Total Pageviews

Thursday, 31 July 2014

NSA暗中开发强大信息解码技术

美国国家安全局(National Security Agency,简称NSA)在长期的加密技术秘密战争中占了上风,它利用超级计算机、技术花招、法院指令和幕后劝说,对互联网时代保护日常通讯隐私的主要工具造成了损害。
加密技术,或称数码干扰技术,可以为国际商业和银行系统提供防卫、保护商业机密和医疗记录等敏感数据,并自动为美国及世界各地民众的电子邮件、网页搜索、网络通讯和通话提供安全保证。上述文件表明,国家安全局绕开或破解了大部分加密技术。
很多用户都认为——或者说网络公司曾向他们保证——他们的数据绝不会遭到他人窥探,即便政府情报机构也无法获 得这些数据,而NSA则希望他们继续这么认为。根据NSA承包商前雇员爱德华·J·斯诺登(Edward J. Snowden)所提供的文件,NSA把它最近在解密受保护信息方面所取得的成功归入最核心机密的行列,只有那些可以接触代号为Bullrun的高保密项 目的人才能了解相关讯息。
该项目始于2000年,当时加密工具正在逐渐覆盖整个网 络,为了保留自己的窃听能力,NSA便投资数十亿美元开展了一项秘密活动。20世纪90年代,NSA希望能在所有加密讯息中安插自己的“后门”,但最终却 在这场公开斗争中败北,然后它便试图通过秘密行动来达到同样的目的。
根据上述文件以及对业内管理人员的采访,为了破解密码,NSA采用了定制的高级计算机,而且还开始与国内外的科技公司进行合作,在这些公司的产品中建立入口。文件并未表明哪些公司曾参与这个过程。
NSA会在信息被加密前潜入目标计算机获取相关信息。在一些案例中,公司表示,它们受到了政府胁迫,不得不交出自己的主密钥或是建立后门。此外,NSA还利用自己作为世界上最有经验的密码制造者的影响力,秘密在世界各地的软硬件开发商所遵循的加密标准上设置了薄弱环节.
“过去10年中,为了破解各种广泛使用的网络加密技术,NSA针对多个方向大力开展工作,”2010年的一份 备忘录表示。“现在正在获得密码分析能力,此前被丢弃的海量加密网络数据目前可被利用。”这份备忘录来自一场与NSA对应的英国机构政府通讯总部 (Government Communications Headquarters,简称GCHQ)为员工举行的关于NSA成就的通报会。
另一份备忘录称,当这些经常与NSA官员并肩工作的英国分析师首次得知这个项目时,“那些还不知情的人大吃了一惊!”
一份情报机构的预算文件表明,这项工作的力度并未减弱。国家情报总监小詹姆斯·R·克拉珀(James R. Clapper Jr.)在今年的预算请求中写道,“为了击败敌方的加密技术和利用网络流量,我们正在对突破性密码分析能力进行投资。”
最近几个月,斯诺登披露的文件显示,NSA的行动范围甚广,从世界各地获取了的大量通讯内容。而关于加密讯息的文件现在极其详细地讲述了NSA是如何确保自己能够解读搜集到的讯息。
虽然NSA成功破解了加密技术所提供的很多隐私保护机制,但是这种成功并未改变如下, 即禁止有关部门在没有得到授权的情况下,故意以美国人的电子邮件或电话为窃取目标。然而这份文件表明,隐私保护技术并不能完全限制NSA的行动。2011 年,一名联邦法官曾尖锐批评NSA违反了上述规定,并误导了外国情报监视法庭(Foreign Intelligence Surveillance Court)。按照NSA的规定,它可以在解密国内外任何加密讯息或分析其技术特征期间储存这些讯息,不论时间多长。
自1952年成立以来,NSA就开始专攻解密技术,并把这项任务看作自身使命的基本要素。NSA官员表示,倘若无法解密恐怖主义者、外国间谍以及其他敌人的讯息,美国就将面临巨大风险。
就在最近几周,奥巴马政府向该情报机构了解了基地组织(Al Qaeda)领导人关于一次恐怖主义行动的通讯内容以及叙利亚官员关于发生在大马士革外围地区的化学武器袭击的讯息。NSA官员表示,如果此类通讯信息能够用无法破解的加密技术进行隐藏,NSA就将无法开展工作。
但有些专家表示,NSA绕开及削弱通讯安全保障的做法或许会带来严重的意外结果。他们说,NSA正在与自己的其他重大使命(除窃听以外)——保证美国的通讯安全——背道而驰。
NSA力度最强的一些工作都集中在美国广泛使用的加密术 上,其中包括安全套层(Secure Sockets Layer,简称SSL)、虚拟专用网(virtual private networks,简称VPN),以及4G智能手机所使用的保护措施。很多美国人在发送邮件、网上购物、通过公司计算机网络与同事交流,以及通过4G网络 使用电话或平板电脑时,都会依赖这些保护措施,而他们往往不会意识到这一点。
几乎可以肯定,GCHQ曾与NSA就此展开密切合作。一份 文件称,至少在过去三年中,GCHQ尝试用各种手段来获取最受欢迎的互联网公司——谷歌、雅虎、Facebook和微软Hotmail——中受保护的通 讯。文件还显示,截至2012年,GCHQ开发了进入谷歌系统的“新途径”。
“风险在于,当你在系统中插入了后门,你不会是唯一能利用它的人,”约翰斯·霍普金斯大学(Johns Hopkins University)密码学研究员马修·D·格林(Matthew D. Green)说。“这些后门也可能被利用来打击美国通讯。”
曾联合设计SSL协议的著名编码师保罗·科克(Paul Kocher)回忆称,NSA在20世纪90年代曾要求在所有加密系统里安插叫做“Clipper芯片”(Clipper Chip)的政府后门,并最终失败。
“但他们不顾一切,还是这么做了,而且没有告诉任何人,”科克说。他说他理解NSA的使命,但是他担心允许NSA不受限制地获取私人讯息会带来危险。
“情报界一直都在担心世界会陷入永远‘静默’的状态,但他们如今却不费吹灰之力就能在瞬间全面侵入人们的隐私之中,”他说,“这简直是间谍活动的黄金时代。”
重要能力
这些文件属于《卫报》(The Guardian)向《纽约时报》与非营利性新闻机构ProPublica分享的逾5万份文件之列。它们主要侧重GCHQ ,但其中有数千份文件来自NSA或跟它有关。
情报官员要求《纽约时报》和ProPublica不要刊发 这篇文章,说它可能导致外国目标改用新的加密或通信方式,令收集或读取信息变得更困难。新闻机构删除了一些具体细节,但还是决定刊发这篇文章,因为这对于 公众就政府行为展开辩论具有价值。这些政府行为削弱了保护美国人和其他人隐私的最为有力的工具。
这些文件显示,该机构仍然没有攻克所有的加密阻碍,正如斯诺登6月在《卫报》网站上进行网络问答时所提到的。
“正确使用强大的加密系统,是少数你可以依靠的手段之一, ”他说。不过他也告诫道,NSA经常会完全绕过加密系统,方法是针对一端或者另一端的计算机,在文本被加密之前或者解密之后获取它们。
该文件明确指出,NSA认为自己解密信息的能力非常重要,并在就此与中国、俄罗斯和其他国家的情报机构开展竞争。
“在未来,超级大国的成败将取决于它们密码分析项目的实力,” 2007年的一份文件写道, “美国要想继续不受限制地访问和使用网络空间,这就是入场费。”
NSA解码能力究竟有多强大只有少数顶级分析师知道,他们 来自所谓的“五只眼”(Five Eyes):NSA及其在英国、加拿大、澳大利亚和新西兰的对应机构。只有他们能充分接触Bullrun项目,及其前身项目Manassas——这两个名 字都取自美国南北战争中的战役。GCHQ的一个平行的反解密项目叫作Edgehill,名字取自17世纪英国内战的首个战役。
跟互联网公司的关系
NSA成立之初,加密还是一种鲜为人知的技术,主要供外交官和军官使用。过去的20年里,随着互联网的兴起,它已经变得无处不在。即使新手也知道,如果电脑屏幕上的网址旁边出现一个小小的挂锁图案,他们的信息交换就被自动加密了。
NSA机密文件明确表示,由于严格加密之后的效果非常好,该机构的成功有赖于跟互联网公司的合作——要么获得它们的自愿合作,要么用法庭命令迫使它们合作,或者暗中窃取它们的加密密钥,又或者修改它们的软硬件。
斯诺登泄露的一份情报预算文件显示, NSA每年花费逾2.5亿美元在Sigint促进计划(Sigint Enabling Project)上,这个项目“主动积极地接触美国和外国IT产业,暗中或公开影响它们的商业产品设计”,让这些产品“可被利用”。Sigint是电子窃 听技术的术语“信号情报”(signals intelligence)的缩写。
这些文件显示,今年,Sigint项目找到了进入某些为企 业和政府编码信息的加密芯片的数个途径,方法要么是通过与芯片制造商合作来植入后门,要么是暗中利用现有的安全缺陷。NSA还有望获得完整权限,从而在加 密前访问一家未具名的大型互联网电话与短信服务公司、一家中东互联网公司,以及三个外国政府的通讯信息。
知情人士告诉《纽约时报》:有一次,在美国政府了解到某外国情报目标订购了新的计算机硬件之后,美国制造商同意在硬件出货之前植入一个后门。
NSA在其2013年的预算申请中强调了“与各大电信运营商保持合作伙伴关系,使全球网络有利于其他信息搜集活动”——也就是说,获得更多的窃听机会。
据《卫报》报道,NSA跟微软公司的管理层合作,可以在加密前访问该公司人气最高的服务项目,比如Outlook电子邮件、互联网通话与聊天软件Skype,以及该公司的云存储服务SkyDrive。
微软强调,自己只是遵从了政府的“合法要求” ,而且在某些情况下,合作显然是迫不得已的。熟悉内情的人士透露,政府曾经要求一些公司交出所有用户通信的加密密钥。如果公司高管拒绝执行秘密法庭颁发的这个命令,可能会被处以罚款或监禁。
NSA的文件显示,该机构有一个名为密钥供应服务(Key Provisioning Service)的内部数据库,里面是特定商业产品的加密密钥,可以自动解码很多信息。如果解码所需的密钥不在数据库中,它会向密钥收回服务(Key Recovery Service)发送请求。后者就会设法获取相应的密钥。
如何得到密钥是保密的,但一些独立的密码专家称,许多密钥很可能都是通过秘密侵入相关企业存储密钥的计算机服务器来获取的。
与此同时,NSA也刻意削弱了开发人员采用的国际加密标准。该机构2013年的预算申请中阐述的目标之一是“影响商用公钥技术的政策、标准和规范”,而这种技术是最常见的加密方法。
密码专家早就怀疑NSA在一个标准中植入了漏洞。这个标准 于2006年被负责美国加密标准的国家标准与技术研究院(National Institute of Standards and Technology)所采用,后来又被拥有163个成员国的国际标准化组织(International Organization for Standardization)采纳。
NSA的数份机密备忘录似乎证实了,微软的两个密码破译人员2007年在标准中发现的致命漏洞是该机构的手笔。NSA编制了这个标准,花大力气把它推向国际社会,并在私下里称这个任务是“需要精妙应对的挑战”。
“最终, NSA成为了唯一的编撰者。 ”备忘录中写道。
即使某些看似旨在保护美国人通信的NSA项目,有时也被用 来削弱这种保护。举例来说,NSA旗下的商业解决方案中心(Commercial Solutions Center)曾以改善美国网络安全为名,邀请加密技术开发机构来展示它们的产品和服务。但一份绝密NSA文件显示,该机构的黑客部门使用同一个项目培养 并“利用跟特定行业合作伙伴之间的敏感合作关系”,以达到把漏洞植入到互联网安全产品中的目的。
绕道而行
通过引入此类后门,NSA悄无声息地获得了在公开场合未能 取得的成效。20年前,美国官方对一些强大加密软件的流行担忧起来,比如程序开发员菲尔·齐默尔曼(Phil Zimmermann)设计的“完美隐私软件”(Pretty Good Privacy,简称PGP)。克林顿政府提出了Clipper芯片予以还击。如果推行下去,NSA将始终掌握密钥,实际上会使电子加密失去作用。
这项提议在很大范围内遭遇了强烈反对,并出人意料地团结了 一批人,其中包括参议院里的政治对头,比如来自密苏里州的共和党人约翰·阿什克罗夫特(John Ashcroft)和来自马萨诸塞州的民主党人约翰·克里(John Kerry),还有电视传教士帕特·罗伯森(Pat Robertson)、一批硅谷高管,以及美国公民自由联盟(American Civil Liberties Union)。他们都认为,Clipper不仅会让宪法第四修正案形同虚设,还会扼杀美国在科技领域的全球领先优势。
1996年,白宫终于让步。但很快地,NSA就开始尝试,在加密成为主流之前进行预先准备并予以阻挠。
“每项新技术都需要新的专业知识来对其进行利用,越快越好,”一份机密文件中这样写道。
每次出现创新性的加密方式都会让他们心生焦虑。当齐默尔曼推出了加密电话技术Zfone时,NSA分析师通过电子邮件竞相传阅这一消息,邮件主题栏上写着“此事不妙”。
一份NSA文件显示,到了2006年,通过破解保护性的VPN,该局已攻破了三家外国航空公司、一个旅行预订系统、一个外国政府的核能部门,以及另一个外国政府互联网服务的通讯系统。
到了2010年,英国反制加密的Edgehill计划已成功破解了30个目标的VPN,而且设立了再破解300个的目标。
不过,这些机构的目的是要摆脱逐个破解目标工具的局面,迈向实时解译通过全世界光纤和互联网交换机的所有信息,仅需事后搜寻解密材料来获取有价值的情报。
2010年的一份材料呼吁,采取“全新的方式来进行随机解码,而非逐个破解目标”。就在当年,Bullrun的一份报告文件宣称,NSA已获取了针对加密网络聊天与电话的“突破性能力”。该机构在破解SSL和VPN上也不断有所斩获。
不过,NSA担心,一旦解码的“实情”广为人知,就会丧失长时间努力得来的优势。GCHQ概述Bullrun计划的一份文件中警告,“这些能力是Sigint项目中最为脆弱的部分,无意间泄露这一简单‘实情’的话,可能会让对手警觉,并导致能力的迅速丧失。”
业界反弹
自从斯诺登的揭秘激起外界对NSA触角太广、侵犯隐私的批评,美国科技企业就面临着消费者和公众的审视。一些人认为,业界与政府的关系太过紧密。作为回应,一些企业开始反击他们眼中的政府的霸道行为。
谷歌、雅虎、微软和Facebook都施加了压力,希望允 许它们披露有关政府下达秘密合作要求的更多信息。由于不愿满足NSA的要求,小型邮件加密企业Lavabit干脆关门,因为公司认为NSA要求的是机密客 户信息。另一家企业Silent Circle宁可终止邮件服务也不愿满足类似的要求。
实际上,当NSA不断得寸进尺的时候,业界都做出了让步。
Lavabit的创始人拉达尔·莱韦森(Ladar Levison)给失望的客户写了一封公开信,给出了不详的警告。“除非国会采取行动,或是法院做出强有力的判例,”文中写道,“我强烈建议,任何人都不要把自己的私人信息交给与美国有任何实际联系的公司。”

FROM http://cn.nytimes.com/usa/20130906/c06nsa/

----------------
NSA 是如何破解大量加密信息的?

近几年有谣言说 NSA 可以解密已加密网络中的大部分数据。在 2012 年,James Bamford 发布了一篇 文章 ,引用了匿名的 NSA 前成员的说法,他证实“NSA已经取得了计算力的突破性进展,他们有能力破解当前已公开的加密算法”。斯诺登公布的文档也暗指像一些额外的线索和文档显示,NSA已经建立了大量的基础设备来拦截和解密 VPN 流量,它至少能解密一些 NSA 想要知道的 HTTPS 和 SSH 连接。

然而,对于这些超前的工作是如何运作的,技术小组是如何判断后门或逻辑缺陷的等问题,这些文档都没有说明。2015 年 10 月 13 日,在 ACM CCS 会议的安全研究分会场,我们和 12 个同行发布了一篇 技术谜题揭秘报告 。

Diffie-Hellman 秘钥交换算法,是我们推荐使用的防御监听的算法。它是现代密码学的基石,VPN、HTTPS 网站、邮件和许多其他的协议都用在 Diffie-Hellman。我们的报告显示,通过数理理论的交汇和糟糕的协议实现,许多现实世界里的 Diffie-Hellman 用户在面对国家级攻击时都是脆弱的。这个事实稍微有点讽刺。

如果读者里有技术狂人,就会发现一些问题:如果客户端和服务端要使用 Diffie-Hellman,它们首先需要协定一个特殊形式的大素数。为什么不能每个人都用同样的素数?似乎不用问什么原因。实际上,许多应用倾向于使用标准的或者硬编码的素数。但算法从数学家到实现者之间,会丢失一个非常重要的细节:攻击者可以执行一个单点大规模计算来破解大素数,使用该大素数的个人连接很容易丢失。

你要问计算量有多大?大概是整个二战时期破解英格玛的计算规模(相较于那时候的计算量而言)。甚至连估算难度都很棘手,因为这个算法涉及到的内容太复杂,但我们有论文给出了一些保守的估算。对于最常用的 Diffie-Hellman(1024位),花了几亿美元来建造专门的破译机器,这能够每年破解一个 Diffie-Hellman 素数。

对情报机构而言,这值得么?一旦少量的大素数被滥用,那他们可解密的连接,将会很可观。破译一个通用的 1024 位大素数,将让NSA 能解密全球三分之二的 VPN 和四分之一的 SSH 服务器。破解两个1024 位大素数,将能够被动监听上百万个 HTTPS 网站中的20%。总而言之,在大规模计算上的一次投资,使它能够监听数以兆计的加密连接。

NSA 能够负担这些投资。在斯诺登泄露的部分文件里,有一份 2013 年的 黑色预算 的申请,文件显示 NSA 已经将“发展突破性的密码分析能力以打击敌对方密码系统和利用网络流量”提上了日程。它显示了 NSA 的预算大约一年有100 亿美元,其中超过 10 亿被用于计算网络技术开发和几个子项目中。

基于我们已有的证据来说,我们无法确切证明 NSA 已经完成了。然而,我们提出的 Diffie-Hellman 攻击方式,相较于其他可能性,更能解释在当前已知的技术水平下如何获得大规模破解的能力。例如,斯诺登发布的文档显示了 NSA 的 VPN解密设施 通过拦截加密连接,并使用超级计算机计算已知数据来得到密钥。这套系统的设计不遗余力的收集必要的特殊数据,为攻击 Diffie-Hellman 做准备。但它不适合 AES 或其他对称加密算法。这份文档清晰是显示了 NSA 使用其他类似软硬件“移植”的技术来破解特殊目标的加密算法,但这些并没有解释 NSA 大规模被动监听 VPN 信道的能力。

一旦 Diffie-Hellman 这种不牢靠的使用方式在标准和实现中被滥用,这个问题将会影响到许多年后,甚至给现有的安全推荐和我们新的调查带来影响。与此同时,其他强大的政府也有可能实现类似的攻击,假设他们还没那么做的话。

我们的调查阐明了 NSA 两项任务间的矛盾,收集情报和保卫美国网络安全。假如我们的猜想是正确的,情报机构已经掌控了弱 Diffie-Hellman,帮忙修正这个问题仅是小小的一步而已。在防守方,NSA 推荐大家应该向椭圆曲线密码学过渡,椭圆曲线密码学没有已知的漏洞,但这一推荐在没有明确推论或证明的情况下,就被大多数人忽略了。这个问题太复杂,因为安全通过采取 NSA 推荐,表面上价值不高。看看这这个显而易见的影响: 后门密码标准 。

这种状况让人人的安全都处于危险中。这种规模的漏洞是不加区别地影响着大家的安全,包括美国公民和公司,但我们希望,能有一种更清晰的技术,来了解 ZF 监控背后的密码机制,为大家能有更好的安全。

更多详情,请见我们的研究论文:《 Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice 》(更新:我们这篇论文获得了CCS 2015 最佳论文奖!)

J. Alex Halderman 是密歇根大学计算机科学与工程的助理教授,密歇根计算机安全和社会中心的主管。

Nadia Heninger 是宾夕法尼亚大学计算机与信息科学系助理教授。
原文 http://blog.jobbole.com/103838/