AES 演算法如今已成為對稱區塊加密的標準。我們隨處可見它:它用於加密來自我們智慧型手機的網路串流和資料。它也用於電子證書和 BitLocker 或 FileVault 等加密軟體。簡而言之,由美國標準機構 NIST 選擇並推廣的 AES 是目前世界上使用最廣泛的對稱演算法。
但我們如何確定這項經過多次驗證的技術不包含所謂的數學後門,也就是其設計本身的缺陷?這樣的秘密後門將允許任何知道它的人肯定解密整個世界加密資料的很大一部分。
值此大會召開之際2017 年歐洲黑帽大會來自 ESIEA 操作密碼學和病毒學實驗室的研究人員 Eric Filiol 和 Arnaud Bannier 表明,這種情況完全有可能發生。他們提出了BEA-1 演算法,這是一種類似於AES 的對稱區塊加密演算法,從外觀上看,完全具體:它通過了加密演算法通常要經歷的所有阻力測試(線性分析、差分分析、統計分析)。因此,它可以符合美國政府定義的 FIPS 140 安全標準。
找到後門比創建後門更難
問題在於,該演算法的某些非常具體的數學特性使得在配備簡單 Core i7 的計算機上在 10 秒內找到密鑰成為可能,成功機率為 95%。簡而言之,只要我們知道有問題的缺陷,這個演算法就是一個真正的篩子。
創建具有秘密存取的演算法並不那麼簡單。「我們的想法是創建一個後門演算法,並以一種看起來可靠的方式對其進行改造。就 BEA-1 而言,我們花了六個多月的時間”,埃里克·菲利奧爾向我們解釋。這看起來似乎很多,但在演算法領域,這個時間可以忽略不計。這些技術可以持續數十年。
要偵測這樣的數學後門更加困難。「今天,我們無法從數學上證明加密演算法是牢不可破的。我們所能做的就是嘗試打破它。”,魯汶天主教大學密碼學家 Jean-Jacques Quisquater 解釋道。此外,沒有找到後門的技術。該地區的公共工程很少見。發現是零碎的。
數學後門確實存在
例如,2007 年,研究人員 Dan Shimow 和 Niels Ferguson 展示了隨機數產生器的一個弱點« 雙 EC DRBG »,已獲得 NIST 批准並在某些 RSA 產品中實施。 2013年,隨著愛德華·斯諾登的爆料,我們得知這確實是一個NSA後門,並且RSA已經從美國整合機構收到了1000萬美元的支票。
埃里克·菲利奧爾(Eric Filiol)工作的目的是敲響警鐘。「我們生活在密碼層面的自由化時期,然而,有了 AES,我們發現自己幾乎處於霸權地位。我們不能接受第三方國家將其演算法強加給我們,特別是當我們知道這個國家過去已經創建了後門時。例如,俄羅斯已禁止使用 AES 並提倡使用國家標準,它自己的演算法”,Eric Filiol 繼續說道,他希望歐洲加密演算法的出現。
AES,一種由 NSA 監管的演算法
儘管人們可能對 AES 心存疑慮,但迄今為止,還沒有任何後門的證據。在後門存在的假設中,Jean-Jacques Quisquater 認為該演算法的作者——他熟悉的兩位比利時研究人員——當然應該被免除責任。「他們盡可能地完善了這個演算法。然而,NIST(就這些主題系統地諮詢 NSA)透過定義區塊大小、密鑰大小和迭代次數提供了精確的框架。因此,它是一種面向演算法 »,密碼學家解釋。
該框架的定義方式可能是允許在沒有人懷疑的情況下打開後門。「數十年來,美國國家安全局一直聘用一些世界上最優秀的數學家。我們無法想像這個有機體能夠累積多少數學知識””,Eric Filiol 強調道,他也認為 AES 作者的工作是無可挑剔的。「NSA 已經為 AES 競賽設定了技術類型。如果存在後門,則意味著它憑藉其技術進步,選擇了一種存在學術界不為人所知的弱點的演算法。法國研究人員指出。
作為一個偏執的公民,顯然很難逃脫 AES。為了保護敏感數據,一種解決方案是使用加密軟體,例如維拉密碼它是 TrueCrypt 的繼承者之一,其優點是提供多種不同的演算法。我們甚至可以將它們拴起來,以提供更多預防措施。就 Jean-Jacques Quisquater 而言,他對 3DES-X(3DES 演算法的變體)情有獨鍾。
