Whitfield Diffie

Diffie 以其 1975 年發現公鑰密碼技術的概念而著名，在 20 世紀整個 90 年代，他主要研究密碼技術的公用策略方面，並多次在美國參議院和眾議員作證。

Diffie是馬可尼基金會 (Marconi Foundation) 成員，並且從許多機構 -- 包括美國電氣及電子工程師學會(IEEE)、電子前沿基金會 (Electronic Frontiers Foundation)、美國標準技術研究所(NIST)、美國國家安全局 (NSA)、富蘭克林研究所 (Franklin Institute) 和 美國計算機協會 (ACM) --獲得多種獎項。

個人簡介

Bailey Whitfield 'Whit' Diffie (born June 5, 1944) is a US cryptographer and one of the pioneers of public-key cryptography.

He received a Bachelor of Science degree in mathematics from the Massachusetts Institute of Technology in 1965.

Diffieand Martin Hellman's paper New Directions in Cryptography was publishedin 1976. It introduced a radically new method of distributingcryptographic keys, that went far toward solving one of the fundamentalproblems of cryptography, key distribution. It has become known asDiffie-Hellman key exchange. The article also seems to have stimulatedthe almost immediate public development of a new class of encryptionalgorithms, the asymmetric key algorithms.

Diffie was Manager ofSecure Systems Research for Northern Telecom, where he designed the keymanagement architecture for the PDSO security system for X.25 networks.

In1991 he joined Sun Microsystems Laboratories (in Menlo Park,California) as a Distinguished Engineer, working primarily on publicpolicy aspects of cryptography. As of May 2007 Diffie remains with Sun,serving as its Chief Security Officer and as a Vice President. He isalso a Sun Fellow.

In 1992 he was awarded a Doctorate inTechnical Sciences (Honoris Causa) by the ETH Zurich. He is also afellow of the Marconi Foundation and visiting fellow of the IsaacNewton Institute. He has received various awards from otherorganisations. In July 2008, he was also awarded a Degree of Doctor ofScience (Honoris Causa) by Royal Holloway, University of London.

Diffieand Susan Landau's book Privacy on the Line was published in 1998 onthe politics of wiretapping and encryption. An updated and expandededition appeared in 2007.

Diffie is a visiting professor at the Information Security Group based at Royal Holloway, University of London.

與密碼技術先生 ( Mr. Cryptography) 探討安全性 Sun 公司 Whitfield Diffie 談 ECC 與 Solaris 10 作業系統安全性

WhitfieldDiffie 在 1976年發表的一篇關於公鑰密碼技術的極具創造性的文章中，非常出色地闡述了事先互不了解的人們如何利用一個共享公鑰和專用密鑰實現安全通信。現在，作為Sun 公司首席安全官，Diffie 負責確保 Sun 公司在安全創新方面保持領先地位。Sun Inner Circle 最近對百忙之中的Diffie 進行了採訪，與他探討了 Sun 公司如何預測信息安全和加密的未來。

Inner Circle (IC)：自從 1976 年 Diffie-Hellman 論文引發公鑰密碼技術新時代以來，時間已經過去了將近 30 年。這篇論文對現在有什麼影響？

DIFFIE：那就像擁有 15 分鐘的盛名：1976 年，我花一個小時時間完成這篇作品而一夜成名。從那時起，我一直以此為生。這篇論文的影響非常巨大。由於每個瀏覽器中都採用安全套節字層 (SSL)，因而公鑰加密一直是部署最廣泛的密碼技術。

同樣影響巨大的是，我們實現一些遠比這項技術本身影響大的目標。我是密碼技術研究會 (Association for CryptologicResearch) 的創辦者之一，該研究會現在已吸收 1,000多名會員，它在每年舉辦的十幾次會議中發揮著非常重要的作用。我剛剛參加了在加利福尼亞州聖巴巴拉 (Santa Barbara) 舉行的2006年國際密碼技術大會 (Crypto 2006)，與會者達 500 人之多。第一屆國際密碼技術大會是在 1981年於同一地點舉行的。它是我記憶中的第一次關於密碼技術的公開研討會，當時有大約 50 人參加。

我的目標之一是把用來保護政府信息的技術與用來保護商業信息的技術統合起來。如果我說一份保密檔案比十億美元資金轉賬需要更強有力的保護，人們往往會覺得這種觀點非常愚蠢。可是，現實證明這恰恰是正確的。去年，國家安全局宣布授權使用一套新的密碼算法來保護各種等級的分類信息。這些密碼算法都是公開的，而且大多數是公用標準。國家安全局稱之為B 套。（A 套為一組保密算法，帶有富有色彩的名稱，例如，"Juniper"和 "Mayfly"。）

B套密碼算法的核心是“高級加密標準”(Advanced EncryptionStandard)，這是比利時設計的一種密碼算法，在一次國際性競賽中，被美國選擇作為其國家標準。B套密碼算法的密鑰管理部分為第二代公鑰密碼技術。它被稱為橢圓曲線密碼技術 (ECC)。

IC：什麼是 ECC？其工作原理是什麼？

DIFFIE：它是根據其所使用的數學結構命名的，這些數學結構可追溯到幾個世紀前用來計算橢圓面積的數學方法。ECC 基本上採用了比我們在 20 世紀 70 年代使用的更複雜的算術。因此，您可以把數字弄小，但仍然具有同樣的安全性。

現在使用最廣泛的公鑰算法稱為 Diffie-Hellman 和 RSA。這兩種算法均採用所謂的 “模算術”：即時鐘採用的算術；時針到達 12時後又從 1 時開始走起。ECC 是 Diffie-Hellman 方法的一個新版本。解釋此新算術的最容易的方法 ─實際上這並不是一件容易的事 ─ 是畫一個橢圓曲線圖。

兩個點確定一條直線，您通過該曲線畫的任何直線都會在三個地方接觸到該曲線。實際上，任何兩點之和是通過這兩點的直線與曲線相交的另一點。

IC：推動 ECC 套用得以推廣的因素是什麼？

DIFFIE：更小的密鑰、更快的運算、更低的功耗、更少的記憶體 ─ 有什麼不是如此？即使記憶體價格非常低廉，如果世界上存在難以計數的密鑰，數百位與數千位之間的差距也是顯而易見的。

一個特別引人注目的套用是微型設備。目前，微型計算機中採用了許多很不錯的元件，並且需要得到保護。問題是，無論您要保護的設備有多小，對手都可以使用哪怕是最大的計算機進行攻擊。基本上，無論計算機系統有多小，您仍然必須利用最強有力的密碼系統對其進行保護。這樣橢圓曲線密碼技術就有了用武之地。隨著越來越多的越來越小的設備連線到網際網路，並且隨著電子商務和其它安全 Web 通信持續增長，ECC 的魅力會更大。

要了解 Sun公司如何利用並支持 ECC 技術以及 Sizzle（世界上最小的安全 Web 伺服器）和支持 ECC 的 OpenSSL 和 MozillaFirefox 版本的更多詳情，請訪問Sun 實驗室下一代密碼技術項目 (Sun Labs Next Generation CryptoProject) 站點。

IC：我們把談話範圍擴大一點，現在信息安全處於什麼情況？

DIFFIE：信息安全正處在一個轉折點上。信息安全差不多有一個世紀的歷史了，它可以追溯到收音機的發明。當時，收音機非常具有價值，以至於沒有人可以避免使用它，並希望戰勝避免使用收音機的對手。問題是人人都可以收聽無線電。無線電繞過當時的每種信息安全方法：上鎖的建築物、保險箱、看守和公事程式。唯一適用的方法是密碼技術，而且我們花費 20世紀大部分時間來研究密碼技術。現在，密碼技術已經不再是問題了。它無疑是信息安全的最爐火純青的部分。我們需要擔心的是其它問題。

信息安全方面的下一個挑戰出現於 20 世紀 60 年代。開發出分時技術之前，很難把計算機安全與計算機室安全區分開來。分時技術和多處理技術意味著您需要能夠在同一台機器上同時運行兩個相互敵對的進程，並且能夠防止它們相互竊密。

IC：格線計算面臨什麼安全挑戰？

DIFFIE：格線計算的真正挑戰是，客戶不再在自己的計算機上運行計算，而是把一切工作委託給格線提供商進行。這又與收音機遇到的問題相似。格線計算如此強大且又具有極高成本效益，沒有人能夠不使用它而取得成功。

IC：這些格線安全挑戰如何轉變成為安全要求？

DIFFIE：要求是相同的，但工具都發生了變化。無法把 20 世紀 60年代系統中的每個進程隔離開來，因為當時所有進程都共享一個處理器。如果一個進程獨占了運行著的佇列，所有其它進程都會看到它。那就像 8個人同住一屋一樣：無法避免在其他人面前脫衣服。一個適當配置的格線可以服務於許多客戶，因為它有著成千上萬個處理器以及數萬個執行緒。它更像是一個辦公區。一個辦公區容納許多個企業，其中有些企業之間彼此競爭。其構建方式決定了它們彼此之間可以提供服務，但又各自受到保護。

讓人感到自相矛盾的是，採用開放標準的平台使得節約型可擴展計算平台成為可能，這樣的平台會導致產生許許多多基於商業保密算法的企業。您無需銷售執行任務的程式，而只需要為具有您在格線上租用的計算的人們運行程式。這就是 Google 所採用的工作原理，同樣的示例還有很多。

IC：正因為如此，許多人才說隱私已經根本不存在了。您認為呢？

DIFFIE：許多人這么說嗎？實際上，是我們的前老闆 Scott McNealy 說的。他說：“在網路上，你沒有任何隱私可言，不要為此煩心了。”不知道 Jonathan 怎么認為？

那句話並沒有使我的工作較輕鬆，遺憾的是他的確說對了。現代社會的好的一面是，信息傳播速度非常快，但這與隱私完全不相容。

IC：那么如何把這些新發展與您在 Sun 公司所做的工作聯繫在一起？

DIFFIE：Sun公司的大客戶都是大型企業，它們是必須保護其客戶的隱私的企業 ─無論法律如何界定和媒體如何評論。如果您不能控制貴企業內的信息流，您就無法保護任何東西。這就是信息安全的實際情況，而且這也是 Sun公司必須重視隱私的出發點。我們生產能夠管理聯網環境中的信息的產品。

IC：這一切與 Solaris 10的設計有何關係？

DIFFIE：Solaris10 是自從我們 1992 年在 Solaris 2 中從 BSD UNIX 遷移到 SVR4 以來 Sun公司進行的最大修訂。我們進行的最重要的更改之一是安全機制。我們過去通常擁有兩個作業系統。除基本的 Solaris之外，我們為對特別重視安全性的客戶製作了 Trusted Solaris。Trusted Solaris支持安全標籤標記功能，而且按照其用於正式安全策略的標籤控制視窗、進程、檔案和設備之間的信息流。在 Solaris 10 內，我們在基本的Solaris 產品中融入新的安全手段，並且用一個集成化的附加功能取代了作為單獨產品的 TrustedSolaris，這個功能稱為“可信擴展”(Trusted Extensions)。這基本上是把 Trusted Solaris的標籤標記安全功能添加到我們標準的商用作業系統版本中。

可信擴展 (Trusted Extensions) 將成為下一版 Solaris 10 作業系統的標準功能。

IC：您能不能進一步介紹一下 Trusted Solaris 安全譜系？

DIFFIE：TrustedSolaris產生於情治單位要求，這些要求針對處理多種區間內多種等級數據的工作站。不同等級的視窗必須在同一螢幕上對用戶顯示，但堅決杜絕混合在一起。這種相同的分隔也必須適用於網路數據包、檔案系統、應用程式以及系統中所有其它形式的對象。Trusted Solaris過去曾經是最安全的通用作業系統。現在，我認為 Solaris 10 從根本上講比舊的 Trusted Solaris 更加安全。

我們還對真實計算環境中的實用性給予極大重視。與 SE Linux 不同的是，Solaris 10 及其 Trusted Extensions 中的安全機制設計為保持應用程式兼容性，並完全支持現有的管理安全模式。

IC：那么 Solaris 10 有哪些最重要的安全功能？

DIFFIE：在我看來，Solaris 10 安全機制包含四個關鍵部分：區域 (Zones)、精細（且向上兼容的）特權系統 (PrivilegeSystem)、可信擴展 (Trusted Extensions) 以及密碼框架 (Cryptographic Framework)。

IC：您把“區域”(Zones) 放在名單的第一位。這有什麼原因嗎？

DIFFIE：其名稱實際上作了一切解釋。作業系統安全性的實際手段是限制進程，以便控制其與其它進程的通信。您也可以限制進程占用資源，這樣就不會出現下述情況：可能由於拒絕服務 (DOS) 攻擊導致一個應用程式耗盡整個系統的資源。

IC：特權在 Solaris 10 安全性中有什麼重要性？

DIFFIE：通常情況下，如果一個程式或用戶需要什麼特權的話，往往只需要一項或兩項。早期作業系統在區隔這些情況方面做的不是很好。根 (Root)就是一個最差的示例。根可以做一切事情，但您經常必須承擔根角色，才能做簡單至安裝設備這樣的事情。通過列舉大約 60項一個進程可能需要的特權，並為子進程正確繼承做好安排，我們可以避免不必要地授予進程特權的過程。

我們還在向上兼容方面做的非常出色。當您在遷移到完全識別特權的環境中時，您可以擁有識別特權的進程和不識別特權的進程，兩種進程都使用特權模型。

IC：因此，區域可以虛擬化基本硬體？

DIFFIE：是的。從區域內運行的程式的觀點看，如果用戶可以訪問整個機器，就可以看到根檔案系統以及他們會看到的各種東西。當一個程式訪問其區域時，它以完全合理的方式執行操作。該程式可以在區域的根目錄下構建檔案結構 ━ 如果它擁有該項特權的話。它可以讀寫檔案。它可以使用 I/O。它可以做各種事情。

該程式運行於一個虛擬化的環境中，在這個環境中，該程式的行為好像是它接管了整個機器，但其它進程將會同時運行，完全不會受到該程式的這些行為影響。您無法看到您的區域範圍之外的任何東西，您對該區域所進行任何操作都不會影響其它區域。事實上，您可以重新引導一個區域，而您在該區域內運行的所有進程都將幾乎立即重新啟動，就像整個伺服器重新啟動了一樣。這種水平的安全性不會出現其它虛擬化環境通常會出現的典型性能影響。

IC：那么 Trusted Extensions 的角色是什麼？

DIFFIE：TrustedExtensions 是一組對 Solaris 10 安全策略的增強功能，這些安全策略為標準的 Solaris帶來多級安全機制。它允許客戶按照數據敏感性等級對數據進行分級，而不是僅僅跟蹤什麼用戶擁有什麼檔案。對視窗、網路連線、檔案、設備和進程的訪問受到一個強制訪問控制 (MAC)策略的控制。客戶可以擁有一個非常安全的環境，該環境運行客戶全部現有的應用程式，並允許他們在多個合作夥伴、供應商或網路之間分隔或有選擇地共享資源。Trusted Extensions 將會是 Solaris 10 的下一次更新中的一項標準功能，預定年底之前發布。

Solaris 10 擁有 Solaris 密碼框架 (Solaris Cryptographic Framework)，它負責管理核心和用戶空間中的密碼功能，並減輕基於應用程式的密碼技術的風險。

IC：最後，Solaris 10 中的密碼機制如何？

DIFFIE：當人們談論聯網計算時，他們是在討論某個涉及多台機器的事情。如果那些機器不完全處在同一個物理上受到保護的空間內，它們還必須考慮採取保護機器之間數據流動的密碼措施。Solaris 10 具有 Solaris密碼框架，該框架管理核心和用戶空間中的密碼功能。這可通過減輕基於應用程式的密碼機制的風險 ─ 以及管理開銷 ─ 來增強安全性。

密碼機制通常以一種無規則的方式運作。一名開發人員編寫一個應用程式，並在該應用程式中構建密碼機制 ─以保護某種數據或驗證某些信息。然後，另一名開發人員編寫具有某種不同的密碼機制的其它應用程式。密碼框架允許應用程式藉助於系統以標準方式對應用程式進行加密。密碼框架基於行業標準的接口，並支持所有主要加密算法。它還使應用程式可以透明地訪問硬體密碼加速器（如果有的話）。

IC：您對 Solaris 10 以及安全機制設計還有什麼想法嗎？

DIFFIE：噢，任何機構都可以回過頭來看看：本來是可以在設計過程更早階段強調安全機制的作用的。Sun 公司在設計過程中儘早考慮安全機制，這一點比大多數公司都做得出色。

出於這個目的，新的 Solaris Trusted Extensions 功能利用了我們許多年裡在 Trusted Solaris上積累的經驗，並把它們融合到 Solaris 10 之中。這樣，Solaris Trusted Extensions 就可以在運行Solairis 10 的數百台 SPARC 和 x86 機器上工作，並支持您現有的軟體和實際做法。對於我們的客戶來說這是一個巨大的優勢。

Whitfield Diffie 簡介

Whitfield Diffie 目前擔任 Sun 公司首席安全官、副總裁和 Sun研究員等職務。1991 年以來，他一直在 Sun 公司工作。Diffie 是 Sun 公司安全理念的首席解釋者，負責制訂 Sun 公司實現該理念的戰略。

Diffie-Hellman

Diffie-Hellman:一種確保共享KEY安全穿越不安全網路的方法,它是OAKLEY的一個組成部分

簡介:

Whitefield與MartinHellman在1976年提出了一個奇妙的密鑰交換協定,稱為Diffie-Hellman密鑰交換協定/算法(Diffie-HellmanKey Exchange/AgreementAlgorithm).這個機制的巧妙在於需要安全通信的雙方可以用這個方法確定對稱密鑰.然後可以用這個密鑰進行加密和解密.但是注意,這個密鑰交換協定/算法只能用於密鑰的交換,而不能進行訊息的加密和解密.雙方確定要用的密鑰後,要使用其他對稱密鑰操作加密算法實際加密和解密訊息.

(儘管Diffie-Hellman密鑰交換協定/算法使用了數學原理,但是很容易理解.)

Diffie-Hellman

由Whitfield Diffie和MartinHellman在1976年公布的一種密鑰一致性算法。Diffie-Hellman是一種建立密鑰的方法，而不是加密方法。然而，它所產生的密鑰可用於加密、進一步的密鑰管理或任何其它的加密方式。Diffie-Hellman密鑰交換算法及其最佳化首次發表的公開密鑰算法出現在Diffie和Hellman的論文中,這篇影響深遠的論文奠定了公開密鑰密碼編碼學.由於該算法本身限於密鑰交換的用途,被許多商用產品用作密鑰交換技術,因此該算法通常稱之為Diffie-Hellman密鑰交換.這種密鑰交換技術的目的在於使得兩個用戶安全地交換一個秘密密鑰以便用於以後的報文加密.Diffie-Hellman密鑰交換算法的有效性依賴於計算離散對數的難度.簡言之,可以如下定義離散對數:首先定義一個素數p的原根,為其各次冪產生從1 到p-1的所有整數根,也就是說,如果a是素數p的一個原根,那么數值 a mod p, a2 mod p, ..., ap-1 mod p是各不相同的整數,並且以某種排列方式組成了從1到p-1的所有整數. 對於一個整數b和素數p的一個原根a,可以找到惟一的指數i,使得 b =ai mod p 其中0 ≤ i ≤ (p-1) 指數i稱為b的以a為基數的模p的離散對數或者指數.該值被記為inda ,p(b).基於此背景知識,可以定義Diffie-Hellman密鑰交換算法.該算法描述如下:1,有兩個全局公開的參數,一個素數q和一個整數a,a是q的一個原根.2,假設用戶A和B希望交換一個密鑰,用戶A選擇一個作為私有密鑰的隨機數XA3,用戶A產生共享秘密密鑰的計算方式是K = (YB)XA modq.同樣,用戶B產生共享秘密密鑰的計算是K = (YA)XB mod q.這兩個計算產生相同的結果: K = (YB)XA mod q =(aXB mod q)XA mod q = (aXB)XA mod q (根據取模運算規則得到) = aXBXA mod q =(aXA)XB mod q = (aXA mod q)XB mod q = (YA)XB mod q因此相當於雙方已經交換了一個相同的秘密密鑰.4,因為XA和XB是保密的,一個敵對方可以利用的參數只有q,a,YA和YB.因而敵對方被迫取離散對數來確定密鑰.例如,要獲取用戶B的秘密密鑰,敵對方必須先計算 XB = inda ,q(YB) 然後再使用用戶B採用的同樣方法計算其秘密密鑰K.Diffie-Hellman密鑰交換算法的安全性依賴於這樣一個事實:雖然計算以一個素數為模的指數相對容易,但計算離散對數卻很困難.對於大的素數,計算出離散對數幾乎是不可能的. 下面給出例子.密鑰交換基於素數q = 97和97的一個原根a = 5.A和B分別選擇私有密鑰XA =36和XB = 58.每人計算其公開密鑰 YA = 536 = 50 mod 97 YB = 558 = 44 mod 97在他們相互獲取了公開密鑰之後,各自通過計算得到雙方共享的秘密密鑰如下: K = (YB)XA mod 97 = 4436 = 75 mod97 K = (YA)XB mod 97 = 5058 = 75 mod 97 從|50,44|出發,攻擊者要計算出75很不容易.下圖給出了一個利用Diffie-Hellman計算的簡單協定.

假設用戶A希望與用戶B建立一個連線,並用一個共享的秘密密鑰加密在該連線上傳輸的報文.用戶A產生一個一次性的私有密鑰XA,並計算出公開密鑰YA並將其傳送給用戶B.用戶B產生一個私有密鑰XB,計算出公開密鑰YB並將它傳送給用戶A作為回響.必要的公開數值q和a都需要提前知道.另一種方法是用戶A選擇q和a的值,並將這些數值包含在第一個報文中.下面再舉一個使用Diffie-Hellman算法的例子.假設有一組用戶(例如一個區域網路上的所有用戶),每個人都產生一個長期的私有密鑰XA,並計算一個公開密鑰YA.這些公開密鑰數值,連同全局公開數值q和a都存儲在某箇中央目錄中.在任何時刻,用戶B都可以訪問用戶A的公開數值,計算一個秘密密鑰,並使用這個密鑰傳送一個加密報文給A.如果中央目錄是可信任的,那么這種形式的通信就提供了保密性和一定程度的鑑別功能.因為只有A和B可以確定這個密鑰,其它用戶都無法解讀報文(保密性).接收方A知道只有用戶B才能使用此密鑰生成這個報文(鑑別).Diffie-Hellman算法具有兩個吸引力的特徵: 僅當需要時才生成密鑰,減小了將密鑰存儲很長一段時間而致使遭受攻擊的機會.除對全局參數的約定外,密鑰交換不需要事先存在的基礎結構. 然而,該技術也存在許多不足: 沒有提供雙方身份的任何信息.它是計算密集性的,因此容易遭受阻塞性攻擊,即對手請求大量的密鑰.受攻擊者花費了相對多的計算資源來求解無用的冪係數而不是在做真正的工作.沒辦法防止重演攻擊.容易遭受中間人的攻擊.第三方C在和A通信時扮演B;和B通信時扮演A.A和B都與C協商了一個密鑰,然後C就可以監聽和傳遞通信量.中間人的攻擊按如下進行: B在給A的報文中傳送他的公開密鑰.C截獲並解析該報文.C將B的公開密鑰保存下來並給A傳送報文,該報文具有B的用戶ID但使用C的公開密鑰YC,仍按照好像是來自B的樣子被傳送出去.A收到C的報文後,將YC和B的用戶ID存儲在一塊.類似地,C使用YC向B傳送好像來自A的報文.B基於私有密鑰XB和YC計算秘密密鑰K1.A基於私有密鑰XA和YC計算秘密密鑰K2.C使用私有密鑰XC和YB計算K1,並使用XC和YA計算K2.從現在開始,C就可以轉發A發給B的報文或轉發B發給A的報文,在途中根據需要修改它們的密文.使得A和B都不知道他們在和C共享通信.Oakley算法是對Diffie-Hellman密鑰交換算法的最佳化,它保留了後者的優點,同時克服了其弱點. Oakley算法具有五個重要特徵:它採用稱為cookie程式的機制來對抗阻塞攻擊. 它使得雙方能夠協商一個全局參數集合. 它使用了現時來保證抵抗重演攻擊.它能夠交換Diffie-Hellman公開密鑰. 它對Diffie-Hellman交換進行鑑別以對抗中間人的攻擊.Oakley可以使用三個不同的鑑別方法:數字簽名:通過簽署一個相互可以獲得的散列代碼來對交換進行鑑別;每一方都使用自己的私鑰對散列代碼加密.散列代碼是在一些重要參數上生成的,如用戶ID和現時. 公開密鑰加密:通過使用傳送者的私鑰對諸如ID和現時等參數進行加密來鑑別交換.對稱密鑰加密:通過使用某種共享密鑰對交換參數進行對稱加密,實現交換的鑑別.

密碼學(序)-W.迪菲(Whitfield Diffie)

序

W.迪菲(Whitfield Diffie)

密碼學文獻有一個奇妙的發展歷程，當然，秘而不宣總是扮演主要角色。第一次世界大戰前，重要的密碼學進展很少出現在公開文獻中，但該領域卻和其它專業學科一樣向前發展。直到1918年，二十世紀最有影響的密碼分析文章之一¾¾William F.Friedman的專題論文《重合指數及其在密碼學中的套用》作為私立的“河岸（Riverbank）實驗室”的一份研究報告問世了[577]，其實，這篇著作涉及的工作是在戰時完成的。同年，加州奧克蘭的EdwardH.Hebern申請了第一個轉輪機專利[710]，這種裝置在差不多50年裡被指定為美軍的主要密碼設備。

然而，第一次世界大戰後，情況開始變化，完全處於秘密工作狀態的美國陸軍和海軍的機要部門開始在密碼學方面取得根本性的進展。在30年代和40年代，有幾篇基礎性的文章出現在公開的文獻中，有關該領域的幾篇論文也發表了，只不過這些論文的內容離當時真正的技術水平相去甚遠，戰爭結束時，情況急轉直下，公開的文獻幾乎殆盡。只有一個突出的例外，那就是仙農(Claude Shannon)的文章《保密系統的通信理論》[1432]出現在1949年《貝爾系統技術雜

志》上，它類似於Friedman1918年的文章，也是戰時工作的產物。這篇文章在第二次世界大戰結束後即被解密，可能是由於失誤。

從1949年到1967年，密碼學文獻近乎空白。在1967年，一部與眾不同的著作——DavidKahn的《破譯者》[794]——出現了，它沒有任何新的技術思想，但卻對以往的密碼學歷史作了相當完整的記述，包括提及政府仍然認為是秘密的一些事情。《破譯者》的意義不僅在於它涉及到的相當廣泛的領域，而且在於它使成千上萬原本不知道密碼學的人了解密碼學。新的密碼學文章慢慢地開始源源不斷地被編寫出來了。

大約在同一時期，早期為空軍研製敵我識別裝置的Horst Feistel在位於紐約約克鎮高地的IBMWatson實驗室里花費了畢生精力致力於密碼學的研究。在那裡他開始著手美國數據加密標準（DES）的研究，到70年代初期，IBM發表了Feistel和他的同事在這個課題方面的幾篇技術報告[1482，1484，552]。

這就是我於1972年底涉足密碼學領域時的情形，當時密碼學的文獻還不豐富，但卻也包括一些非常有價值的東西。

密碼學提出了一個一般的學科領域都難以遇到的難題：即它需要密碼學和密碼分析學緊密結合互為促進。這是由於缺乏實際通信檢驗的實情所致。提出一個表面上看似不可破的系統並不難。許多學究式的設計就非常複雜，以至於密碼分析家不知從何入手，分析這些設計中的漏洞遠比原先設計它們更難。結果是，那些能強勁推動學術研究的競爭過程在密碼學中並沒起多大作用。

當MartinHellman和我在1975年提出公開密鑰密碼學[496]時，我們的一種間接貢獻是引入了一個看來不易解決的難題。現在一個有抱負的密碼體制設計者能夠提出被認為是很聰明的一些東西——這些東西比只是把有意義的正文變成無意義的亂語更有用。結果研究密碼學的人數、召開的會議、發表的論著和文章都驚人地增加了。

我在接受DonaldE.Fink獎（該獎是獎給在IEEE雜誌上發表過最好文章的人，我和Hellman在1980年共同獲得該獎）發表演講時，告訴聽眾我在寫作“保密性與鑑別”一文時，有一種經歷¾¾我相信這種經歷，即使在那些參加IEEE授獎會的著名學者們當中也是罕見的：我寫的那篇文章，並非我的研究結果而是我想要研究的課題，因為在我首次沉迷於密碼學的時候，這類文章根本就找不到。如果那時我可以走進斯坦福書店，挑選現代密碼學的書籍，我也許能在多年前就了解這個領域了。但是在1972年秋季，我能找到的資料僅僅是幾篇經典論文和一些難理解的技術報告而已。

當代的研究人員再也沒有這樣的問題了。現在的問題是要在大量的文章和書籍中選擇從何處入手。研究人員如此，那些僅僅想利用密碼學的程式設計師和工程師又會怎樣呢？這些人會轉向哪裡呢？直到今天，在能夠設計出通俗文章中所描述的那類密碼實用程式之前，花費大量時間去尋找，並研究那些文獻仍是很有必要的。BruceSchneier的《套用密碼學》正好填補了這個空白的。Schneier從通信保密性的目的和達到目的所用的基本程式實例入手，對20年來公開研究的全部成果作了全景式的概括。書名開門見山：從首次叫某人進行保密會話的世俗目的，到數字貨幣和以密碼方式進行保密選舉的可能性，到處你都可以發現套用密碼學的用處。

Schneier不滿足於這本書僅僅涉及真實世界（因為此書敘述了直至代碼的全部過程），他還敘述了發展密碼學和套用密碼學的那些領域，討論了從國際密碼研究協會直到國家安全局這樣的一些機構。

在70年代後期和80年代初，當公眾在密碼學方面的興趣顯示出來時，國家安全局（NSA）即美國官方密碼機構曾多次試圖平息它。第一次是一名長期在NSA工作的雇員的一封信，據說這封信是這個雇員自己寫的，此雇員自認是如此，表面上看來亦是如此。這封信是發給IEEE的，它警告密碼資料的出版違反了國際武器交易條例（ITAR）。然而這種觀點並沒有被條例本身所支持，條例明顯不包括已發表的資料。但這封信卻為密碼學的公開實踐和1977年的資訊理論專題研討會做了許多意想不到的宣傳。

一個更為嚴重的事態發生在1980年，當時NSA發現，美國教育委員會在出版物審查方面說服國會對密碼學領域的出版物進行合法地控制，結果與NSA的願望大相經庭，形成了密碼學論文自願送審的程式；要求研究人員在論文發表之前需就發表出去是否有害國家利益徵詢NSA的意見。

隨著80年代的到來，NSA將重點更多的集中在實際套用上，而不是密碼學的研究中。現有的法律授權NSA通過國務院控制密碼設備的出口。隨著商務活動的日益國際化和世界市場上美國份額的減退，國內外市場上需要單一產品的壓力增加了。這種單一產品受到出口控制，於是NSA不僅對出口什麼，而且也對在美國出售什麼都施加了相當大的影響。

密碼學的公開使用面臨一種新的挑戰，政府建議在可防止塗改的晶片上用一種秘密算法代替廣為人知且隨處可得的數據加密標準（DES），這些晶片將含有政府監控所需的編纂機制。這種“密鑰託管”計畫的弊病是它潛在地損害了個人隱私權，並且以前的軟體加密不得不以高價增用硬體來實現，迄今，密鑰託管產品正值熊市，但這種方案卻已經引起了廣泛的批評，特別是那些獨立的密碼學家怨聲載道。然而，人們看到的更多是編程技術的未來而不是政治，並且還加倍地努力向世界提供更強的密碼，這種密碼能夠實現對公眾的監視。

從出口控制法律涉及第一修正案的意見來看，1980年發生了大倒退，當時“聯邦註冊”公布了對ITAR的修正，其中提到：“……增加的條款清楚地說明，技術數據出口的規定並不干預第一修正案中個人的權利”，但事實上第一修正案和出口控制法的緊張關係還未消除，最近由RSA數據安全公司召開的一次會議清楚地表明了這一點，從出口控制辦公室來的NSA的代表表達了意見：發表密碼程式的人從法律上說是處在“灰色領域”。如果真是這樣的話，本書第一版業已曝光，內容也處在“灰色領域”中了。本書自身的出口申請已經得到軍需品控制委員會當局在出版物條款下的認可，但是，裝在磁碟上的程式的出口申請卻遭到拒絕。

NSA的策略從試圖控制密碼研究到緊緊抓住密碼產品的開發和套用的改變，可能是由於認識到即便世界上所有最好的密碼學論文都不能保護哪怕是一比特的信息。如果置之高閣，本書也許不比以前的書和文章更好，但若置於程式設計師編寫密碼的工作站旁時，這本書無疑是最好的。

Whitfield Diffie於

加州 Mountain View