政府应该从Clipper芯片中学到什么

  业务中心     |      2018-06-21

面对联邦调查局要求秘密进行加密通信的提议,一位著名的加密专家敦促国会不要因为计划中的技术错误而采纳这些要求。有问题的缺点会让任何人轻松地用很少的技术力量来击败这项措施。

请注意,上述证词是1993年5月11日提供的。但是,这并没有改变它今天的适用性。事实上,目前执法和情报官员对端到端加密通信施加的压力,令人诡异地想起近25年前的一场类似战争。

上周,FBI局长詹姆斯·科米再次将执法后门的争论推到加密通信应用程序中。comey声称,袭击德克萨斯反穆斯林卡通事件的枪手在袭击当天多次使用加密通信联系一名与恐怖主义有关联的海外人士。这一发现是新一轮游说努力的一部分,旨在让技术提供商提供Comey曾经描述的访问加密通信的金钥匙。尽管联邦调查局局长今年夏天不情愿地放弃了为这样一个后门进行游说的努力,但巴黎和圣贝纳迪诺的袭击再次引发了这个问题。甚至奥巴马总统最近也要求科技公司帮助政府通过信息应用和社交媒体进行沟通。

进一步阅读:他们是如何打破迪菲-赫尔曼的?然而,反对幕后操纵的论点自1993年以来一直没有改变。当时,diffield Diffie——Diffie - Hellman安全密钥交换协议的创建者之一——在国会听证会上谈到了Clinton政府宣布的用于数字语音通信的加密芯片Clipper芯片。他的要点仍然相关:

后门将使供应商与其他政府和国际客户陷入尴尬境地,削弱其价值。那些出于邪恶的原因想要向政府隐瞒他们的谈话的人可以很容易地绕过后门。唯一容易监控的人就是那些一开始不在乎政府监控的人。不能保证别人不会利用后门为自己谋利。回到未来,1993年克林顿政府宣布推出Clipper芯片时,互联网还处于起步阶段。当时,加密主要用于政府和私人网络,如公共电话网和租用的数据线。万维网还没有真正存在,商业互联网提供商才刚刚起步。

由于计算能力的限制,当时加密主要是基于硬件的。美国90年代初的加密标准是20世纪70年代由IBM代表国家标准局(现代国家标准与技术研究所的先驱)开发的数据加密标准( DES )。DES已经被金融业广泛使用。付费卫星服务,如HBO和Cinemax,使用DES加密来扰乱它们传输的音频通道。

但DES (包括国家安全局提供的一些有用的调整)有问题。如果把它装在电话里,罪犯就有可能变得黑暗(这与政府目前对加密的担忧是一样的说法)。随着商用加密产品的发展开始增长,政府想方设法避免这种情况发生——并找到了Clipper。Clipper芯片基于美国国家安全局在上世纪80年代开发的名为“Skipjack”的加密算法。就其本身而言,Skipjack是足够安全的,可以被认为是 1 NSA类型的产品,适合政府和军方用于敏感通信。skipjack表面上比DES强,基于80位密钥,而DES 有效密钥长度只有56位。截至1993年,该算法仍处于分类状态。

但是Clipper芯片增加的额外扭曲是密钥托管,这是时任副总统戈尔大力推广的功能。政府将保留每个防篡改芯片密钥的记录,并根据其数字签名进行索引。在与另一芯片启动加密会话之前,Clipper将发送一串数据,作为会话启动的一部分,称为执法访问字段( LEAF )—一个标识号的散列,它将为政府提供获取密钥和解密呼叫所需的数字签名。

结果是,从理论上讲,政府可以从任何一个环节拦截任何对话——也就是说,如果他们能让人们真正使用Clipper。效果非常好迪菲在1993年的证词中告诉国会,就像学童储物柜上的密码锁后面的小钥匙孔一样。孩子们用组合打开锁,本来应该把其他孩子挡在门外,但老师总是可以用钥匙在储物柜里查看。

政府增加了一根棍子:虽然不能强制执行特定的加密标准,但可以对使用Clipper密钥托管的加密产品提供宽松的出口控制。20世纪90年代,加密工具受到严格的出口管制。

要让足够多的人使用Clipper,使其成为政府可行的工具,唯一的方法就是禁止所有其他加密。Diffie指出,如果其他加密是犯罪的,那么只有罪犯才会拥有强加密。他告诉国会说:「不言而喻,除非未经批准的加密法被取缔,甚至可能是非法的,否则执意不让国家读取通讯的使用者将自行实施加密。」并且不需要太多的时间来使叶无效并使裁剪器按照设计变得无用——因为他们只需要在裁剪器之前添加另一层加密。对秘密Skipjack算法有信心的用户,只要在传输开始时加密一个项目,就可以通过执法利用领域来保护自己免受损害。

尽管密码界担心,白宫还是在1994年正式推出了Clipper芯片。幸运的是,它从未达到预期的接受程度。与此同时,许多基于开放加密标准的工具——包括Phil Zimmerman s PGP——也变得广泛可用。此外,还开发了一些攻击,使叶域变得无用。因为它的关键组件是16位散列,所以可以产生将被Clipper固件识别为有效但将引用错误密钥的散列。

1997年,当时一位名副其实的密码界人士——迪菲(当时在太阳微系统公司)、布鲁斯·施奈尔、约翰·吉尔莫、麻省理工学院的哈尔·阿贝尔森、罗恩·瑞文斯特以及AT & T实验室的杰弗里·席勒、罗斯·安德森、史蒂文·贝洛温和马特·布雷泽、微软的乔什·贝纳洛——发表了一篇论文,对密钥托管进行了全面而具体的抨击。该组织断言,部署基于密钥恢复的加密基础设施以满足执法部门所述的规范将导致安全性的重大牺牲,并大大增加最终用户的成本。该小组写道:

为全球范围内部署的任何密钥托管系统构建安全密钥管理方案将过于复杂,远远超出了该领域的经验和现有能力。即使可以建立这样的基础设施,这样的操作环境的风险和成本最终可能证明是不可接受的。此外,这些基础设施通常需要极高的人类可信度。

他们指出,这些问题是任何密钥恢复或密钥托管方法所特有的—所有密钥恢复系统都需要存在高度敏感和高可用性的密钥或密钥集合,这些密钥或密钥集合必须以安全的方式长期维护。这些系统必须使执法机构能够在不通知密钥所有者的情况下快速访问解密信息。这些基本要求使得通用密钥恢复问题变得困难和昂贵,并且对于许多应用程序和许多用户而言,可能过于不安全和昂贵。

金钥匙reduxIt s不足为奇的是,同一个密码编译人员( Diffie等人)重新提出他们的论点,以对抗最新一轮要求金钥匙解锁加密通信的呼声。与其他作者一起,该小组在7月发表了一份新的论文,指出关键恢复系统面临的问题今天将比90年代更加严重。

如今的互联网环境非常复杂,有数百万个应用程序和全球联网的服务,这意味着新的执法要求可能会引入意想不到的、难以发现的安全漏洞,该组织指出。除了这些和其他技术漏洞之外,全球部署的特殊访问系统的前景给如何治理这种环境以及如何确保这种系统尊重人权和法治提出了难题。

在8月份由Ars参加的问答会上,Comey说,他认为技术专家只是没有尽最大努力找到让政府访问加密系统的方法。而在圣贝纳迪诺谋杀案后,后门运动再次火上浇油之后,Comey基本上把他们不想p提供后门。

政府的新一轮谈话引发了一场由电子前沿基金会牵头的请愿活动,呼吁奥巴马总统公开支持一劳永逸的强加密。这项请求得到了美国副首席技术官埃德·费尔滕和总统网络安全协调员迈克尔·丹尼尔的回应。两人宣布,白宫将就密码学政策与EFF等人会面。

希望白宫的对话能从Clipper芯片的课程中得到启发。