34、加密战争III：斯诺登时代的隐私与安全之争

最新推荐文章于 2025-10-21 14:17:18 发布

github5actions

最新推荐文章于 2025-10-21 14:17:18 发布

阅读量52

点赞数

CC 4.0 BY-SA版权

分类专栏：加密战争：隐私与权力的博弈文章标签：斯诺登 NSA 加密战争

本文链接：https://blog.youkuaiyun.com/github5actions/article/details/151953542

加密战争：隐私与权力的博弈专栏收录该内容

39 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

加密战争III：斯诺登时代的隐私与安全之争

1. 斯诺登引发的加密战争III

2013 年，美国国家安全局（NSA）承包商爱德华·斯诺登窃取并公布了美国情报机密文件，这一事件瞬间引发了轩然大波，将他推到了舆论的风口浪尖，人们对他的评价褒贬不一，有人视他为民权领袖，也有人认为他是叛徒。前 NSA 和中央情报局（CIA）局长迈克尔·海登将军评论称，斯诺登的行为造成了“美国历史上最严重的机密信息泄露”。

1.1 事件曝光

Verizon 元数据事件 ：首篇报道披露，美国司法部向美国最大的通信公司之一 Verizon 发出法庭命令，要求其“持续每日”向政府提供所有客户电话通话的元数据。元数据包含通话发起者、接收者、日期、时间和通话时长等信息，该命令涵盖了 2013 年 4 月至 7 月的元数据，且禁止披露元数据传输情况。此命令依据《爱国者法案》的“商业记录”条款。
PRISM 计划 ：次日，PRISM 计划曝光。记者格伦·格林沃尔德和尤恩·麦卡斯基尔报道，绝密的 PRISM 计划可“直接访问谷歌、脸书、苹果等美国互联网巨头的系统”，能够收集包括电子邮件、视频和语音聊天、照片等在内的数据。尽管作者指控科技公司参与其中，但谷歌和苹果否认了这一说法。NSA 文件显示，PRISM 计划始于 2007 年，微软率先加入，随后多家公司陆续参与。一位“高级政府官员”表示，该收集行动依据《外国情报监视法》第 702 条授权，且不针对美国公民或美国境内人员。一份泄露文件称赞 PRISM 是“NSA 最有价值、独特且高效的访问途径之一”，产生了超过 77,000 份情报报告。

1.2 各方反应

民权组织 ：美国公民自由联盟（ACLU）的詹姆斯·贾弗称这是“国内通信基础设施前所未有的军事化”。政府问责项目的杰塞林·拉达克认为，应关注 NSA 的罪行，而非指责斯诺登，NSA 违反的两项主要监视法和宪法第四修正案的问题远比斯诺登可能违反的法律严重得多。
联合国 ：联合国秘书长潘基文更倾向于支持美国政府，他认为斯诺登的披露所带来的问题超过了公开披露的好处。
奥巴马政府 ：在斯诺登事件曝光前几周，奥巴马总统承认 9·11 后的安全措施，如扩大监视范围，引发了关于安全与隐私平衡的难题。他指出，在当今时代，打击恐怖主义面临特殊挑战，政府必须在安全需求和保护自由之间找到适当的平衡。奥巴马解释称，相关项目最初由国会授权，两党多数通过，国会持续了解项目进展，且有一系列保障措施，联邦法官监督整个项目。他强调，这些项目并非监听人们的电话通话内容，而是通过筛选元数据识别潜在的恐怖主义线索。6 个月后，奥巴马宣布了关于信号情报的第 28 号总统政策指令（PPD28），对执法权力进行审查，加强监督、审计和合规性，同时强调政府监视标准应提高，要在打击恐怖主义的同时保护隐私。

1.3 后续影响

斯诺登的披露持续数周，引发了更多争议项目的曝光，如 GCHQ 的 TEMPORA 项目，该项目可接入并存储光纤电缆中的大量数据长达 30 天以进行筛选和分析；微软与 NSA 的合作，使政府能够访问 Hotmail 和 Outlook.com 账户；以及最为严重的“公牛奔跑行动”（Operation BULLRUN）。

2. NSA 加密访问计划：“公牛奔跑行动”

2013 年 9 月，《卫报》、ProPublica 和《纽约时报》详细报道了 NSA 的加密访问行动“公牛奔跑行动”。该行动以美国内战中的一场战役命名，其英国政府通信总部（GCHQ）的对应行动名为“埃奇希尔行动”（Operation EDGEHILL）。

2.1 行动内容

破解加密方法 ：报道称，美国和英国情报机构成功破解了数亿人依赖的在线加密技术，采用的方法包括秘密控制国际加密标准的制定、使用超级计算机进行“暴力破解”，以及与科技公司和互联网服务提供商合作。
行动起源与投资 ：虽然“公牛奔跑行动”的启动日期未知，但 2010 年 GCHQ 的一份文件显示，NSA 在过去十年中积极努力破解广泛使用的互联网加密技术，其起源可能与第二次加密战争的结束有关。2013 年，该行动的投资达 2.549 亿美元，是 PRISM 计划投资的 12 倍多。NSA 认为强大的解密程序是美国在网络空间保持不受限制访问和使用的“入场券”。
主要活动 ：该行动的主要活动之一是积极影响美国和外国 IT 行业，暗中影响或公开利用其商业产品设计，向商业加密系统插入漏洞，使系统在消费者和其他对手看来安全无损，但 NSA 可通过信号情报收集利用这些漏洞。GCHQ 目标针对谷歌、脸书、雅虎和 Hotmail 等“四大”公司，并成立了人类情报行动小组（HOT），负责在全球电信行业识别、招募和运行秘密特工。NSA 还设立了商业解决方案中心，评估和推广行业安全产品，同时向安全产品插入漏洞。预计 2013 年，NSA 将获得对主要通信提供商数据中心和主要互联网点对点语音和文本通信系统的访问权限。

2.2 潜在风险与评价

风险：如果“公牛奔跑行动”的能力泄露，主要风险是损害与行业的关系，因为失去对保密协议的信心将导致失去获取专有信息的机会。次要风险是公众反应可能带来不利的宣传。
评价：布鲁斯·施奈尔评论称，NSA 为了监听而故意破坏网络安全，破坏了互联网的基础。斯诺登则表示，加密技术仍然有效，正确实施的强大加密系统是可以信赖的。

2.3 相关事件：NSA 对全球加密标准的破坏

2007 年 8 月，微软的丹·舒莫和尼尔斯·弗格森在圣巴巴拉年度加密会议上提出了关于 NIST SP800 - 90 双椭圆曲线伪随机数生成器（Dual_EC_DRBG）可能存在后门的问题。PRNG 是密码学的核心，用于生成公钥加密所需的素数、初始化向量等。SP800 - 90 包含四种批准的 PRNG 算法，其中 Dual_EC_DRBG 比其他算法慢三个数量级，施奈尔认为它被纳入标准是因为得到了 NSA 的支持。研究发现，该算法中的常数与另一组未知数字存在数学关系，如果知道这些秘密数字，只需收集 32 字节的输出就能预测随机数生成器的输出，从而破解使用该算法的安全协议。尽管研究人员未明确指出 NIST 故意设置后门，但这一发现引发了广泛关注。

美国政府利用采购权力要求供应商在 FIPS 认证要求下实施该可疑算法。RSA 公司的 BSAFE 加密库将 Dual_EC_DRBG 作为默认 PRNG，有报道称 NSA 向 RSA 支付了 1000 万美元以使其采用该算法，但 RSA 回应称从未有削弱产品或引入后门的意图。NIST 回应称没有证据表明存在后门所需的“秘密数字”，因此不会撤回该算法，且该标准经过了严格审查，包含随机生成点的方法。

2013 年 9 月，《纽约时报》称在斯诺登档案中发现相关数据，证实 NSA 在操纵 Dual_EC_DRBG 算法。NSA 编写了该标准并积极向国际组织推广，最终控制了国际标准化组织（ISO）的标准制定过程。《纽约时报》社论明确指出 NSA 在系统中秘密插入“后门”，使联邦间谍能够破解使用该技术加密的数据。NIST 陷入了 NSA 和科技界之间的困境，重新开放标准进行公众评论，同时表示不会故意削弱加密标准，若发现漏洞将尽快解决。然而，对于 Dual_EC_DRBG 是否存在后门仍存在争议。

以下是相关事件的时间线表格：
|时间|事件|
| ---- | ---- |
|2007 年 8 月|微软的丹·舒莫和尼尔斯·弗格森提出 NIST SP800 - 90 双椭圆曲线伪随机数生成器可能存在后门的问题|
|2013 年 9 月|《纽约时报》称在斯诺登档案中发现证实 NSA 操纵 Dual_EC_DRBG 算法的数据|
|2013 年 12 月|路透社报道 NSA 向 RSA 支付 1000 万美元以使其采用 Dual_EC_DRBG 算法|
|2014 年 4 月|NIST 决定从 SP800 - 90A 中撤回 Dual_EC_DRBG 算法|

下面是斯诺登事件引发的一系列事件的 mermaid 流程图：

graph LR
    A[斯诺登窃取并公布机密文件] --> B[Verizon 元数据事件曝光]
    A --> C[PRISM 计划曝光]
    B --> D[各方对此事件作出反应]
    C --> D
    D --> E[奥巴马宣布 PPD28 政策]
    A --> F["公牛奔跑行动”曝光]
    F --> G[NSA 加密访问行动细节披露]
    G --> H[Dual_EC_DRBG 算法后门争议]

3. NIST 对 Dual_EC_DRBG 算法的审查与各方观点

3.1 NIST 的审查情况

2013 年末，美国国家标准与技术研究院（NIST）宣布对其标准制定程序进行审查，以重建公众信任。此次审查由外部小组“先进技术访问委员会”（VCAT）进行，成员包括 RSA 创始人罗恩·李维斯特、普林斯顿大学的爱德华·费尔滕和谷歌的文特·瑟夫等。

NIST 向 VCAT 表示，他们花费大量时间调查 Dual_EC_DRBG 算法事件，但由于证据分散且记录不佳，调查工作困难重重。NIST 承认有诸多理由应拒绝或修改该算法，该算法由 NSA 提供。除了常数可能被用于设置后门的问题外，算法还存在轻微统计偏差，导致随机性不足。修复此偏差会使所谓的后门更难被利用，NIST 在开发过程中已发现这两个问题。

NIST 的约翰·凯尔西曾询问赛格纳康公司（Cygnacom）的唐·约翰逊常数的来源，约翰逊称其为“某个随机私钥的公钥”，且 NSA 不允许他公开讨论这些常数。NIST 早在 2004 年就直接询问 NSA 常数的来源和生成方式，2005 年尼尔斯·弗格森也向 NIST 强调了该问题。NSA 回复称常数以安全且保密的方式生成，最初用于国家安全领域，并希望保持算法和常数的现有形式，以保留其“现有投资”并让客户获得 FIPS 验证，同时认为允许其他用户生成自己的常数是合理的。

NIST 向 VCAT 表示，他们不认为算法中存在后门，因为该算法速度极慢，不太可能被广泛使用，设置陷阱门似乎没有意义。NIST 原本预计只有 NSA 的国家安全客户会使用该算法。然而，NIST 意识到他们对后门问题的提问方式有误，应该问“是否应将可能存在陷阱门的算法纳入标准”。2007 年相关问题提出后，NIST 密码学家约翰·凯尔西曾向 SP800 - 90A 标准编辑委员会道歉，称未意识到 NSA 常数问题的严重性。在随后的编辑委员会会议上，虽讨论了是否撤回该算法，但由于认为用户可自行生成常数的选项已解决问题，NIST 未采取行动。对于统计偏差问题，NIST 听从了 NSA 的意见。事后看来，NIST 认识到应通过延长 Dual EC DRBG 的截断来解决偏差问题。VCAT 得知，NIST 验证的 50 多个加密模块实施了该算法，但这并不意味着该算法被广泛使用。

3.2 VCAT 成员的观点

VCAT 成员对该事件发表了各自的看法：
- 文特·瑟夫 ：认为 NIST 代表在分析 Dual_EC_DRBG 事件时过于自责，但回顾性分析强化了他的观点，即 NIST 必须具备足够的密码学和数学知识，以独立评估算法的优缺点，而不依赖 NSA。
- 爱德华·费尔滕 ：认为 NSA 很可能插入了陷阱门，但 NIST 当时真诚地认为不存在陷阱门。NIST 未能独立判断，过度听从了 NSA 的意见。费尔滕指出，偏差问题本可解决，但 NSA 称无需修复，NIST 接受了这一说法。后来发现，若 NIST 解决偏差问题，可能会消除 Dual_EC 中的潜在陷阱门，这可能是 NSA 反对解决偏差问题的原因。此外，NIST 因缺乏椭圆曲线专家而依赖 NSA。
- 史蒂文·利普纳 ：虽未明确指出 NSA 或 NIST 故意破坏算法安全，但承认 NIST 的讨论揭示并确认了诸多流程缺陷，导致可能存在漏洞的算法被标准化。
- 罗恩·李维斯特 ：认为近期的揭露和技术审查支持了 NSA 在 Dual - EC - DRBG 标准制定过程中“伸手拿饼干”的假设。很可能该标准是 NSA 设计的，旨在将用户的密钥信息泄露给 NSA。该标准显然包含“后门”，使 NSA 能够秘密访问。这种后门设计巧妙，标准并非“脆弱”到让其他外国对手也能利用，而是“定制”的，只有创建者（NSA）能访问。李维斯特怀疑这可能是 NSA 的一种折衷解决方案，一种他们认为只有自己能利用的访问方式。他还质疑其他标准是否也受到 NSA 的影响，建议 NIST 加强自身密码学能力，不再天真地依赖 NSA 的指导，并重构与 NSA 的关系，使双方与标准相关的通信公开透明。

以下是 VCAT 成员观点总结表格：
|成员|观点|
| ---- | ---- |
|文特·瑟夫|NIST 应具备独立评估算法能力，减少对 NSA 依赖|
|爱德华·费尔滕|NSA 很可能插入陷阱门，NIST 缺乏独立判断，听从 NSA 意见|
|史蒂文·利普纳|NIST 流程存在缺陷，导致有漏洞算法被标准化|
|罗恩·李维斯特|NSA 可能设计标准泄露用户密钥信息，标准含后门，质疑其他标准受影响，建议 NIST 加强能力和重构关系|

4. 各方对 Dual_EC_DRBG 算法事件的后续反应

4.1 民权组织的呼吁

民权组织与 VCAT 一同呼吁完善 NSA 和 NIST 于 1989 年首次发布、2010 年更新的谅解备忘录。在致 NIST 和白宫的信中，民权组织要求 NIST 公开解释 NSA 对未来标准的咨询程度和性质，以及因 NSA 请求做出的任何修改，并强调在任何情况下都不应考虑 NSA 的信号情报需求或其他情报及执法机构的需求。

4.2 NSA 的回应

NSA 领导层在随后几年对此事发表了评论。2014 年，NSA 技术总监理查德·“迪基”·乔治在渗透安全会议上解释了 Dual_EC_DRBG 变量纳入标准的背景。20 世纪 80 年代，NSA 在开发用于总统等客户的保密电话（如安全电话单元 3，STU - III）时面临挑战。NSA 负责保密通信设备的技术和标准，NIST 负责非保密通信设备的标准。为使 STU - III 同时获得保密和非保密通信认证，需满足 NIST 和 NSA 的标准，但 NSA 的算法是保密的，不在 NIST 标准范围内，导致 STU - III 无法获得非保密通信认证，用户需在桌上放置两部电话（一部用于保密通信，一部用于非保密通信）。乔治向 NIST 请求豁免该要求，NIST 虽不情愿但最终同意，并要求不再提出此类请求。

为避免类似问题再次出现，NSA 开发了 Suite - B 算法集，使用 NIST 算法，但希望使用自己的随机数生成器（即双椭圆曲线随机数生成器）。乔治认为该算法速度慢、外观不佳，其他人不会使用，请求 NIST 将其纳入标准，同时允许其他用户使用自己的参数。

2015 年，NSA 研究主任迈克尔·韦特海默反思称，事后看来，NSA 应在安全研究人员发现潜在陷阱门后立即停止支持 Dual_EC_DRBG 算法。他承认继续支持该算法是令人遗憾的，国防部部署新算法的成本不足以成为维持对该可疑算法支持的理由。NSA 支持 NIST 在 2014 年 4 月移除该算法的决定，也意识到对 Dual_EC_DRBG 的支持使 NSA 在推广安全标准方面的工作受到质疑。一些同事据此推断 NSA 有“破坏互联网加密”的更广泛议程，但韦特海默认为应公正看待 NSA 的记录。不过，他也认识到 NSA 在标准工作中必须更加透明。

然而，密码学家社区对韦特海默的评论并不满意。马修·格林指出，韦特海默的信并未对 Dual EC DRBG 纳入国家标准表示遗憾，仅承认在出现重大问题后仍继续支持该算法。

4.3 算法的扩展及影响

Dual_EC_DRBG 算法还有一个扩展——“扩展随机”（ER）扩展，由美国国防部提出，认为算法的随机数“至少应是安全级别的两倍长”。2008 年 3 月，网络安全公司 RTFM 的埃里克·雷斯科尔拉和 NSA 的玛格丽特·索尔特在互联网草案中提出了 ER 扩展，其资金由美国国防部提供。

ER 扩展使 Dual_EC_DRBG 的攻击成本从 2^31 降至 2^15，攻击者无需猜测额外的 16 位缺失位，攻击速度提高了 65,000 倍。马修·格林评论称，使用双椭圆曲线就像玩火，而添加扩展随机则像给自己浇上汽油。研究人员证实，在 BSAFE - Java 代码中实施的 ER 扩展暴露了足够数量的连续输出字节，使会话密钥能够快速恢复。对其他实现的实验发现，一些看似无害的实现决策会极大影响算法的可利用性。其中，RSA 的 B - Safe - C 最容易被利用，而 Open - SSL 更具挑战性。RSA 首席技术官山姆·库里对此也有相应反思。

以下是事件后续反应的 mermaid 流程图：

graph LR
    A[Dual_EC_DRBG 算法争议] --> B[民权组织呼吁完善谅解备忘录]
    A --> C[NSA 领导层回应解释]
    C --> D[密码学家社区不满回应]
    A --> E[算法扩展及影响研究]
    E --> F[不同实现的可利用性差异]

综上所述，斯诺登事件引发的加密战争 III 揭示了隐私与安全之间的深刻矛盾，NSA 的加密访问计划和相关算法争议引发了广泛的讨论和反思。各方在处理这些问题时的不同立场和行动，凸显了在数字时代平衡安全需求和个人隐私保护的复杂性和挑战性。未来，如何在保障国家安全的同时，确保公民的隐私和自由不受侵犯，将是一个持续需要关注和解决的重要问题。