|
多年来,隐私倡导者们都推动网站、VPN应用和其他加密软件的开发者采用Diffie-Hellman密钥交换作为对美国国家安全局和其他由国家支持的间谍监视的防御。而现在,研究者们正更新他们的警告,密钥交换实现方式上的一个严重缺陷能让NSA破解和窃听万亿个加密链接。 敌方的成本绝不含糊。对于常用的1024位密钥,将需要约一年和“几亿美元”成本才只能破解作为Diffie-Hellman协商起始点的非常大质数之一。但事实证明,只有几个素数是常用的,这使其价格落在了NSA专用于“开创性密码分析能力”的110亿美元年度预算之内。 “由于屈指几个素数被如此广泛重复使用,从它们能解密的连接数量来说,受益将是巨大的,”Alex Halderman和Nadia Heninger在星期三发表的博客文章中写到,“破解单单一个常用的1024位质数将允许NSA躺着不动就能解密全球三分之二的VPN链接和所有SSH服务器的四分之一。破解第二个1024位质数将允许对前一百万HTTPS网站的近20%连接进行被动窃听。换句话说,在大规模计算上的一次性投资能使偷听万亿个加密链接成为可能。”
最可信的理论Halderman和Heninger说他们的理论比任何竞争性解释都更适合关于NSA的大规模解密能力所已经知道的。前NSA承包商爱德华斯·诺登泄露的文件显示,例如,该机构能够监控加密的VPN链接,把截获数据发给超级计算机,然后获取解密通信所需的密钥。 “该系统的设计竭尽所能收集对攻击Diffie-Hellman算法必要的特定数据,而且不符合另外的解释,如AES或其它对称加密中的破缺。”该研究者们写道,“虽然文件明确表示NSA使用其它攻击技术,如软件和硬件‘植入物’,来破解特定目标的加密,这些没法解释对VPN流量进行大规模被动窃听的能力。” 该博文发布在Halderman、Heninger和一大波其他研究者们星期三在丹佛召开的第22届ACM计算机和通信安全会议上正式提出详细介绍他们研究结果的学术论文之际。该题为《不完美前向保密:Diffie-Hellman如何在实践中失效》的论文5月份首次发布时被媒体广泛报道过。除了暴露NSA大规模拦截加密通信背后的可能秘密,该论文还揭示了一个密切相关的攻击,会使上千上万受HTTPS保护的网站、邮件服务器和其他广泛使用的互联网服务向并不那么复杂的窃听敞开。
被称为Logjam(河流被漂流圆木阻塞)的该攻击是极其严重的,因为它只需要两周来生成所需数据,用于攻击512位Diffie-Hellman算法协商临时密钥时最常调用的两个质数。它估计影响前一百万网站域名的8.4%和所有支持HTTPS的网站的3.4%。使用StartTLS、secure POP3和IMAP支持SMTP协议的邮件服务器分别有14.8%、8.9%和8.4%受影响。要利用脆弱连接,攻击者使用数域筛选算法预先计算数据,一旦他们完成这项任务,他们就可以对脆弱连接实时进行中间人攻击。 |
