美文网首页区块链大学区块链研习社
加密野史:从山本五十六到中本聪

加密野史:从山本五十六到中本聪

作者: 见习猫 | 来源:发表于2018-06-26 15:33 被阅读11次

    中本聪被公认为非对称加密年代冲刷出来的天才,而山本五十六却被定格在对称加密时代,一份密码本让它丢的不仅是四艘航母,还有自己的命。           


    偷袭珍珠港得手后,山本五十六决定偷袭中途岛。

    他派出四条先锋航母,航母指挥官们踮起脚尖,举起望远镜,争相脑补美军措手不及的画面时,美军轰炸机突然从云里穿出,遮住了天。

    日军措手不及,几百架战机还没来得及飞、就被闷死在甲板上。

    十分钟内,先锋航母全部喷火,王牌飞行员们直到被烤焦也没想到,美国人早就截获了他们的偷袭情报。

    是谁走漏了风声?

    一、对称加密的软肋

    日军通讯密码以复杂出名,由一万个五位数组成,而且,太平洋战争期间升级12次,看似牢不可破,却难挡百密一疏。

    这都怪美军击沉过一艘日本潜艇,从船舱里捞出来一份密码本,上面记满密语,美军由此洞穿日军80%的密电,并且得知:山本五十六正计划偷袭AF,但AF究竟在哪里?

    美军翻到珍珠港被袭前夜的电报,山本五十六要求日本战机从马绍尔群岛出发,注意避开AF的空中侦察。

    从地图上看,AF只能是中途岛。

    为证实猜想,中途岛美军用明文假报淡水设备故障,日军截获情报,扭头告诉主力部队:带上淡水净化器,因为AF淡水匮乏。美军截获消息,确认AF就是中途岛。

    最终,山本五十六的全部机密像X光片一样,摊在罗斯福总统的办公桌上,美国未战先胜。

    物理战场的赢家,无一不是信息战场的胜者。就在同时,英国破译出德军的密码,加速了二战的结束。

    二战时期的国家,真正的家当不是飞机、不是航母,而应该是密码本。当守护机密的重担全压在密码本上时,却没有东西能守护密码本本身,这是对称加密的软肋。

    可二战之后就少有密码被破的事迹,特别是80年代美苏冷战期间,两国都使出奶劲破译对方密电,最后却都竹篮打水。

    为什么会这样?这要从非对称加密的鼻祖RSA算法说起。

    二、什么是RSA算法?

    1977年,Rivest、Shamir和Adleman三位教授用名字的首字母命名一种新算法:RSA,可它居然不需要密码本,这在当时就像吃饭不需要碗筷刀叉。

    为什么会那样清新脱俗?关键在于RSA把密码本拆分成公钥和私钥:公钥公开,用来加密;私钥私藏,用来解密。

    RSA的原理很简单,但要先回忆三个初中数学小概念:质数、互质和取模。

    质数:只能被它本身和1整除的自然数。比如:2、3、5、7、11、13、17……即:我们没法把一个质数拆成两个自然数之积。

    互质:公约数只有1的两个正整数,比如:5和72互质。

    取模:即除法中的余数,运算符是mod,比如7 ÷ 3 = 2余1,所以,7 mod 3 = 1。

    RSA用四步设定密钥(公钥和私钥):

    1、找两个质数P和Q,P和Q相乘得到Max,即 Max = P × Q

    2、把两个质数分别减1,相乘得到M,即 M = (P-1) × (Q-1)

    3、找一个正整数E,使E与M互质,且 E<M

    4、找一个正整数D,使D × E 除以M余1,即(D × E) mod M = 1

    E是公钥,加密就是让原文自乘(E-1)次,得到密文。

    D是私钥,解密就是让密文自乘(D-1)次,得到原文。

    我们挑两个质数:P=7, Q=13

    Max = P × Q = 91

    M = (P-1) × (Q-1) = 72

    随机选公钥E=5,因为5与72互质,且5小于72

    找到私钥D=29,因为5 × 29 ÷ 72 余 1

    如果,你想把字符C传给你朋友,怎么加密才能抵抗破解?

    字符C在ASCII码中对应的数字是67,加密原理很简单:

    把原文67自乘4次(E-1次),注意:当自乘结果超过Max(Max = 91)时,需将结果取模后再乘。

    活体演示:

    原文67自乘第1次:

    67 × 67 = 4489 > 91

    所以,4489 mod 91 = 30

    把上一步的结果30拿过来,自乘第2次:

    30 × 67 = 2010 > 91

    所以,2010 mod 91 = 8

    自乘第3次:

    8 × 67 = 536 > 91

    所以,536 mod 91 = 81

    自乘第4次:

    81 × 67 = 5427 > 91

    所以,5427 mod 91 = 58

    自乘4次之后,加密结束,得到密文58。查ASCII码表,58对应” : ",把“ : ”发出去,即使被截获,也不会泄露信息,因为对方没有私钥,解不了密。

    那么,掌握私钥的人如何解密?

    很简单,类似于加密,解密是用密文58自乘28次(D-1次),但每次相乘结果超过Max时,需取模后再乘:

    密文58自乘第1次:

    58 × 58 = 3364 > 91

    所以,3364 mod 91 = 88

    把上一步结果88拿过来,自乘第2次:

    88 × 58 = 5104 > 91

    所以,5104 mod 91 = 8

    照葫芦画瓢,第3次:

    8 × 58 = 464 > 91

    所以,464 mod 91 = 9

    第4次:

    9 × 58 = 522 > 91

    所以,522 mod 91 = 67

    第5次:

    67 × 58 = 3886 > 91

    所以,3886 mod 91 = 64

    第6次:

    64 × 58 = 3712 > 91

    所以,3712 mod 91 = 72

    第7次:

    72 × 58 = 4176  > 91

    所以, 4176 mod 91 = 81

    第8次:

    81 × 58 = 4698 > 91

    所以, 4698 mod 91 = 57

    第9次:

    57 × 58 = 3306 > 91 

    所以, 3306 mod 91 = 30

    第10次:

    30 × 58 = 1740 > 91

    所以,1740 mod 91 = 11

    第11次:

    11 × 58 =638 > 91

    所以, 638 mod 91 = 1

    第12次:

    1 × 58 = 58 < 91

    58 < 91,所以不用取模,直接把58拖下来乘

    第13次 :

    58 × 58 =3364 > 91

    所以, 3364 mod 91 = 88

    我们发现,从第13次开始重复第1次结果:

    第14次:8

    第15次:9

    第16次:67

    第17次:64

    第18次:72

    第19次:81

    第20次:57

    第21次:30

    第22次:11

    第23次:1

    第24次:58

    第25次:88

    第26次:8

    第27次:9

    第28次:67

    解密完成,67就是原文。

    我们发现,解密过程出现两道轮回,实际只有12种可能,而且存在密文与原文相同的情形(第12次),那是因为我们用的是小质数:7和13,现实中的质数稍微大一点:

    P =

    3388495837466721394368393204672181522815830368604993048084925840555281177

    Q =

    11658823406671259903148376558383270818131012258146392600439520994131344334162924536139

    Max = P × Q =

    39505874583265144526419767800614481996020776460304936454139376051579355626529450683609727842468219535093544305870490251995655335710209799226484977949442955603

    选用大质数后,解密过程出现的可能性将超千亿,概率上不支持破解者发现规律。

    另一方面,破解密文的唯一方式是破解密钥,而Max和公钥是公开信息,于是,破解私钥唯一的方法是从Max中分解出P和Q。

    已知P和Q计算乘积,普通电脑一瞬间就能算出Max,可如果想把Max拆成P和Q,那就应了一句古话:没有耕坏的地,只有累死的牛。

    我国最拉风的超级计算机神威·太湖之光,装备4万个处理器,占地足足一栋别墅,拆分1个200位数字,至少要等1000年。往前推1000年,那是北宋时期,我国历史上最善于解密的包青天年方十八。

    所以,与其说是在大海捞针,不如说是在太阳系中排查一颗原子,撞上大运的概率比原子还小。

    正算容易倒推难,这在密码学上称为陷门函数(Trapdoor Function),是非对称加密安全性的根基。陷门函数像是出站口的旋转门:出门容易,但想进来,那只有把门拱坏一条路。

    RSA是古典和现代加密技术的分水岭,它的诞生堪称历史性突破,但和其他突破一样,随着历史一路颠簸,RSA身上悬挂的缺陷也开始叮当作响。

    比如:

    有些算法已能拆分特定的大数,所以为求安全,人们会用更大的质数,但这样,密钥长度会被拉长,最终拖慢加解密速度。

    用户陷入两难:拉长密钥吧不便捷,不拉长密钥不安全。总得有种更出彩的算法,才能让人有盼头。

    于是,地平线上又升起一种新算法:椭圆曲线加密。

    三、什么是椭圆曲线加密?

    椭圆曲线加密(Elliptic Curve Cryptography )即ECC,1985年由Koblitz和Miller两位教授发明,被公认为最强的通用加密法。

    和RSA一样,ECC也是非对称加密:公钥加密,私钥解密。但两者生成公钥和私钥的机制不同,ECC比RSA更安全、更便捷。

    为什么?我们从一个方程说起:

    y² = x³ + ax + b(a和b是常数)

    即使没在教科书里见过,你也完全不必害怕,只要画出来,你就会发现这不过是只插在竹签上的章鱼。

    图1 椭圆曲线

    章鱼的轮廓就是椭圆曲线,它的身体沿x轴对称,而且,任何竹签直插上去和章鱼轮廓最多有三个交点。

    如果你去查资料,你会发现ECC的公式天罗地网,任何一个公式都会缠住你,但你马上就会知道,即使ECC看起来艰涩,但本质上不过是一局桌球游戏,只是桌球的弹射规律有点奇怪。

    我们在椭圆曲线上任选一点A开球。

    1、球打向B,弹往另一交点,再折向交点与x轴的对称点C;

    2、到C后会弹向A,途经曲线交点时,球会折向交点的对称点D;

    3、到D后会沿AD方向,射向曲线与直线的另一交点,接着弹到交点的对称点E;

    图2 椭圆曲线(动图)

    动图描绘的是3次撞击过程,桌球叮叮咚咚撞n次后,停在终点。

    如果你知道起点坐标和撞击次数n,就能算出终点坐标。可是,这时有人跑进来,他知道起点和终点坐标,如果你问他,撞击次数n是多少?他会和球一样愣在原地,因为真的没法算。

    撞击次数n就是你的私钥,一个你选的超大整数;桌球撞击n次停下,而终点坐标相当于公钥;如果你想再做一个公钥,那么改变起点坐标即可。

    椭圆曲线方程、起点和终点坐标完全公开,但计算球撞了几次才停下来却没有捷径、只能一次次试,这项事业比RSA中拆分Max的任务还要艰巨,都能把量子计算机们累出血,这就是为什么说ECC比RSA更安全的原因。

    同样面对228位长度的密钥,如果破解RSA需要烧开一勺水的能量,那么破解ECC所需要的能量,足以烧开地球上所有的水。

    ——德国数学家 Lenstra

    ECC早已无处不在:我们的第二代身份证都基于ECC,美国政府部门也用ECC加密内部通信,开源浏览器Foxfire、谷歌的Chrome、苹果的iMessage服务都使用ECC。

    除此之外,匿名网络Tor用ECC保护使用者隐私。中本聪曾经穿梭在各大论坛,但他的身份至今是谜,全靠Tor网络底层的ECC。

    而中本聪的业余小发明——比特币,也使用ECC的数字签名算法ECDSA(Elliptic Curve Digital Signature Algorithm),不单安全性能好,而且ECDSA签起名来要比RSA签名快两个数量级。准确地说,256位的私钥用ECDSA要比2048位的RSA签名算法快20倍,是四轮车和三轮车的差别。

    尽管花好稻好,可ECC也非完美无缺。

    ECC需要一些随机数,而随机数的产生有赖于生成器里的“种子”,曾有人爆料:美国国家安全局(NSA)曾经对随机数生成器动过手脚,让破解难度大幅降低,这样就便于特工破译采用ECC加密的数据。

    爆料者的名字叫斯诺登,他是美国棱镜门事件的主角。

    根据曝光材料,NSA开发出一条伪随机数曲线secp256r1。可幸运的是,中本聪并没有选择NSA的伪随机数曲线secp256r1,而是使用了另一条非伪随机数曲线secp256k1,带着比特币躲过密码学历史上的一支暗箭,否则只要暴露过公钥的人都有一定概率被NSA内部人士猜出私钥。

    结语

    中本聪被公认为非对称加密年代冲刷出来的天才,而山本五十六却被定格在对称加密时代,一份密码本让它丢的不仅是四艘航母,还有自己的命。

    1943年4月18日,美国空军稳稳击落山本五十六的座机,解密文件显示,美军破译出日军JN25密码本,提前获知机密行程,让他成为对称加密时期最高级别的祭品。

    和对称加密相比,非对称加密可以把秘密写在明信片上,消灭了密码本被破解的问题,但加密技术进化之路并非坦途,因为密码攻防问题始终存在。

    所以,并不存在绝对安全的加密方法,如果有种算法可以让我们安全享用50年,就已经足够,至于进化中的问题,就让进化本身来修补。

    相关文章

      网友评论

        本文标题:加密野史:从山本五十六到中本聪

        本文链接:https://www.haomeiwen.com/subject/fckmyftx.html