几名科学家联合实名发表声明称,通过斯诺登的泄露文档,他们攻破了Diffie-Hellman密钥交换技术,这个技术可以让NSA解密数以万计的加密数据。
美国科学家联合声明:Diffie-Hellman密钥交换技术可被NSA破解
在说这个事情之前,我们得先普及一下什么是Diffie-Hellman。Diffie-Hellman的全名应该是Diffie–Hellman key exchange,中文叫做迪菲-赫尔曼密钥交换。这个技术可以让双方计算机在任何不确定安全的网络条件下交互密钥,并且搭建起一个安全可靠的交流协议。这个技术被广泛的用在HTTPS, SSH, VPN, SMTPS 和 IPsec等加密协议上。根据迪菲-赫尔曼密钥交换的算法来看,要对这些加密流量做解密需要大概数百万年甚至几千年。
但是,美国几个科学家在分析斯诺登的文档后,尝试对一份1204位密钥的HTTPS数据做解密。研究人员最后声称,只要3000个CPU,一份HTTPS加密的数据就可以在两个月内被解密。也许大家会觉得3000个CPU很多,而且还需要两个月。但是,这个比例和时间是可以缩短的。NSA早在去年就向美国政府申请了110亿美元的预算以此来投入到计算机加密协议的研究。根据NSA以往的经费申请来看,NSA只要使用这个技术,要实现秒破HTTPS等加密数据根本没有什么难度。
在早期的时候,有媒体证实NSA会在加密协议里面内置后门来进行监听,但是根据这几名科学家的报道来看,这次NSA并没有使用任何后门,而是单纯使用了这个算法的某个缺陷来对加密数据进行解密。研究人员称,虽然目前互联网上有14万个HTTPS的加密网站,但是有百分之22网站的HTTPS加密是1024位。如果要避免NSA解密这些数据包,最好的办法就是升级HTTPS加密到2048位或甚至4096位密钥。虽然不能保证百分百的安全,但是NSA要解密这些数据包需要花费很大的功夫。
完整安全报告:https://eprint.iacr.org/2016/961.pdf