研究人员演示了NSA如何破解数万亿的加密连接
发布日期:2016-10-17据外媒HackerNews报道,得益于前NSA员工斯诺登泄露的分类文档,在2014年外媒已经了解到NSA通过利用Diffie-Hellman密钥交换算法来破解数万亿加密连接的能力。
当时,计算机科学家和高级密码学家提出了最合理的理论是:Alexa排名前100万的HTTPS站点中,大约有92%只使用了DH算法中的少数几个素数,考虑到NSA高达110亿美金的年度预算,这让NSA能够承受破解的成本,实现所谓“突破性的分析能力”。
现在来自宾夕法尼亚大学,INRIA,CNRS和洛林大学的研究人员已经实际证明了NSA如何破坏了在互联网上使用的最广泛的加密。
Diffie-Hellman密钥交换算法是在不可信通道上交换密码密钥的标准手段,允许诸如HTTPS,SSH,VPN,SMTPS和IPsec等协议协商密钥并创建安全连接。
由于应用依赖于Diffie-Hellman密钥交换算法使用大质数的组来生成短暂密钥,所以需要花数百或数千年的时间,以及几乎不可想象的金额来直接解密安全通信。
然而,研究人员只花了两个月和多达3000个CPU来破解了1024位密钥中的一个,这可能允许他们被动地解密数亿基于HTTPS的通信和其他TLS通道。
研究人员如何使用现在的计算硬件来做几乎需要几百年的事情?
在周二发布的论文[PDF]中,研究人员解释道,Diffie-Hellman算法本身不包含任何后门,但通过隐藏各种应用程序如何生成素数的事实,它被故意以不可检测的方式削弱了。
另外,选择用于Diffie-Hellman算法的密钥的大小(即小于或等于1024位)也很重要。
研究人员创建了一个弱的1024位Diffie-Hellman陷阱门函数,即随机选择的大素数其实来自预先设定的组,借此解决支持其安全性的离散对数问题,容易了大约10,000倍。
研究人员在他们的论文中写道,“目前对于1024位离散对数的通常估计表明,这样的计算对于能够支付数亿美元专用硬件的对手而言,在其可承受的范围内。”
因此,高级黑客或资源丰富的机构知道如何为陷阱门函数生成素数并解密1024位安全通信,就可以解密离散对数,进而解密数亿计受Diffie-Hellman保护的通信。
“对于我们的后备素数的离散对数计算只是可行的,因为1024位大小,并且对这种类型的任何后门的最有效的保护一直是使用任何计算是不可行的密钥大小,”研究人员说。
研究人员还估计,对2048位密钥执行类似的计算,即使使用后备素数,与1024位密钥相比,将会是1600万次,并且在许多未来几年中仍然不可行。
尽管美国国家标准与技术研究所(NIST)建议从2010年开始转换到至少2048位的密钥大小,但1024位密钥仍在网上广泛使用。
根据SSL Pulse项目进行的一项调查显示,截至上个月,互联网前14万个受HTTPS保护的网站中有22%使用1024位密钥,这可能被国家支持的对手或NSA等情报机构破解。
因此,对这个问题的直接解决方案是切换到2048位或甚至4096位密钥,但是,根据研究人员,在未来,所有标准化的素数应该与他们的种子一起发布。
在Diffie-Hellman密钥交换算法中使用的后门启动的概念几乎类似于在双椭圆曲线确定性随机位发生器中发现的,更好地称为Dual_EC_DRBG,其也被认为是由NSA引入的。
几乎三年前,斯诺登泄露的文件显示,RSA从NSA收到了1000万美元的贿赂,以在其bSafe安全工具中实施其有缺陷的加密算法Dual_EC_DRBG作为其产品中的默认协议,以保持较弱的加密。
因此,如果NSA将在数百万个密码密钥中使用这些不可检测和削弱的陷阱门来解密因特网上的加密流量,这并不奇怪。
来源:TheHackerNews 沃通(WoSign)翻译整理
相关资讯:
NSA承包商雇员Thomas martin因窃取国家机密而遭逮捕
据最新报道美国国家安全局(NSA)承包商雇员Thomas martin因窃取国家机密而遭到逮捕。如果最终马丁被定罪,他将面临最高10年的监禁。
路透社10月5日报道称,去年雅虎为美国政府定制了一款秘密工具,可以对上百万雅虎邮箱进行实时扫描,这样一来NSA或FBI就可以实时扫描每一个用户的邮件,搜索他们感兴趣的内容。而Motherboard最新的报道则指出,这还不仅仅只是个扫描工具。
今年8月,一组叫做影子经纪人(The Shadow Brokers)的黑客救入侵了NSA的御用黑客方程组组织,并泄露了大约300兆的私密信息和黑客工具。
现在,研究人员开发出了恶意软件CottonMouth的升级版USBee,不需要改装USB就可以传输数据就可以用于从任何未联网的计算机中偷取数据。研究员们把这种软件命名为USBee(USB蜜蜂)。