研究人员展示了NSA是如何破解数万亿加密连接的

2014年，我们开始了解到NSA能够利用Diffie-Hellman密钥交换算法的常见实现来破坏数万亿个加密连接；感谢NSA前雇员爱德华·斯诺登泄露的机密文件。

现在，宾夕法尼亚大学、INRIA、CNRS和洛林大学的研究人员已经证明了美国国家安全局如何打破了互联网上最广泛的加密。

Diffie-Hellman密钥交换（DHE）算法是在不受信任的通道上交换加密密钥的标准方法，它允许HTTPS、SSH、VPN、SMTPS和IPsec等协议协商密钥并创建安全连接。

由于依赖Diffie-Hellman密钥交换算法的应用程序使用大素数组生成短暂密钥，因此直接解密安全通信需要数百或数千年的时间和几乎无法想象的金钱。

然而，研究人员只用了两个月时间，多达3000个CPU就破解了1024位密钥中的一个，这可能使他们能够被动解密数亿个基于HTTPS的通信和其他传输层安全（TLS）通道。

加密通信可能有一个不可检测的后门

你可能想知道，研究人员是如何利用今天可用的计算硬件，完成了一项几乎需要数百年时间的工作的。

在周二发表的一篇研究论文[PDF]中，研究人员解释说，Diffie-Hellman算法本身不包含任何后门，但通过隐藏各种应用程序如何生成素数的事实，它被故意以一种无法检测的方式削弱。

此外，选择用于Diffie-Hellman算法的密钥大小（即小于或等于1024位）也非常重要。

研究人员创建了一个弱的1024位Diffie-Hellman陷门函数，即随机选择一个预定义的组中的大素数，并表明解决支持其安全性的离散对数问题大约容易10000倍。

研究人员在论文中写道：“目前对1024位离散对数的估计表明，对于一个能够负担数亿美元专用硬件的对手来说，这种计算可能在范围之内”。

因此，先进的黑客或资源丰富的机构，如果知道如何为活板门函数生成素数，并希望解密1024位安全通信，就可以解读离散对数，从而解密数亿个Diffie-Hellman保护的通信。

研究人员说：“我们的后门素数的离散对数计算之所以可行，是因为它的大小为1024位，而针对这种后门的最有效保护措施一直是使用任何计算都不可行的密钥大小”。

研究人员还估计，对2048位密钥进行类似计算，即使使用后门素数，也比1024位密钥难1600万倍，并且在未来的许多年中仍然不可行。

尽管美国国家标准与技术研究所（NIST）建议自2010年起至少过渡到2048位的密钥大小，但1024位密钥仍然在网上广泛使用。

根据SSL Pulse项目进行的一项调查，截至上个月，互联网上受HTTPS保护的14万个顶级网站中有22%使用1024位密钥，这些密钥可以被国家支持的对手或NSA等情报机构破解。

因此，这个问题的直接解决方案是切换到2048位甚至4096位密钥，但研究人员称，在未来，所有标准化的素数都应该与其种子一起发布。

Diffie-Hellman密钥交换算法中使用的后门素数的概念与双椭圆曲线确定性随机位发生器，更广为人知的名称是Dual_EC_DRBG，据信也是NSA推出的。

大约三年前，斯诺登泄密披露RSA从NSA收到1000万美元贿赂，在其bSafe安全工具中实施有缺陷的加密算法Dual_EC_DRBG，作为其产品中的默认协议，以保持加密较弱。

因此，如果国家安全局在数百万个加密密钥中使用这些不可检测且被削弱的“陷门”来解密互联网上的加密流量，这一点也不奇怪。