2016年密碼學最大的實踐發展，就(jiù)是安全傳輸層協議(yì)(TLS)1.3版。TLS是應用廣泛的重要加密協議(yì)，也(yě)是安全互聯網通信的基礎。在數百位研究人(rén)員(yuán)和工程師長達數年的鑽研之後，新(xīn)的TLS設計從密碼學的角度看終于可被認為(wèi)是完工了(le)。該協議(yì)如(rú)今支持Firefox、Chrome和Opera。雖然看起來(lái)像是個(gè)小版本升級，TLS1.3卻是TLS1.2的重大再設計(1.2版已存世8年有餘)。事(shì)實上(shàng)，最富争議(yì)的問題之一(yī)，是要不要改個(gè)名字來(lái)表明TLS1.3所做的重大改進呢(ne)?

　　用戶從哪兒(ér)感受到TLS1.3?速度!TLS1.3就(jiù)是為(wèi)速度而生(shēng)，尤其是大幅減少了(le)重複連接時(shí)數據發送前的網絡往返通信數量，最低(dī)可減至1次往返(1-RTT)乃至0次。這(zhè)些(xiē)理(lǐ)念之前已經以實驗形式出現(xiàn)過——QUIC協議(yì)(谷歌(gē)制定的一(yī)種基于UDP的低(dī)時(shí)延互聯網傳輸層協議(yì))和早期TLS中。但(dàn)作(zuò)為(wèi)TLS1.3默認行為(wèi)的一(yī)部分(fēn)，它們很快(kuài)就(jiù)會得到廣泛應用。這(zhè)意味着延遲減少和網頁加載速度的加快(kuài)。

　　另外，TLS1.3應将成為(wèi)安全智慧的顯着改進。它吸收了(le)TLS幾十年實踐中的兩大主要教訓。首先，該協議(yì)摒棄了(le)對一(yī)些(xiē)舊協議(yì)功能(néng)和過時(shí)加密算(suàn)法的支持，大幅瘦身(shēn)。其次，TLS1.3引入了(le)模式檢查，用以在很多舊版TLS和SSL中查找漏洞。TLS1.3在标準化(huà)過程中經曆加密社區的廣泛分(fēn)析，而不是等到協議(yì)被廣泛部署難以修補的時(shí)候才這(zhè)麽做。

　　對後量子(zǐ)加密的要求仍在繼續

　　加密社區一(yī)直在努力嘗試從當今算(suàn)法(其中很多在實用量子(zǐ)計算(suàn)機出現(xiàn)後就(jiù)會變得徹底不安全)遷移到後量子(zǐ)加密。

　　自去年年底美國國家标準與技術協會(NIST)發布了(le)後量子(zǐ)算(suàn)法标準化(huà)計劃，算(suàn)法轉型便受到了(le)大幅推動。NIST在今年2月(yuè)(yuè)公布了(le)首份工作(zuò)報(bào)告，并在8月(yuè)(yuè)發布了(le)一(yī)份召集算(suàn)法提案的草案。研究人(rén)員(yuán)一(yī)直在争論後量子(zǐ)算(suàn)法的目标到底該是什(shén)麽(以及，雙橢圓曲線(DualEC)标準後門事(shì)件之後，NIST是否還應在後量子(zǐ)算(suàn)法标準化(huà)過程中擔任領導角色)。

　　同時(shí)，谷歌(gē)在實用性實驗中采用了(le)新(xīn)希望(NewHope)後量子(zǐ)密鑰交換算(suàn)法，來(lái)保護谷歌(gē)服務(wù)器(qì)和Chrome浏覽器(qì)之間(jiān)的真實流量。這(zhè)是後量子(zǐ)加密在現(xiàn)實世界中的首例部署應用。該實驗的結果表明，計算(suàn)成本幾乎可以忽略不計，但(dàn)因更大的密鑰規模導緻的帶寬消耗有所增加。另一(yī)隊研究人(rén)員(yuán)采用不同的算(suàn)法，向TLS協議(yì)中加入了(le)量子(zǐ)阻抗的密鑰交換。

　　關(guān)于後量子(zǐ)加密，我們不知道的東西(xī)還很多，但(dàn)我們已開始探索其實際工程意義。

　　關(guān)于給加密算(suàn)法安後門的新(xīn)思考

　　很長時(shí)間(jiān)裏，設計表面安全但(dàn)暗藏後門的加密系統，一(yī)直是争議(yì)焦點。((“盜碼學(kleptography)”一(yī)次在1996年被創造出來(lái)，用以描述此類概念。)但(dàn)斯諾登的揭秘，尤其是DUAL_EC僞随機數字生(shēng)成器(qì)被NSA故意安置後門的消息，激發了(le)對加密算(suàn)法後門安置方法的更多研究。法國和美國研究人(rén)員(yuán)組成的一(yī)個(gè)團隊就(jiù)發表了(le)一(yī)篇論文，展示了(le)技巧地選擇素數可使離散對數計算(suàn)變得簡單容易，足以破壞Diffie-Hellman密鑰交換的安全性。

　　更糟的是，這(zhè)種後門素數無法與其他随機選擇的素數相區别。

　　RFC5114：NIST的又一(yī)後門加密标準?

　　說(shuō)到後門，今年還發現(xiàn)了(le)另一(yī)個(gè)可能(néng)被後門了(le)的标準：RFC5114。該很少為(wèi)人(rén)所知的标準是在2008編寫的，某種程度上(shàng)，這(zhè)玩(wán)意兒(ér)一(yī)直很神秘。該協議(yì)是由國防承包商(shāng)BBN編寫的，目的是标準化(huà)NIST之前公布的某些(xiē)參數。它定義了(le)8個(gè)Diffie-Hellman組，可用于與互聯網工程任務(wù)組(IETF)的協議(yì)協同工作(zuò)，提供互聯網通信安全性。最終，這(zhè)些(xiē)密鑰進入到了(le)一(yī)些(xiē)廣泛使用的加密庫中，比如(rú)OpenSSL和BouncyCastle(java平台輕量級加密包)。然而，其中一(yī)些(xiē)組被發現(xiàn)十分(fēn)可疑：沒有提供對産生(shēng)過程和方法的任何說(shuō)明(意味着可能(néng)被後門了(le))，隻要參數沒有被仔細審查，便無力對抗小組約束攻擊。

　　雖然沒有切實證據，這(zhè)還是導緻了(le)該标準是否被故意後門的一(yī)些(xiē)争論。作(zuò)為(wèi)回應，該标準的其中一(yī)位作(zuò)者聲明稱，這(zhè)有部分(fēn)原因是為(wèi)了(le)給一(yī)位實習生(shēng)一(yī)個(gè)“相對容易”的項目來(lái)完成。NIST的一(yī)名密碼學家聲稱，該标準不過是寫來(lái)給使用曲線算(suàn)法的人(rén)提供測試數據的，“當然不是作(zuò)為(wèi)給實際使用或采納的人(rén)的建議(yì)”。該不良标準正是因其無能(néng)而提出的可能(néng)性無疑是存在的，但(dàn)圍繞它的質疑，凸顯出一(yī)直以來(lái)對NIST作(zuò)為(wèi)密碼标準化(huà)機構的信任缺失。

　　美國總統大選暴露密碼可否認性問題

　　可否認性，及其對立面——不可抵賴性，是加密通信可具有的兩個(gè)基本技術特性：系統應該向局外人(rén)提供證據證明消息是由特定發送者發送的嗎(ma)(不可抵賴性)?或者，系統應确保任何局外人(rén)都能(néng)根據需要修改記錄(可否認性)以便被洩通信不會牽連其他?這(zhè)些(xiē)屬性的現(xiàn)實必要性，是加密社區長久以來(lái)的争議(yì)重災區。2016總統大選的新(xīn)聞報(bào)道所掩蓋掉的，是不可抵賴性出其不意的崛起。資深民(mín)主黨政客們，包括副總統候選人(rén)蒂姆·凱恩及前DNC主席丹娜·布拉齊爾，正式聲明稱被洩DNC電子(zǐ)郵件是被篡改過的。

　　然而，網絡偵探們很快(kuài)證實，電郵是以hillaryclinton.com郵件服務(wù)器(qì)的正确密鑰，經域名密鑰識别郵件協議(yì)(DKIM)簽署的。關(guān)于這(zhè)些(xiē)簽名，有很多防止誤解的說(shuō)明：其中一(yī)些(xiē)郵件來(lái)自不支持DKIM的外部地址，因而可能(néng)被修改過，DKIM隻斷言特定郵件服務(wù)器(qì)發送了(le)消息(而不是某個(gè)個(gè)人(rén)用戶)，所以，有可能(néng)是hillaryclinton.com的DKIM密鑰被盜或被惡意内部人(rén)士使用了(le)，被洩郵件緩存也(yě)有可能(néng)被故意漏掉了(le)某些(xiē)郵件(DKIM證據不會揭露這(zhè)個(gè)的)。然而，這(zhè)可能(néng)是我們在不可抵賴加密證據的價值(或無價值)中所有的最引人(rén)矚目的數據點了(le)。

　　攻擊隻會變得更好(hǎo)(hǎo)

　　一(yī)系列新(xīn)型改進版攻擊已被發現(xiàn)。其中值得注意的是：

　　HEIST攻擊改進了(le)之前BREACH和CRIME等Oracle壓縮攻擊的通用性，可通過惡意JavaScript從網頁盜取敏感數據。盡管因為(wèi)此類攻擊的風(fēng)險而在2014年就(jiù)決定從TLS1.3中完全摒棄對壓縮的支持，這(zhè)一(yī)漏洞還是進一(yī)步顯示出了(le)往HTTP之類複雜協議(yì)中添加加密功能(néng)的困難性。

　　DROWN攻擊利用幾十歲高齡的SSLv2協議(yì)漏洞，破壞Web服務(wù)器(qì)的RSA簽名密鑰。如(rú)很多之前的TLS/SSL攻擊(POODLE、FREAK等等)，DROWN依賴的是現(xiàn)代Web浏覽器(qì)已不支持的老舊協議(yì)。然而，這(zhè)依然是很現(xiàn)實的重大缺陷，因為(wèi)攻擊者可以用此方法盜取Web服務(wù)器(qì)上(shàng)那與現(xiàn)代客戶端所用相同的密鑰。該攻擊再一(yī)次提醒了(le)我們：維持對過時(shí)加密協議(yì)的支持是有多不安全!

　　Sweet32攻擊顯示出：64比特塊密碼(着名的三重DES和Blowfish)以CBC模式使用時(shí)，無法抵禦碰撞攻擊。生(shēng)日悖論告訴我們，隻需觀察大約2^(64/2)=2^32個(gè)加密塊——即32GB數據，就(jiù)可以1/2的概率找到碰撞。這(zhè)再一(yī)次暴露出，早該抛棄的遺留密碼卻依然在約1%的加密Web流量中被使用。

　　可能(néng)有點點遠(yuǎn)離實際系統，新(xīn)攻擊在某些(xiē)配對友好(hǎo)(hǎo)的橢圓曲線族中被發現(xiàn)，包括了(le)流行的Barreto-Naehrig曲線。雖然當今互聯網加密中并沒有廣泛使用配對友好(hǎo)(hǎo)的曲線算(suàn)法，它們卻是一(yī)系列高級加密系統的基礎，比如(rú)Zcash中用到的高效零知識證明，或Pond使用的組簽名。

　　安全随機性依然是密碼系統中的脆弱點：隻要不能(néng)産生(shēng)真正随機的數字，就(jiù)不能(néng)創建真正不可預測的密鑰。GnuPG項目(廣泛使用的PGP軟件維護者)宣稱修複了(le)Libcrypt随機數産生(shēng)方法中的缺陷，堵上(shàng)了(le)這(zhè)個(gè)存在了(le)18年的漏洞。雖然實際利用該漏洞并不容易，此類攻擊顯露出PRNG庫中的微小漏洞可因從未導緻功能(néng)上(shàng)的可見損失而隐身(shēn)數十年之久。

　　吐故納新(xīn)：HTTPS仍在緩慢(màn)堅實的路(lù)上(shàng)

　　HTTPS正慢(màn)慢(màn)變得更加安全：

　　SHA-1散列函數在2016年就(jiù)達美國法定最低(dī)飲酒年齡了(le)——21歲，但(dàn)是沒人(rén)會慶祝這(zhè)個(gè)生(shēng)日。相反，我們正逐漸逼近讓這(zhè)個(gè)過時(shí)算(suàn)法退休的終點。有那麽點點令人(rén)驚訝的是，今年并沒有發現(xiàn)任何SHA-1碰撞攻擊——算(suàn)法被攻破的無可辯駁的明證。不過，浏覽器(qì)廠商(shāng)可不會等到真出現(xiàn)碰撞。微軟、谷歌(gē)、Mozilla，全都宣稱2017年起自己的浏覽器(qì)不再接受SHA-1證書。雖然還需要一(yī)段時(shí)間(jiān)，對SHA-A的協同抛棄，依然是加密社區的大勝利。據觀察，浏覽器(qì)市(shì)場(chǎng)激勵廠商(shāng)不擅自移除不安全舊協議(yì)，因此，廠商(shāng)在SHA-1被完全攻破之前達成棄用時(shí)間(jiān)線是個(gè)積極的迹象。

　　對證書透明性(CT)的支持繼續增長。CT是設計來(lái)提供哪些(xiē)證書被頒發給哪些(xiē)域名的公開記錄協議(yì)。今年6月(yuè)(yuè)1日開始，所有賽門鐵克頒發的證書就(jiù)被包含到CT記錄中(會被Chrome和Firefox拒絕)。網站(zhàn)可用Chrome的HSTS預加載列表(Firefox也(yě)用)來(lái)選擇要求CT。就(jiù)在本周，Facebook發布了(le)首個(gè)基于Web的CT記錄監視(shì)工具。

　　RFC7748，橢圓曲線Curve25519和Curve448(“金(jīn)發姑娘”)的标準化(huà)，終于完成了(le)。這(zhè)兩個(gè)曲線算(suàn)法在TLS1.3中可用，提供更快(kuài)的表現(xiàn)，作(zuò)為(wèi)P-256之類NIST支持的經典曲線算(suàn)法集的替代選擇。