一些对今天仍然适用的教训。
在上个月发布的一份简短通知中,美国国家标准与技术研究院 (NIST) 宣布,由于多项联邦信息处理标准 (FIPS) 已过时,因此将予以废止。值得注意的是,该废止清单中包括 FIPS-185。
没听说过 FIPS-185?也许您知道它的另一个名称:托管加密标准 (EES)。其最著名的实现是一种名为 Clipper 芯片的芯片组。Clipper 芯片——以及不太知名的实现 Capstone——由美国国家安全局 (NSA) 开发,旨在安装在通信设备中,目的是保护私人通信,但也为执法机构进行电子监控提供“后门”访问权限,但需遵守法院命令。自然,这引起了很多疑问和担忧(其中一些值得单独写一篇博文)。
表面上看,EES 现在被撤回是因为它引用了一种加密算法 Skipjack,该算法不再被美国政府批准使用。但有一个方面尤其引人深思:无论撤回 FIPS 的原因是什么,这都及时地提醒我们,政府要求使用未经透明方式开发且未广泛征求意见的特定技术的努力,不仅是误入歧途,而且很可能失败。尤其是在像这里所涉及的如此敏感的领域。
回顾一下,EES 于 1994 年获得负责监管 NIST 的商务部长的批准。它是一项以硬件为中心的加密通信标准,旨在保护非机密的政府和私营部门通信。EES 的显著特点是其加密密钥托管方法,该方法允许授权政府机构在特定情况下进行访问。
那是一个美国政府认为它可以塑造商业市场的时代,但这一假设几乎从 EES 宣布之日起就被证明是错误的。那是互联网商业化的开始;域名系统的转型才刚刚开始。如果你想浏览万维网,你可能正在使用 Mosaic。吉姆·克拉克和马克·安德森将在同一年创立后来的网景公司。
在部长宣布该标准后不久发表的一篇论文中,著名的密码学家和计算机安全专家 Matt Blaze(当时在 AT&T 实验室工作)记录了从一开始,缺乏透明度和开放性如何渗透到整个过程并导致其失败。
Blaze 写道,EES 包含“一些不寻常的特性,这些特性一直是大量辩论和争议的主题”。例如,密码算法 Skipjack“本身是机密的,并且该密码的实现仅在政府批准的供应商提供的防篡改模块中对私营部门可用”。虽然“Skipjack ... 已经过一个由少数被授予算法访问权限的平民专家小组的审查,但该密码无法像通常对新加密系统进行的那样接受程度的平民审查。”
正如 Blaze 进一步详细指出的那样,很快就变得明显,“恶意应用程序通过在没有政府‘后门’的情况下使用密码来击败 EES”。许多其他人指出,托管的加密密钥很可能被未经授权的人员获取,并被过分热心的政府机构滥用。Clipper 芯片在其推出后很快就无人问津。Skipjack 最终于 1998 年解密并公开。但是,到那时,其开发过程中缺乏透明度和协作已经产生了不利影响,并引发了挥之不去的怀疑。
这一章影响了密码学领域的争论多年。当 NIST 宣布其挑战,用新的高级加密标准 (AES) 取代过时的数据加密标准 (DES) 时,它设计了一个开放、透明和全球化的过程。该过程和结果受到了密码学界的显著赞扬,包括来自失败者之一和 NIST 过去几年最严厉的批评者之一的赞扬,从而增强了信心。
最近,关于加密的讨论和误解再次出现,在大西洋的两岸之间。最近几周,欧盟反恐行动的一位主要领导人,据媒体报道,呼吁考虑“强制在欧盟运营的互联网和电信公司提供...相关国家当局访问通信权限(即共享加密密钥)的规则”。因此,即使 20 年后的今天,仍然有必要提醒和回顾 FIPS-185 的教训。
NIST 正在接收关于其撤回清单的意见。您可以在 2015 年 3 月 2 日(美国东部时间下午 5 点之前)通过 fipswithdrawal@nist.gov 提交评论。
评论已关闭。