密碼學(xué)是科學(xué)而非工程學(xué)

陳偉發(fā)布于2019-06-21 16:19 / 506人閱讀

摘要：我認(rèn)為學(xué)習(xí)密碼學(xué)，不僅不需要寫代碼，而且編寫攻擊代碼對(duì)于學(xué)習(xí)現(xiàn)代密碼學(xué)根本毫無(wú)用處。學(xué)習(xí)現(xiàn)代密碼學(xué)最好的方式是研究數(shù)學(xué)論證。這就是純粹的工程學(xué)。我相信托馬斯所做的事情，以及他在實(shí)施密碼攻擊上所積累的經(jīng)驗(yàn)是非常有用的。

托馬斯.普塔切克曾經(jīng)發(fā)過(guò)一條Twitter“如果你不是編寫攻擊代碼的時(shí)候?qū)W習(xí)的密碼學(xué)，那么你可能根本沒(méi)有在學(xué)密碼學(xué)”。?從Twitter上對(duì)這條信息的關(guān)注及其引用數(shù)來(lái)看，它似乎得到了很多人的認(rèn)同。盡管我很尊重托馬斯，但我絕對(duì)不同意他的觀點(diǎn)。我認(rèn)為學(xué)習(xí)密碼學(xué)，不僅不需要寫代碼，而且編寫攻擊代碼對(duì)于學(xué)習(xí)現(xiàn)代密碼學(xué)根本毫無(wú)用處。學(xué)習(xí)現(xiàn)代密碼學(xué)最好的方式是研究數(shù)學(xué)論證。

如果我們?nèi)匀皇翘幵?0世紀(jì)90年代的話，我會(huì)同意托馬斯的觀點(diǎn)。當(dāng)時(shí)的密碼學(xué)充滿了漏洞，你能想到的最浪漫的事就是了解你的工具是如何崩潰的，因?yàn)橹竽憔涂梢匀ソ鉀Q它們的問(wèn)題。那時(shí)，DES和RC4加密算法，盡管有很多已知的缺陷，卻被廣泛地使用；那時(shí)，人們避免使用CTR模式去轉(zhuǎn)換塊密碼到序列密碼，因?yàn)樗麄儞?dān)心如果所提供的輸入數(shù)據(jù)塊中包含有很多相同(0)數(shù)據(jù)的話，脆弱的塊密碼會(huì)被破解；那時(shí)，人們關(guān)心塊密碼的誤差傳播能力，這關(guān)系到在密文中有少量的位發(fā)生未知變化后，對(duì)于解密數(shù)據(jù)的正確性會(huì)產(chǎn)生多少影響；那時(shí)，人們通常建議在加密數(shù)據(jù)前，先對(duì)其進(jìn)行壓縮，因?yàn)檫@將會(huì)“壓縮”信息熵使得攻擊者即使得到了秘鑰也很難理解密文。因此，誕生于這個(gè)時(shí)代的SSL，有很多很多的缺陷，也就不足為奇了。

但是，從2010年開始密碼學(xué)變得完全不同了。現(xiàn)在，我們開始有了可以高度信賴的的基礎(chǔ)構(gòu)件——比如：塊密碼已被確信是近似隨機(jī)排列，并且已經(jīng)從數(shù)學(xué)上證明它是足夠安全的，可以抵御某些類型的攻擊——比如：AES是已知的可以抵御差分密碼分析的加密算法。我們以這些組件為基礎(chǔ)，利用已被證明是不會(huì)引入漏洞的機(jī)制創(chuàng)建高階的系統(tǒng)。例如，如果你在CTR模式下，使用類隨機(jī)排列的塊加密算法（比如，AES）對(duì)數(shù)據(jù)加密，從而產(chǎn)生一個(gè)有序的分組序列，并使用分組序列號(hào)作為CTR隨機(jī)數(shù)，然后追加一個(gè)不易偽造的針對(duì)被加密數(shù)據(jù)的MAC地址（比如，HMAC-SHA256）及分組序列號(hào)，那么這些分組既可以保密數(shù)據(jù)，也可以禁止任何未聲明的篡改（包括報(bào)文重放和重新排序）。一旦Keccak（即SHA-3）得到更加廣泛地檢驗(yàn)和信任，生活甚至?xí)兊酶用篮茫驗(yàn)樗愃坪＞d的彈性結(jié)構(gòu)去構(gòu)造大量重要的加密構(gòu)件，這已經(jīng)被證明是安全的了。

在20世紀(jì)90年代的密碼學(xué)就像是在嘗試建一種橋，你花了許多時(shí)間確保你的橋能屹立不倒，并且為此憂心忡忡，即使有一些地方焊接的不夠完美，一些螺絲生銹了，由于周期性的負(fù)載導(dǎo)致的金屬疲勞，等等。雖然從理論上講量身定制可以有很好效果，但你知道的實(shí)際總是與理論不符，因此這座橋?qū)嶋H是建在了安全與不安全的邊界上，這使得橋的構(gòu)造成本更高，也更加復(fù)雜。這就是純粹的工程學(xué)。

但是，現(xiàn)代密碼學(xué)是截然不同的，它不是在建造一座橋，而是像規(guī)劃一個(gè)依靠重力輔助的星際的軌道。當(dāng)然，這是復(fù)雜的，你必須正確的掌握所有的細(xì)節(jié)。但是，如果你做到了，一旦開始運(yùn)行，使你無(wú)法到達(dá)目的地的唯一可能就是物理或數(shù)學(xué)定理改變了。現(xiàn)代密碼學(xué)已經(jīng)充分地發(fā)展到理論與實(shí)際相符，因此，相比通過(guò)觀察橋的倒塌進(jìn)行學(xué)習(xí)，理論學(xué)習(xí)就已經(jīng)十分有效了，然后你需要遵從一個(gè)簡(jiǎn)單的原則：只做數(shù)學(xué)告訴你你能做的事情。這就是純粹的科學(xué)。

我相信托馬斯所做的事情，以及他在實(shí)施密碼攻擊上所積累的經(jīng)驗(yàn)是非常有用的。畢竟，他是以挖掘應(yīng)用缺陷為生，但他所遇到的絕大多數(shù)加密方法很可能是20世紀(jì)90年代的加密方法，那是一個(gè)已經(jīng)逝去的時(shí)代。因此對(duì)于開發(fā)者，我推薦以一個(gè)更加現(xiàn)代化的方法學(xué)習(xí)密碼學(xué)，那就是學(xué)習(xí)理論并設(shè)計(jì)出你能證明是安全的系統(tǒng)。

原文 Cryptography is a science, not engineering
翻譯周耀平
via idf.cn