Crackpot密码学和安全剧院

几年前，当IETF的加密论坛研究小组深入讨论有关椭圆曲线的安全性问题（最终导致RFC 7748和RFC 8032达到高潮）时，一名IT顾问以其自制密码Crystalline出现在邮件列表中。

麦克·汉堡礼貌地告诉顾问，CFRG不是提出新对称密码甚至对称密码新模式的合适论坛，并邀请他们从列表中发送电子邮件。

如果您不熟悉CFRG，请说一下，这是我读过的更具耐心和衡量标准的回答。

我对您的答复感到有些失望，因为我假设对密码表现出浓厚兴趣的人会急于调查弹出的没有明显漏洞的新事物。听起来好像这些年来，您的灵魂被官僚主义压倒了，对这个领域失去了所有激情。

这里有完整的报价。它并没有变得更好。

讨论一直持续到Tony Arcieri放弃了CFRG历史上最残酷的密码设计之一。

我认为最大的问题是，所有其他论坛已多次向您指出所有这些问题，并且您完全拒绝承认您的密码无法满足安全密码的绝对最低标准。

托尼·阿西里（Tony Arcieri），在Crystalline上获得了一个加密360度无作用域。

尽管存在这种微弱的下降时刻，Crystalline的作者仍继续加倍努力，并坚持认为对称密码不需要与随机性区分开来确保安全（严格地说，这是不正确的，但事实并非如此）。

通常，当密码在无法区分的测试中失败时，它是微妙的。这就是Crystal密文的样子。

现代密码产生的东西看起来像白噪声，就像没有插入电缆的旧电视一样。应该没有可辨别的图案。

Crystalline的作者仍然坚信，Crystalline的“ 131072位密钥”和“信息理论安全性”的主张令人信服，足以使保持互联网运行的标准机构考虑。

那是在2015年。在2021年，我可以肯定地说Crystalline的采用从未真正起飞。

Crackpot密码术的实例并不总是看起来像Crystalline。有时，作者更具魅力，或者有更多的财力来吸引潜在的傻瓜投资者。其他时候，他们的胆小一些，并且使其设计远离专家意见的注视-避免让所有人看到他们的错误。

Crackpot加密被认为是危险的-不是因为我们希望人们完全避免加密，而是因为Crackpot加密提供了错误的安全感。这导致用户采取行动，如果他们知道几乎没有安全就不会采取行动。由于这些安全措施的严格执行性质，我也喜欢将它们称为“安全剧院”（尽管该术语在其他情况下更广泛地适用）。

密码学界已经建立了一些防御机制，以防止在现实世界中采用crackpot密码学。更具体地说，我们的精妙格言以通常能传达意图的方式提炼出最佳实践。 （嘿，是这样！）不幸的是，密码学之外的其他安全行业通常将这些座右铭武器化，以促进无用和有害的网守。

最好的例子是“不要自己加密！”座右铭。

Crackpots从不遵守该规则，因此任何人立即或经常违反该规则，都会大肆抛弃，因为其怪异行为可以将其开除。

但是，如果从字面意义上讲，逻辑上是极端的，则该规则要求任何人都不会编写密码代码，而且我们也没有密码库。因此，很明显，这是一条有时会被打破的规则。

这就是为什么一些密码学工程师稍微简化了信息并鼓励进行修补以进行教育的原因。世界需要更多具备编写加密技术的软件工程师。

毕竟，尽管这两个人都是这么做的，但您不会期望听到对Jason Donenfeld（WireGuard）或Frank Denis（libsodium）征收的“不要投放自己的加密货币”。

让人惊讶的是，惰性启发式算法的假阳性率很高。在这种情况下，懒惰的试探法是“什么才算滚动自己的加密货币？”以及“何时可以安全地违反此规则？”

不过，更广泛地说，这些下意识的反应是一种错误的防御机制，旨在阻止庸医将所有空气带出房间。

但是，它并不总是有效。在过去的几年中，有一些彻头彻尾荒谬的crackpot密码学实例。

中本聪（Satoshi Nakamoto）是发明比特币的匿名密码学家的别名。在中本聪变得安静之后的几年中，一些曲柄从木制品中冒出来，声称是真正的中本聪。

克雷格·赖特（Craig Wright）因其萨特（Sartre）签名骗局而成为较为著名的中本聪（Satoshi）模仿者之一。

聪最早的比特币交易是公开的。如果您可以从交易中提取公钥和签名，然后在不同的上下文中重播它们以作为“ Satoshi”的“证明”，那么您可以提供身份证明，而无需拥有Satoshi的私钥即可进行验证。然后，您可以疯狂地声称这是一个签名，可以验证某些哲学家散文的文本，许多人会相信您。

加上一些表演技巧，您也可以通过采用这种策略说服Gavin Anderson。 （也许不是；我想他现在已经上了课。）

在大多数人心目中，Crown Sterling在2019年美国黑帽大会上赞助的演讲是crackpot密码术最生动的例子。

即使是“ Time AI”这个名字也只能用时髦的汤来尖叫，所以他们的演讲涵盖了很多废话也就不足为奇了：“准素数”，“无限波共轭”，“纳米时间尺度”，“ AI振荡的速度”，“统一物理宇宙学”和“多维加密技术”。

自然，这使很多密码学家大为恼火，在演示文稿的“问与答”部分中，通常平庸的“ Trail of Bits”的Dan Guido实际上将他们召唤出来了。

我对时间AI家伙大喊。对试图伤害他人的人生气是可以的。令我震惊的是更多的人没有这样做。 https://t.co/Mwe7yrihgk

-Dan Guido（@dguido）2019年8月8日

对于大多数人来说，这个故事以一堆脸药结束。但是Crown Sterling翻了一番，并发布了一份新闻稿，声称可以破坏256位RSA密钥。

有趣的是，他们的攻击花费了50秒的时间–比小密钥大小的标准RSA分解攻击要慢得多。

（对于那些缺少上下文的人：为了安全起见，RSA要求公开密钥的大小必须超过2048位。在任何现代PC上破解256位RSA都需要不到一分钟的时间。）

本周早些时候，彭博社的新闻报道了一个标题为“瑞士公司说发现弱点会加密”的故事。如果您仅阅读前几段内容，那么您可以很清楚地看到这个故事基本上可以归结为：“瑞士公司意识到存在一门完整的计算机科学学科，专门研究量子计算机及其对密码学构成的风险。”

如果建造了实用的量子计算机，它可以立即破坏当今互联网上使用的所有非对称密码：RSA，DSA，Diffie-Hellman，椭圆曲线密码学等。破坏这些算法的攻击成本各有不同，但通常是在范围内（用于查询数量）。

关于量子计算机是否会实用的问题尚无定论。为了以防万一，许多密码学家正在研究后量子密码（即使对于量子计算机也很安全的算法）。

对称密码的性能要好得多：攻击成本大约降低了1/3倍。这使得128位安全密码仅具有64位安全级别，这非常糟糕，但是即使对于实际的量子计算机，256位安全密码仍保持128位安全级别。

该公司表示，其研究发现了影响对称加密密码的漏洞，其中包括高级加密标准（AES），该加密标准广泛用于保护通过Internet传输的数据并加密文件。该公司表示，使用一种称为量子退火的方法，它的研究发现，即使是最强大的AES加密版本，也可能会被量子计算机破译，而量子计算机将在几年后面世。

摘自彭博社的文章。

让我们做一些数学运算：在现代计算机上，计算可以在几秒钟内完成。如果我们假设实用的量子计算机也与传统计算机一样快，那么可以肯定的是，这也是正确的。

您可以及时破解128位密码。即使在量子计算机加速的情况下，您也无法在任何实际时间内破解256位密码。由于这个原因，大多数软件更喜欢256位AES而不是128位AES。

在2012年，我们可以使用专用于该任务的FPGA在24小时内破解DES（具有56位密钥）。由于安全性每增加一位，搜索空间就会增加一倍，因此我们可以推断出64位将需要256天。

因此，即使手头有一台量子计算机，您也需要花费几个月的时间来破解单个128位AES密钥。

如果这只是彭博社撰写的一篇写得不好的文章，那篇文章引起了人们对误解后量子密码的极大误解，那么Terra Quantum AG就不需要多提。

但是，与之前出现的其他问题一样，Terra Quantum也翻了一番，在Business Wire上发布了另一则新闻稿。 （已存档。）

Terra Quantum认识到AES对于已经确定的算法是相当安全的，但是对于即将到来的威胁却似乎毫无障碍。为了建立防御，Terra Quantum开始通过针对新算法测试AES来寻找弱点。他们Terra Quantum发现了消息摘要算法MD5的弱点。

好的，所以在两次请求之间的这段时间里，他们意识到他们无法用量子计算机实际打破AES，但是…

新闻发布几乎持续了一段时间的自我意识，但最终未能做到：

Terra Quantum小组发现，可以使用包含约20,000量子位的量子退火炉破解一种算法。目前尚不存在这样的退火器，虽然无法预测何时创建它，但可以想象，将来这种黑客可能会被黑客使用。

（强调我的。）

kes。那句话有很多废话，但从那儿只会变得更加危险。这是Terra Quantum首席技术官Gordey Lesovik和Valerii Vinokur提出的关于他们想象中问题的“解决方案”的实际报价：

“一种新的协议源于量子恶魔是一种小野兽的概念。标准方法利用了一个概念，即窃听者（Eva）雇用的恶魔是金刚般的百公里大怪兽，可以成功地利用所有传输线损耗来解密通信。但是由于真正的量子恶魔很小，Eva必须招募十亿军队来成功收集从光纤中泄漏出来的所有散射波，这是她有效解密所必需的。 Terra Quantum提出了一项创新技术，利用了这样一支军队不存在的事实-符合热力学第二定律。”

我真的不能他妈的使这变得糟透了。我的小说写作能力根本不够好。

我不参加娱乐性毒品，但如果我这样做了，我可能会想要服用它们。

请务必注意，Terra Quantum绝不会显示其工作。没有源代码或技术论文发表；仅有大量的新闻稿夸大了对量子计算机的说法，并完全误解了后量子密码学。

如果您在Business Wire上看到有关加密的新闻稿，则可能是骗局。真正的密码学家在ePrint上发表文章，然后在同行评审的期刊上发表，在会议上介绍他们的演讲（但不赞助演讲），并在工作的各个方面行使根本的透明度。

密码学对骗子，骗子和女同性恋者几乎没有耐心。 （尽管加密货币似乎更适合那些人。）当然，这并不能阻止他们尝试。

如果您正在阅读此博客文章，并且想学习密码学和密码分析，并被“不要自己动手使用密码”的口头禅及其隐含的关门方法望而却步，那么我希望现在可以清楚地知道这句话主要是谁用的。对于以及为什么。