依赖密码术的风险

  • 布鲁斯·施奈188滚球网站尔
  • ACM的通信
  • 1999年10月

密码学通常被视为魔法安全尘埃:“在你的系统上撒一些,它是安全的;然后,只要密钥长度足够大——112位,您就安全了,128位,256位”(我甚至见过公司吹嘘自己有16000位)“当然,密码分析总是有新的发展,但我们从未见过对标准算法的操作上有用的密码分析攻击。在大多数作战情况下,即使是对DES的分析也没有比蛮力强多少。只要你使用保守的公布算法,你很安全。”

这不是真的。最近,我们看到攻击侵入了密码学的数学并超越了传统的密码分析,强迫密码术做一些新的事情,不同的,出乎意料。例如:

  • 利用时间信息,功耗,以及设备执行密码算法时的辐射,密码分析员已经能够破解智能卡和其他可能的安全令牌。这些被称为“侧通道攻击”。
  • 通过在操作过程中强制故障,密码分析员已经能够破解更多的智能卡。这被称为“故障分析”。密码分析员已经能够根据系统对合法错误的反应来破解其他算法。
  • 一位研究人员在使用pkcs标准格式化时能够破坏RSA签名消息。他没有破坏RSA,而是它的使用方式。想想美吧:我们不知道如何有效地考虑大量的因素,我们不知道如何打破RSA。但是如果你以某种常见的方式使用RSA,在某些实现中,可能会破坏RSA的安全性…不会破坏RSA。
  • 密码分析员通过破坏用来提供密码密钥的伪随机数生成器来分析许多系统。密码算法可能是安全的,但关键的生成过程却并非如此。再一次,想想美:算法是安全的,但是,为算法生成密钥的方法有一个弱点,这意味着没有足够多的钥匙。
  • 研究人员通过观察不同的密钥相互关联的方式来破坏密码系统。每把钥匙都是安全的,但是,几个相关密钥的组合足以对系统进行密码分析。

贯穿所有这些攻击的公共线程是,它们都通过使用带外信息来确定密钥,从而推导出构成密码分析的信封。在侧面通道攻击之前,开放加密社区没有考虑使用明文和密文以外的信息来攻击算法。在第一篇论文之后,研究人员开始研究侵入性侧通道,基于引入瞬时和永久性故障的攻击,以及其他侧通道。突然有了一种全新的密码分析方法。

几年前,我和一个国家安全局的雇员谈了一个特别的剥削。他讲述了一个系统是如何被破坏的;这是一次偷袭,一个我认为不应该算的。“那是作弊,”我说。他看着我,好像我刚从海王星来。

“防止作弊”(即,不按照假定的规则进行操作)是安全工程的基本原则之一。传统的工程就是让事情运转起来。这是“黑客”一词的起源,就像“他通宵工作,一起破解代码”一样,“代码起作用了;不管它长什么样。安全工程是不同的;这是为了确保事情不做他们不该做的事情。确保安全不被破坏,即使在一个恶意的对手面前,他竭尽所能确保事情不会在最坏的时候以最坏的方式进行。好的攻击是工程师们从未想到的。

防御这些未知的攻击是不可能的,但是,通过良好的系统设计可以降低风险。任何一个优秀的安全工程师的座右铭都是:“安全不是一种产品,但是一个过程,“这不仅仅是在系统中设计强大的密码术;它设计了整个系统,所有的安全措施,包括密码学,一起工作。它设计了整个系统,当意外的攻击不知从何而来时,系统可以升级和重新修复。“是否发现安全缺陷”和“何时发现安全缺陷”从来不是问题。

这不是暂时的问题。密码分析员将永远在挑战攻击的极限。每当加密被用来保护大量的金融资源(尤其是使用世界范围的主密钥)时,恶意攻击者可能会更积极地使用这些违反设计者假设的行为。随着我们的社会越来越依赖数字基础设施,安全流程必须从一开始就设计好。

Bruce 188滚球网站Schneier是反互联网安全首席技术官,股份有限公司。你可以订阅他的免费电子邮件通讯,188bet滚球投注Crypto Gram在网址:http://www.countrane.com.

类别:计算机和信息安全

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.