(gè)算法使用了一種叫做橢圓曲線的數(shù)學(xué)結(jié)構(gòu)，在這里我并不打算展開介紹這個(gè)數(shù)學(xué)概念。總之，這個(gè)算法使用了兩個(gè)“公開參數(shù)”P和Q，它們均在標(biāo)準(zhǔn)中有指定的值，因此說它們是公開的。

密碼學(xué)家相信，如果P和Q是隨機(jī)的，PRG就是安全的。但是2006年，兩個(gè)獨(dú)立密碼學(xué)家指出，通過某種方法選定P和Q后，它們之間就具有了某種特殊的關(guān)系。一個(gè)“局外人”可能并不知道這種特殊關(guān)系的存在，但是如果你知道了描述P和Q之間關(guān)系的“密鑰”，就可以輕松擊潰PRG的安全體系。

知道了這一點(diǎn)，會(huì)發(fā)現(xiàn)很多事實(shí)突然變得有趣起來。首先，NSA看起來十分執(zhí)意要將這種算法寫入標(biāo)準(zhǔn)，即使它的運(yùn)行效率很低;其次，NSA在標(biāo)準(zhǔn)中指定了P和Q的建議取值范圍;第三，NSA并未解釋這些給定的取值范圍是如何得出的。怎么樣，是不是有點(diǎn)兒意思?

不僅如此，現(xiàn)在已經(jīng)可以通過一些已公開的步驟，得出新的隨機(jī)的P和Q，也就是說，以上三種問題都可以得到解決，但是NSA并沒有這么做。

值得注意的是，(也許是為了辟謠)，前不久(9月10日)，NIST重新開放了SP 800-90A的公開評(píng)論。

第二個(gè)案例

是由John Gilmore提出的，他在IPSEC標(biāo)準(zhǔn)中發(fā)現(xiàn)了問題。IPSEC被視為安全技術(shù)的一塊基石，能夠?yàn)橐蛱鼐W(wǎng)中的個(gè)人IP數(shù)據(jù)包提供完整可靠的加密。一個(gè)成功廣泛部署的IPSEC協(xié)議可以大大強(qiáng)化因特網(wǎng)安全，為多種網(wǎng)絡(luò)通信提供加密保護(hù)。

John說，NSA及其代理部門始終在降低該標(biāo)準(zhǔn)的安全水平與執(zhí)行效率，同時(shí)卻不斷提高其復(fù)雜程度和安全方面的實(shí)現(xiàn)難度。盡管John還沒有掌握NSA植入后門的確鑿證據(jù)，但是他發(fā)現(xiàn)，NSA的確在不斷削弱該標(biāo)準(zhǔn)的效力，事實(shí)上，IPSEC已經(jīng)沒有人們想象中的那樣安全可靠。

上述案例向我們展示了兩種不同類型的后門。第一個(gè)關(guān)于PRG的案例中，我們懷疑NSA嘗試建立一個(gè)只有它能使用的后門，因?yàn)橹挥兴狸P(guān)聯(lián)P和Q的密鑰。第二個(gè)關(guān)于IPSEC的案例中，NSA不斷削弱用戶的安全防護(hù)能力，這樣它就能更輕易地訪問你的數(shù)據(jù)，但同時(shí)其他所有人都具有了這樣的機(jī)會(huì)。

可以確定的是，一個(gè)私有后門很可能無法一直“私有”。如果真有這樣一個(gè)magic密鑰，能讓NSA窺探所有人的秘密，那這把鑰匙很可能會(huì)被濫用或泄露到外界。因此，NSA私有后門和公開后門之間的界限并不明顯。

但是，看起來這兩種后門之間還是引起了不同的政策辯論。前者使得NSA能秘密地輕易訪問每個(gè)人的數(shù)據(jù)，后者則賦予了每個(gè)人這種訪問權(quán)限，后者的影響力要更加嚴(yán)重。

同時(shí)，我們應(yīng)該看到一個(gè)后門是如何創(chuàng)造出來的。在PRG的案例中，需要獲得制定標(biāo)準(zhǔn)的專家們通過，NSA才能使其加密過程中那微小的缺陷“蒙混過關(guān)”。在IPSEC的案例中，則貌似需要在標(biāo)準(zhǔn)的整個(gè)制定過程中不斷協(xié)調(diào)公關(guān)活動(dòng)才有機(jī)會(huì)制造那小小的缺陷，在這個(gè)過程中，即使沒有人發(fā)現(xiàn)某種模式，也應(yīng)該能注意到某些單個(gè)步驟，(但是卻沒有)。

也許有人會(huì)懷疑，這些案例真的是NSA有意而為之，還是只是空穴來風(fēng)。對(duì)此，我們并不敢保證。但是只要NSA一直擁有參與制定安全標(biāo)準(zhǔn)的許可權(quán)限，我們就有必要，對(duì)他們所參與制定的任何標(biāo)準(zhǔn)保持懷疑。