0%
密碼學與真名實姓的政治學

密碼學與真名實姓的政治學

有許多其他的對稱加密方案,它們至少與DES一樣安全,而且在軟體中更容易使用——DES在硬體中使用比在通用計算機中使用要容易得多。其中一個便是名為IDEA的瑞士密碼,但有許多加密方案可供選擇。
註定要在各條戰線上一敗塗地的Clipper提案已經在很大程度上淡出了公眾的視線——儘管遠未到被遺棄的地步。同時,還有其他一系列的努力,以確保政府可以繼續監視其公民。
如果你關心自己的「真名實姓」,那麼是時候去了解真相——並採取行動了。
有了強大的、牢不可破的密碼學,個人和組織就有了保密和匿名的自由。沒有密碼學,這些自由根本就不存在。目前,技術支撐起了牢不可破的密碼學(通過適當的關注,以及對未來一定的警告)。但是在世界範圍內有許多政治努力,出於各種原因,他們試圖把漂亮的蘑菇雲重新放進閃閃發光的金屬外殼裡,並讓人們的保密能力退回到原始時代。
但是在海灣戰爭期間,所有人的GPS都突然精確地運行了!為什麼?因為美軍需要太多的GPS單位向其人員分發(成千上萬的人),軍事承包商滿足不了其需求。相反,美國購買了現成的、商用的民用單位,並關閉了衛星的選擇可用性。(現在有一個明顯的笑話:「如果你的GPS接收器突然變得很準確,那麼一定是爆發了戰爭。」)然而,隨著冷戰的結束,我們真的需要選擇可用性嗎?畢竟,30米的精度遠不足以讓一艘輪船在布滿險灘、擁擠而又陌生的港口航行,而且還有很多應用程序可以從無須附近的信標來啟用差模接收的更精確的GPS中獲益(最近,美國宣布將在未來四到十年放棄選擇可用性,部分是因為對於選擇可用性的解決方案在不斷改善)。
答案是密碼學,或是密碼學的缺失。
麻省理工學院密碼專家希爾維奧·米卡利隨後發布了關於「公平密碼系統」的細節,它完全可以在軟體中實現,不依賴於其演算法的保密性,它可以使n個託管持有人中的任意k個人改造密鑰,禁止了無須註冊密鑰即可使用系統的能力,它以這樣一種方式啟用了系統——一旦一個人的密鑰被政府捕獲用於竊聽,個人的隱私並沒有永久喪失。與Clipper不同,Clipper的方式是任何被授權竊聽的人都可以永久竊聽,或竊聽在過去幾年中收集到的、只是在等待解密密鑰的數據,而公平密碼系統使用的密鑰有時間限制,竊聽只能在某段時間內成功。米卡利(和其他人)的提案被Clipper的推動者所無視。

結論——以及如何保持消息靈通

密碼學的存在是為了保密。現代密碼學也可以用來驗證某人是誰——而且可以秘密地做到這一點。
在公鑰系統中,愛麗絲和鮑伯各自生成自己的一組密鑰。每個密鑰分為兩半——一半公鑰,一半密鑰。愛麗絲和鮑伯可以在任何他們喜歡的地方公開公鑰。例如,在《紐約時報》上,或在他們的網頁上。他們儘可能保護私鑰,從不向任何人透露。
此外,它依賴於硬體。許多產品更願意在軟體上進行加密,因為軟體更便宜,而且會減少晶元的使用——還可以隨著市場的變化快速重新配置。它還依賴於防篡改硬體(並不真實存在)來保護演算法——並且只有兩個託管代理人。記住,這些晶元將成為民間商用的絕對基石。對於許多人而言,賄賂兩個託管機構的經濟壓力會非常巨大——泄露國家所有晶元的密鑰可以在幾張軟盤或一張DAT磁帶中完成。賄賂奧爾德里奇·埃姆斯去摧毀中央情報局剩下的信譽到底花了多少錢?比大公司首席執行官的薪水還少。
對於那些因為希望出口產品(不是寫學術論文)而移民國外(如澳大利亞,那裡不禁止加密出口)的美國知名密碼學家來說,這也是一個盡人皆知的問題。當然,這意味著澳大利亞可以從美國研究人員的培訓和背景,以及他們所使用的美國開發的其他技術中獲得經濟利益。但這就是與ITAR共舞的生活。
除了這些明確的宣傳團體之外,許多其他的互聯網討論團體也在廣泛地討論這些問題,並且所有這些問題都會被存檔。這裏的主要參与者是彼得·紐曼主持的「風險文摘」(它更普遍地討論了計算機系統的風險和收益),勞倫·韋恩斯坦主持的「隱私論壇文摘」,以及「地下計算機文摘」。
本文分析了強大(本質上牢不可破)的密碼學的技術和政治。在技術方面,本文僅僅展示了今天可能發生的事情、如何處理它,以及在不久的將來可能發生的事情。在政治方面,敘述了最近發生在互聯網和相關通信媒體上的許多事件,也對政治前景進行了預測。隨著政治的不斷發展,本文面臨著迅速過時的風險,但任何致力於文字的事情都是如此。
記錄表明,FBI在全國範圍內每年都會進行一千次竊聽。做這些修改需要花費5億美元,這意味著完成的每次竊聽都價值50萬美元。甚至忽略了這樣一個事實:這些修改一旦完成,就是永久的,無須每年更新(因此有效地降低了「每次竊聽的成本」),這似乎並不划算。
關於上述討論的許多提案的大量信息都是通過《信息自由法案》(FOIA)的請求獲得的。它們大多需要漫長的法律戰和多次訴訟才能獲得——美國國家標準及技術研究所(NIST)、國家安全局(NSA)、聯邦調查局(FBI)對於這些問題都沒有任何回應的記錄,儘管FOIA明確寫明,這種拖延回應是非法的。電子前沿基金會等機構在法庭上花費了大量金錢與眾多聯邦機構的這種拖延戰術作鬥爭。
倫納德·方納
然而,「四騎士」中的每一個都有動機和能力通過非官方產品使用強加密。此外,聯邦政府也知道這一點,上面的商業研究只是眾多案例中的一個。那麼,ITAR對密碼學的限制是什麼?
但FBI還不算完。它在《聯邦公報》(1995年10月16日,第60卷,第199號)發表了它的計劃,要求可以同時竊聽主要城市中心所有線路的1%。在公眾的強烈抗議之後,它開始退縮,聲稱是引用錯誤(1995年11月2日《紐約時報》A1版上的文章),它真正要求的只有所有正在進行的通話的1%,而不是線路的1%——好像這10倍的差距產生了很大的影響。如果FBI真的利用DT法案強制執行1%(甚至,它後來說的0.1%)的通話可竊聽,那麼它就可以監控一億條線路和每年數十億次的對話——這比目前正在進行的竊聽數量增加了100萬倍。基於計算機的語音關鍵詞識別能力持續增強(作者多年前一直致力於開發這樣的系統),再結合強大的竊聽能力,聯邦調查局每年可以掃描數百萬個它們想跟進的對話。如果這不是在一個難以想象的規模上侵犯隱私,又是什麼?
一個更好的方法是使用各種各樣對稱的密鑰密碼,如數據加密標準(DES),它通常用來加密銀行之間的電匯。在這個方案中,愛麗絲和鮑伯只需要秘密商定一個56比特的密鑰,一旦他們擁有了密鑰,就可以互相發送任意數量的比特。密鑰中0和1的模式決定了加密一個信息時比特打亂並重組的方式,密鑰可以是任何長度,加密和解密都使用這個相同的九_九_藏_書密鑰。
DES曾經是一種非常安全的演算法。如今,如果知道了信息的64個比特的話,人們可以構建專用計算機(已經公布了全部細節)來破解它(這是已知明文攻擊——從選擇的明文一步一步進行攻擊,在這裏,馬洛里可以選擇愛麗絲加密的一些比特)。DES破解機是一台并行計算機,如果你花更多的錢,造一台更大的機器,破解起來會更快。按照1996年的價格,100萬美元的機器破解一個密鑰平均需要5個小時;10萬美元的機器則要花費一天。三個學識淵博的研究生在一個學期內就能建造出這種機器〔為什麼是三個?僅僅是因為在合理的分工下,一個人做超大規模集成電路(VLSI)設計,另一個人做板級設計,還有一個人做控制軟體〕。一旦建成,這台機器便可以破解任意數量的密鑰——所以要麼你有一個價值100萬美元的密鑰,要麼你願意出售破解密鑰服務給所有人,每破解一個密鑰收費100美元,這樣你才能夠建造這種機器(僅僅偽造一筆電匯就足夠買下這台機器了)。
最後,許多人指出,商業和網路現在是全球性的。他們指出,對於外國政府、公司或個人而言,如何才能相信自己使用的加密系統不會被美國政府竊聽(更糟糕的是,禁止竊聽美國公民的法律約束並不適用於非美國公民)?因此,外國實體不會使用Clipper——他們要麼切斷美國的通信,要麼不得不使用其他方式。
誰來破解它?
「在很久很久以前的魔法時代,任何一位謹慎的巫師都把自己的真名實姓看作最值得珍視的密藏,同時也是對自己生命的最大威脅。因為——故事里都這麼說——一旦巫師的對頭掌握他的真名實姓,隨便用哪種盡人皆知的普通魔法都能殺死他,或是使他成為自己的奴隸,無論這位巫師的魔力多麼高強,而他的對頭又是多麼虛弱、笨拙。時移世易,我們人類成長了,進入理智時代,隨之而來的是第一次、第二次工業革命。魔法時代的陳腐觀念被拋棄了。可是現在,時代的輪子好像轉了一整圈,我們的觀念又轉回魔法時代(這個時代究竟是不是真的存在,這個姑且不論)——我們重新擔心起自己的真名實姓來……」
事實上,圍繞ITAR的FUD因素可能會產生可笑的後果——當然,如果政府監視公民導致公民自由受到潛在威脅被忽略的話。以「機器可讀性」問題為例,上文提到過的布魯斯·施奈爾的《應用密碼學》是這個領域的經典。這本書有加密系統的源代碼實例。20世紀70年代,美國政府嘗試任何關於加密程序的出口或公開討論要麼「天生保密」(如核武器技術),要麼受國家安全局的事先審查,這一嘗試最終失敗。美國政府未能通過一項行政命令或法律規定禁止美國密碼學家去參加海外會議,以及在國際期刊上發表論文。這種失敗也意味著像《應用密碼學》這樣的書在美國出口是不會被法律允許的。
但是,賺錢過程的核心是確保信息和資金的安全交換。麻省理工學院媒體實驗室的研究員倫納德·方納提出了信息交流過程固有的一些問題,信息交流不僅應該是私密的,而且必須是安全的,不受外部團體干預。這些問題與本書中其他文章所探討的問題相似卻又有不同。我們如果想避免信息高速公路上的大規模盜竊和欺詐行為,就必須接受他的觀點,他的觀點對我們所有人來說都是極其重要的。這篇文章寫於1995年。
這個方案是不對稱的——雙方沒有相同的密鑰。主要的好處是,他們無須見面交換密鑰,愛麗絲只需要鮑伯密鑰的公共部分,反之亦然。
通常,談到密碼系統的時候,常見的慣例就是討論愛麗絲和鮑伯的通信,他們的通信可能會被竊聽者伊芙聽到,或被惡意用戶馬洛里積極干擾(我們經常在複雜的系統中混入其他的名字)。我們還討論了信息的明文(愛麗絲髮送的內容和鮑伯閱讀的內容)和密文(諸如通過電纜傳輸或儲存在文件中的信息),我們假設,愛麗絲和鮑伯身邊沒有人偷看——有時這個假設很過分,但我們暫時這樣假設。
然而,到了20世紀70年代,人們發明了公鑰加密系統。迪菲和赫爾曼發明了一個,李維斯特、薩莫爾、阿德爾曼發明了另一個,稱為RSA(取自他們三人名字的首字母)。公開密鑰系統是一種不同類型的野獸,基於大素數的數學運算。總的來講,其安全性建立在將一個足夠大的數分解為組成它的素數的難度之上——這項工作吸引成千上萬人進行了多年的研究,似乎非常棘手(對於傳統計算機而言),但這並不代表它是不可能的。因此,公鑰系統雖然構築在堅實的基礎上,但並不是一次性密鑰的基石。
然而,電子媒體並不像它的印刷品表親那麼幸運。不同於許多人對印刷品的肯定,電子媒體在第一修正案中從未得到明確的保護,因而受到ITAR的支配。特別是出口用與《應用密碼學》中相同的源代碼製作成的軟盤是不合法的,表面上因為它是「機器可讀的形式」。人們認為,手動輸入書中的程序,和用掃描儀掃描它們並沒有什麼區別,然而軟盤仍然無法出口。結果,一個聰明的英國人想出了一個四行的Perl腳本(一個微小的程序),實現了RSA。他把它出口到了美國,方法是把它放進他發送的電子郵件的簽名檔中。這個四行程序在美國被挑選出來,製成了一件T恤,相同的幾百個字元變成了機器可讀的條形碼,也印在了T恤上。這件T恤可能因為上面的條形碼而無法出口,因而也成了一個古怪的政治抗議。
但所有這些方案都要忍受希望溝通的各方必須先私下交換密鑰這一問題的困擾。如果你是一家銀行,可以使用一個值得信賴的快遞服務,這顯然不錯,但是如果你只是想在給某人打電話或發電子郵件時,不希望信息被竊聽的話,就很不方便。
儘管對ITAR進行了所有的討論,但誰能使用商用的、現成的強加密只是其中的一面。假設我們仍然將我們的注意力限制在非技術用戶可能使用的加密類型上(例如,你能買到的加密類型,而不是你能編程出的加密類型),那麼另一個有趣的問題就是誰能破解它。此時我們便陷入了密鑰託管、Clipper晶元、Skipjack分組加密演算法,以及數字電話賬單的泥沼中。
以根管手術為代表,這是FBI為說服國會和公眾的公關活動所起的名字,又一次借用了「四怪」的比喻,現代電話交換機使聯邦調查局無法完成竊聽工作,除非被重新設計來進行瑣碎的竊聽。它成功了!
該提案有許多技術錯誤。它依賴於一個保密設計——大多數加密提案的死亡之吻,它們的力量源泉不是保密演算法,而是抵制密碼分析學。這個秘密的提出依賴於其演算法的保密性、無法公開分析的提案,在密碼社區中遭到了嘲笑(該演算法保密的目的是,阻止使用相同加密演算法但在沒有授予政府密鑰的情況下製造的盜版Clipper)。另外,從對未保密的演算法的描述中,貝爾實驗室研究read.99csw.com員馬特·布雷澤想出了一個方案,用偽造的(不可泄露的)密鑰啟用Clipper。
DES是一個已經失去效用的系統的例子。直到20世紀90年代前後,它都是一個偉大的方案。如今,仍在使用它的人們被建議使用一個叫作Triple DES的方案,在這個方案中,兩個或三個密鑰(無關緊要)被連續送入三台加密機器,使明文被加密三次(用三種不同的方式)之後再進行傳送。鮑伯的機器正好相反。這種方法仍然相當安全。
對稱系統的一個經典例子是一次性密鑰。愛麗絲和鮑伯私下商定並同意以一個大的隨機比特流作為他們的一次性密鑰。然後,愛麗絲就可以發送一個比特給鮑伯,方法是從密鑰中取出下一個未使用的比特,再從她的原始信息中取下另一個比特,並將二者組合起來:她原始的比特和密鑰的比特要麼全是0,要麼全是1。如果全是0,那麼她就給鮑伯發送一個0,否則就發送一個1(這種組合比特的方法被稱為異或,類似於人們說的「非此即彼」的意思。異或在密碼系統中是最常見的操作之一,以後要記住)。鮑伯用他自己的一次性密鑰副本對來自愛麗絲的比特流進行異或操作來恢複原始信息。只要愛麗絲和鮑伯都沒再從這個密鑰中使用比特,它就是完全安全的,無法被任何計算能力所破解——如果密鑰上的比特確實是隨機的,如果密鑰中沒有哪部分被使用過一次以上,如果愛麗絲和鮑伯在使用比特時能夠保持同步的話。
此外,該提案在政治上是幼稚的。為了對抗意志堅定的對手,而不只是最單純的人,其他類型的加密將被取締。缺乏對政府保證「這不會發生」的信任會導致「如果密碼學是非法的,那麼只有不法分子才會有密碼學」這樣的戰鬥口號(《真名實姓》的影子……)。此外,整個互聯網界和學術界都對這項提案感到震驚。唯一沒有歇斯底里大笑(或移民澳大利亞)的密碼學家是桃樂茜·頓寧,她本人是一位受人尊敬的密碼學家,但她的主要觀點似乎是「信任政府」和「從來沒有人在法院未授權的情況下竊聽」。這樣的觀點忽略了兩個因素:首先,只有在法庭上使用的證據需要法庭的授權;其次,FBI竊聽只有在非常罕見的情況下才會被拒絕(根據1992年的政府會計辦公室發布的《關於授權或批准竊聽電話、口頭對話,或電子通信的申請報告〈竊聽報告〉》,1992年有919個竊聽被批准,0個請求被拒絕。一個被拒絕的都沒有!1994年的報告也顯示0個請求被拒絕。在1982~1992年,只有7個監視申請被拒絕,遠低於千分之一——幾乎完全是未經審查即批准)。
像DES一樣的對稱系統,以及像RSA一樣的公鑰系統中使用的演算法有一個有趣又極為重要的特性:將使用的密鑰長度加倍通常只會使加密或解密的時間略微延長一點,但卻讓破解密鑰的難度以天文數字般增加(從技術上來講,加密時間通常是n2n是密鑰的長度,但破解密鑰的時間經常上升到2n,它上升得更快——這就是所謂的多項式增長和指數增長)。這意味著,當使用傳統計算機時(換言之,除非演算法突破,我們稍後詳述),愛麗絲和鮑伯可以輕而易舉地保持對伊芙和馬洛里的領先,方法是隨著計算機計算速度的加快,慢慢增加密鑰長度。這樣做可以讓他們海量地增加伊芙和馬洛里的工作量,而自己的工作量卻不會增加很多。
至於誰來使用密碼學,那些限制密碼學使用的人實際上已經輸掉了這場戰爭。關於如何構建和使用強加密系統(無論是對稱的還是非對稱的系統)的基本知識,都是世界性的。不僅有描述了幾十種這類演算法的精彩文章在世界各地發布(或輸出),而且更多信息(有時演算法本身作為源代碼)廣泛存在於全球互聯網上(美國商務部曾經進行了一項調查,海外的人多快能找到一份DES副本,結果表明,利用世界上最受歡迎的FTP伺服器中的Archie——一個常見的FTP搜索引擎——完成一次搜索大約只需30秒,因此他們的答案是:「對於60餘個目前提供DES的網站,大約需要30秒。」如今,隨著快速網路搜索引擎的興起,這個數字已經過時了,它甚至更簡單了)。即使一個人找不到源代碼,任何一個有足夠動機的程序員,都能相對快速地實現這些系統中的一個,其中大部分的演算法可以教給高中生。麻省理工學院經常在群論導論課程的第三周教授RSA背後的演算法給所有計算機專業大學二年級的學生。(另一個例子是,施奈爾的《應用密碼學》,其中包含這些演算法的描述和源代碼,此書遠銷海外,銷量已經超過45000冊。)
類似地,薩莫爾(RSA中的S)最近描述了一種迷人的簡單技術,涉及用投影機膠片和傳真機來實現由投影模式構成的一次性密鑰。請回想下一次性密鑰。給定一張包含貌似靜態的一次性密鑰的膠片,收發雙方都擁有,一方可以通過傳真發送數據和密鑰的異或結果(經典的一次性密鑰的模式),接收方可以用傳真將膠片排成一隊,並恢複數據,其他人得到隨機雜訊。一次性密鑰膠片甚至可以製作成一張(非雜訊)圖片的樣子,從而隱藏其真正的用途。這些技術將會擊敗任何海關檢查員,他們只能看到(隱寫的)圖片,或是只看到傳真,或只看到膠片(在薩莫爾的一次性密鑰傳真系統中)。擊敗這種傳遞機制需要擺脫傳真機,但無論如何,人們總可以使用紙質郵件來發送加密數據。
到目前為止,美國聯邦調查局一直在阻撓FOIA的要求,FOIA要求解釋修改電話交換機的確切原因。這種阻撓毫無疑問是非法的——FOIA已經在法律上規定了他們的時間響應標準(從最初的請求十天起,如果請求需要檢查異常多的文件的話,可能會延長十天),但FBI面不改色地無視了這些。例如,1994年10月4日,在回答EPIC提起的訴訟時,FBI聲稱,回答FOIA與《數字電話法案》有關的請求需要五年時間,直到1999年6月才能做出回應,美國地區法官查爾斯·里奇駁回了這一要求,他對政府的律師說:「打電話給FBI局長弗里,告訴他,我認為這件事一個半小時后就可以處理完成。」並表示自己被他們的要求「驚呆了」。然而,這樣的指責本身並不足以迫使FBI遵守法律規定的時間表,原因是法官缺乏必要的執行權。到目前為止,FOIA為數不多的成功的請求之一(計算機社會責任專家聯盟於1993年提出)揭露了185頁的備忘錄,其中沒有一個FBI辦公室報告提到由現代電話交換機技術所導致的竊聽問題。然而FBI堅持要從根本上增強竊聽能力,而且仍在阻撓FOIA對於這一問題的請求,最早也得到1九九藏書999年才能做出回應,儘管遭到了里奇法官的指責。
這是一種笨辦法。愛麗絲和鮑伯必須先私下見面。他們必鬚生成儘可能多的比特密鑰用於通信,而且必須提前完成。
數字簽名標準也需要考慮,這個標準也在當時發布。國會負責制定加密標準,美國國家標準及技術研究所(NIST)臨陣脫逃(無視應該依據執行的計算機安全法),只開發了簽名標準取而代之——換言之,一個人可以驗證某人的身份,但不能與他們秘密交流。最初的提案被轟下了台——密鑰短得可笑(顯然極易破解),演算法測試結果劣於其他演算法,甚至NIST也承認該方法相比其他著名的方法(通過《信息自由法案》訴訟得到的文件中的)存在缺點。我在此重申,密鑰分發機制並未詳細說明。此外,來自電子前沿基金會(EFF)、計算機社會責任專家聯盟(CPSR)、電子隱私信息中心(EPIC),以及其他與《信息自由法案》(FOIA)相關聯的人士反覆糾纏的要求最終揭示出(在NIST拒絕了第一個FOIA的要求之後——非法泄露美國國家安全局敏感文件的人必須被起訴),NIST實際上已經從美國國家安全局收購了整個系統——本不應該在加密中設置民用政策!很明顯,美國國家安全局再次非法染指這一領域,這次推進了一個只有簽名的、不保護隱私的低劣標準,很顯然,掃清通向可竊聽的Clipper的道路成了城市裡唯一可行的加密系統。
《真名實姓》的情節取決於安全通信和秘密身份,即使面對的是最堅決的反對者——國家政府。一些人將擁有私下討論的能力比作持有武器的權利:這是抵禦壓迫的最後一道防線。在公共政策辯論中,集會和私下交談的能力有著悠久的歷史,匿名也是如此(《聯邦黨人文集》大多是用假名寫的,最高法院支持匿名言論的價值觀)。然而,當前的政治趨勢表明,文奇的推斷一語中的——普通人既沒有隱私也沒有希望對抗政府的暴行,這些趨勢正在嘲弄一個人的真名實姓,讓公民置身於一個難以想象的圓形監獄中。
此外,愛麗絲可以簽署一條信息,以證明其真實性。畢竟,鮑伯有理由相信馬洛里已經偽造了一條信息給他——因為馬洛里只需要查看鮑伯的公鑰來加密一條信息即可,因而馬洛里可以很容易地偽造一條聲稱是來自愛麗絲的信息(儘管只有鮑伯可以閱讀)。為了防止這種情況,愛麗絲首先用她的私鑰加密信息,再用鮑伯的公鑰加密信息,最後把結果發送給鮑伯。鮑伯用他的私鑰解密信息,然後再用愛麗絲的公鑰解密。如果他沒得到無用的數據,那麼他便明白只有知道愛麗絲私鑰的人才能發送這條信息(愛麗絲經常只加密她信息的一個密碼散列,這是一種概括,但我們可以忽略這一細節)。
今天使用的加密系統主要有兩種類型。最簡單但最難使用的是所謂的對稱密鑰或私鑰系統。要使用這樣的系統,愛麗絲和鮑伯必須共享一個秘密——他們必須事先安排一次私下會面,並生成一個密鑰用於他們的通信。他們不能僅僅把這個密鑰從一個人發送給另一個人——如果他們可以在密鑰不被竊聽的情況下做到這一點,那麼他們也可以對他們的信息進行這樣的處理,並完全免除加密。
然而,又是由於冷戰,GPS的開發者決定使用「選擇可用性」——他們抖動了信號。這意味著那些來自衛星、攜帶著最高精度數據的信號比特經過了加密。民用接收機無法解碼這些比特,因而準確性受到了影響,只能確保30至100米的精度。這對於大多數應用足夠了,但有些應用則不行,如讓洲際彈道導彈精確命中目標。可以頻繁獲得密鑰更新的軍用接收機能夠接收到精確的信號。當然,這裏的想法是,讓GPS滿足大多數用途,同時不能為敵人製造出完美的導彈制導系統。
加密和破解(密碼破譯者的工作)之間的軍備競賽一直在進行。人們想出的幾乎所有的新系統通常都會被快速破解,只有罕見的、特殊的系統能夠在密碼破譯者的攻擊下倖存,但那些倖存下來的密碼通常會存活幾十年甚至更長時間。
在眾多關於這些問題的會議中,幾乎沒有哪個能比1991年創立的「計算機、自由和隱私大會」做得更好。每年,它會集執法人員、計算機專業人士和記者,對公民自由、技術獲取以及計算機與社會互動這些問題的各方面進行激烈辯論。
這便是《真名實姓》的開篇。是什麼決定了其他人是否知道一個人的真名實姓,或是知道一個人、一家公司、一個國家的秘密?
然而,政府拒絕向其人民提供預製軟體的意圖仍然很困難。地下市場可以給需要加密的人提供良好的加密;打擊這樣的地下市場需要海關官員阻止任何人攜帶任何類型的磁性介質(軟盤或筆記本電腦)入境,驗證合規非常困難,即便是技術水平優秀的海關檢查員。例如,如果程序製作成存儲在軟盤中的圖片的每個像素點的最低位該怎麼辦?這種技術被稱為「隱寫術」,它涉及在圖像中添加極其細微的「雜訊」比特(圖片有很多比特,其中大部分是多餘的)。當然,這種「雜訊」才是真正的信號,圖像只是一個幌子而已。政府必須禁止進口任何未被擦除的計算機和磁性介質。
在20世紀,優秀的密碼學經常被當作一種軍事武器:戰爭的勝敗部分基於哪一方能破解另一方的密碼。因此這是由兩個困難的問題所定義的,答案是社會學和政治學,而非技術:
伴著柯林頓政府早期的剪切晶元公告一同而來的是,國家安全局在國內民用加密方面介入的最明顯也是最近的公開示範。雖然這不是最初的公開宣布,它基於一個由國家安全局在過去幾年(和前幾屆政府)開發完成的被稱為Skipjack的設計。Clipper晶元的基本目標是利用密鑰託管實現竊聽加密通信的能力——每個晶元都有一個同時被政府控制的密鑰。即使在政府永遠值得信賴的理想世界中,這個解決方案在對付總是被引用的「四怪」時也很難奏效,因為那些玩家死也不會使用別人持有密鑰的加密方案。在我們生活的世界中,Clipper/Skipjack系統也包含其他缺點。
誰來使用它?
在延緩公民獲得強加密的鬥爭中,ITAR確實是一種有力的武器。它的部分力量來自圍繞其使用的「恐懼、不確定和懷疑」(FUD)。例如,由於加密系統是否被視為出口的詳細原則並未寫明,我們事先無法知道在「四十比特規則」(本身不是法律,只是一種習慣)下未涵蓋的系統是否可以出口。由於獲得出口批准可能需要多年時間,這比大多數軟體(甚至硬體)產品的壽命還要長几倍,因此企業會顯得很弱勢。另一個例子,PGP的原作者菲爾·齊默爾曼被指控違反了ITAR,因為PGP的副本在海外被找到了,儘管沒有證據表明他出口了這些副本(可能是被任意互聯網用戶出口的,犯罪嫌疑人的數目數以百萬計)。經過兩年的法律鬥爭,調查終於結束了,司法部沒有給出任何解釋——兩年來,齊默爾曼進入美國時都會被read.99csw•com海關攔住、搜查、審問,除了司法部對他懷恨在心外,並沒有任何明確的理由。

換言之,為了防止任何一個機構妥協(無論是個人的還是行政的),提案是把密鑰分為兩半,每一半被不同的託管機構持有。最初,這些機構的身份(至關重要的事情)沒有透露,最終,有兩家機構被選中——它們都屬於行政部門。
整個世界——炫目耀眼,充斥著金錢和政治——真正的興趣在於互聯網商務。股票市場充斥著互聯網熱門股,因為控制世界上大部分金錢的人已經意識到,他們可以把這個迄今為止與世隔絕、晦澀難懂的「科學聊天熱線」作為賺錢的手段。
不同於個人,公司可以通過他們銷售的產品來看到。這意味著,通過法律禁止特定種類的產品(從而控制他們的商業分銷)比控制高動機個體的私人使用更容易。在美國,通過法律禁止所有先進密碼學的使用從未真正成功,因此,政府允許公司製造強密碼產品。然而,對於他們是否能出口這些商品,商務部和國家安全局有著巨大的影響力,這些部門可以利用每一個比特。
根管手術的成功在於《數字電話法案》的通過,該法案要求,製造電話交換系統的人必須建立具有竊聽能力、遠程的數字信號流可以通過任何渴望的線路。改造現有交換機的成本保守估計在5億美元左右(沒錯,5億美元)。抱怨無法再通過線數字交換機竊聽電話線路的FBI(但奇怪的是,交換機對他們而言並沒有問題)現在已經獲得了在任何地方竊聽的能力——而在此之前,他們實際上不得不轉到交換機並掛一些電纜。當然,這意味著任何電話耗子,即利用電子裝置向全球各地打電話而不付費的人,大概可以做同樣的事情。更糟糕的是,考慮到美國是世界上其他國家的電話交換機的主要出口國這一事實,許多國家的公民隱私保護比我們要少很多。許多受到壓制的國家同時也是美國的貿易夥伴,由於美國製造的所有交換機現在可以竊聽,所以我們有能力將這種能力免費提供給這些政府,無須他們進一步的研發要求。這真是個好主意嗎?
正如曾為前副總統阿爾·戈爾負責基礎設施政策的湯姆·卡利爾對一位麻省理工學院的觀眾所解釋的,「我們正在採取拖延戰術」,讓美國公民無法獲得強加密技術,以便使他們的通信更容易被執法機關竊聽——表面上是為了抓捕「四騎士」。然而,卡利爾承認,「四騎士」卻可以使用密碼(而且確實在用),即便他們可能無法馬上買到現成的。於是,他立刻被問道:「你的威脅模式是什麼?例如,你真正想阻止的是什麼?」他的回答:「我無可奉告。」不幸的是,ITAR所針對的實際威脅不是含混不清的就是保密的,但這就是事實(很可能,「拖延行動」正在試圖阻止商用強加密,直到能夠破解這種加密的量子計算機變成現實。這是筆者的推測:在官方圈子裡,你不會發現任何人願意說這樣的話)。
下面,我們來看看最近人們在網路和計算機上保密的常見方式。從所有這一切中得到的教訓是,「你能想到的幾乎任何問題都有已知的解決方案」。還有更多的解決方案不斷被發明出來。密碼學和保密的問題在很大程度上不是技術,而是政治和經濟問題。某些人有多渴望你的信息,這對他們來說值多少錢,你保密要花多少錢?
簡言之,使用的密鑰超過了四十比特(從而使可能的密鑰空間超過了可以輕易搜索到的空間),或實現了加密會話的能力的(與一個僅用於身份驗證的簡單的數字簽名截然相反)任何加密產品在沒有特殊豁免(通常不會授予)的前提下出口到美國和加拿大以外的地區都是非法的——這通常都不被批准。這怎麼可能?因為美國的加密產品受《國際武器貿易條例》(ITAR)的管制,認為它們是「軍火」,就像炸藥一樣。
ITAR可以是一種強大的武器。通過禁止把強加密輕易出口到海外,ITAR意味著把加密技術用於自己產品中的美國製造商有兩個選擇:其一是做一個加強版本用於國內,再做一個弱化版本用於國際出口;其二是在所有地方都使用弱版本。由於製造和儲備兩種不同產品的成本要遠遠高於一種產品,大多數美國公司都選擇後者作為解決方案。這意味著,即使在國內,消費者得到的也只是脆弱的保護,甚至根本沒有保護。例如,蜂窩系統的世界領導者摩托羅拉沒有加密手機,因為他們為了出口不得不削弱加密(歐洲共同體也在效仿,最近發布的用於數字手機的跨歐洲標準GSM包含了非常安全的A5加密,卻在最後關頭被要求變更為薄弱很多的A5X,以確保政府可以竊聽。沒有這個改變,手機就無法出口。但是現在,一個標準分裂成至少兩個,市場也混亂不堪)。
整個課題是巨大的。不過,這不是一篇學術論文,我會引證我所說的部分內容(另外,我極大地簡化了技術和政治,歡迎學識淵博的業內人士前來指摘)。不過,我提供了一些線索,讓那些感興趣的人可以進一步探索。我在這裏主要集中於個人(而非公司或國家)使用的密碼學,並強調公民自由。技術的名稱和政府機構的名稱混在一起,熬成了一鍋縮寫詞「濃湯」——先幹了這碗金寶湯的字母湯,然後再進入正題吧。
使加密產品服從ITAR的背後官方想法源於冷戰思想,限制加密工具的出口對我們對手的傷害大於對我們自己的傷害。然而,任何一個政府只要願意都可以很容易地製作自己的加密工具。正如上文所詳述的,所需要的技術是眾所周知的。冷戰結束以來,其他的「妖魔」已經開始進入公共討論當中,即所謂的「國家信息基礎設施的四騎士」——毒品販子、無名外國恐怖分子、有組織犯罪、兒童色情。
這兩個問題是當前圍繞密碼學的政治糾葛的核心。
先前,濫用行政權力的行為盛行,且臭名昭著。水門事件是濫用行政權力骯髒把戲的典型例子——當然,這並不意味著政府的另外兩個部門就能忠於更高的標準。例如,奧爾德里奇·埃姆斯事件,一個中情局高級特工多年來毫無察覺地一直危及我們的國家安全,儘管他赤|裸裸地炫耀來源不明的巨額收入,然而這一事件卻發生在Clipper事件的討論期間,這隻是一個糟糕的巧合嗎?在這樣的情況下,「一個人可以信任政府」的呼聲可能有點難以讓人接受。

公鑰系統有許多偉大的特性,但速度不是其中之一。所以,它們常常與對稱系統結合使用。
因此,政府拒絕實現優秀密碼學知識的意圖相當具有壓制性。政府不得不禁止進口描述這些技術的書籍https://read.99csw.com,並將自己與全球互聯網隔離開來。這種孤立主義不符合任何一個希望以有意義的方式與世界其他國家進行互動的政府,因此只適用於極少數國家。
請記住,密碼學是用戶和密碼破譯者之間的軍備競賽。經歷了二十余年後,DES終於落伍成了一個雄心勃勃但傳統的數字計算機設計。更糟的是,即使像RSA這樣的公鑰系統也並非永遠安全。例如,貝爾實驗室的彼得·肖最近證明,利用量子計算機(其計算方式完全不同於數字計算機),人們破解類似RSA的系統僅僅需要多項式時間,這表明加密完全無效。迄今唯一的問題是,沒有人知道如何構建一台能夠運行足夠長的時間來解決實際問題的量子計算機。但許多人正在研究這個問題,他們正在取得進展。我們將會看到一些有趣的政治後果出現。
任何涉及密碼學的產品中都有類似的奇怪故事。以全球定位系統(GPS)為例。GPS是一個真正了不起的技術壯舉,它使用軌道衛星網路和手持接收器,成本不到300美元,你可以在地球上的任何地方找到自己,誤差不超過1米。使用GPS「差分模式」(需要一百公里內的陸基信標),你可以得到毫米級的精度。在過去的幾千年裡,無論是在陸地上還是在海洋中,有多少人死於不知道自己的位置?
愛麗絲生成一串被稱為會話密鑰的隨機比特,她將其用作與鮑伯進行通信(只有一次!)的密鑰。然後,她使用公鑰系統加密這個密鑰(緩慢地),發送給鮑伯。再然後,她用這個有些像3DES或IDEA的密鑰來加密她信息的主要部分(快速地),她知道鮑伯可以用他自己的私鑰解密會話密鑰,然後使用會話密鑰解密信息。
這對美國實業造成的損害是巨大的(對公民自由的損害將在下面討論)。因為其他國家可以自由制定自己的法律,並不禁止將加密產品出口到美國,因而美國的消費者通常面臨一個有趣的選擇:買劣質的美國貨,或購買外國產品保護自己的隱私。許多美國公司都在國會做證說,這些政策削弱了其競爭力,不僅在國內,也在國外市場,因為他們的技術被視為劣等貨——這是一個極具諷刺意味的結果,因為人們認為這些技術大多是美國發明的。
為了給鮑伯發信息,愛麗絲首先要查看他的公鑰。然後用他的公鑰加密她的信息,發送給鮑伯。一旦完成了這些,她就再也不能解密密文——無論是用鮑伯的公鑰,還是用愛麗絲的私鑰和公鑰都無法解密。而鮑伯則可以用他的私鑰解密信息。
使用對稱和公鑰加密系統的這些基本技術,我們可以製造出各種各樣的產品。一個重要的應用是為通信(和存儲文件)保密,但是還有很多其他的應用。我們可以製造電子的、不可偽造的現金(根據定義,現金是匿名的),無論它在反覆易手時是否需要通過網路鏈接到銀行,這取決於設計。我們可以保證匿名性,通過加密郵件並用世界各地的其他機器關係網發送它們,最終解密並將信息同發信人分離開來(密碼朋克重郵器完成這些事情)。我們可以編寫協議,只有在十二人當中的七人(或其他人數)同意解密的時候才允許解碼信息。我們可以對數據進行盲讀,以便人們可以在無須閱讀的情況下籤署文件(例如,在不放棄發明的情況下證明自己的發明,此時非常有用)。我們可以見證一個秘密的知識,超越一切合理的懷疑,而不需要泄露哪怕一點點的秘密。我們可以通過電話拋擲一枚(虛擬的)硬幣,見證它的落地方式,以免日後反悔。兩個人可以同時簽署一份合同。應用還有很多,在此不再舉例。

強加密的政治學

互聯網上流行的一種被稱為PGP的通信包,就是使用的這個方案:RSA加密會話密鑰,IDEA加密信息(還有許多其他的安全措施來防止存儲的密鑰的無意泄露、管理密鑰的集合等)。
這種方法有許多優點。每個人都可以實現自己的密碼系統(例如,利用新計算機或將其放入新產品中)。同時,這意味著來自世界各地的專家可以嘗試破解系統——通常,只有在專家歷時多年仔細研究之後也沒發現任何重大漏洞的情況下,加密系統才算是可信的。
現代加密系統(有一些例外,稍後進行討論)將該演算法用於公共場合。每個人都能找到這個演算法,嘗試破解它、實現它,等等。這就是密鑰,它為特定的用戶自定義演算法,它是高度保密的信息。

強加密技術

多年來,美國國家安全局已經將從外國政府手中奪回強加密,以及破解他們提出的一切密碼系統作為其主要議程。不應該對本國公民使用信號情報,這樣做既違犯法律又違反行政命令。然而,美國國家安全局一直與聯邦調查局和國家科學與技術研究所(NIST,原國家統計局,國家標準局)密切合作,以制定國內加密政策。聯邦調查局很高興能得到幫助,因為聯邦調查局多年來一直在努力挖掘每個人的情況。這些細節是令人恐懼的——即便你相信目前的聯邦調查局中幾乎沒有人像胡佛一樣腐敗。但事後看來,事實顯然就是如此。
事實上,米卡利認為,因為Clipper並未處理密碼系統中的一個最基本的方面——如何管理和分發密鑰——所以它從一開始就註定要失敗。鑒於這個規範所缺失的部分,公眾對提案的評論很困難,他堅決認為,覆蓋全國範圍的密鑰的分配機制很容易就會被向其他不可泄露的加密系統分發密鑰的免費基礎設施服務所顛覆。總之,米卡利說,我們正在全神貫注地建造可跟蹤的汽車,同時為壞蛋建立一個完整的州際公路系統——高速公路需要大量投資,個別壞蛋是很難創建的。
另外,那些試圖拒絕強加密系統商用的政府則要容易得多。目前正在努力實現這一目標的政府包括美國聯邦政府、俄羅斯和歐洲共同體的大部分國家,都是剛剛起步(法國已經完全禁止非法的加密,除非政府被授予了密鑰。法國和德國都需要密鑰註冊,出於競爭的原因,法國政府經常監視國外公司設在法國的附屬機構,諸如IBM這樣的龍頭公司會定期發送虛假情報的「加密」鏈接給他們在法國的子公司)。
這篇長文讓我們了解了密碼學的政治社會的樣子,也許那裡就是我們要走向的地方。我做了很多斷言,大部分都沒有引證。你可以在許多組織的在線參考圖書館中找到所有這些以及更多的內容。其中突出的是電子前沿基金會、美國公民自由聯盟、選舉人電信觀察以及電子隱私信息中心,它們在萬維網上都有大量可訪問的網頁,它們也運營新聞組、公告列表以及針對所有這些問題的討論列表。儘管最近《通信規範法案》取得了成功(法案試圖強制規定,如果一個人碰巧看的是比特而不是印在紙上的油墨,那麼成年人只能為小孩子閱讀適合的內容),但是這些檔案和列表仍然可訪問,並且最先對這些問題進行全面的報道。