對于密碼學(xué)來說，與2015年相比，2016年也許并不算是里程碑式的一年，但是世界各地的廣大安全研究人員仍然在通過自己的努力來推進(jìn)密碼學(xué)領(lǐng)域的研究與發(fā)展。

一、TLS 1.3正式發(fā)布

2016年，密碼學(xué)領(lǐng)域?qū)嵺`性最強(qiáng)的一個進(jìn)步就是TLS 1.3(傳輸層安全協(xié)議1.3版本)的正式發(fā)布。TLS是目前最重要的、使用最為廣泛的加密協(xié)議，它也承擔(dān)著保護(hù)互聯(lián)網(wǎng)通信安全的重要任務(wù)。數(shù)百位安全研究人員與工程師通過多年的研究和努力設(shè)計(jì)出了新的TLS協(xié)議標(biāo)準(zhǔn)，目前市面上的多個主流Web瀏覽器都支持TLS協(xié)議，例如火狐瀏覽器、Chrome、以及Opera等。雖然從名字上來看，很多人會認(rèn)為TLS 1.3只是對TLS 1.2進(jìn)行了小幅度更新，但實(shí)際上TLS 1.3相當(dāng)于對TLS 1.2整體重新進(jìn)行了設(shè)計(jì)。所以我們認(rèn)為應(yīng)該給它取個其他的名字，這樣才能突出TLS 1.3的提升幅度。

[[180590]]

用戶所能體驗(yàn)到的TLS 1.3最明顯的一個變化是什么呢?那就是速度!TLS 1.3通過減少網(wǎng)絡(luò)往返時(shí)延(RTT)來提升了網(wǎng)絡(luò)通信的速度，這種特性在早期的TLS版本中曾通過QUIC協(xié)議和TLS False Start有過體現(xiàn)，但是作為TLS 1.3默認(rèn)的自帶屬性，這種特性也許在將來會成為一種趨勢。因?yàn)榻档土司W(wǎng)絡(luò)往返時(shí)延，也就意味著網(wǎng)站和相應(yīng)頁面的加載速度將會變得更快。

除此之外，在這十幾年來，TLS遇到過很多問題，而TLS 1.3從這些經(jīng)驗(yàn)中吸取了教訓(xùn)，所以TLS 1.3在安全方面也有很大的改進(jìn)。另外，TLS 1.3移除了某些舊版協(xié)議功能和過時(shí)加密算法的支持，這樣可以使協(xié)議更加簡潔。值得一提的是，安全社區(qū)在TLS 1.3的設(shè)計(jì)過程中就已經(jīng)開始對其規(guī)范和標(biāo)準(zhǔn)進(jìn)行安全分析了，而不是等到協(xié)議得到大范圍使用之后才對其安全性進(jìn)行評估，因?yàn)楫?dāng)協(xié)議被廣泛使用之后，再想要去修復(fù)其中的漏洞就非常困難了。

二、對后量子密碼學(xué)的探究仍在繼續(xù)

密碼學(xué)界現(xiàn)在仍在努力設(shè)法從目前所使用的加密算法過渡到后量子密碼算法，因?yàn)槿绻孔佑?jì)算機(jī)真的誕生了，那么我們目前所使用的加密算法中有很多都會變得不安全。

自從美國國家標(biāo)準(zhǔn)及技術(shù)研究所(NIST)在去年正式公布了針對后量子算法的標(biāo)準(zhǔn)化項(xiàng)目之后，密碼學(xué)界有更多的人開始將自己的研究方向放在了后量子密碼學(xué)算法的身上。NIST在今年二月份首次發(fā)布了一份關(guān)于后量子密碼的研究報(bào)告，并在今年八月份給出了一份算法提議草案。但是密碼學(xué)界目前也仍在爭論一個問題，即后量子算法的實(shí)際目標(biāo)到底應(yīng)該是什么?

在Google目前正在進(jìn)行的一項(xiàng)實(shí)驗(yàn)中，研究人員希望使用新型的后量子密鑰交換算法來保護(hù)Google服務(wù)器與Chrome瀏覽器之間的網(wǎng)絡(luò)通信數(shù)據(jù)，而這也是目前后量子密碼算法在真實(shí)世界中的首次實(shí)踐。從實(shí)驗(yàn)結(jié)果來看，計(jì)算成本雖然可以忽略不計(jì)，但是由于密鑰體積過大，所以會導(dǎo)致帶寬的消耗量增加。與此同時(shí)，還有一個團(tuán)隊(duì)正在研究如何使用不同的算法來將量子密鑰交換添加進(jìn)TLS協(xié)議中。

關(guān)于后量子密碼學(xué)方面的內(nèi)容，我們目前仍然有很多不知道的地方，但是廣大研究人員正在通過自己的努力來探索后量子密碼將會如何改變我們的實(shí)際生活和工作。

三、加密算法中的后門

“kleptography”這個術(shù)語出現(xiàn)在1996年，而它描述的是這樣一種概念：設(shè)計(jì)出來的加密系統(tǒng)或加密算法看起來非常的安全，但實(shí)際上它們卻飽含隱藏的后門。但是斯諾登事件告訴我們，美國國家安全局(NSA)故意在DUAL_EC偽隨機(jī)數(shù)生成器中植入了后門，而這也使得越來越多的研究人員開始研究加密算法中存在的隱藏后門了。

一個由法國和美國的安全人員所組成的研究團(tuán)隊(duì)通過研究發(fā)現(xiàn)，我們可以通過計(jì)算來選取一個不安全的素?cái)?shù)，而這個素?cái)?shù)將使我們計(jì)算離散對數(shù)的過程變得更加簡單。這也就意味著，目前已得到廣泛使用的Diffie-Hellman密鑰交換算法是不安全的。

更加糟糕的是，我們很難從真正的隨機(jī)素?cái)?shù)中區(qū)分出這種后門素?cái)?shù)。

RFC 5114:另一個存在后門的加密標(biāo)準(zhǔn)，罪魁禍?zhǔn)拙故荖IST?

說到密碼后門，安全研究人員在今年還發(fā)現(xiàn)了另一個存在后門的加密標(biāo)準(zhǔn)，即RFC 5114。這個標(biāo)準(zhǔn)誕生于2008年，它是由美國國防承包商BBN設(shè)計(jì)，并由NIST發(fā)布，可能只有少數(shù)人知道這個標(biāo)準(zhǔn)。它定義了八個Diffie-Hellman分組，這些分組可以與IETF協(xié)議共同為互聯(lián)網(wǎng)通信提供安全保護(hù)。

[[180591]]

但是研究人員發(fā)現(xiàn)，他們無法確定該算法中的某些分組密碼是如何生成的，如果在使用前沒有對其相關(guān)參數(shù)進(jìn)行審查的話，那么這個加密算法將易受黑客的攻擊。因此，很多人認(rèn)為這個標(biāo)準(zhǔn)中是存在隱藏后門的，但是我們卻沒有任何證據(jù)可以證明這一點(diǎn)。NIST的一位密碼學(xué)專家表示，這個標(biāo)準(zhǔn)是用來給實(shí)驗(yàn)人員提供測試數(shù)據(jù)的，我們并不建議人們在真實(shí)環(huán)境中使用這個標(biāo)準(zhǔn)。當(dāng)然了，加密標(biāo)準(zhǔn)中存在安全問題也有可能只是其本身安全性不足，但是這一切似乎也開始讓人們失去了對NIST這個密碼標(biāo)準(zhǔn)化組織的信心。

四、網(wǎng)絡(luò)攻擊多樣化

2016年，安全研究人員發(fā)現(xiàn)了很多新型的攻擊技術(shù)，其中有些是此前攻擊技術(shù)的升級版。下面是我們給出的一些值得關(guān)注的例子：

DROWN攻擊利用舊版本SSLv2協(xié)議中的漏洞入侵Web服務(wù)器的RSA簽名密鑰，這與之前很多針對TLS/SSL的攻擊類似，例如POODLE和FREAK攻擊等等。

Sweet32攻擊表明，舊版本的64位分組密碼(尤其是3DES和Blowfish)存在安全漏洞，漏洞會導(dǎo)致其在CBC模式下無法抵御碰撞攻擊。

針對橢圓曲線算法新型攻擊技術(shù)被發(fā)現(xiàn)，受影響的包括Barreto-Naehrig(BN)曲線在內(nèi)。

生成數(shù)的隨機(jī)性仍然是密碼學(xué)中的一個脆弱點(diǎn)：如果你無法生成真正的隨機(jī)數(shù)，你就無法創(chuàng)建出真正不可預(yù)測的加密密鑰。

五、辭舊迎新?HTTPS正在成長

到2016年，SHA-1哈希函數(shù)已經(jīng)有21年的歷史了，但是從來沒人為它慶祝過生日。不僅如此，這個算法也已經(jīng)到了退休的時(shí)候了，而且微軟、谷歌、以及Mozilla都已經(jīng)宣布將在2017年不再接受SHA-1證書。由此看來，安全社區(qū)也希望在SHA-1完全崩潰之前取消該函數(shù)的使用。

[[180592]]

隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的蓬勃發(fā)展，衍生出種種問題不得不被大家所重視，在互聯(lián)網(wǎng)安全意識相對薄弱的中國顯得尤為重點(diǎn)。而百度優(yōu)先收錄https網(wǎng)站這一舉措對互聯(lián)網(wǎng)安全環(huán)境有著指引性的作用，更多的企業(yè)會逐步將網(wǎng)站從Http轉(zhuǎn)換成Https，這樣能夠營造一個更為安全的互聯(lián)網(wǎng)大環(huán)境。隨著百度、谷歌、火狐等互聯(lián)網(wǎng)巨頭對https的“提攜”，2017年https在國內(nèi)將迎來發(fā)展良機(jī)。