資訊安全意義的演變
好的,我剛才說我要求 45 分鐘,但要等到我講了一個小時又十五分鐘左右才會有怨言,這是以 Donald Trump 在共和黨全國代表大會上的接受演講為範本的。這是一種特色,你知道,這與我們在 Jamaica States 和 New York 的根源有關。我在一條叫做 Kruger Road 的小街道長大,只有一個街區長,如果 Kruger Road 再多延伸一個街區,就會通到 Midland Parkway 上 Donald Trump 的家。所以我認為我已經被那個社區最聲名狼藉的人物所掩蓋了,但我們有一個共同的特點,那就是我們話太多。所以我將盡可能地嘗試達到我在摘要中提到的一些內容。我將談論相當多的事情。我們將同時談論資訊安全和資訊情報的發展,基本上貫穿整個 20 世紀。20 世紀在情報領域給予了我們兩份大禮。一份是照相情報 (photographic intelligence),現在以衛星攝影為代表。這對我來說有點有趣,因為如果你想想,假設我們可以把這賣給 Caesar,他一定會非常興奮。他會買我們能供應的所有 photint。另一方面,另一個巨大的發展是信號情報 (signals intelligence)。Caesar 會,你知道,皺起眉頭說,嗯?他的對手並沒有發送信號。這顯示了情報發展兩種不同的方式。有些更深入地研究古典情報問題,其他則深入研究未來的情報問題。特別是,無論人類活動在哪裡發生,都會被監視。所以我將探討這方面的一些內容,以及我們在這方向上應該期待什麼。現在,我可能會在這兩部分之間來回切換,但我真正涉足的領域當然是通訊安全 (communications security),特別是密碼學 (cryptography),它有著悠久的史前史。這個領域最早比較紮實的工作,我們知道的是大約西元 800 年 Baghdad 的 Malkindi。大約西元 1500 年 Rome 似乎完全獨立地再次出現,特別是 Leon Battisti Alberti。這兩人都做出了一個非常重要的發現,有一個非常重要的洞察力,那就是當時的密碼學,他們有所謂的單一替換 (simple substitution),例如 A 變成 J,B 變成 Q,C 變成 D 等等。要理解如何透過文本的頻率分析來破解它花費了相當長的時間。而他們兩人都看到了關鍵之處,那就是非常重要的一點:什麼保持不變,什麼改變。特別是,秘密的東西需要相當快速地、相當頻繁地改變。他們發展出了所謂的多表替換密碼 (polyalphabetic ciphers),其中基本上有兩種技術。令人著迷的是,一直到現在的 Advanced Encryption Standard,你在這方向上仍然看到幾乎相同的技術,只是現在已經大大精煉了。其中一種是某種查找表 (lookup table),另一種是某種算術運算 (arithmetic),例如你把字母相加,然後在表中查找,再把它們相加等等。我不會詳細介紹個別密碼系統如何運作,但我會提及。這方面另一邊是什麼?通訊情報的祖先是什麼?特別是,這裡有一個術語問題,因為目前我們傾向於說信號情報 (signals intelligence),把各種東西混在一起。在有信號之前沒有信號情報,而最早真正可以談論的是電報 (telegraph),大約在 1840 年左右。但有通訊情報 (communications intelligence),他們知道如何打開人們的信件等等,特別是當信件的內容經過編碼時,他們知道如何對密碼進行分析,並從這些東西中獲取情報。順帶一提,這有點像一個悖論,就是密碼 (codes) 主宰了世界數百年,它們仍然非常重要,但儘管這些潛在更好的系統已經被發展出來了,密碼仍然主宰著世界。原因在於,多表替換系統要做到真正的好,像我們今天這樣,需要某種機械或電子計算。你無法手動完成,如果你試圖手動完成,你會犯足夠多的錯誤,以至於你永遠無法發送任何訊息。
無線電時代與信號情報的興起
所有這一切在大約十年間改變了。在 20 世紀初,你接連看到了兩件事。首先是無線電的發現,然後是第一次世界大戰。所以第一次世界大戰是無線電時代的第一場戰爭。無線電是個奇妙的東西。無線電就像今天的 Internet 一樣,它非常有價值,你無法忽視它。但它有著一個不可思議的特性,即脆弱性,那就是每個人都可以收聽無線電。事實上,有時候你不想聽的人比你想聽的人接收得更好。這與 Australia 北部平原有很多攔截有關,你在那裡可以從各個地方獲得良好的接收。基本上,當一個組織使用無線電時,無線電的作用是將組織的神經系統提升到空中,在那裡可以被看到。所以,你看,第一個重要的教訓是關於海軍。在無線電之前,第一海務大臣 (first sea lord) 指揮著世界上最強大的海軍力量,卻不知道它在哪裡。你知道,他們有地圖,有小玩具船,他們在地圖上移動它們,收到船隻被看到地點的報告,但在對其部隊確切位置的了解上,這些報告已經過時了幾天、幾週甚至幾個月。無線電引入之後,花了幾年時間,但逐漸發展到他們能精確地知道所有東西在哪裡,他們最初可以在幾天內,然後在幾小時內,現在當然是幾秒鐘內聯絡到一艘船。除了潛艇,就像給幾乎所有地方打電話一樣。有了無線電,唯一已知的適用安全技術就是密碼學。你知道,19 世紀,他們知道如何鎖好辦公桌,看守建築物,對如何審查人員也有一些了解,但無線電完全繞過了所有這些。於是突然間所有東西都需要加密,所有這些都是手動完成的,密碼技術並不好,但至少速度很慢,而且密碼員完全忙不過來。所以基本上到了第一次世界大戰末期,或第一次世界大戰剛結束後,各種發明家開始著手解決這個問題,其中在 U.S. 最為人熟知的是 Hebron,他在 Oakland 工作。稍晚一點可能更廣為人知的是 Sherbius 和 Dam,他們負責德國的 Enigma 機器。這些設備成為軍事安全通訊的骨幹,一直持續到第二次世界大戰後很久。從電腦科學的角度來看,它們在某種意義上非常直接。正如我所說,你有兩個對象,兩樣東西,一個是查找表,另一個是加法,這個加法是模 n 的加法,這幾乎是我們喜歡做事情的方式,它是一系列索引查找。在第一個表中查找,索引,在第二個表中查找,索引,在第三個表中查找,這通過有線輪盤實現,信號進來,例如作為一個 A,從第一個輪盤出去變成 K,進入第二個輪盤,從第二個輪盤出去變成 G,等等,然後你把所有輪盤稍微旋轉一點,所以下次執行時,它就會完全不同。據我所知,這些設備中最好的一個叫做 Sig Abba。你可以在 Internet 上找到它的很多細節。它是一台機器,其實是兩台轉子機 (rotor machines) 放在一個盒子裡。其中一台處理訊息流量 (traffic),那是五個輪盤,另外五個輪盤生成處理訊息流量的五個輪盤的運動,所以它們被稱為控制轉子 (control rotors) 和加密轉子 (cipher rotors)。
在密碼學方面發生這種發展的同時,信號情報領域也非常、非常快速地興起,它有幾個要素,其中最有名但絕非最重要的是密碼分析 (cryptanalysis),也就是查看加密的訊息流量並弄清楚它真正說了什麼,但這方面還有其他幾個要素,它們更昂貴,佔用了更多資源,也更具魯棒性。首先當然是攔截 (interception)。無線電、天線的發展,以及讓你的攔截能力達到可以使用、獲得所謂的訪問 (access) 的程度,這方面有很多發展。其次是流量分析 (traffic analysis)。即使你無法讀取別人網路上的訊息流量,它的模式也會告訴你很多事情。最粗糙的例子是,你知道,像併購 (merger) 之類的事情很可能產生大量的訊息流量,像即將到來的攻擊 (attack) 之類的事情也很可能產生大量的訊息流量,而訊息流量的模式將允許你弄清楚誰在給誰下命令。下一個要素,非常依賴於上下文,叫做測向 (direction finding)。這是在電腦科學中我們經常做的事情。這裡有兩個命名空間 (namespaces)。其中一個是頻率或呼號 (call signs),就像,你知道,KQED 有一個呼號,所有無線電訊息流量都通過呼號來識別,而你想要映射
到 Tokyo。他們使用的是我們稱之為 Purple 的系統,他們自己稱之為 Type 97,我們當時正在讀取它。所以我們得到了這個重要的資訊。我們從他們的盟友那裡獲得了關於德軍 Atlantic Wall 防禦的內部視角。這就是那種事情,Enigma 的訊息流量,fish 的訊息流量,各種高層級的加密訊息流量都在第二次世界大戰中被讀取了。順帶一提,這讓所有人都感到緊張,這種緊張至今仍然存在。我想指出的另一個特別之處是密碼學的發展。記得我談過轉子機 (rotor machines),轉子機運行在電傳打字機 (teletype) 的速度下。所以我們談論的是每秒大約 10 到 15 個字符。這對於語音來說遠遠不夠快。所以存在類比語音加擾器 (analog voice strandlers), Bell Labs 有一個叫做 A3 的。所有人都知道它們除了延遲隨意的興趣之外,什麼都做不了。經過仔細研究,它們會被讀取。但第一個高級別、完全數字化的安全電話叫做 SigSally。現在這是一種有趣的設備。從某種意義上說,它與今天的安全電話有很多共同之處。它以每秒 2,400 位元的速度運行。它以數字方式運行。在那裡,它基本上就結束了,因為 SigSally 佔用了 37 英尺高的電話機櫃設備。所以它佔用了一個房間,不是像這個會議室這麼大,但可能是這個大小的四分之一。而且它花費了數百萬美元,大約 3000 萬美元左右。它如此昂貴,以至於最初只有 Roosevelt 和 Churchill 買得起。最終大約有十幾部。所有四星上將都跳上跳下,他們也想要一部。這些設備使用所謂的一次性材料 (one-time material) 進行金鑰加密,原則上是不可破解的。它記錄在 16 英寸的專業廣播電台長播放唱片上。還有唱片騎師 (disc jockeys) 來排隊唱片,讓它們從完全相同的地方開始播放金鑰材料。對話結束後,他們就會把唱片砸碎,這樣就絕對無法再次使用了。現在,這有什麼重要性呢?它向所有人表明了安全語音是可能實現的。因此,50 年代主要致力於開發更高速度的系統,特別是安全語音系統。這一直持續到 60 年代。你有了情報衛星,你需要以每秒百萬位元 (megabits) 而不是每秒數千位元 (kilobits) 或數萬位元的速度發送加密訊息流量。所以那個時期,大約從 40 年代末到 70 年代,主要以移位暫存器 (shift register) 純電子密碼學的發展而聞名。
後二次大戰密碼學與公開金鑰的曙光
同時發生了另一件長時間以來不太受關注的事情。 Air Force 曾宣布有一些內部報告指出,它需要的關鍵事物之一是經過密碼學保護的敵我識別 (identification friend or foe)。敵我識別大概就是字面上的意思。它真正意思是識別朋友的方案。你向某人發送某種類型的信號,如果他們正確地轉換後發送回來,你就會認為他們是你的朋友,你就不會向他們射擊。在第二次世界大戰期間,這完全是通過類比技術完成的。你可以想像一個延遲線 (delay line),並在一些地方分接,戰爭期間運行了大約 10 種, Mark 1 到 Mark 9 系統,因為基本上對手會掌握它們並弄清楚如何偽造你等等,所以你必須推出新的系統。戰爭結束後,一個項目旨在開發數字系統,目前仍在使用的 Mark 10 是商業飛機上的系統,它發送回數字聲明,例如這是航班號是多少,諸如此類的東西。 Mark 12 具有密碼學應答。該應答的一部分是加密的。如果你想想,50 年代,我一直在談論的系統,那些用於加密語音等的系統,它們被稱為長序列系統 (long sequence systems)。它們輸出一個由零和一組成的字符串,這被稱為金鑰 (key),這些零和一用明文 (plaintext) 進行 XOR 運算。這對於我想要從你那裡獲得一個信號,如果它是兩個略有不同的信號,我就要以非常不同的方式對其進行加密,然後再發回給你這種功能來說,絕對行不通。你需要的是所謂的區塊加密法 (block ciphers),它可以一次處理一定位元數,在那個例子中是 32 位元,今天已經達到 128 位元,但你需要一種新的方法。當時這種方法的普遍適用性並沒有被認識到。它最初是為 IFF 開發的。它可能也應用於 SAGE 的一些通訊。它們肯定是封包化的,但我還沒有能詳細了解。但是通過中間的 50 年,它逐漸成為通訊密碼學的主導方式。
所以在 1975 年,我們引入了現在被稱為 Data Encryption Standard (DES) 的標準,它是一個 64 位元區塊加密法,這是第一個 U.S. 公開標準,大約在 2000 年被稱為 Advanced Encryption Standard (AES) 的 128 位元區塊加密法所取代,儘管它並不總是這樣使用。它可以用來生成金鑰串流 (key streams) 等等。軍事系統也遵循相同的模式,在 70 年代使用 64 位元系統,現在使用 128 位元系統。
後二次世界大戰信號情報與大數據的浮現
但是從情報角度來看,重要的資訊少了很多。所有認真對待此事的人,特別是俄羅斯和美國,都注意到了第二次世界大戰中密碼系統的失敗,並變得更加謹慎。因此,空中可以輕易讀取的訊息流量少了很多。應對方式之一是投入更多資金試圖讀取訊息流量,但另一種應對方式是試圖從訊息流量中弄清楚更多即使無法讀取也能理解的事情。因此,流量分析 (traffic analysis) 蓬勃發展,成為一個重要組成部分。在某種意義上,它一直是信號情報組織的核心,因為如果你在讀取訊息流量之前無法弄清楚哪些訊息流量是什麼,你根本就讀不到任何東西。你必須將事情分類,決定誰來處理它們,識別它們可能使用哪種加密方式等等。
我退後一步,再談一點區塊加密法 (block ciphers)。我之前提到過,例如在 1500 年開發的系統,多表替換系統,基本上在接下來的 500 年裡都沒有被使用,因為你無法手動完成它們。當時沒有可用的計算能力來完成它們。同樣地,如果你看看 50 年代的密碼系統,你會發現它們設法用非常少量的邏輯閘 (gates) 完成,而用那種技術很難實現區塊加密法。所以這些系統花了些時間才普及開來。
1970 年代:公開金鑰密碼學的誕生
70 年代也為我們帶來了令我非常關心的東西,那就是公開金鑰密碼學 (public key cryptography)。密碼安全的一個重要方面我還沒有討論過,那就是金鑰管理 (key management)。沒有哪個方面比這更敏感。如果你能生成好的金鑰並充分管理它們,你就能擁有密碼安全的通訊。如果你不能,你就不能。就這麼簡單。所以它是這樣完成的。 NSA 的方法是擁有所謂的中心設施 (central facility),中心設施生成金鑰。曾經他們聲稱在 Fort Meade 擁有世界上最大的印刷機。現在他們更多地使用電子方式。但是中心設施隨後將金鑰材料,包括 IBM 打孔卡、轉子和密碼本等等,分發給世界各地的軍事指揮部。這依賴於一個非常關鍵的現象,即 Department of Defense 非常龐大,但組織非常緊密。每個人都知道指揮鏈。它從總統開始,到 Secretary of Defense,到 Joint Chiefs of Staff,到四星級指揮部,等等,直到基層士兵。所以這個組織有權力指定 NSA 為通訊安全的「執行代理人」(executive agent),為所有人管理所有這些事情。
現在,假設你轉向一些不同的事情,比如整個世界的商業活動,這真的無法用那個模式來做。世界上沒有人被信任為所有人生成金鑰。現在,在更小的案例中擔心這是有可能的,而我個人在 1965 年開始擔心這個問題。我有一個朋友叫 Bill Mann,他錯誤地告訴我, NSA 在其內部建築中對電話進行加密。我困惑了很多年,不是關於他們如何做到這一點。這對我來說很清楚。我的意思是,我當時並不知道、也沒有考慮到我一直告訴你的安全電話有多困難這些事。但我的安全通話概念是,我有金鑰,你有金鑰,而且沒有其他人擁有金鑰。我當時想,怎麼可能安排這樣的事情?我的觀點如此缺乏社會性,我不理解組織觀點。事實上, NSA 根本沒有做那種事情。它有一套屏蔽電纜。它有兩個電話系統。它有一個內部系統,與外部系統隔離。但誤解是發明的種子。
公開金鑰的發明之旅
另一個問題開始困擾我是在 1970 年。我在 1969 年末搬到 Stanford University,因為當時我對證明正確性 (proof of correctness) 感興趣
去 NSA 研究證明正確性問題。總之,我開始到處旅行,思考這個問題,與任何願意談論的人交談,並在圖書館裡挖掘罕見的手稿。四五個月後,我遇見了我的妻子 Mary,不幸的是她今天下午不在這裡,但我稱她為我的第一個發現,沒有她,我不會有其他任何發現。我們一起拜訪了 IBM 的 Big Alan Tritter,他自稱是電腦科學中最偉大的人,他體重 500 磅。他的老闆是 Alan Kahnheim,他是那裡的數學系主任,那個團隊當時正在開發 Data Encryption Standard。 Kahnheim 說:「我不能告訴你任何事情,我們這裡有保密命令,但你應該去看看我的老朋友 Marty Hellman。他幾個月前來過這裡,我也沒法告訴他什麼,但兩個人一起研究一個問題比一個人好。」你可以從這句話看出 Kahnheim 是一位科學家。 NSA 的人永遠不會提出這樣的建議。無論如何,後來他希望他沒告訴我,因為我們在 DES 是否足夠安全的問題上給他帶來了很大的麻煩。不過,我回到了這裡,找到了 Marty Hellman, Mary 和我就像家人一樣相處得非常愉快,我們一起工作了四年。
在那段時期的早期,我和 Mary 在照看 John McCarthy 的房子和他的女兒,因為他當時正在 Japan 逍遙快活,而他女兒還太小不能開車,我則當家庭主夫,她則在城裡為 British Petroleum 工作養家。經過兩三天,我無法解決我真正想要解決的問題,那就是證明密碼系統的正確性,於是我有了這個我稱之為「宏大密碼學理論問題」(problems for a very ambitious theory of cryptography) 的附帶活動。我試圖將兩件事結合起來。記得我向你們提到過 IFF。火力控制雷達向飛機發送信號,飛機發送回覆,如果回覆正確加密,火力控制雷達就會停止射擊。這裡的關鍵在於,一個在旁邊偷窺 (shoulder surfing),攔截傳輸的人,無法弄清楚其中的內容。
另一種可能性是 Unix 加密, Unix 密碼加密。也就是說,你輸入你的密碼,它會立即被所謂的「單向加密」(one-way encrypted),儲存在密碼檔案中的是你密碼的單向加密結果。這兩者具有互補的特性。那樣可以保護你免受密碼表洩漏的影響。我知道這一切現在看起來比當時看待的方式要複雜得多,但當時就是這樣看的。等一下。如果你有領夾麥克風,你可以把水灑在上面,而不用把它放下。
數位簽章與金鑰協商
我想到了數位簽章 (digital signature) 的概念。我意識到,在某種程度上,你可能有一個你無法解決的問題,但你卻能識別出正確的解決方案。幾天後,我意識到你可以將這個問題反過來思考,並且按照我設想的方式,你可以解決我思考了十年的問題,那就是與一個你從未見過的人純粹通過電子方式協商金鑰。這兩者,我 формул 的問題正是 RSA 密碼系統解決的方式。 Diffie-Hellman 密碼系統解決的方式則是 Ralph Merkle formul 的方式,這基本上是你通過一個通道協商。這有點像完美的橋牌叫牌 (bridge bidding)。如果 North 和 South 之間的溝通比和 East 和 West 之間的溝通更好一些,因為他們各自知道討論中的一副牌,而另外兩家都不知道,這只不過是將其放大到你進行幾次交換,我們可以在公開場合完全協商,但在協商結束時,我們知道了一些觀察者都不知道的秘密。
安全計算問題與密碼學的公開化
70 年代還出現了另一件與我們息息相關的事情,那就是安全計算問題 (secure computing problem)。在此之前,在分時系統 (timesharing) 發展之前,區分安全計算和電腦機房的安全非常困難。一旦你在同一台電腦上運行許多屬於不同人員的進程,突然鎖上電腦機房並將卡片和列印輸出放在保險箱裡就不再是足夠的解決方案了。你就會遇到所謂的隔離問題 (confinement problem)。你希望以這樣一種方式運行程式,既能從中獲得有用的工作,又不能對你造成任何損害。到今天為止,這個問題還沒有得到充分解決。稍後我們會再回到這一點,再說一兩句。
我們在 70 年代看到的最後一件事是,密碼學從陰影中走了出來。我說過它在 20 年代開始成為一個非常秘密的領域。當然,在這個領域仍然有很多人保守秘密,但現在有一個非常龐大的公開社群。 International Association for Cryptologic Research 擁有大約一千名成員,他們此時此刻正在加州 Santa Barbara 舉行會議,這場 U.S. 會議被稱為 Crypto,大約有 500 人將參加。這導致了密碼學研究的絕對爆炸。
新一代密碼學與網路情報時代的來臨
特別是,公開金鑰密碼學進入了第二代,被稱為橢圓曲線密碼學 (elliptic curve cryptography)。它有一個非常、非常直接的目標:讓我們使用更複雜的算術,這樣我們就可以把數字變小。我們在 70 年代處理事物的方式需要數千位元的金鑰,即這些系統中的模數 (modulus),這通常很麻煩。而通過使用橢圓曲線密碼學,它被縮減到了數百位元,這與傳統對稱系統 (conventional symmetric systems) 所需的位元數相當。
大約在 1990 年,這個領域的兩方面都帶來了一系列巨大的變化。當然,一個關鍵點是 Internet 的崛起。這不是唯一的原因。但從大約 1920 年到 1990 年,信號情報 (signals intelligence) 是一個非常安全的活動。這不完全正確,但大體上是這樣。你坐著聽你的無線電,研究你聽到的東西。你通常不會因此而尷尬。你感到尷尬的方式是你派一架飛機攜帶天線離敵人太近,偶爾就會遇到一些麻煩。但原則上,這個主題的核心是不可被發現的。經典信號情報的問題當然是你可以永遠等待。你可能會等到鬍子都白了,還在等待你的對手在你利用的頻道上說出你想要聽到的東西。假設你可能非常清楚,你知道那邊資料庫裡有什麼。如果我們能過去詢問它,我們就能得到答案。當然,這也有一些風險,因為如果你傳輸了,原則上你可能會被偵測到。這當然已經爆炸式地發展成現在的網路情報 (network intelligence) 領域,包括駭客 (hacking)、惡意軟體 (malware) 等等各種各樣的事情。人們突然意識到,光靠密碼分析本身,或者他們的流量分析、測向等所有這些輔助活動,他們無法獲得足夠的產出。於是他們實際上開始進行更多的傳輸,整個領域從被動 (passive) 轉向主動 (active)。
同時,在 U.S. 這裡發生了一件有趣的事情,我認為全世界普遍如此。電話系統過去在中心是無線電,主要是微波塔,加上一些衛星,而邊緣是電話線。 1990 年代,情況翻轉了。現在中心主要是光纖,而邊緣主要是行動電話。這種變化具體如何影響這個主題,我對我來說還不是很清楚,但我提醒你們,正是在 1992 年,國會通過了 Communications Assistance for Law Enforcement Act (CALEA),該法案規定對系統現在有線連接的中心進行監聽。
信號情報的演變與大數據
同時,信號情報總體上也發生了許多變化,我將一一列舉出來。它過去是垂直整合的。也就是說,在 Britain 的 Chick Sands 擁有 elephant cage 天線的那些人,與在 Fort Meade 或 Cheltenham 分析訊息流量的那些人是同一批人。而,你知道,經濟學已經佔領了全世界。有一張攔截設施的美麗照片,我認為是 Sugar Grove。而在旁邊幾個田地之外,或者幾十英里之外,可能還有另一組完全相似的天線,只不過它們屬於 Verizon 之類的公司,它們只是將其用於日常通訊。你知道,你會想到,我們為什麼還要費勁去支付另一整套天線的成本呢?我們直接租用他們的天線時間不就行了嗎?所以現在這種事情發生得更多了。
我提到被動轉向主動。時間變得越來越短。即時攔截 (real-time intercept) 變得越來越重要。所以曾經,指揮官對於收到一天前或幾個小時前的信息已經非常滿意了。現在他們不斷要求越來越快。他們希望能夠鎖定地球另一端的某些對話,並在這些對話發生後立即獲得報告。
最後,我想這與你們息息相關,是大數據 (big data) 的出現。以及從作為二次大戰信號情報精髓的「重要資訊」(nuggets) 轉向處理「低品位礦石」(low-grade ore) 以獲得類似結果的趨勢。這極其重要,因為保護低品位礦石比保護重要資訊昂貴得多。因此,只要想想流量分析。實際上,任何反流量分析系統都等同於發送
標準,也許所有 NIST 支持的標準。現在,其中一些來自 NIST 文件而不是 FIPS。所以從某種意義上說,在第一次世界大戰後第一批加密機器發明了 90 年後,我們終於,它從一個高度競爭的潛在競爭優勢變成了一個標準,這樣人們就可以互相交流了。這背後有很多原因。一個原因是,如果你想想現代戰爭的趨勢,即隨時與聯軍作戰,你必須在知道你是與 B 結盟對抗 C,還是與 C 結盟對抗 B 之前,就解決好通訊細節問題。他們還希望通過使用商業設備來節省大量資金。
經典與現代安全特性
如果你看看早期形式的通訊安全,它往往發生在一個統一的組織內部。我向你描述了 DoD 的這種特點。它幾乎完全是關於機密性 (confidentiality),不是因為它一定更重要,而是因為它通常比真實性 (authenticity) 更容易被違反。它完全是主動的 (proactive)。它不是動態的 (dynamic)。你加密一個東西,你發送出去。你撥通無線電的那一刻,你就完了。你贏了或者輸了。你無法再做更多的事情。它主要由具有大量資源的國家級行為者完成,並且沒有周圍的法律框架。沒有國際法禁止,可能有一些習俗,可能有一些抱怨,但基本上對於你是否偷聽別人的無線電,你不對任何比你更有權力的實體負責。安全失敗很難偵測到,並且無法從中恢復。
現在,現代世界中,這些特點中的許多已經改變了。首先,現在的問題是為多元化的社群提供安全。 Internet 商業安全是為各種各樣的人服務的,而且許多買家和賣家從來都不在同一頁上。他們可能彼此誠實,但他們從來沒有完全一致。他們總是處於某種程度的競爭之中。所以世界上有很多人、很多公司、很多國家、很多法律和規章。因此,這種多元化需要得到支持。傳統上,一切都與通訊有關。一切都是由人完成的。現在,基本上一切都是由機器完成的。從某種意義上說,這一切都與計算有關。通訊只是計算的一個組成部分。事物通常是互動的 (interactive)。某些東西正在試圖探測你的系統,並利用基本機制的交易性 (transactionality)。我們突然發現,我們至少和擔心機密性被違反一樣,也擔心完整性 (integrity) 和可用性 (accessibility) 被違反,儘管這三者之間存在顯著互動。
現在有很多小型參與者,網路戰的參與者從腳本小子 (script kiddies) 到國家級別。參與者們正在以不同的程度保護自己。有些人,因此發生的事情是,安全失敗的多樣性變得巨大。如果你想想大數據導致的失敗,特別是隱私的極有可能的下降,這些可能很難偵測到。另一方面,如果有人侵入你的系統並使其癱瘓,這可能非常容易偵測到。所以所謂的操作安全 (operational security) 的失敗,或者人們通過觀察你的行動等等,以大數據的方式推斷你正在做什麼的能力,這是非常難以保護自己和難以偵測的。
舉一個例子,這是一個很棒的實體世界例子,我不知道它是否真實,但它完全合理。有人聲稱,大約在第一次 Gulf War 期間, Pentagon 附近有一家披薩店知道有事發生了,因為他們半夜賣出了大量的披薩。人們就是這樣,對吧?好吧,這是一個非常,如果你思考一下如何解決這個問題。假設 Pentagon 的廚房半夜也開著,你可以這樣做,那麼就會有很多人知道他們必須進去,廚房員工會加班很多,他們的家人會知道他們的親人不在家。而且 Director at NSA 在 Friedman Auditorium 起身說,關於我們機構外部電腦的故障,一個字都不能提,這是一回事,而試圖對 Pentagon 餐廳裡所有的廚師和服務生做到這一點,則是完全另一回事。
當前挑戰:量子計算與新範式
當前的問題是什麼?有趣的是,密碼學只用了,現在多久了,大約 15 年左右,10 或 15 年被編寫成了我們曾希望將持續到本世紀末的規範,然後量子計算 (quantum computing) 出現並威脅到了它。沒有人確切知道,至少我不知道威脅有多嚴重,但量子計算機存在於未確定的狀態中,它們有稱為 qubit 的位元,在 0 和 1 之間變化,而且現在有一些自稱為量子計算機的東西,但真正的是量子計算機的那些都不大,物理學家承諾在幾年內提供大型的,如果他們實現了,它將徹底摧毀我和 Marty 開發的那種所有公開金鑰系統,以及自那以來人們一直在研究的系統家族。那些依賴隱藏週期長度的系統,例如一個稱為 Shor's algorithm 的算法,它非常有效地尋找週期長度。另一方面,有一些正在開發的系統將具有量子抗性 (quantum resistant)。 AES 內部的經典系統對量子計算的脆弱性不高。它大約使金鑰長度翻倍,但這並不是那麼嚴重。你可以應對。這意味著 256 位元,它實際上將有效的工作因素 (effective work factor) 降低到 2 的 160 次方左右,但這完全可以,我們認為這算是安全的,如果人們感到緊張,他們可以將金鑰移到 500 位元,這是可以做到的。如果 RSA 和 Diffie-Hellman 完全被破解,就像量子計算似乎可能做到的那樣,那麼你真的需要別的東西,而 horizon 上那些別的東西的問題是它們要大得多。這可能會改變整個策略。如果你看兩個政府電話系統,稱為 Stu-2 和 Stu-3, Stu-2 是傳統的。如果我想和你通話,我的電話會呼叫一個金鑰分發中心 (key distribution center),說:「嗨,我想和 Bob 通話,為我們設置金鑰。」然後它就設置了。當然,這很昂貴。中心設施有通訊負載,並且有一些通話費用等等。 Stu-3 使用公開金鑰,它根本不擔心。它只是為每次通話設置一個新金鑰。哦,對不起,我應該說, Stu-2 允許你快取金鑰。一旦我有了和 Bob 通話的金鑰,我們就全天保留它,以防我們想再次通話。 Stu-3 根本不費心這些。它每次電話都協商一個新金鑰。我完全可以想像,在後量子密碼系統時代,這可能效果不太好。我們可能會遇到這樣的情況:你每年要花一分鐘與 Amazon 等協商來建立一個金鑰集,然後你將它記住一整年,用於保護你的購買。
前沿研究與未來展望
有一個非常令人興奮的東西叫做同態加密 (homomorphic encryption),它取得了比我原先預期更快的進展。同態加密是這樣一個美妙的夢想:我有一個東西想要計算。由於某種原因,我自己無法進行計算,但我可以以這樣一種方式加密它,讓你無法理解,我可以將它發送給你,你無法解密它,但你可以對它進行計算,你計算一段時間後將結果發回給我,我雖然無法進行計算,但我可以解密結果。 Drew Dean 在 DARPA 工作時關於這方面的演示是所謂的紅色會議橋 (red conference bridge)。如果你有一群安全電話打入一個會議橋,經典的方式是會議橋是經過清除的,它是安全的,在一個安全區域內,所以我的聲音進來,在會議橋內部被解密,與其他聲音混合,然後重新加密發送給其他與會者。如果你不必擁有紅色會議橋,而是可以擁有黑色會議橋,那將是非常好的,他進行了一個演示。恰好這種情況下的計算和數學非常適合它,但他們使用了 iPhone 5s 和 Amazon 計算服務,所以他們有一個完全黑色的會議橋,在這些 iPhone 5s 之間維持會議。所以這個技術適用於某些事情。
我認為還有另一個。這個沒有引起太多注意。我稱之為 Moore's Law 抗性加密 (Moore's Law resistant encryption)。如果我有一個小型的加密設備,比如手機或者比手機更小的東西可以做一些事情,也許我擔心,特別是如果我必須用密碼加密,用一些你可以輕鬆輸入的東西來加密,那麼我希望加密的速度故意非常慢,這樣對手就無法通過購買更多電腦來任意加速它。這方面有一些進展。 Ron Rivest 設計了一個系統,用於 MIT Computing Lab 的所謂數字時間膠囊 (digital time capsule),據預測,即使計算技術進步,它也預計在 2035 年之前無法破解。
我還強烈認為,未來將非常需要隱蔽通訊 (covert communications)。我們正處於一個時期,可以說,人民與政府之間正在某些方面爭奪主導權。如果你回顧 1689 年 Britain 的 Bill of Rights,那就是政府應該對人民負責,而不是反過來的觀念開始浮現的地方。那是
這仍然是與三四十年前一樣活生生的問題,而且仍然沒有解決。與之相關的是形式驗證 (formal verification) 問題。你希望從某人那裡獲得一個軟體,你非常希望它附帶一個證明,表明它具有某些安全屬性,甚至精確地說明它做了什麼。
這個領域出現的另一件事是一個問題,你知道,普遍的觀點是,攻擊比防禦更容易。我不太清楚,你知道,這意味著什麼。人們對被攻擊的容忍度低於他們的... 讓我這樣說。如果你從事攻擊工作,任何時候你侵入任何東西,你的老闆都會很高興。如果你從事防禦工作,任何時候有人侵入,你的老闆都會對你感到惱火。這是衡量方式的不同。但 Sandia 反情報部門的負責人 Bruce Held,在我看來真的說得非常到位。他說,你知道,你從事防禦工作,預算正在規劃,你的老闆說,明年你需要多少錢?你說,好吧,保護實驗室的網路,我們需要一百萬美元。他說,好吧,如果你只有七十萬美元,你能做得多好?但如果你從事網路情報工作,你知道,明年你需要多少錢?一百萬美元。嗯,我們喜歡你今年產出的東西。如果你有一百萬零二十五萬美元,你能為我們做多少?我真的認為,攻擊在資金爭奪戰中佔據了巨大的優勢。
在 Bruce Held 說那句話的同一個會議上,有人說了一句話,我認為這不是一條可行之路,但這是很多人的觀點。人們對於 Chinese 坐在 Beijing 舒適的辦公室裡攻擊我們的系統,而我們卻對他們無能為力感到非常惱火。我們需要以某種方式讓他們處於風險之中。我認為你應該小心你許的願,因為如果做這些事的人處於風險之中,那麼住在 Las Vegas 並通勤到 Nellis Air Force Base 駕駛無人機的飛行員怎麼辦?現在看似完全平民的財產可能會變成合法目標。
我們站在何處?
我有一行字寫在這裡:我們站在何處?我談到了我稱之為與安全產業的共生關係。我認為在這裡發揮巨大作用的另一件事是,每個人,順帶一提政府是其中最少的,他們只是最顯眼的,但基本上你購買軟體的每個公司都希望你除了他們之外,對所有人都安全。而且,如何做到這一點並不明確,對吧?我無法審查我的軟體的更新。每週十幾個之類的。我根本不知道這些程式大多數是如何運作的。所以從根本上說,我不知道該怎麼辦。
當我開始研究這個課題時,我設想一個個人,通過自己的智力努力,可以保護安全。現在我懷疑最小的單位是否能小到一個國家。 U.S. 無法再從 Taiwan Straits 的兩邊購買安全關鍵組件,也從 Poland 購買其管子 (tubes)。我不知道清單,但基本上 U.S. 不能或者更確切地說,不選擇花錢,或者認為這樣不會獲得最佳利潤,不製造其所需的一切。
這一切將帶我們走向何方?我認為正在發生的一件事是,大數據技術正在使保守秘密變得更加困難。如果這些技術對每個人都可用,它們將使每個人都更難保守秘密。但我認為不久的將來,政治格局會有點像,你知道, Facebook 可以識別照片中的人。但它將這項技術保留給自己,並且不會將其提供給,不會識別 Facebook 用戶所需的人。其他人是否能發展出臉部識別技術,使得 Internet 上流通的大多數照片都能被識別出來,我不知道。但我認為,針對這類事情的鬥爭將永無止境。在新媒體中,通常沒有太多權利。你現在所處的世界,人們可以對你說,不,我們不收現金。你必須用信用卡支付。但你在信用卡上的權利與你在現金上的權利不同。銀行可以直接說,不,我們不支付。他們可能會在稍後給出解釋,但在交易發生時,他們會說,不,我們拒絕。我們不這麼做。而你通常擁有的所有權利,可以說是在街上示威時,你可以拉起糾察線,你可以讓某人停業。 Internet 上許多類似的事情實際上是聯邦犯罪。
我以一個問題結束,它直接關係到你們的主題,儘管不是直接包含在內。是否存在固有的人類保守秘密的權利,還是這是國家賦予的東西?因為按照目前的法律結構,如果他們想出了讀取你思想的方法,你只會受到搜查令要求的保護。謝謝。
問答環節
提問者: 非常感謝 Whit,帶來如此精彩的歷史,以及你帶來的見解。這幾乎就像聽一本書一樣。我們還有一些時間提問。那裡有一個麥克風,這裡有一個麥克風。請走到麥克風前,我會點名。我只想問你一個問題。我將利用主持人的權力說,你最害怕誰?政府、公司還是個人?
Whitfield Diffie: 嗯,我認為這三者功能不同。而可能情感上,我最害怕政府。我的意思是,公司不能逮捕你。他們可以給你製造很多麻煩。但政府可以把你扔進 Guantanamo,讓你腐爛。他們已經對一些人這樣做了。今天早上人數下降到 61 人。很好。也許我們可以做點什麼。所以如果我是世界的設計者,我會增加人民的力量,減少機構的力量。但我的信念是,世界並不是朝這個方向發展。而且我認為,你知道,我的意思是,我不認為,可以說,作為世界重要組成部分的人類會持續到本世紀末。我的意思是,到本世紀末仍然會有人類存在,但各種混合物等等會出現。所以我傾向於認為,認為人類的存在是為了服務於國家、公司等等的觀點可能會繼續上升。
提問者: 非常感謝。我想聽聽你對這個問題的意見。 Russia 今年能操縱 U.S. 選舉嗎?
Whitfield Diffie: 對不起。說大聲一點,我才能聽到。
提問者: Russia 今年能操縱 U.S. 選舉嗎?
Whitfield Diffie: 哦,我不知道。我不是選舉專家。請請 Barbara Simons,她曾經做過你的工作,或者 Peter Neumann 或 Ron Rivest。關於這個你可以有一個專門的環節。我通常不贊成高科技選舉技術,原因與技術細節無關。原因是高科技的東西還沒有與社會的總體運作正確地結合起來。所以如果你看看現有的紙質選票機制和重新計票等等,重新計票糾正了人類計票員可能犯的錯誤。重新計票由機器計數的東西幾乎肯定會產生相同的結果。這不是電腦會犯的那種錯誤。而正在發生的事情,如果你想像一下 Small Town,這是一個看起來不錯的縮影。你可以想像人們在鎮議會大廳裡計票,人們可以在旁邊觀看計票過程。這是不容易保密的。但是如果你把所有這些事情都用機器完成,你告訴像我這樣的人,更不用說技術不如我的人(與 Barbara 或 Peter 這些研究過這個主題的人相比),讓他們知道發生了什麼?所以我寧願它盡可能低技術,而且我不知道它目前是否容易受到東歐的操縱。
提問者: 謝謝。你說到攻擊情境時...
Whitfield Diffie: 在那邊,對不起。
提問者: 當你用一百萬美元做一些事情,而他們問你用一百五十萬美元能做得更好時,你認為大數據是否存在類似的趨勢,即當你用一定量的個人數據做一些事情時,被問到的問題是,如果你收集更多數據,還能做些什麼?我們如何對抗那些收集大量私人資訊的公司中的這種趨勢?
Whitfield Diffie: 你的擔心是他們正試圖獲得...
Whitfield Diffie: 我知道的最接近這一點的是以下情況。如果你看看統計學中所謂的頻率論觀點 (frequentist view),它認為如果你得不到答案,正確的做法是去獲取更多數據。而與之競爭的觀點稱為貝葉斯觀點 (Bayesian view),這是密碼分析師被迫採用的觀點,因為我們試圖找出昨天在 shark 網路中使用的 German 金鑰。我們不能要求 German 人昨天發送更多流量。那行不通。所以我們必須從我們已經擁有的數據中得到最好的答案。確實,你如何防禦人們要求越來越多的數據,我不知道
提問者: 利用量子通訊技術。
Whitfield Diffie: 哦,那是... 對不起。
提問者: 所以通常被稱為量子密碼學。
Whitfield Diffie: 好的,所以...
提問者: 是的,這些東西名稱很相似,很誘人。
Whitfield Diffie: 量子密碼學是一種迷人的現象,但它不是密碼學。原因在於它依賴於通訊通道 (communication channel)。所以很多安全措施,比如衛星之間在大氣層上方利用氧氣吸收帶 (oxygen absorption band) 進行通訊,在地面上無法攔截,因為那是氧氣吸收帶,無線電波很難穿過大氣層。這不是一種密碼技術。它依賴於通道。而量子密碼學,或者我認為更好的稱呼是量子金鑰分發 (quantum key distribution, QKD),是一種迷人的現象,但它本身並不是密碼學。我認為它在某種我既被告知是例行公事又被告知還無法完成的事情中達到了頂峰,但這個領域就是這樣。我傾向於相信那些說還無法做到的人,而不是那些說可以做到的人。但我有一個中心設施,我正在發送金鑰,對吧?經典的方式是我們列印兩張 IBM 打孔卡,我把一張發到 Warsaw,另一張發到 Perth。當然,任何一張都可能被攔截,原則上可以被複製等等。量子技術是我們發送一對被稱為「量子糾纏」(quantum entangled) 的東西,一個發到 Warsaw,一個發到 Perth。在 Warsaw 的人收到它並打開看金鑰是什麼的那一刻,金鑰就會在 Perth 的另一個中形成其互補的形式。途中沒有人能夠得知它是什麼。現在,如果你能做到這一點,那無疑會在某種反託管 (anti-escrow) 的密碼學方面取得巨大進展。
提問者: 謝謝你的精彩演講。知道你存在於我的 CS 教科書定理之外真是太棒了。我的問題更普遍一些。雖然在過去 20 年裡,對密碼學的參與和至少學術參與有所增加,但我認為對於普通人來說,對理解...
Whitfield Diffie: 對於什麼?
提問者: 對於普通人來說,理解發生了什麼,我想,在所有這些密碼系統背後。你知道,仍然有大多數人不太明白當你說加密或密碼學時,你在說什麼,對吧?我很好奇,我想,你認為這會改變嗎?如果這個問題不夠具體,什麼可以促使這種改變,使其更容易被理解?
Whitfield Diffie: 好吧,你可以問一個更普遍的問題,你知道,總體人群是否應該像他們應該了解的那樣多了解高科技?對吧。他們是否足夠了解材料、大數據、計算總體、高速計算?現在遠比以前有更多的密碼學相關知識。你知道,當我剛開始研究這個的時候,我工作的很大一部分就是試圖找到任何東西,並從周邊事物中汲取一點點零碎的資訊。現在關於密碼學的著作多得任何人也無法全部研究。你可以是今年研究這個的最熟練的數學研究生,你也無法學完所有的密碼學。所以我認為這只是更普遍問題的一部分,高科技越多,總體上人們所知的越多,人們就越難學會。
提問者: 好吧,我唯一想到的一個具體例子是,例如 WhatsApp,它有一個小訊息,而且每個人都在使用 WhatsApp,它說,你知道,你的訊息是加密的。所以現在每個人都在說,那是什麼?現在發生了什麼?所以他們更有動力去了解,不一定會去閱讀關於大數據的新聞文章,因為,你知道, WhatsApp 沒有說你的訊息現在是大數據了。但也許這是一個更普遍問題的一部分。我很感激你的回答。
Whitfield Diffie: 好的,謝謝。
提問者: 謝謝這場精彩的演講。我也是 Chinese。希望我能問一個清晰的問題。
Whitfield Diffie: 好的。
提問者: 所以我在資訊安全領域工作了幾年,據我理解,公開金鑰系統未來將會被破解,因為計算技術會不斷進步,對吧?那麼從你的角度來看,未來我們人類如何提高我們的技術或系統,以增強我們之間像你和我這樣在 Facebook 上傳輸的資訊安全?我們是從物理層安全 (physical layer security) 來提高技術,還是只從公開金鑰密碼學來提高?
Whitfield Diffie: 我也不確定我聽懂了這個問題。我感覺揚聲器朝向那邊。所以請對我喊大聲一點,或者把麥克風拉近一點。
提問者: 好的。所以我重複我的問題如下。據我理解,未來公開金鑰系統會被破解,因為計算能力會不斷增加,對吧?所以從你的角度來看,我們人類如何提高我們的技術或系統,以增強我們之間像你和我這樣在 Facebook 上傳輸的資訊安全?我們是從物理層安全來提高技術,還是只從公開金鑰密碼學?
Whitfield Diffie: 嗯,如果我理解你的問題,在我看來,這涉及到另一個巨大的困難領域,那就是中心化 (centralization) 是那些除了...... 人們知道如何從中心化中獲利以外,不知道如何從其他任何事物中獲利的人們的結果,對吧?所以 Facebook 是一套專有協議,它與電子郵件根本不同,電子郵件是 RFC 28 開頭的一些東西,任何人都可以寫一個電子郵件客戶端,而 Facebook 則在 Facebook 的控制之下。所以我認為重要的是以某種方式讓這些東西實現開源和開放開發的巨大擴展,但這顯然非常困難,特別是 Ray Ozzie 曾說他花了八年時間和一億五千萬美元試圖做到這一點,但收效甚微。所以我認為這是一個非常困難的問題。
提問者: 好的,謝謝。幾年前,你參與了 Newegg 的專利訴訟之一,對吧?
Whitfield Diffie: 哦,天啊,我不知道這件事。我不知道為什麼我認為離你近一點對我有幫助。
提問者: 所以幾年前,你是 Newegg 的專利訴訟之一的專家證人,對吧?
Whitfield Diffie: 我知道的只有那一個。
提問者: 我只是好奇,第一,你從那次經歷中有沒有什麼有趣的花絮,第二,你對軟體專利總體和它們今天的狀態有什麼看法?
Whitfield Diffie: 哦,當然。我有麥克風,是的。麥克風。為什麼不是 Luigi?麥克風。讓我看看。我的看法... 當然,我必須披露,我做得不太好。我輸了。一個專利複審委員會 (patent review board) 將損害賠償減為零,所以他們沒有爭論其有效性。我對專利案件的看法與我的客戶並不完全一致。我認為你永遠應該把有效性放在首位,因為你可以扼殺專利的有效性,一勞永逸地擺脫專利蟑螂 (troll)。所以對於那個專利,我的意見是它在 1500 年是新穎的,但不久之後,它就成了老生常談。我沒有說服陪審團。我喜歡 Marshall 這個小鎮。它和我 1961 年第一次去 Cambridge 時有些相似。但我真的不知道該說什麼。我對專利總體的看法是,專利系統的大多數問題都可以通過收緊非顯而易見性 (non-obviousness) 要求來解決。但我對專利審查員的評價很高,而且長期以來都有很好的看法。我參加的第二次密碼學會議上,有一個專利審查員,我當時從專利上看到了他的名字,但現在已經忘了,他去那裡是為了進修。我認為那是,你知道,一件非常負責任的事情,因為當時這個領域不像現在這樣有大量的資訊公開發表。我忘了。我在一年或兩年前那個審判時,腦子裡還有這些數字。專利審查員的工作量非常大,他們很難把所有事情都做對。所以關於已經在文獻中存在幾十年的材料的專利,從他們手中溜過去也就不足為奇了。我也不知道該怎麼辦。我有一個,我認為,關於專利的好主意,但它遠非完美。這個好主意是這樣的。我們回到「先發明者」(first-to-invent) 系統。我們目前實行的是「先申請者」(first-to-file) 系統。並且專利的保護期從發明日開始計算,而不是從申請日或授權日開始計算。現在,這讓你陷入兩難,對吧?你希望盡可能早地聲稱你發明了它,這樣你就能獲得優先權,但你又希望盡可能晚地聲稱你發明了它,這樣你的專利期就能更長。所以這是我在專利領域唯一一個好主意。