長久以來人們都把密碼與軍事、外交聯繫在一起,印象中使用密碼的人物如果不是躲在陰暗角落的間諜特務就是捍衛國家安全的孤膽英雄。事實上,今天每個普通人都離不開密碼,密碼技術已經飛入平常百姓家。當你在網上購物,當你用手機通話或收發微信,所有信息都在開放共享的網絡上傳輸,現代通訊技術使得信息的傳輸變得十分方便、迅速和高效,但同時它也使信息很容易被黑客截獲,沒有密碼技術保護在網上使用信用卡,在無線網上通話將會是難以想象的。據估計,每天有全世界生產總值一半以上的金錢財產在國際銀行金融電訊網絡(SWIFT)上流動,這樣大規模的金融活動如果失去可靠有效的密碼技術保護必會引起世界級的災難!
當然現代化的軍隊也比過去更依賴於密碼技術,否則哪來遠程打擊?如果遙測遙控的信息被盜,敵方可以隱藏保護自己,或者可以改變導彈的軌跡,甚至操縱無人機據為已有。事實上對今日的攻擊方而言,使用導彈和飛機已是多餘,如果能破解對方的密碼系統,發個命令就可以秒殺對方城市的供電、公交和電訊系統,真正達到“不戰而屈人之兵”的最佳效果。
可以毫不誇張地說,密碼學是信息時代-後工業時代的基礎,密碼技術對於政府、軍隊和大眾生活,已是不可須臾離者也,它像空氣一樣,人們一刻也少不了它,但卻常常為人所忽視。今天的密碼技術正面臨着嚴峻的挑戰,新技術的研發已經刻不容緩。
簡單地說,密碼技術就是發送方通過雙方認同的某種規律把明文加密後得到密文,然後通過不安全訊道送給接送方,接收方再按照該規律把密文解密後還原成明文。最古典的兩種加密方法無非是字母的置換和替代。
替代法是按規律地將一組字母換成其他字母或符號,例如明文‘fly at once’變成密文‘gmz bu podf’(每個字母用字母序列中下一個字 母取代)。使用同樣的方法只要改變一個參數(每個字母用下兩個字母取代),密文就變成‘hha cv qpfg’。在密碼學中把這種加密解密的方法稱為密碼算法,而把算法中的秘密參數稱為密鑰(Key),它只能為通訊雙方共享。
P1)對稱密碼體制中用相同的密鑰作為加密和解密算法中的秘密參數。
自有密碼技術誕生起,破密技術的發展就沒有消停過,這對冤家兄弟從古至今爭鬥得難分難離。例如上面提到的字母替代法早已停止使用,它太容易被敵方破譯。因為每個英文字母在明文中出現的機率是不同的,只要把密文中的字母也作一次出現率統計,不難找出字母之間替代的規律,從而破解密文。
道高一尺,魔高一丈,高級的加密算法使字母的替代不是固定一一對應關係,字母替代的次序與出現機率也不是固定的,有興趣的可以看本文後面附件中的“維熱納爾方陣”算法,這種算法並不難理解,但如果沒有密鑰就很難破譯[1]。
二戰中徳國軍隊使用的恩尼格瑪(Enigma)密碼機把密碼技術推到了當時的頂峰。恩尼格瑪密碼機在密碼技術上有三個突破:1)密碼機依靠機電設備自動完成加密和解密過程,因而可以高效正確地完成高度複雜的密碼算法;2)密碼機上的轉輪的設置和面板對接孔聯線方式決定了字母複雜多變的替代關係,它們就是系統的密鑰,密鑰可以輕鬆地每天一變,這使得對密文的破譯變得更為困難;3)由於算法和密鑰的徹底分離,使得敵方繳獲密碼機沒有多大用處,通訊的安全是靠複雜多變的密鑰得到保障[2]。
P2)二戰中德軍使用的恩尼格瑪密碼機。(右邊)密碼機上的轉輪的配置和起始點的變化再加上機子正下方的對接孔不同的聯接方式共同構成了系統的密鑰。
戰時的英國情報機關為了破譯德國的恩尼格瑪密碼傷足了腦筯,回顧這段歷史的“Imitation Game”是部值得一看的好電影。但是該影片過分誇大了英國情報機關的功績,事實上戰前波蘭破譯小組對恩尼格瑪密碼機的深入研究和德國內部叛徒提供的有關資料都為英國的破譯幫了大忙。當然天才數學家圖靈為破譯恩尼格瑪作出了巨大的貢獻,圖靈首先意識到“解鈴還須繫鈴人”,機器成生的密碼只能依靠機器破譯,為此他越級向英國首相丘吉爾直接打報告,申請十萬英鎊研製破譯機器,這在當時是一筆巨款。令所有人意外的是,丘吉爾竟然批准了這個看似極不靠譜項目,而且在百忙之中,親自探望了圖靈為首的破譯小組。什麼是領袖氣質?領袖一定要能做到:慧眼識才招攬天下英雄;高瞻遠矚把握長遠趨勢。丘吉爾真不愧是一位世界級的梟雄。
英國情報部門對恩尼格瑪密碼機破譯始終守口如瓶、滴水不漏,到戰爭結束,德軍仍不知自己許多重要軍事行動已被英國掌握。更絕的是,英國戰後把繳獲的成千上萬台恩尼格瑪密碼機送給了原殖民地的英國盟國,這些國家長期使用它們直到七十年代初期,而有關破譯恩尼格瑪密碼機的故事要到七十年代中期才被逐步透露出來。英國正應該稱為“陰國”才名符其實,由此也可看到殖民地國家要擺脫宗主國的控制獲得真正的獨立有多麼的不容易。
有了電腦以後,現代密碼技術的算法更為高度複雜化。現今普遍使用的DES算法具有極高安全性,到目前為止,除了用窮舉搜索法對DES算法進行攻擊外,還沒有發現更有效的辦法。而近年來提出了AES和三重DES的變形方式會使破譯變得更加困難。由於密鑰中每位的數值是完全隨機選取的,一個128位長的密鑰有2的128次方的不同組合,在世界最快的計算機之一中國天河2號上用窮舉搜索法攻擊也至少要花一萬億年才能得手!
有必要再次強調密碼系統包括算法和密鑰兩部分。一個好的密碼系統的算法可以是公開的,就像上面提到的DES算法,只要通訊雙方保護好密鑰,加密後的資料就是安全的。這個原則又被稱為柯克霍夫原則(Kerckhoffs' principle)。認為所有加密法都可以被破解是大眾的誤解。理論上已經證明,只要密鑰不再重新使用,信息被與其等長或更長的密鑰加密後是不可能破密的。
既然如此,那麼信息安全危機究竟在哪裡呢?到目前為止討論的所有密碼體制中通訊雙方使用相同的密鑰進行加密和解密,在這種對稱密碼體制中信息的安全靠密鑰保證。需要改變密鑰時,通訊雙方必須直接碰頭交換,或者由可信任的第三方配送。所有問題也就發生在密鑰分配過程中。保護和竊取密鑰一直是許多警諜影視劇的重頭戲,情節常常是這樣的:交通員單騎行千里,到了上海的茶館店裡把縫在褲子裡密碼交與地下工作者,一旦發生意外把密碼吞進肚子。由此也不難理解京劇“紅燈記”歌詞:“鐵梅我,有準備;不怕抓,不怕放,不怕皮鞭打,不怕監牢押!粉身碎骨不交密電碼”。
美國政府的密鑰是COMSEC(通訊安全局)掌管和分發的,七十年代時,它們每天分發的密鑰數以噸計。當裝載着COMSEC密鑰的船靠港時,密碼分發員會上船收集各種卡片、紙帶以及其它一切貯存密鑰的介質,然後把它們分送給各處的客戶。依靠第三方配送密鑰增加了通迅雙方的開支,而且第三方配送者本身也構成了嚴重的安全隠患。
為了確保信息的安全必須經常更換密鑰,但今天的通訊者常常相隔千山萬水,要讓通訊雙方碰頭交換密鑰非常不現實,依靠第三方配送密鑰一般人根本負擔不起,而且也不一定及時可靠。密鑰的配送問題長期困擾着密碼學的專家們。
到了七十年代,一種稱為非對稱密碼體制(又稱為公鑰密碼體制)應運而生。在前面介紹的對稱密碼體制中通訊雙方使用同一個密鑰進行加密和解密,而非對稱密碼通訊時加密和解密使用一對公鑰和私鑰,用公鑰加密後的文件只能被與其對應的私鑰解密,反之亦然。現在請對照下圖來了解公鑰密碼體制的流程。右邊接收方通過計算產生一對公鑰和私鑰(分別為綠色和紅色),接收方把綠色的公鑰通過公開信道大大方方地送給左邊的發送方,發送方用接收方送來的公鑰對文件加密後通過公開信道送給接收方,接收方用紅色的私鑰對文件解密,文件安全可靠地從發送方送到了接收方。
P3)非對稱密碼體制(即公鑰密碼體制)的原理示意圖。
公鑰密碼體制的關鍵是用了公鑰和私鑰,一個公開一個隠秘,第三者拿了公鑰沒有任何用處,公鑰能用來加密但不能解密,也推算不出私鑰。而通訊雙方可以隨時產生新的密鑰對,把公鑰通過開放信道送給發送方,把私鑰藏妥,通訊雙方無需直接碰頭。這裡介紹的是公鑰密碼體制的基本原理,實際應用中略為複雜一點,但原理相差無幾[3]。
為了更好地理解公鑰密碼體制,可以把公鑰看成一把打開的鎖,私鑰就是開鎖的鑰。接收方B把打開的鎖通過公共渠道傳給發送方A,A把文件放於箱中並用B送來的鎖把箱子鎖上,加鎖後的箱子再通過公共渠道返還B,B用私鑰把鎖打開取出箱中文件。在傳送過程中截獲打開的鎖毫無意義,事實上B樂意把許多打開的鎖送出去並為眾人所有,這樣大家可以加鎖給他送密信,而這把鎖一旦鎖上任何人再也無法打開,除了握有私鑰的接收方B。
公鑰密碼體制中加密和解密的算法很複雜,計算量大,事實上很少直接用它來加密文件,它真正的用途是用來傳送前面所介紹的對稱密碼體制中的那個通訊雙方共用的密鑰。所以實際上文件傳送流程應該是這樣:A方先決定一個密鑰,然後用B送來的公鑰加密後傳給B,B用自己的私鑰對其解密後獲得真正的密鑰,然後雙方就用此密鑰對文件加密後傳送給對方,收到方用該密鑰對文件解密。這樣的系統很安全,因為密鑰可以隨時改變並被公鑰密碼體制保護後在公共訊道上傳輸不被截獲,這才是通訊安全的根本保證。
那麼天下是否就此太平無事了呢?很遺憾,答案卻是否定的。“天下有賊”,而且賊的本事賊大。黑客攻擊的重點是公鑰系統,RSA公鑰的產生基於兩個大質數的乘積,它不是一個完全的隨機數,這就是整個密碼系統中的阿喀琉斯的腳後根,一旦公鑰系統破解,密鑰就可能被截獲,“皮之不存,毛將焉附”,整個系統就會崩潰。發現這些公鑰算法安全隱患的頂尖權威就是一位中華的巾幗英雄——來自中國山東大學的王小雲教授[4]。近年來美國技術標準局已經強烈建議把RSA公鑰從1024位提高到2048位。
提高公鑰密碼位數極大地增加了加密和解密所化的時間,給日常的應用帶來了諸多不便,卻並沒有從根本上阻止黑客攻擊的熱情和力度,提高位數給使用者増添的困難遠超對黑客的阻力。而2014年的一條爆炸性新聞更是震驚了密碼學界,從美國國家安全局(NSA)叛逃的斯諾登(Edward Snowden)披露了NSA有一個絕密的項目 Penetrating Hard Targets,計劃建造一台專用於破密的量子計算機。據傳該局已經存放了大量外國政府的密電,一旦項目成功立刻對它們動手開刀。量子計算機雖然還在試製中,但貝爾實驗室的一位數學家已經為此設計好了攻擊RSA的算法,並聲稱已經寫成可以在量子計算機運用的程序,它可以輕鬆地破解公鑰密碼體制。
量子計算機的研發進展是各強國的最高機密,媒體上的報道真真假假千萬信不得,很有可能用以破譯的專用量子計算機已經接近完工,這決不是危言聳聽,密碼世界從來是波詭雲譎、莫測高深。即使按專家們保守的預測,量子計算機的實際應用也許還要等十到十五年,但尋找新的密碼系統,特別是開發密鑰分配的新技術已經刻不容緩,因為新技術從開發到系統的建立和實用也需要時日,所以我們已經到了最危險的時刻!
從目前量子密鑰分配技術的現狀看,其成本高而且問題不少,也有人提出,如果把這些大量資金轉用來改進目前的公鑰密碼系統,是否效果更好。我覺得這樣的想法要不得,目前的系統從原理上受到了挑戰,用保守的求穩方法是下策。歷史的經驗告訴我們:“寧要成長中的苗,不要枯萎中的樹。”只要看一看數字設備和移動通訊的成長就一目了然。新技術的研製和投入還會開拓出新的意想不到的產業鏈。原子彈研製、引力波探測、機器人下圍棋,哪一次不是對新技術的懷疑論者以全敗而告終,難道這次反對懷疑量子密鑰分配技術的真有翻盤機會嗎?在人際交往中可能朝後退一步海闊天空,在科技領域中只有向前進一步方能絕處逢生。(觀察者網註:量子密鑰分配是目前唯一已經被證明能夠對抗量子計算機超強計算能力的密鑰體系。中國已經擁有一個多國認證的量子密鑰分配專利,用這個方案做的系統非常穩定。)
最後必須指出,到目前為止,量子密鑰分配技術是量子通信的主要的也是唯一正在走向實用的部分。量子密鑰分配技術只能提供密鑰的交換和配送,當通信雙方取得一致的密鑰後把明文加密,然後把密文再通過傳統通信網絡傳送。量子通信信道無法承擔日常大量數據傳輸任務,量子通信根本不是用來代替傳統通信方式的,它只是用來傳送對稱密碼系統中的密鑰。(觀察者網註:竊聽者截獲的光子怎麼辦?只要通過對比就能知道,成功傳輸的有哪些,少了哪些光子,被截獲的光子就直接捨棄。反正傳遞的是密鑰,而不是信息數據,不需要有完整性。這也就回答了有關學者的質疑。)
[1]Vigenere 密碼附件 Vigenere.pdf
[2]該密碼機像部電動打字機,機器有26個字母按鍵和26個字母顯示燈和一些機電聯部件組成,這是固定部份,它們決定了加密和解密的算法;另外有三個可以裝卸的轉動輪和兩排字母對接孔,這些轉動輪排列的次序和開始的位置和字母對接孔的連線每天按照約定設置,它們就是每天通訊的密鑰。發送時把明文字母用按鍵一一輸入,經過機器複雜的變換後點亮不同的字母顯示燈,這些字母出現的序列就是密文,把它用電報發送出去,接收方用同樣的機器,按同樣的密鑰設置,鍵入密文,從字母顯示燈的序列中讀出的就是明文。
[3]公共密鑰附件 Public Key.pdf
