@ 2015.10.17 , 17:00
25

NSA如何能破解亿万个加密网站和VPN链接

[-]

多年来,隐私倡导者们都推动网站、VPN应用和其他加密软件的开发者采用Diffie-Hellman密钥交换作为对美国国家安全局和其他由国家支持的间谍监视的防御。而现在,研究者们正更新他们的警告,密钥交换实现方式上的一个严重缺陷能让NSA破解和窃听万亿个加密链接。

敌方的成本绝不含糊。对于常用的1024位密钥,将需要约一年和“几亿美元”成本才只能破解作为Diffie-Hellman协商起始点的非常大质数之一。但事实证明,只有几个素数是常用的,这使其价格落在了NSA专用于“开创性密码分析能力”的110亿美元年度预算之内。

“由于屈指几个素数被如此广泛重复使用,从它们能解密的连接数量来说,受益将是巨大的,”Alex Halderman和Nadia Heninger在星期三发表的博客文章中写到,“破解单单一个常用的1024位质数将允许NSA躺着不动就能解密全球三分之二的VPN链接和所有SSH服务器的四分之一。破解第二个1024位质数将允许对前一百万HTTPS网站的近20%连接进行被动窃听。换句话说,在大规模计算上的一次性投资能使偷听万亿个加密链接成为可能。”

[-]

最可信的理论

Halderman和Heninger说他们的理论比任何竞争性解释都更适合关于NSA的大规模解密能力所已经知道的。前NSA承包商爱德华斯·诺登泄露的文件显示,例如,该机构能够监控加密的VPN链接,把截获数据发给超级计算机,然后获取解密通信所需的密钥。

“该系统的设计竭尽所能收集对攻击Diffie-Hellman算法必要的特定数据,而且不符合另外的解释,如AES或其它对称加密中的破缺。”该研究者们写道,“虽然文件明确表示NSA使用其它攻击技术,如软件和硬件‘植入物’,来破解特定目标的加密,这些没法解释对VPN流量进行大规模被动窃听的能力。”

该博文发布在Halderman、Heninger和一大波其他研究者们星期三在丹佛召开的第22届ACM计算机和通信安全会议上正式提出详细介绍他们研究结果的学术论文之际。该题为《不完美前向保密:Diffie-Hellman如何在实践中失效》的论文5月份首次发布时被媒体广泛报道过。除了暴露NSA大规模拦截加密通信背后的可能秘密,该论文还揭示了一个密切相关的攻击,会使上千上万受HTTPS保护的网站、邮件服务器和其他广泛使用的互联网服务向并不那么复杂的窃听敞开

[-]

被称为Logjam(河流被漂流圆木阻塞)的该攻击是极其严重的,因为它只需要两周来生成所需数据,用于攻击512位Diffie-Hellman算法协商临时密钥时最常调用的两个质数。它估计影响前一百万网站域名的8.4%和所有支持HTTPS的网站的3.4%。使用StartTLSsecure POP3IMAP支持SMTP协议的邮件服务器分别有14.8%、8.9%和8.4%受影响。要利用脆弱连接,攻击者使用数域筛选算法预先计算数据,一旦他们完成这项任务,他们就可以对脆弱连接实时进行中间人攻击

Logjam弱点是美国政府在九十年代对希望其软件被海外使用的美国开发者强制执行出口限制的结果。该方案由克林顿政府设立,以使FBI和其他机构可以破解外国实体使用的加密。在论文发表以来的五个月里,最广泛使用的浏览器、VPN、和服务器应用程序已经移除了512位Diffie-Hellman的支持,使得Logjam的威胁减少很多。但一个类似漏洞仍然可以被有国家政府级预算的攻击者利用来被动解密仍被许多实现默认使用的1024位Diffie-Hellman密钥。

[-]

令人不安的结论

Halderman和Heninger的团队在5月得出这个令人不安的结论,但NSA则可能很久以前就已知道了。虽然该知识使得NSA能够大规模解密通信,它也把相同能力提供给了其他国家,其中一些是美国的敌人。Halderman和Heninger写道:

我们的研究结果阐明了NSA收集情报和维护美国计算机安全两个任务之间的紧张关系。如果我们的假设是正确的,该机构一直在大肆利用弱Diffie-Hellman,却很少采取措施来帮助修复这个问题。在防御方面,NSA已建议用户应该过渡到没有该漏洞的椭圆曲线加密,但是这样的建议没有明确的理由或示范往往会被置之不理。因为安全社区在给密码标准留后门的明显努力后,并不愿意相信采取NSA的建议,这个问题被复杂化了。

这种状况使每个人的安全都有风险。这种规模的漏洞是无差别的——它影响每个人的安全,包括美国公民和公司——但我们希望对政府监控背后的密码分析机制的更清晰的技术理解将成为每个人的更好安全的一个重要步骤。

[-]

Diffie-Hellman是让素不相识的双方,即使通过不安全的公共信道通信,被复杂的对手监视,也能协商密钥的突破。它也通过定期更改加密密钥使得完美前向保密成为可能。这大大增加了窃听的工作量,因为每次临时密钥变更,攻击者都必须重新获取,而其它加密方案如基于RSA密钥的则只需要一次。本研究意义重大,因为它显示出一个受隐私和安全倡导者广泛青睐的加密方案中一个有严重后果的潜在弱点。

研究小组建议网站使用2048位Diffie-Hellman密钥并发布了部署Diffie-Hellman TLS的指南。该小组还建议SSH用户升级服务器和客户端软件两者到OpenSSH偏好椭圆曲线Diffie-Hellman密钥交换的最新版本。

本文译自 ArsTechnica,由译者 王丢兜 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

4.6
赞一个 (11)

TOTAL COMMENTS: 25+1

  1. boulay
    @2 years ago
    2961065

    肖根大法好

    [36] XX [0] 回复 [0]
  2. ssssnl
    @2 years ago
    2961067

    lol 之前elliptic curve(椭圆曲线)也有丑闻,导致大家都不是很敢用。

  3. ssssnl
    @2 years ago
    2961070

    解决一个质数并不能让nsa“躺着不动”解密很多信息。nsa是需要运算能力非常大的设备,来解discrete logarithm。所以解密一条信息都是需要一定时间(几分钟)的。

  4. aficionado
    @2 years ago
    2961074

    为什么美国人不取消所有账号的密码 为美国省下几百亿美金呢

    [36] XX [5] 回复 [0]
  5. Vanessa
    @2 years ago
    2961076

    好神奇

  6. 变绅
    @2 years ago
    2961078

    宅总萌萌哒

  7. 豆豆豆
    @2 years ago
    2961079

    本杰明眼镜决定性格

  8. rockinginhell
    @2 years ago
    2961086

    配图好评

  9. alessio
    @2 years ago
    2961088

    别刷poi了。。想起都是泪啊,本来多碉堡的开头,多完美的演员阵容,非要把自己弄进怪力乱神的超级AI大战里,继承了艾布拉姆斯从迷失就停不下来的虎头蛇尾的优良传统,第五季被砍整整一半的播出时间,还推迟到明年春季档,如果没有第三季第四季的花式作死让最忠实粉丝都看不下去,自己收视率暴死,单看前两季,poi完全有实力跟海军罪案调查处竞争老人档收视冠军宝座,续订个七八季,附带两三个热门衍生剧根本不是问题

    [17] XX [1] 回复 [0]
  10. 2961091

    其实,我并没有看懂

  11. 2961092

    @ssssnl: 几分钟比起拆质数,已经是躺着了

    [10] XX [0] 回复 [0]
  12. JACKMOODY
    @2 years ago
    2961104

    小编是爱德华·诺顿粉吧????

  13. 2961119

    斯诺登从NSA雇员升级为承包商

  14. lackar
    @2 years ago
    2961122

    程序员旁边不可能站着那么多女人

  15. 逗比
    @2 years ago
    2961156

    目前NSA的制造者以及相关人员已被警方击毙

  16. 孔43号
    @2 years ago
    2961217

    完了,有人要跟斯诺登抢工作

  17. 2961238

    居然把国安局NSA 看成了NASA 哎~~

  18. 小码农
    @2 years ago
    2961273

    论文题目中的 forward 应该翻译成“传输”吧……

  19. 夜用苦瓜
    @2 years ago
    2961309

    @小码农: 邮件里是翻译成:转发

  20. 2961352

    @小码农: 这个forward指的是时间维度上的向前,也就是未来。
    PFS的核心思想就是,敌方现在截获密文保存,如果未来又截获了主密钥,要求还是不能解密。实现的方式就是定期作废重新协商临时密钥。

  21. 空格
    @2 years ago
    2961371

    居然还没人想到万能解密机

  22. 2961422

    forward security翻译成“前向安全”。话说,我上周就在ccs大会

  23. 氧化钙博弈
    @2 years ago
    2961791

    也就是那么一说 要看实际结果 应该没有这么容易

  24. 2962204

    我墙也早就知道了吧。。。

    话说椭圆已经被证明安全吗,还是目前没有发现漏洞?不能因为目前的锁有问题,就换一把不知到安不安全的锁。

    等生了椭圆算法,会不会大部分程序又是使用最常见的那组参数,搞定一个,就解决2/3?

  25. 3560960

    @robin: 破解某大型金融机构交易主密钥的关键,就是打开一只不到100块钱的保险柜。虽然听起来不可思议,但就是这么不靠谱。

发表评论


24H最赞