在媒体上,我有时会读到加密算法中的“后门”。我想了解这种后门实际上是什么组成的。是吗?

a)数学公式中的一个隐藏弱点会影响安全性,以便可以在合理的时间内(而不是预期的宇宙寿命)用蛮力打破它? br />
或b)一个通俗易懂的洞,使一个有识之士可以完全不用蛮力攻击就可以提取信息;

我不知道在不进行复杂数学运算的情况下是否可以回答这个问题,但我希望答案可以尽可能地以通俗易懂的方式保存。 br />
我想创建这样的后门会涉及到如何很好地隐藏后门的挑战,以至于找不到后门。或者,如果发现它的创建者可以做出合理的主张,那就是创建加密是人为错误,而不是造成该错误的恶意意图。关于它如何工作以及如何在实践中发挥作用的信息也将很有趣!

评论

您是否希望政府对每个保险箱都拥有万能钥匙?同样的问题。

关于加密后门的一个很好的幻灯片是www.cs.bu.edu/~reyzin/teaching/f14cs538/Backdoors.pdf和完整的参考书:加密病毒学

@joshua:这个问题上没有政府。这个问题等同于“万能钥匙如何工作?-主锁的专门构造,还是只是一个隐藏的钥匙孔?”

@AShelly:加密后门意味着政府,除非得到证明。

不过,这个问题纯粹是技术性的。 “一个人如何工作?”与“任何人都可以实现?”有很大不同。

#1 楼

后门加密算法中有两个有点正交的概念:后门可以是显式的也可以是隐式的。一个明确的后门是每个人都知道的后门。隐式后门努力保持算法所有者无法检测到的后门。当然,当存在显式后门时,人们倾向于完全避免使用该算法,因此显式后门可能希望仅在存在强制实施者使用后门系统的法律框架的情况下起作用。明确的后门实例是Clipper芯片(最终被放弃了)。后门不是真正在算法中,而是在将算法组装成协议中,从技术上讲,它是一种自动密钥保护方法。对于隐式后门,请参阅Dual EC DRBG作为一个著名示例:它只有在没有人知道它是后门的情况下才起作用。


后门的安全性可以量化,或者不能量化。在Dual EC DRBG的情况下,该机制使用了众所周知的数学路径:NSA知道利用后门需要基于离散对数(在椭圆曲线上)的内部密钥知识。

当您尝试推送(例如,一个有缺陷的算法)或者您知道一种尚未发布的密码分析方法时,就会发生不可量化的安全性。对于间谍机构来说,这是一个非常危险的游戏,因为您无法真正知道第三方是否可以找到该缺陷。从长远来看,这种后门行为往往适得其反。

有趣的是,NSA倾向于不使用不可量化的后门。 DES是一个很好的例子。在设计时,国家安全局认为它可以解决前期256次详尽的搜索,而且没有其他人(特别是苏联人)拥有相应的技术和预算。国家安全局还知道一种新颖的密码分析方法(差分密码分析)。因此,当美国国家安全局(NSA)介入DES的设计时,它坚持将密钥从64位缩短到56位(这是增加了可量化的后门,而且很明显,因此是准显式的),并且还坚持了针对差分的设计密码分析。这是一个很好的例子,说明了国家安全局如何有意识地避免使用不可量化的后门。间谍机构仅担心的一件事就是无法进行间谍活动:这是其他竞争性间谍机构也可能从事间谍活动的想法。使用数学提供可量化的安全性,以防止未经授权使用后门。如果不明确显示后门,很难获得可量化的安全性。该领域的“同类最佳”是Dual EC DRBG,甚至在斯诺登(Snowden)交易之前,密码学家就已经发现它很奇怪,并且强烈怀疑犯规(请参阅早在斯诺登(Snowden)六年之前的2007年的分析)。

评论


$ \ begingroup $
“间谍机构所担心的只有一件事,那就是无法进行间谍活动:这是其他竞争性间谍机构也可能从事间谍活动的想法。” –是的。人们常常忘记了国家安全局的职责是双重的:保护美国的数字基础设施和攻击敌人的安全。故意添加不可量化的后门将违反责任1。
$ \ endgroup $
–‐Jörg W Mittag
16年2月18日在8:59

$ \ begingroup $
这个答案让我觉得我需要进入我控制的每台服务器,并确保在使用密码术的每个应用程序中,NSA曾经提出或认可的每一个密码都被正确禁用。
$ \ endgroup $
–aroth
16年2月18日在13:43

$ \ begingroup $
@aroth:这是一个非常不同的问题。但至少对于OpenSSH而言,可在stribika.github.io/2015/01/04/secure-secure-shell.html中找到详细说明
$ \ endgroup $
– Piskvor离开了建筑物
16-2-18在19:35

#2 楼

您的两种加密后门公式均有效。然而,更有效的方法和更难检测的方法在于使用于生成私钥和公钥的随机生成器偏移(已知示例)。这个想法是,如果您可以预测随机生成器的输出,那么就可以琐碎地生成相同的私钥/公钥,然后解密任何消息,就像您是合法所有者一样。

使用这种方法可能更容易隐藏后门(!!!!!!!!!),因为对随机数生成器的分析非常复杂且成本很高。这里的密码学家可能比我回答更好。

评论


$ \ begingroup $
确切地说,PRNG中的后门提供了合理的可否定性,因为这些事情很难正确处理,因此,如果找到后门,则声称无能为力更容易控制公共关系的损害。
$ \ endgroup $
–托马斯·波宁(Thomas Pornin)
16-2-17在14:07

$ \ begingroup $
这是诸如Mersenne Twister之类的随机化器问题的很大一部分,其结果可以在少于650次迭代后以100%的准确度进行预测。
$ \ endgroup $
–马克·布法罗(Mark Buffalo)
16-02-17 '17:37

$ \ begingroup $
@ M'vy:在您的“已知例子”中,我想添加一种比较复杂的方案,该方案由maartin于多年前提出(最近由我在互联网上进行了阐述)。
$ \ endgroup $
–沉莫功
16-2-18在11:22



$ \ begingroup $
@ThomasPornin:的确,围绕引入漏洞同时保持合理的可否认性的整个竞赛:underhanded-c.org/_page_id_16.html
$ \ endgroup $
–vsz
16-2-18在21:28

#3 楼

对于不了解加密的人的加密后门定义。还记得《指环王》中的赫尔姆之战吗?被高墙包围的大堡垒只有一条路?

霍恩堡要塞分为两个阶段。城堡是一个高大的建筑,只能通过一条没有栏杆的长石道从外面进入。厚厚的木质大门,高城垛,专为防御而设计。在外墙和内墙之间是一条弯曲的小路,弯曲成庭院。通往大厅,堡垒的最后可防御部分。这也导致了山洞。整个过程已经准备就绪,所以攻击者必须面对防御者的手套,在各个方面都有空间和空位供弓箭手使用。众所周知的加密后门?废水闸门-整个结构的唯一弱点,是兽人军炸毁要进入堡垒。



评论


$ \ begingroup $
我认为与其说是后门,不如说是缺陷或弱点。关于后门OP的类型,更好的类比是Grima是否专门告诉Theoden安装该门,以便Saruman可以轻松炸毁它。我不会说任何弱点都是后门,但是故意的弱点是。
$ \ endgroup $
– Trallgorm
16年2月17日在15:34

$ \ begingroup $
这是一个故意的弱点,他们需要排水,而不是挖下来并进行水下排水(他们确实建造了头盔深处的隧道),他们在坚不可摧的墙壁上开了一个洞。关键是,对于技术人员,您可以争论意图,但对于非技术人员,最好将后门解释为难以穿透的墙壁上的孔
$ \ endgroup $
–卡琳娜
16-2-17在15:48

$ \ begingroup $
我认为这不是OP所要表达的意图。这是一个无能的问题,而不是恶意地削弱其防御能力,这就是后门。如果我们返回到由于频率分析而变得非常弱的加密替换密码,那么至少在我看来,这不会算是后门程序,只是他们当时并不了解。另一方面,NSA告诉公司仅使用特定长度的密钥,以便他们可以破解它,这将是后门。
$ \ endgroup $
– Trallgorm
16年2月17日在15:54

$ \ begingroup $
所有类比的问题在于它们不精确。但是,在许多情况下,它们不需要精确即可达到使不熟悉该领域的人了解所涉及概念的目的。
$ \ endgroup $
–罗里·麦库恩(Rory McCune)
16年2月17日在16:12

$ \ begingroup $
后门-一种非官方的,未知的,未经批准的或其他隐藏方式。此答案很适合。当然,这不是设计的后门程序,但它仍然可以为外行提供信息。
$ \ endgroup $
–Rory Alsop
16-02-17 '17:37

#4 楼

执法部门不断要求的“例外访问”是最好的主密钥。您知道在大型办公大楼中,大多数在那工作的人怎么都有只打开几扇门的钥匙,但是门卫人员和大楼管理人员却可以打开所有门?它的工作方式完全一样,并且会产生完全相同的负面影响:


您必须信任每个拥有主密钥的人,以便在允许的时间遵守规则使用它以及允许他们在室内做什么。在电影情节中,有人找到了看门人的工作,以便潜入他们不应该去的地方,这确实发生了。
万能钥匙非常有价值。这使它成为盗窃的目标,并使所有可以使用它的人成为勒索的目标。
如果万能钥匙确实被盗,则必须更换所有锁。这可能使它们更易于选择。

这些问题对于密码系统来说要比对办公楼要严重得多。这从根本上来说是因为规模。办公大楼的主密钥只能解锁一栋办公大楼,并且副本数量有限,并且对其进行跟踪是一个众所周知的物理安全问题。相比之下,假设Clipper芯片已在整个美国采用。然后,只有一个主密钥可以解密美国的每个电话对话。 (无论如何,如果我没记错的话,已经有一段时间了,因为我必须确切地了解Clipper的工作方式。)该密钥本来是少量数据,可以很容易地存储在一张3.5英寸的软盘中。知道存在多少副本的方法,并进一步假设Matt Blaze在系统被广泛采用之后发布了该系统不安全的演示(类似于有人公开了一种选择主密钥锁的简便方法) :那么我们就不得不更换所有手机,全部约1.8亿部手机。

1997年的论文“密钥恢复,密钥托管和可信第三方加密的风险”已纳入

作为最后的说明,值得指出的是,操作系统更新的签名密钥实际上是正是这种主密钥。在这种情况下,我们要承担风险,因为安全地分发更新o非常有价值……但是有些人的全部工作是确保没有人偷那些钥匙。在我撰写本文时,苹果公司在公众和法律上臭名昭著,被要求将自定义更新推送到一部手机,这将使FBI解锁它更容易-可能更多是因为它将树立先例,而不是因为非常关心保护一个(晚期)客户的隐私。

评论


$ \ begingroup $
不过,应该有一些方法可以限制这一点。无法在设备上生成此新的后门主密钥并将其安全发送到Apple吗?他们似乎并不需要为所有设备都拥有相同的主密钥,尽管这将使Apple服务器成为一个巨大的目标,因为它们将为每部手机配备主密钥。
$ \ endgroup $
– InverseFalcon
16-2-18的2:53

$ \ begingroup $
@InverseFalcon可以解决问题。仍然有一个值得窃取的主密钥。直到现在,私钥才可以解密设备密钥。而且,正如您所说,设备密钥数据库也是目标。
$ \ endgroup $
– zwol
16年2月18日在3:03

$ \ begingroup $
相当公平,尽管我认为苹果的某些地方已经在某种数据库中使用了某种主加密。我真的希望他们不要像这样削弱他们的安全性,但我对他们可能会如何做以及其含义感到好奇。这是一件令人着迷的事情,但肯定会带来可怕的暗示,只是想像一下违反这样一个系统会做什么。
$ \ endgroup $
– InverseFalcon
16-2-18的3:07

$ \ begingroup $
@InverseFalcon请注意我刚刚添加的最后一段:)
$ \ endgroup $
– zwol
16-2-18的3:08

$ \ begingroup $
您忘记了'Clipper'(EES):它在每个设备中注入了唯一的密钥,并分成两份复制到两个存储库中;最大2 ^ 32个密钥x 10字节/共享将是40GB或大约60个CDROM。 LEAF字段(包括设备ID)使用“家庭”密钥进行了加密,因此Eve(或者也许是Salt的Angelina Jolie扮演的间谍Evelyn)可以轻松识别每部电话(实际上他们已经可以识别),但只能解密单个电话在获取存储库后,请手机将设备专用密钥移交。储存库实际上限制了目前未知的程度。
$ \ endgroup $
–dave_thompson_085
16-2-18在20:35



#5 楼

媒体文章中的加密算法有很多东西可以视为后门。这些并不总是与后门的更多技术定义相符,但通常会导致允许没有密码或密钥的人获取受保护的数据。

例如,在手机中,无论用户将什么设置为PIN码,都拥有一个可以解锁设备的PIN码,这将是后门。这允许具有该密码的任何用户解锁设备,而无需知道原始PIN。暴力破解PIN的系统不被视为后门程序-最终结果是相同的(数据已显示),但是没有任何秘密可以使它通用。对于Apple而言,目前没有要求将后门插入PIN系统。但是,要求为PIN保护系统提供一个后门-它旨在通过绕过暴力破解保护来使PIN公开。这将涉及特定的代码,然后可以在其他设备上使用这些代码来对PIN发起暴力攻击。

也有关于加密算法后门的谣言,通常与NSA链接在一起。特别地,已经讨论了某些形式的椭圆曲线密码术所使用的随机数生成器中的弱点,这允许机构或个人知道该弱点以逆转使用该弱点加密的数据。有关此方面的详细信息,包括在线数学。同样,此单个漏洞适用于广泛的系统,而无需用户破坏特定的键或密码。除了原始创建者以外,它还具有不可证明的有趣特性,因为它依赖于与公钥密码学相同的特性之一。这将是一个后门-它是隐藏的(实际上,除非通过推理,否则您不能证明它存在),一旦您知道如何使用它,就可以在任何地方重复此技巧。最终用户提供了什么其他信息(通常是密码或密钥)都没有关系-永远不会影响您访问受保护数据的能力。

#6 楼

总体思路是创建一种可以通过两种不同方式解密的加密算法。一种方法(前门)使用加密器选择的加密密钥(例如密码)。另一种方法(后门)使用算法设计者选择(或至少知道)的加密密钥。您可以将后门钥匙视为内置在该算法中的主钥匙,但对于分析该算法的人而言并不明显。这样,使用该算法的任何人都可以选择自己的秘密密钥,然后只有知道该密钥或主密钥的人才能解密该消息。

给出一个更具体但又平易近人的示例,您必须了解对称和非对称加密之间的区别。对称加密使用相同的密钥来加密和解密消息。非对称加密使用一对“匹配”密钥,一个用于加密,另一个用于解密。使用非对称密钥,您可以告诉所有人加密密钥,并且他们可以加密仅您可以解密的消息。但是,对称加密往往会更快,因此在实践中,人们通常使用非对称密钥对对称密钥进行加密,然后使用对称密钥对实际消息进行加密。使用这种策略,您可以使用随机的对称密钥简单地加密每条消息,然后使用使用非对称加密密钥加密的对称密钥副本和使用“后门”非对称加密的对称密钥副本将邮件头附加到邮件加密密钥。

基于上述,我认为将“后门”称为漏洞而不是弱点是公平的。您可能会争辩说,美国国家安全局(NSA)提倡的某些加密弱点可以称为“后门”。但是由于要花费10亿美元的预算来有效利用这一弱点,因此更类似于对强加密进行出口控制,而不是后门。在这两种情况下,“隐藏”后门通常无效。通常,学术界至少会在加密算法成为流行标准之前就怀疑后门的存在。仅仅是后门的钥匙仍然是秘密。

评论


$ \ begingroup $
,但以非对称加密示例为例。当您为主密钥添加另一个“密钥头”时,检查该密钥的人不会看到它,因为您可以看到哪些密钥ID将对symmetrc密钥进行解密
$ \ endgroup $
– My1
16年2月19日在17:50

$ \ begingroup $
@ My1就像我在帖子中所说的那样,大多数后门本身并不是隐藏的。您知道门在那里,您无法比前门更轻松地打开它。基本上,算法设计者可以打开后门,而加密器可以打开前门。
$ \ endgroup $
–詹姆斯·特纳
16-2-22在23:11

$ \ begingroup $
在算法中编码的后门与添加第二个密钥标头相比,至少不明显。
$ \ endgroup $
– My1
16-2-23在9:37

$ \ begingroup $
特别是对非技术人员而言,因为有一种软件可以显示可以解密哪些密钥ID,例如,当您没有匹配的密钥时,可以在mailvelope中看到。那更像是增加第二个前门。在我看来,也并非隐藏且几乎不明显是不同的事情,只是因为您没有积极尝试将其隐藏而不会使它变得明显。
$ \ endgroup $
– My1
16-2-23在9:45



$ \ begingroup $
在加密世界中,混淆经常遭到嘲笑和嘲笑。我认为这是有充分理由的。
$ \ endgroup $
–詹姆斯·特纳
16-2-23在17:05

#7 楼

名称“后门”应该是一个直观的类比。如果您可以找到并打开后门,则不必担心破坏房屋其余部分的安全性。

有时后门隐藏在灌木丛后面或伪装在墙壁上,但是如果您藏在马路对面,可能会看到有人在使用它。平屋顶上方的敞开窗户和花园中的梯子。

#8 楼

我认为这两者都适用,但是没有第三类吗?

c)本身不是一个漏洞,而是一个额外的密钥,用于加密并与用户提供的密码一起转移给公司(或第三方)或由其持有。

就正在进行的Apple iOS加密而言,在我看来,创建后门的要求方法是首先更改设备的加密方式,并生成一个随机密码。用户创建,使用这两种方法都可以进行加密,然后将生成的密码发送回Apple服务器以进行安全保护(当然,在传输期间以及存储密码的任何地方进行加密),并在执法部门要求解锁时进行检索。 >
显然,这仅在iOS更新之后和用户解锁设备后才适用,因此,由于它们已死,因此无法访问当前使用的手机。 >这是否可行,可以算作后门吗,在这里的专家那里, ld这里不是很明显的含义,如果苹果被迫添加后门机制,这种方法在实用性和安全性上与其他任何选择相比如何?

评论


$ \ begingroup $
经过进一步的研究,他们正在讨论的后门似乎与创建没有重试限制的iOS构建和扩展的功能有关,以使暴力破解尝试更快,更自动化。少了后门,但肯定削弱了它阻止攻击的能力。但是,如果泄漏了这样的构建,将会产生广泛的影响。不漂亮。
$ \ endgroup $
– InverseFalcon
16-2-18在1:18



$ \ begingroup $
看来这甚至不可能。看起来重试安全性是通过硬件而不是软件来实施的。似乎颇为铁定。
$ \ endgroup $
– InverseFalcon
16-2-18的2:37

$ \ begingroup $
这称为密钥托管,相当于OP的情况b)。仍然是后门。您可以1)不知道存在后门(未知的未知数),2)知道存在后门但不知道密钥(已知未知数)或3)知道存在后门及其密钥(已知已知),但是在所有三种情况下,它仍然是后门。只有您的知识或无知已经改变。
$ \ endgroup $
– Iwillnotexist Idonotexist
16-2-18在4:26

$ \ begingroup $
啊,谢谢!当我对某事没有足够的知识来了解一些更常见或更有用的术语时,我总是讨厌它。感谢您填写空白!
$ \ endgroup $
– InverseFalcon
16年2月18日在6:08