NSA如何能破解亿万个加密网站和VPN链接

[-]

多年来，隐私倡导者们都推动网站、VPN应用和其他加密软件的开发者采用Diffie-Hellman密钥交换作为对美国国家安全局和其他由国家支持的间谍监视的防御。而现在，研究者们正更新他们的警告，密钥交换实现方式上的一个严重缺陷能让NSA破解和窃听万亿个加密链接。

敌方的成本绝不含糊。对于常用的1024位密钥，将需要约一年和“几亿美元”成本才只能破解作为Diffie-Hellman协商起始点的非常大质数之一。但事实证明，只有几个素数是常用的，这使其价格落在了NSA专用于“开创性密码分析能力”的110亿美元年度预算之内。

“由于屈指几个素数被如此广泛重复使用，从它们能解密的连接数量来说，受益将是巨大的，”Alex Halderman和Nadia Heninger在星期三发表的博客文章中写到，“破解单单一个常用的1024位质数将允许NSA躺着不动就能解密全球三分之二的VPN链接和所有SSH服务器的四分之一。破解第二个1024位质数将允许对前一百万HTTPS网站的近20%连接进行被动窃听。换句话说，在大规模计算上的一次性投资能使偷听万亿个加密链接成为可能。”

[-]

最可信的理论

Halderman和Heninger说他们的理论比任何竞争性解释都更适合关于NSA的大规模解密能力所已经知道的。前NSA承包商爱德华斯·诺登泄露的文件显示，例如，该机构能够监控加密的VPN链接，把截获数据发给超级计算机，然后获取解密通信所需的密钥。

“该系统的设计竭尽所能收集对攻击Diffie-Hellman算法必要的特定数据，而且不符合另外的解释，如AES或其它对称加密中的破缺。”该研究者们写道，“虽然文件明确表示NSA使用其它攻击技术，如软件和硬件‘植入物’，来破解特定目标的加密，这些没法解释对VPN流量进行大规模被动窃听的能力。”

该博文发布在Halderman、Heninger和一大波其他研究者们星期三在丹佛召开的第22届ACM计算机和通信安全会议上正式提出详细介绍他们研究结果的学术论文之际。该题为《不完美前向保密：Diffie-Hellman如何在实践中失效》的论文5月份首次发布时被媒体广泛报道过。除了暴露NSA大规模拦截加密通信背后的可能秘密，该论文还揭示了一个密切相关的攻击，会使上千上万受HTTPS保护的网站、邮件服务器和其他广泛使用的互联网服务向并不那么复杂的窃听敞开。

[-]

被称为Logjam(河流被漂流圆木阻塞)的该攻击是极其严重的，因为它只需要两周来生成所需数据，用于攻击512位Diffie-Hellman算法协商临时密钥时最常调用的两个质数。它估计影响前一百万网站域名的8.4%和所有支持HTTPS的网站的3.4%。使用StartTLS、secure POP3和IMAP支持□□TP协议的邮件服务器分别有14.8%、8.9%和8.4%受影响。要利用脆弱连接，攻击者使用数域筛选算法预先计算数据，一旦他们完成这项任务，他们就可以对脆弱连接实时进行中间人攻击。

Logjam弱点是美国政府在九十年代对希望其软件被海外使用的美国开发者强制执行出口限制的结果。该方案由克林顿政府设立，以使FBI和其他机构可以破解外国实体使用的加密。在论文发表以来的五个月里，最广泛使用的浏览器、VPN、和服务器应用程序已经移除了512位Diffie-Hellman的支持，使得Logjam的威胁减少很多。但一个类似漏洞仍然可以被有国家政府级预算的攻击者利用来被动解密仍被许多实现默认使用的1024位Diffie-Hellman密钥。

[-]

令人不安的结论

Halderman和Heninger的团队在5月得出这个令人不安的结论，但NSA则可能很久以前就已知道了。虽然该知识使得NSA能够大规模解密通信，它也把相同能力提供给了其他国家，其中一些是美国的敌人。Halderman和Heninger写道：

我们的研究结果阐明了NSA收集情报和维护美国计算机安全两个任务之间的紧张关系。如果我们的假设是正确的，该机构一直在大肆利用弱Diffie-Hellman，却很少采取措施来帮助修复这个问题。在防御方面，NSA已建议用户应该过渡到没有该漏洞的椭圆曲线加密，但是这样的建议没有明确的理由或示范往往会被置之不理。因为安全社区在给密码标准留后门的明显努力后，并不愿意相信采取NSA的建议，这个问题被复杂化了。

这种状况使每个人的安全都有风险。这种规模的漏洞是无差别的——它影响每个人的安全，包括美国公民和公司——但我们希望对政府监控背后的密码分析机制的更清晰的技术理解将成为每个人的更好安全的一个重要步骤。

[-]

Diffie-Hellman是让素不相识的双方，即使通过不安全的公共信道通信，被复杂的对手监视，也能协商密钥的突破。它也通过定期更改加密密钥使得完美前向保密成为可能。这大大增加了窃听的工作量，因为每次临时密钥变更，攻击者都必须重新获取，而其它加密方案如基于RSA密钥的则只需要一次。本研究意义重大，因为它显示出一个受隐私和安全倡导者广泛青睐的加密方案中一个有严重后果的潜在弱点。

研究小组建议网站使用2048位Diffie-Hellman密钥并发布了部署Diffie-Hellman TLS的指南。该小组还建议SSH用户升级服务器和客户端软件两者到OpenSSH偏好椭圆曲线Diffie-Hellman密钥交换的最新版本。

本文译自 ArsTechnica，由 王丢兜 编辑发布。