标记为“密码学”的条目

第14页共45页

如何防范国家安全局

既然我们有足够的关于国家安全局在互联网上窃听的细节,包括今天的披露国家安全局故意削弱密码系统,我们终于可以开始想办法保护自己了。

在过去的两周里,我一直在和卫报一起研究国家安全局的故事,并且已经阅读了由告密者爱德华·斯诺登提供的数百份国家安全局绝密文件。我不是今天故事的一部分——在我出现之前,故事还在进行中——但我所读到的一切都证实了《卫报》的报道。

在这一点上,我觉得我可以提供一些建议来保护自己不受这种敌人的伤害。

国家安全局窃听互联网通信的主要方式是在网络中。这就是他们能力的最佳规模。他们投资了大量的程序来自动收集和分析网络流量。任何要求他们攻击单个端点计算机的东西对他们来说都是非常昂贵和危险的,他们会小心而谨慎地做这些事情。

杠杆作用它的 秘密 协定与美国和英国的电信公司合作,以及世界各地的许多其他“合作伙伴”——国家安全局可以使用移动互联网流量的通信中继。如果它没有那种友好的访问方式,它尽最大努力秘密监视通信信道:窃听海底电缆,拦截卫星通信,等等。

这是大量的数据,国家安全局也同样强大的能力为了快速筛选所有的信息,寻找有趣的交通。“有趣”可以用多种方式定义:根据来源,目的地,内容,相关人员,等等。这些数据被收集到庞大的国家安全局系统中,以备将来分析。

国家安全局收集了更多元数据关于网络流量:谁在和谁说话,什么时候?多少钱?以什么样的沟通方式。元数据比内容更容易存储和分析。这对个人来说是非常私人的,是非常有价值的情报。

系统情报局负责数据收集,它投入的资源是惊人的。我读了一个又一个关于这些程序的状态报告,讨论能力,操作细节,计划升级,等等。每个单独的问题——从光纤中恢复电子信号,在它们经过的过程中跟上太字节流,过滤掉那些有趣的东西——有自己的团队致力于解决它。它的影响是全球性的。

国家安全局也直接攻击网络设备路由器:开关,防火墙等。这些设备中的大多数监控能力已内置;诀窍是秘密地打开它们。这是一种特别富有成效的进攻方式;路由器更新频率较低,往往没有安装安全软件,通常被忽略为一个漏洞。

国家安全局还投入大量资源攻击端点计算机。这种事情是由它的道所做的--办公室--群。Tao有一个针对你电脑的漏洞菜单——不管你是在运行Windows,MAC操作系统,Linux网间网操作系统,或者其他的东西——以及各种各样的技巧来让它们进入你的电脑。你的反病毒软件检测不到它们,即使你知道该去哪里,也很难找到它们。这些是黑客设计的黑客工具,其预算基本上是无限的。我从阅读斯诺登文件中得到的好处是,如果国家安全局想进入你的电脑,它在里面。时期。

国家安全局处理它遇到的任何加密数据,更多的是通过颠覆底层加密技术,而不是利用任何秘密的数学突破。第一,外面有很多糟糕的密码术。如果找到受MS-CHAP保护的Internet连接,例如,这是很容易打破和恢复关键。它利用选择不当的用户密码,使用相同的字典攻击黑客在非机密世界中使用。

像以前一样今日透露,国家安全局还与安全产品供应商合作,确保商业加密产品以只有它知道的秘密方式被破坏。我们知道这是历史性的:密码学莲花笔记是最公开的例子,有证据表明窗户.有几个人告诉我他们最近的经历,我计划很快就把它们写下来。基本上,国家安全局要求各公司以不可检测的方式巧妙地改变其产品:减少随机数生成器的随机性,不知怎么地泄露了钥匙,向公钥交换协议添加公共指数,等等。如果发现后门,这被解释为一个错误。我们现在知道,国家安全局从这个项目中获得了巨大的成功。

陶还入侵电脑以恢复长期密钥。因此,如果您运行的VPN使用复杂的共享秘密来保护您的数据,而NSA认为它关心,它可能会试图窃取那个秘密。这种事情只针对高价值目标。

你如何安全地与这样的对手沟通?斯诺登说它在他公布第一份文件后不久的一次在线问答中:“加密工作。正确实现的强大加密系统是您可以依赖的少数功能之一。”

相信这是真的,尽管今天的揭露和诱人的暗示突破性的密码分析功能“由詹姆斯·克拉珀制作,国家情报局局长在另一份绝密文件中。这些能力包括故意削弱密码技术。

斯诺登的后续句子同样重要:“不幸的是,端点安全性非常弱,国家安全局经常能找到解决办法。”

端点意味着你正在使用的软件,你使用的电脑,以及您正在使用的本地网络。如果NSA可以修改加密算法或在您的计算机上删除特洛伊木马程序,世界上所有的密码术都无关紧要。如果你想对国家安全局保持安全,您需要尽最大努力确保加密可以畅通无阻地运行。

考虑到这些,我有五条建议:

  1. 在网络中隐藏.实现隐藏服务。使用Tor匿名。对,国家安全局的目标是用户,但这对他们是有用的。你越不明显,你越安全。

  2. 加密您的通信.使用TLS。使用IPSec。再一次,尽管国家安全局目标加密连接--而且它可能对这些协议有明确的利用--比起清晰地通信,您受到更好的保护。

  3. 假设您的计算机可能受到攻击,国家安全局会承担工作和风险,所以可能不会。.如果你有非常重要的事情,使用气隙。自从我开始处理斯诺登的文件,我买了一台新电脑从未已连接到Internet。如果我想传输文件,我在安全计算机上加密文件,然后将其传送到我的Internet计算机上,使用U盘。要解密什么,我颠倒了这个过程。这可能不是防弹的,但这很好。

  4. 怀疑商用加密软件,尤其是大型供应商.我猜大多数美国大公司的加密产品都有对国家安全局友好的后门,许多国外的也可能是这样。谨慎地假设外国产品也有外国安装的后门。封闭源代码软件比开放源代码软件更容易被国家安全局屏蔽。依赖主秘密的系统容易受到国家安全局的攻击,通过任一合法的或者更多的秘密手段。

  5. 尝试使用必须与其他实现兼容的公共域加密.例如,对国家安全局来说,后门的TLS比Bitlocker更难,因为任何供应商的TLS都必须与其他供应商的TLS兼容,虽然bitlocker只需与自身兼容,给国家安全局更多的自由去做改变。因为Bitlocker是专有的,这些变化被发现的可能性要小得多。与公钥密码相比,更喜欢对称密码。与椭圆曲线系统相比,更倾向于传统的离散对数系统;后者具有国家安全局可能影响的常数。

自从我开始处理斯诺登的文件,我一直在用GPG无声圆尾部OTR磁盘加密软件漂白机,还有其他一些我不想写的东西。我的密码安全从命令行编程;我也用过这个。

我理解,对于典型的互联网用户来说,这其中的大部分是不可能的。即使我不使用所有这些工具来完成我正在做的大部分工作。我主要还是在窗户上,不幸的是。Linux会更安全。

国家安全局把互联网的结构变成了一个巨大的监视平台,但它们并不神奇。他们受到与我们其他人相同的经济现实的限制,我们最好的防御措施就是尽可能地昂贵地监视我们。

相信数学。加密是你的朋友。好好利用它,尽你最大的努力确保没有任何东西可以妥协。这就是即使面对国家安全局,你也能保持安全的方法。

本文以前出现过守护者。

编辑添加:reddit线.

有人评论说,国家安全局的“突破性的密188滚球网站码分析能力”可能包括对RC4的实际攻击。我不知道有什么办法,但这是一个很好的推测。

9月15日发布,2013年上午8:11·查看评论188滚球网站

关于国家安全局披露的Ed Felten

Ed Felten有一个优秀散文关于国家安全局秘密破坏互联网系统安全造成的损害:

在安全方面,最坏的情况——你最想避免的事情——是认为你在不安全的时候是安全的。而这正是美国国家安全局试图延续的。

假设你开的是一辆没有刹车的车。如果你知道你没有刹车,然后你可以开得很慢,或者出去走走。致命的是认为你有能力停止,直到踩下刹车踏板,什么也没发生。安全也是如此:如果你知道你的通信不安全,你可以小心你说的话;但是如果你错误地认为你是安全的,你一定会遇到麻烦的。

所以问题不仅在于我们不安全。就是那个“国家安全局”。国家安全局要确保我们仍然脆弱。

9月12日发布,2013年上午6:05·查看评论188滚球网站

国家安全局的密码能力

最新的斯诺登文件是美国情报局的黑预算“在这几页里有很多信息,华盛顿邮报决定出版,包括国家情报局局长詹姆斯·克拉珀的介绍。在里面,他给出了一个诱人的暗示:“还有,我们正在投资突破性的密码分析功能,以击败对手的密码术并利用互联网流量。”

说真的?我持怀疑态度。不管国家安全局有什么秘密,密码学的数学仍然是任何加密系统中最安全的部分。我更担心设计糟糕的密码产品,软件错误,坏密码,与国家安全局合作泄露全部或部分钥匙的公司,以及不安全的计算机和网络。这些是真正的弱点所在,国家安全局的大部分努力都花在了哪里。

这不是我们第一次听到这个谣言.在有线中文章去年,长期的国家安全局观察员詹姆斯·巴姆福德写道:

据另一位参与该项目的高级官员说,几年前,国家安全局在密码分析能力方面取得了巨大突破,或断裂,世界各国政府以及美国许多普通计算机用户使用的复杂的加密系统令人费解。

我们没有来自克拉珀的进一步信息,斯诺登或者是其他Bamford的来源。但我们可以推测。

也许国家安全局有一些新的数学,打破了一个或多个流行的加密算法:AES,特福菲什蛇,三重DES,蛇。这不是第一次。回到20世纪70年代,国家安全局知道一种被称为“差分密码分析”的密码分析技术,这在学术界是未知的。这项技术打破了我们都认为安全的其他各种学术和商业算法。我们在20世纪90年代初学习得更好,现在设计算法来抵抗这种技术。

很有可能,国家安全局有新的技术,仍然在学术界未被发现。即便如此,这种技术不太可能导致实际攻击,从而破坏实际加密的明文。

破坏加密算法的幼稚方法是强行使用密钥。攻击的复杂性是2n,哪里n是键的长度。所有密码分析攻击都可以被视为该方法的快捷方式。由于暴力攻击的效果是关键长度的直接函数,这些攻击有效地缩短了密钥。所以如果,例如,对DES的最佳攻击复杂度为2三十九,这有效地将DES的56位密钥缩短了17位。

那是一个进攻真不错,顺便说一句。

现在,蛮力的实际上限在80位以下。然而,以此为指导,我们可以看出,要破坏任何现代算法,攻击必须有多好。这些天,加密算法有,至少,128位密钥。这意味着任何NSA密码分析突破都必须将有效密钥长度减少至少48位才能实现实用性。

还有更多,不过。DES攻击需要一个不切实际的70兆字节的已知明文,用我们试图破解的密钥加密。其他数学攻击需要类似数量的数据。为了有效地解密实际的操作流量,国家安全局需要一个攻击,可以用一个常见的MS字头中的已知明文执行:much,少得多。

因此,尽管国家安全局具有对称的密码分析能力,但我们在学术界并不具备,把它转换成对它可能遇到的各种数据的实际攻击似乎是不可能的,甚至是幻想。

更可能的是,国家安全局有一些数学突破,影响一个或多个公钥算法。公钥密码分析涉及到很多数学技巧,绝对没有任何理论可以限制这些技巧的威力。

在过去的几十年中,保理业务经常出现突破,允许我们破解更大的公共密钥。我们今天使用的大多数公钥密码都涉及椭圆曲线,更成熟的数学突破。假设国家安全局在这方面有一些技术,而我们在学术界却没有,这是不合理的。当然,国家安全局椭圆曲线密码术是一种可以更容易破解的密码技术。

如果我们认为是这样的话,解决方法很简单:增加键的长度。

假设假设美国国家安全局的突破并没有完全打破公共密码学——这是一个非常合理假设——使用更长的钥匙,比国家安全局领先几步是很容易的。我们已经在尝试逐步淘汰1024位RSA密钥,取而代之的是2048位密钥。也许我们需要更进一步考虑3072位密钥。也许我们应该更偏执于椭圆曲线,使用超过500位的密钥长度。

最后一种可能性是:量子计算机。量子计算机仍然是学术界的玩具,但是理论上能够快速地打破公共密钥算法——不管密钥长度如何——并且有效地将任何对称算法的密钥长度减半。我认为,美国国家安全局建造了一台能够进行必要计算的量子计算机的可能性非常小,但这是可能的。防守很容易,如果恼人的话:坚持基于共享秘密的对称加密,并使用256位键。

国家安全局内部有一句话:“密码分析总是会变得更好。它永远不会变得更糟,“这是幼稚的假设,2013,我们发现了密码学中所有可以被发现的数学突破。外面还有很多,几个世纪后就会有了。

国家安全局处于特权地位:它可以利用学术界发现和公开发表的一切,以及它秘密发现的一切。

国家安全局有很多人全职考虑这个问题。根据黑色预算汇总,每年3.5万人和110亿美元是国防部统一密码计划的一部分。其中,4%或4.4亿美元用于“研究和技术”。

那是一大笔钱;可能比地球上其他人花在密码研究上的钱还要多。我相信这会产生很多有趣的——有时是开创性的——密码分析研究结果,也许其中一些更实用。

不过,我相信数学。

本文最初出现在WiReff.com上。

编辑后补充说:这是我之前写的.

编辑添加:经济学家表达一个相似的情绪.

发布于9月6日,2013年上午6:30·查看评论188滚球网站

国家安全局正在破坏互联网上的大部分加密

斯诺登的新发现具有爆炸性。基本上,国家安全局能够解密大部分互联网。他们主要是通过欺骗,不是通过数学。

这是在守护者,这个纽约时报,和普罗普里卡.

我一直在和格伦·格林沃尔德一起研究斯诺登的文件,我见过很多。这些是我的 杂文今天的揭秘。

记住:数学很好,但是数学没有中介。代码有代理,而这一准则也被颠覆了。

编辑添加(9/6):有人评论说,国家安全局的“突破性密码分析能力”可能包括对RC188滚球网站4的实际攻击。我不知道有什么办法,但这是一个很好的推测。

编辑添加(9/6):相关斜线点雷迪特线程。

编辑添加(9/13):一个反对观点我的行动要求。

9月5日发布,2013年下午2:46·查看评论188滚球网站

熵的测量及其在加密中的应用

关于一篇信息论论文,有很多文章都有一些耸人听闻的标题,比如加密不如我们想象的安全“和”研究震动加密基础“其实没那么糟。

基本上,研究者争论香农熵的传统测量方法不适合用于密码学,最小熵是。这种差异可能使一些密文更容易解密,但在一般情况下不会有实际意义。同样的想法导致我们从字典而不是随机猜测密码——因为我们知道人类都创建了密码,并且必须记住它们。

这不是新闻——很多密码学论文已经使用最小熵而不是香农熵——很难看出这篇论文的贡献是什么。注意到这篇论文是在一次信息理论会议上发表的,而不是密码会议。我的猜测是,项目委员会没有足够的加密专业知识来拒绝这篇论文。

所以不要担心;密码算法不会很快崩溃。好,他们可能——但不是因为这个结果。

斜线点线.

8月21日发布,2013年上午7:01·查看评论188滚球网站

密码学分析

有一个演示上个月在Black Hat上警告我们一个“因子分解密码解析”:当因子分解数字和解决离散日志问题变得容易的时候,rsa和dh都坏了。这次演讲很有煽动性,并产生了 许多 属于 188滚球网站评论,但我没有理由担心。

对,多年来,打破现代公钥密码系统变得越来越容易。这几十年来一直是真的。早在1999年,我写的关于保理:

保理变得越来越容易。这比任何人预期的都要容易。我看到了四个原因:

  • 计算机越来越快。
  • 计算机网络化更好。
  • 因子分解算法越来越有效。
  • 数学的基本进步使我们有了更好的因子分解算法。

关于离散对数问题,我也可以这么说。而且,事实上,解决一个问题的进展往往反映出解决另一个问题的进展。

原因按不可预测性排列。前两种——计算和网络速度的进步——基本上遵循摩尔定律(以及其他定律)。年复一年。第三个经常进来,但在适应和开始:这里有2倍的改进,10倍的进步。这是第四个让人担心的问题。基本的数学进步偶尔才出现一次,但当他们来的时候,影响可能很大。如果因子分解变得“简单”以至于RSA不再是一个可行的加密算法,这将是因为这种进步。

作者将当前的警告建立在基本的 进展在求解离散对数问题时,但是工作不概括用于密码术的数字类型。它们不会概括;结果就是专门化了。

这并不是说解决这些问题不会继续变得更容易,但到目前为止,增加关键长度以保持领先地位是非常容易的。我希望在可预见的未来这一点仍然是真的。

8月19日发布,2013年上午6:47·查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.