马修医生的证词火了
在参议院商务,科学和交通委员会之前,
科学、技术和空间小组委员会
1996年6月26日
感谢您有机会与您谈论加密政策的技术影响。这是一个特权,我希望我的观点对你有用。
首先通过描述我自己的背景和偏见开始。我是新泽西州默里山的计算机安全和密码学领域的主要研究科学家。我还举办了一些与计算机安全相关的辅助约会;在其他人中,我在哥伦比亚大学教导了偶尔的研究生课程,我担任联邦网络委员会咨询委员会的联合主席,安全和隐私(这是在计算机网络问题上建议联邦机构)。金博宝正规网址然而,我今天在这里展示的观点是我自己的,不应该被认为代表我碰巧附属的任何组织的观点。
我是一个训练有素的计算机科学家;我是普林斯顿大学计算机科学系的博士,主要研究领域是密码学、计算机安全和大规模分布式系统。我的大部分研究集中在网络计算系统中加密密钥的管理,以及理解使用加密技术来实现安全目标的风险。最近政府计划在加密,如“加密芯片”,自然激起了我极大的兴趣,因为政策在很大程度上影响他们在球场上,我的工作,还因为他们存在一些非常有趣的技术和科学的挑战。
我今天的证词主要集中在三个方面。首先,我将讨论加密技术在保护当前和未来电子世界中的作用和风险。接下来,我将更详细地研究通过政府的导出策略对基于美国的加密系统施加的限制的安全性影响。最后,我将讨论政府目前对加密政策的方法的技术方面,这促进了“密钥托管”系统。一,加密的重要性越来越重要
密码技术对保护现代计算机和通信系统的重要性今天得到了广泛的认识。证据的范围的识别可以找到越来越多的硬件、软件和系统供应商提供的加密产品,高质量的需求增加加密用户在一个数组的应用,扩大和日益繁荣的社区密码逻辑研究的我的一部分。至关重要的是,那些制定我们国家政策和官方对加密的态度的人要了解底层技术的性质,以及它对我们社会日益重要的原因。
密码学的基本功能是将消息内容的安全性与承载它的媒体的安全性分离开来。例如,我们可能加密移动电话对话,以防范窃听者(允许调用传输安全easily-intercepted无线电频率),或者我们可以使用加密验证文件,如合同,没有被篡改(删除需要维护一份原件)。这种可能实现的想法并不新鲜;历史表明,保护信息的欲望几乎和文字本身一样古老。也许是由于数字计算机的发明,近年来我们对密码学理论和实践的理解加快了,许多新技术得到了发展,许多新应用也出现了。最近最重要的技术之一是“公钥密码术”。它允许安全的信息交换,而不需要双方之间的特定预先安排。一个相关的概念是“数字签名”,它允许以一种可验证地将消息的签名者与其内容关联起来的方式对消息进行“签名”。
现代加密技术基于简单,如果重复,数学函数的应用,并且由于计算机程序的实施方式很好地提供。可以通过加密来保护的任何信息,包括加密,包括计算机文件,电子邮件,甚至是音频和视频信号,例如电话呼叫,无线电和电视。可以通过专用硬件或通过基于微处理器的电子产品的特殊编程来通过关于通用计算机上的软件来执行加密,例如基于微处理器的电子产品,例如下一代蜂窝电话。所需计算能力方面的加密基本成本非常低,并且在基于软件的计算机程序或可编程电子产品中包括加密的边际成本基本上为零。
那么,为什么加密技术最近受到了如此多的关注呢?原因可以从两个方面找到:现代通信系统的技术,以及我们依赖数字信息的新目的。
首先,现代通信和计算系统的技术和经济学强烈涉及具有很少固有的安全性的媒体。例如,与其熟悉的有线对应物相比,无线电电话方便和功能方面具有很大的优势,并且包括增加比例的增加
电话网络。这也使窃听邻居,窃贼识别潜在目标的窃贼以及寻求挪用商业秘密的工业间谍的更容易。同样,诸如互联网的分散的计算机网络具有较低的进入障碍,更便宜,更加稳健,可用于完成比过去的专有网络更大的任务,但是,再次以牺牲为代价内在安全。互联网使特定消息将遍历的路径几乎不可能限制,甚至是预测,并且没有办法确定消息真正发起的消息或者是否已经沿途改变了其内容。甚至是常见的电子邮件可以通过竞争对手的计算机来路由。这不是互联网建筑师的邋的设计或规划不佳的结果;相反,这些属性是一种直接的技术进步,使互联网高效和首先有用。
第二,电子通信对我们的社会和经济的顺利运行,甚至对保护人类生命安全,正变得越来越重要。通信网络和计算机媒体正在迅速取代效率较低的传统交互模式,这些模式的安全特性得到了更好的理解。作为
电话会议取代了面对面的会议,电子邮件取代了信件,电子支付系统取代了现金交易,在线信息服务取代了书面的参考资料,我们在效率方面取得了很大的进步,但我们对非常普通交易的可靠性的假设往往是危险的过时了。
换句话说,通信和计算网络的趋势已经从封闭的系统转向更加开放的系统,我们社会的趋势是依赖这些新的系统来实现越来越重要的目的。我们完全有理由相信,在可预见的未来,这些趋势将继续下去,甚至会加速。密码学在帮助提供安全保障方面发挥着重要而明确的作用,至少反映了我们对不太遥远的过去更古老、更熟悉的通信方法的期望。II。关键长度和安全性
加密系统的“强度”取决于许多变量,包括底层加密函数的数学属性,实现的质量和用户能够选择的不同“键”的数量。密码系统及其实施非常重要
质量,因为其中的一个错误或bug可能会使它保护的数据暴露于意外的漏洞。虽然密码学的数学还没有被完全理解,而且密码设计是一门异常困难的学科(目前还没有设计密码函数的通用“理论”),但有一些共同之处
作为安全系统的组成部分,被广泛研究和广泛信任的密码系统。从这些构建块中实现实用系统也是一门微妙而困难的艺术,但这一领域的商业经验开始为添加高质量的加密系统带来良好的实践
软硬件。安全系统的用户和开发人员可以通过仅选择已经仔细研究的密码功能来保护这些区域的弱点,并通过确保其实现遵循良好的工程实践来保护这些区域。
有助于加密系统强度的最容易定量的变量是选择加密密钥的潜在值池的大小。现代密码依赖于用户键的保密,只有在最简单的“攻击”涉及尝试每个可能的键,一个接一个地区,才被认为是精心设计的,直到找到正确的。仅当键的数量足够大以使这种攻击不可行时,系统才能安全。密钥通常被指定为一串“位”,并将一位添加到键长度加倍可能的键的数量。然后,一个重要的问题是在实践中抵抗密钥搜索攻击的最小关键长度。
去年11月,我参加了由商业软件联盟组织的一项研究,旨在检查可能被“攻击者”使用的计算机技术,以便确定应在商业应用中使用的最小长度键。我们遵循了一种异常保守的方法,因为我们认为攻击者只有可用的标准“现货”技术,并且受到单位数量的限制,没有规模经济。也就是说,我们的方法倾向于为更短的钥匙产生一个推荐,而不是使用更传统方法的分析,使潜在攻击者在他可能享受的技术优势方面的每一个益疑问。Nonetheless, we concluded that the key lengths recommended in existing U.S. government standards (e.g., the Data Encryption Standard, with a 56-bit key) for domestic use are far too short and will soon render data protected under them vulnerable to attack with only modest resources. We concluded that keys today should be a bare minimum of 75 bits long, and that systems being fielded today to secure data over the next twenty years must employ keys of at least 90 bits. I have included a copy of our report as an appendix to my testimony.
试图通过使用所需的最小密钥长度来“在边缘”设计系统是一项值得怀疑的事业。因为即使很小的误判的技术和资源提供给潜在的攻击者可以使安全系统的区别和不安全,谨慎的设计师指定键超过最低他们估计需要抵抗攻击,提供的误差。
目前美国的政策鼓励加密系统的设计者采取完全相反的方法。目前,为从美国出口而设计的加密系统通常必须使用长度不超过40位的密钥。这种系统基本上不提供任何加密安全措施,除非是针对最偶然的“黑客”。在大学计算机网络上,利用计算机空闲时间“破坏”40位系统的例子很常见。不幸的是,并非只有美国以外的用户必须使用这种短密钥提供的低安全性。由于维护多个软件版本(一个用于国内销售,一个用于出口)的难度,以及对通用互操作性标准的需求,许多基于美国的产品只能使用出口长度键。
使用短于所需的密钥没有技术、性能或经济效益。例如,与用于保护我们家园的锁不同,拥有长钥匙的非常安全的密码系统的生产成本并不比拥有短钥匙的较弱系统高,设计或使用也并不困难。厂商设计短键系统的唯一原因是为了符合导出要求。
本节中的关键长度数字和分析基于所谓的“密钥”密码系统。出于技术原因,当前的公钥密码系统使用比秘密密钥系统更长的键,以实现等效的安全性(公共密钥以数百或数千位测量)。但是,几乎所有使用公钥密码学的系统也依赖于秘密密钥加密,因此任何系统的总体强度受到最弱的加密功能和键长的限制。3密钥托管的风险
最近的一些行政举措提出了未来的密码系统,包括特别的“主要托管”规定,以便通过执法和情报机构获得加密数据。在这样的系统中,如果在未来所需,可以使用它们可以使用它们来安排执法进入的第三方自动存放钥匙副本。当局提出了几个主要托管系统,在钥匙所遭受的详细信息,以及第三方关键持有人的细节有所不同。在第一个提案中,称为“Clipper芯片”,该系统嵌入在特殊的防篡改硬件基础密码系统中,并由联邦机构持有钥匙的副本。在最近的“公钥基础设施”提案中,钥匙在生成新的公钥时被托管,并由负责公钥认证的组织(公共或私人)持有。
虽然各种主要托管提案在他们如何完成目标的细节方面有所不同,但是有许多非常严重的基本问题和与所有人相关的风险。
关键托管技术有一些适当的商业应用。一个正确设计的密码系统使得在没有正确键的情况下恢复加密数据本质不可能。这可以是双刃剑;保持未经授权的缔约方的成本是,如果当时键丢失或不可用,加密数据的所有者将无法利用他自己的信息。这种问题,均衡保密的保密,仍然是持续可用性的保证,仍然是积极研究的一个领域,并且商业解决方案开始出现。然而,政府的举措没有解决这个问题。然而,特别好。
密钥托管的第一个问题是此类系统所包含的工程复杂性的巨大增加。即使是最简单的加密系统的设计和实现也是一个极其困难和微妙的过程。非常小的更改可能会引入致命的安全漏洞,攻击者往往会利用这些漏洞。普通(非托管)加密系统在概念上有相当简单的要求(例如,双方之间的数据安全传输),然而,由于没有设计它们的一般理论,我们仍然经常在现场系统中发现可利用的缺陷。密钥托管甚至使问题本身的说明更加复杂,使它实际上不可能确保这样的系统按照它们的预期工作。很有可能,甚至很有可能,任何密钥托管系统中都潜伏着一个或多个设计缺陷,允许未经授权的方恢复数据。商业和学术界根本没有工具来分析或设计由托管产生的复杂系统。
密钥托管是如此困难,以至于即使是由保密世界设计的系统也可能有细微的问题,只有在后来才会发现。1994年,我在托管加密标准(Clipper芯片所基于的系统)中发现了一种新型的“协议故障”。与系统的设计目标相反,该故障允许恶意用户以使政府无法恢复数据的方式绕过托管系统。从那时起,人们发现了其他一些弱点,例如,可以创建似乎来自某个特定用户的犯罪信息。
应该指出的是,尽管标准的大部分细节都是分类的,并且没有包括在导致发现缺陷的分析中,但这些缺陷还是被发现了。但是这些问题并不是由于系统设计者的无能而产生的。事实上,美国国家安全局可能是世界上最先进的加密企业,它有理由开发加密系统来保护政府最重要的军事和国家机密。托管加密标准存在缺陷的原因是,密钥托管是一个极其困难的技术问题,其要求不同于以往遇到的任何问题。
关键托管的第二个问题是由于以安全的方式操作关键托管中心的难度。根据政府(例如,参见1996年5月20日的白宫草案“在全球信息基础设施中支持隐私,商业,安全和公共安全”),必须准备好的托管中心响应执法院副行政要求数据每天24小时,在收到每个请求的两个小时内完成交易。美国有数以千计的执法机构,授权进行电子监测,并且必须准备托管中心在此时间范围内识别和回应其中任何一个。如果托管中心也是提供数据恢复服务的商业操作,它也可能拥有成千上万的额外私营部门客户,即它必须准备好用于服务和响应。如果有的话,如果有的话,那么有效地在这种规模和如此紧密约束的响应时间下运行。通过管理的论点,托管中心可以使用相同的程序来保护分类数据是一个好奇的程序,因为分类信息是它的性质,到了比托管钥匙更小的更小且更仔细控制的潜在受众。它只是不可避免的,符合政府要求的托管中心将使不时发出错误的钥匙或将容易受到欺诈性的关键请求的错误。通过其性质,主要托管使加密数据不太安全,因为托管中心引入了一个新的攻击目标。
管理主要托管建议的第三个问题是,它们未能区分可能需要恢复的加密密钥,并且永远不需要可恢复性的密码键。有许多不同类型的加密密钥,但是为了讨论键托管的目的,它足以将键分为三类。第一个包括用于加密存储信息的键,必须在整个数据的整个生命周期中使用。数据的所有者对确保此类密钥的持续可用性有明显的兴趣,并且可能会选择依靠商业服务来存储它们的“备份”副本。第二类密钥包括用于加密诸如电话呼叫等实时通信的密钥。在这里,一旦使用它的交易完成,键就没有对其所有者的价值。如果在谈话的中间丢失或销毁一个密钥,则可以在其位置建立一个新的,而不会永久丢失信息。对于这些密钥,所有者没有用于可恢复性的用途;它仅对执法权和其他希望在没有各方的知识或合作的情况下获得对话的其他人。最后,使用键不用于保密,但用于签名和认证,以确保消息确实来自特定方。 There is never a need for anyone, law enforcement or the key owner, to recover such keys, since their purpose is not to obscure content but rather to establish authorship. If the owner looses a signature key, a new one can be generated easily at any time.
然而,不幸的是,行政当局目前的建议使所有三种类型的钥匙都同样面临代管制度所带来的风险,尽管并非所有这些钥匙都需要收回。部分原因是不同类型的键的结构没有本质上的区别;在使用它们的应用程序之外,它们通常是不可区分的。
最后,犯罪分子可能规避几乎任何托管系统的问题,以避免接触执法监测。所有关键托管系统都容易受到所谓的“超挑”,其中用户首先在用托管系统处理之前将数据与未成分的密钥进行加密。大多数托管系统也容易受到其他技术,使其特别容易将托管钥匙毫无用处对执法部门进行。避免执法的方便,当方便提出一个明显的问题,即确定托管系统的安全性和高成本,在实践中会产生任何明显的公共安全利益。四、结论和建议
加密的广泛可用性对于我们的全球信息基础设施的未来增长至关重要。在许多情况下,加密提供了唯一可行的可行选择,用于确保在新兴通信网络上进行的迅速增加的人类,经济和社会活动范围。毫不夸张地说,商业市场的加密可用性是,并将继续保护国家安全。不幸的是,目前的政策,通过出口管制和含糊不清标准,劝阻,而不是促进使用加密。
目前的加密政策非常令人沮丧,几乎每个人都在该领域工作。出口管制甚至难以在国内部署有效的加密,我们可以做的不仅仅是作为我们的外国同事和竞争对手,而不是受这些规则的限制,与我们的专业知识相匹配并获得市场的不断增加的市场份额。问题的很大一部分是当前规定被写为覆盖硬件,但适用于软件,包括公共领域的软件或旨在占地市场。该代码账单有很长的路要符合技术现实的法规。
回Pro-Code页面
CDT主页
欲了解更多信息,请联系[电子邮件受保护]
1996年国会听证会
回Pro-Code页面
CDT主页