PGP本身就是一个数据安全产品,它会有什么安全性问题呢?PGP的作者PhilZimmermann在PGP文档中说到:“没有哪个数据安全系统是牢不可破的。”PGP也不例外。我们研究它的安全漏洞就是为了让用户知道哪些事会降低PGP的安全性,以及如何避免它们。下面是这些漏洞:
口令或私匙的泄密、公匙被篡改、你删除的文件被人恢复、病毒和特洛伊木马、物理安全受到侵犯(物理安全指计算机等物理资源的安全)、电磁泄露、暴露在多用户系统中、网络数据流分析,甚至会有可能被直接从密码学分析的角度被解密(这当然是可能性最小的了)。
我们先分别看看PGP加密体系的四个关键部分的安全性问题。PGP是个杂合算法,所谓“杂合”体现在它包含:一个对称加密算法(IDEA)、一个非对称加密算法(RSA)、一个单向散列算法(MD5)以及一个随机数产生器(从用户击键频率产生伪随机数序列的种子)。每种算法都是PGP不可分割的组成部分,对它们各有不同的攻击方式。
◎IDEA的安全性问题
IDEA是PGP密文实际上的加密算法,对于采用直接攻击法的解密者来说,IDEA是PGP密文的第一道防线。
关于IDEA的原理请参见《PGP简介》,在这里我主要谈谈与安全性有关的部分。IDEA,一种由Lai和Massey在1992年完成的对64bit大小的数据块的传统加密算法。IDEA是InternationalDataEncryptionAlgorithm的缩写。它基于“相异代数群上的混合运算”设计思想,它比DES在软件实现上快得多,和DES一样,它也支持“反馈加密(CFB)”和“链式加密(CBC)”两种模式,在PGP中采用IDEA的64-bitsCFB模式。
IDEA比同时代的算法象:FEAL,REDOC-II,LOKI,Snefru和Khafre都要坚固,而且最近的证据表明即使是在DES上取得巨大成功的Biham和Shamir的微分密码分析法对IDEA也无能为力。Biham和Shamir曾对IDEA的弱点作过专门分析,但他们没有成功。直到目前没有任何关于IDEA的密码学分析攻击法的成果发表,据目前我接触到的文档中谈到无论是NSA还是hacker们都还没有办法对IDEA进行密码学分析,因此对IDEA的攻击方法就只有“直接攻击”或者说是“密匙穷举”一种了。
那么对IDEA的直接攻击难度如何呢?我们知道IDEA的密匙空间(密匙长度)是128位,用十进制表示所有可能的密匙个数将是一个天文数字:
340,282,366,920,938,463,463,374,607,431,768,211,456.
为了试探出一个特定的密匙,平均要试探一半上面的可能性。即使你用了十亿台每秒钟能够试探十亿个密匙的计算机,所需的时间也比目前所知的宇宙的年龄要长,而即使是在当代制造每秒试探十亿个密匙的计算机还是不可能的。因此对IDEA进行明文攻击也是不可能的,更何况从PGP的原理看一个IDEA的密匙失密只会泄露一次加密的信息,对用户最重要的密匙——RSA密匙对的保密性没有什么影响。
那么看来IDEA是没有什么问题了,因为你既不能从算法中找到漏洞又没法明文攻击实际上呢?漏洞还是有的,大家知道Netscape的安全性风波吧,就是因为忽视了密匙随机生成的问题,Netscape的随机密匙生成算法生成的密匙很有“规律”,而且远远没有均布到整个密匙空间去,所以尽管Netscape的美国版采用128bits的密匙,还是被用很小的机时代价破掉了。那么PGP是不是也有这个毛病呢?我将在下面谈到随机数生成时再详细说,这里提到它是为了说明PGP各个部分之间的依存关系。
当有人发现PGP实际上不是一种“纯粹的”RSA加密算法时,他们担心由于加密链中IDEA的弱点而被攻破。实际上这是由于一种误解:他们认为公匙加密生来就比传统加密安全得多。实际上密码分析专家计算过,穷举128-bitIDEA密匙和分解3100-bitRSA密匙的工作量相当,而实际上1024-bit的RSA密匙已被认为是机密级的,而且1024-bit的纯粹RSA加密要比128-bit的IDEA加密要慢4000多倍。RSA的长处在于它的易用性而不是它的坚固性,相反加密链的弱点不在IDEA上而是在RSA上。当然这只是相对而言,我们马上会看到RSA对直接攻击的抵御也是足够强的。
随便提一句,在PGP的未来版本中将提供密匙长度为112-bit的TripleDES加密算法作为用户选项。56-bit的标准DES密匙已经被证明是可以攻破的。
◎RSA的安全性问题
先看看RSA的基本原理,我们知道RSA的保密性基于一个数学假设:对一个很大的合数进行质因数分解是不可能的。RSA用到的是两个非常大的质数的乘积,用目前的计算机水平是无法分解的。但是这说明不了什么,没有“证明”RSA的安全性。这既不说明分解这个大数是攻击RSA唯一的(或者说是最佳的)途径,也不能证明这种分解真的那么困难。RSA有可能存在一些密码学方面的缺陷,随着数论的发展也许会找到一种耗时以多项式方式增长的分解算法。不过目前这还只是展望,甚至连发展的方向都还没有找到。有三种事物的发展会威胁到RSA的安全性:分解技术、计算机能力的提高和计算机造价的降低。
特别是第一条对RSA的威胁最大,因为只要大数分解的问题不解决,做乘法总是比分解因数快得多,计算机能力强大了尽可以加长密匙来防御,因为那时加密也会快得多的。
RSA的密匙生成步骤可以分为七步:
-找到两个大质数p,q
-做乘法n=p*q
-选择一个数e,满足en,而且缺省的
e值为17,如果不行再用19,23等等。
●RSA的计时攻击法
这是一种另辟蹊径的方法。是由PaulKocher发表的。大家可以发现,RSA的基本运算是乘方取模,这种运算的特点是耗费时间精确取决于乘方次数。这样如果A能够监视到RSA解密的过程,并对它计时,他就能算出d来。细节我就不复述了。我想说的是如何抵御它。Rivest说,最简单的方法就是使RSA在基本运算上花费均等的时间,而与操作数无关。其次在加密前对数据做一个变换(花费恒定时间),在解密端做逆变换,这样总时间就不再依赖于操作数了。
至于PGP根本不用担心计时攻击,因为PGP采用了中国余数理论的方法加速了运算,同时也使耗时与操作数无关。同时计时攻击对攻击者资源的要求太高,实时监视加密过程不是任何人都可能做到的。在这里提出这种攻击是因为:虽然它目前还不实用,但从理论上是一个崭新的思路,值得注意。
●其他对RSA的攻击法
还有一些对RSA的攻击,象公共模数攻击。它是指几个用户公用一个模数n,各自有自己的e和d,在几个用户之间公用n会使攻击者能够不用分解n而恢复明文。但是PGP是不会在用户之间公用模数的。
最后谈谈RSA密匙长度的问题,多长的密匙是安全的。专家指出,任何预言都是不理智的,就目前的计算机水平用1024-bits的密匙是安全的,2048-bits是绝对安全的。但是他们并不指望这个局面延续到下世纪,他们只是指出:如果RSA象有些人说的那样脆弱,就不可能从1977年一直保持到现在还没有被攻破。
◎MD5的安全性问题
MD5是一种在PGP中被用来单向变换用户口令和对信息签名的单向散列算法。
一种单向散列的强度体现在它能把任意的输入随机化到什么程度并且能产生唯一的输出。对单向散列的直接攻击可以分为普通直接攻击和“生日”攻击。
●对MD5的普通直接攻击
所谓直接攻击又叫野蛮攻击。攻击者为了找到一份和原始明文m散列结果相同的明文m',就是H(m)=H(m')。普通直接攻击,顾名思义就是穷举可能的明文去产生一个和H(m)相同的散列结果。对MD5来说散列结果为128-bits,就是说如果攻击者有一台
每秒尝试1,000,000,000条明文的机器需要算约10^22年,同时兴许会同时发现m本身:))。
●对MD5的生日攻击
生日攻击实际上只是为了找到两条能产生同样散列结果的明文。记得那个有名的概率生日问题吗?在N个人中至少有两个人生日相同的概率是多少?所谓生日攻击实际上只是用概率来指导散列冲突的发现,对于MD5来说如果尝试2^64条明文,那么它们之间至少有一对发生冲突的概率就是50%。仅此而已,对当今的科技能力来说,它也是不可能的。一台上面谈到的机器平均需要运行585年才能找到一对,而且并不能马上变成实际的攻击成果。因为码长和速度的关系,对crypt(3)的生日攻击就成功得多。
●其他对MD5的攻击
微分攻击被证明对MD5的一次循环是有效的,但对全部4次循环无效。(微分攻击是通过比较分析有特定区别的明文在通过加密后的变化传播情况来攻击加密体系的。)
有一种成功的MD5攻击,不过它是对MD5代码本身做了手脚,是一种crack而不是hack更算不上cryptanalysis了。而且如果你做了PGP发行包的签名校验,是容易发现代码被替换过了的。
●口令长度和信息论
根据传统信息论,英语的每个8-bits字母的信息熵为1.3bits。如果口令足够长,MD5的结果就会足够随机。对128-bits的MD5输出来说,一个长达98个字符的口令将给出一个随机的密匙。
(8/1.3)*(128/8)=98.46chars
可是谁会用一个象下面这样长的口令呢?
12345678901234567890123456789012345678901235678901234567890
1234567890123456789012345678
1.3bits的信息熵来自于英语语法的规律性这个事实,字母出现概率的不等造成了熵的减小。如果26个拉丁字母出现的概率均等,信息熵将会增至
log(26)/log(2)=4.7bits
这样一个随机密匙所需口令长度就减为27.23chars了,如果再加上大小写和几个符号还可以减少。关于选择口令的问题可以参考任何关于安全性的书籍,它们都适用,上面是关于PGP本身特色的部分。
◎随机数的安全性问题
PGP使用两个伪随机数发生器(PRNG),一个是ANSIX9.17发生器,另一个是从用户击键的时间和序列中计算熵值从而引入随机性。ANSIX9.17PRNG使用IDEA而不是3DES来产生随机数种子。Randseed.bin文件最初是利用用户击键信息产生的,每次加密前后都会引入新的随机数,而且随机数种子本身也是加密存放的。
●ANSIX9.17PRNG
官方发布的ANSIX9.17标准使用的是TripleDES作为内核,这个很容易改用IDEA实现。X9.17需要randseed.bin中的24bytes的随机数,PGP把其他384bytes用来存放其他信息。X19.7工作过程大致如下:
E()=IDEA加密函数,使用一个可复用的密匙(使用明文产生)。
T=从randseed.bin文件中来的时间
V=初始化向量
R=生成的随机密匙(用来加密一次PGP明文)
R=E[E(T)XORV]
下一次的初始化向量计算如下:
V=E[E(T)XORR]
●用户击键引入随机性
这是真正的随机数,没有什么好说的,只是尽量使击键无规则就行。输入的熵越大输出的随机数的熵就越大。
●X9.17用MD5进行预洗
所谓“洗”就是指象洗牌一样把数据打乱,加密前叫预洗,加密后为下一次加密的准备叫后洗。PGP的日常随机数产生器X19.7是用明文的MD5值来预洗的,它基于攻击者不知道明文这样一个假设。如果攻击者知道明文他就没有太大必要去攻击了,当然也有这种可能,不过这只是会削弱一点PRNG的随机性罢了。下面我们将看到还有后洗操作。
●randseed.bin的后洗操作
后洗操作被认为是更安全的。更多的随机字节被用来重新初始化randseed.bin文件,它们被用当前的随机临时PGP密匙来加密。同样如果攻击者知道这个密匙,他就不用攻击randseed.bin文件,相反他更关心randseed.bin文件当前的状态,因为可能从中获得下次加密的部分信息。因此对randseed.bin文件的保护和公匙环及私匙环文件同样重要。当然,如果不是密码专家这些文件都给他也没事。
