正确实施强大的加密系统

信息安全 加密 密码学
2021-08-26 16:15:47

我读过这篇关于 2010 年主要加密机制包括四大(hotmail、facebook、google、yahoo)和其他加密机制被 NSA 和 GCHQ 破解的启示。

然而,文件显示,这些机构尚未破解所有加密技术。斯诺登似乎在六月与卫报读者的现场问答中证实了这一点。“加密有效。 正确实施的强加密系统是您可以依赖的少数东西之一,”他警告说,由于通信两端计算机的安全性较弱,NSA 经常可以找到绕过它的方法。

一份文件称,至少三年来,GCHQ 几乎可以肯定地与 NSA 密切合作,一直在寻找方法来保护最受欢迎的互联网公司的流量:谷歌、雅虎、Facebook 和微软的 Hotmail。该文件称,到 2012 年,GCHQ 已经为 Google 的系统开发了“新的访问机会”。

来源:

http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?hp&_r=0

http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security

我的问题是,Edward Snowden 所说的正确实施强加密系统是什么意思。

一些 IT 安全专家能否再向我解释一下?他想到了哪些加密系统?

1个回答

他所说的“正确实施的强密码系统”是指“设计或实施既不会因设计者/实施者的无能而被无意削弱,也不会因故意更改而被有意削弱的密码系统”。

NSA/GCHQ 没有破坏加密机制;他们贿赂(或以其他方式强迫)某些密码系统的设计者、实施者和提供者添加后门供他们使用。后门可以是故意的弱设计元素、数据泄露……我最喜欢的是糟糕的 PRNG,因为这样的改动可以伪装成无能(例如几年前关于 OpenBSD 的传言)。

正确实施的强加密系统是一个系统:

  • 这是强大的,即它的设计是根据最先进的技术完成的,并且可以说“看起来很可靠”(通常需要注意的是“你不能测试安全性”);
  • 其实施并没有以某种方式拙劣。

对于第一点,这主要意味着:符合已经发布了很多年的标准,并且密码学家没有发现任何不好的说法(或任何无法修复的东西),但仍然对它感兴趣。例如SSL/TLSOpenPGP对于第二点,这主要意味着开源,有理由相信“很多人”已经看过代码;例如OpenSSLGnuPG

其它你可能感兴趣的问题
上一篇在自动禁止更长时间之前允许更多失败的登录尝试是否有任何风险? 下一篇为什么在 Tor Browser Bundle 中禁用 JavaScript?