Dual_EC_DRBG事件后，NIST何以維持密碼標準化國際地位

近幾十年來，美國國家標準與技術研究院（NIST）為美國政府非國家安全機構制定密碼標準，已成為密碼標準的實際國際來源。2013年6月，美國國家安全局（NSA）“棱鏡門”事件曝光，愛德華·斯諾登（Edward Snowden）披露NSA在NIST密碼標準Dual ECDRBG（雙橢圓曲線隨機數生成算法）中植入后門，破壞了算法本身的完整性，使所謂的安全通信可以被輕易解密。該事件促使DualECDRBG的安全性問題受到廣泛關注，一些公共和私營實體開始嘗試制定自己的密碼標準，而不是依賴美國政府程序。然而，十年過去了，目前尚未出現替代NIST的可信方案。

本文《Dual_EC_DRBG算法之爭：破壞密碼標準化過程的后果》從維護美國安全利益的視角，還原和討論了Dual_EC_DRBG事件的情況、NIST的應對措施，尤其是，在Dual_EC_DRBG出現問題的情況下，NIST得以維持其作為加密解決方案的國際供應商地位的原因。

一、密碼學：具有復雜策略問題的技術

（一）密碼系統入門

密碼學用于對通信和數據進行加密，只有目標用戶才能訪問解密后的信息。加密系統依賴于一種算法、一種加密數據（通信或存儲數據）的方法和一個密鑰。用戶加密信息或數據的安全性取決于加密密鑰的保密性。如果對所有可能的密鑰進行暴力破解都無法解密數據，那么加密系統就被認為是強大的。

所有類型的加密功能都依賴于密鑰。解密密鑰不僅應當保密，還應當無法預測。雖然物理過程可以產生隨機比特，但速度太慢，無法滿足加密通信數量急劇增加時對密鑰數量的需求。為此，密碼學家們想到了“偽隨機數發生器”（PRNG），這種函數可以產生一個短的隨機數字序列（或比特），然后產生一個更長的序列。本世紀初，美國國家標準協會（ANSI）提議使用橢圓曲線來生成PRNG，但所提議的方法——Dual_EC_DRBG（雙橢圓曲線隨機數生成算法）存在安全問題，這一點后來被斯諾登所披露。

（二）標準化和Dual_EC_DRBG算法

從加密方法或隨機數生成器的數學表述，到其在廣泛使用的軟件中的具體實現，都需要標準化工作。一種算法要成為密碼標準，必須具備兩個特征：第一，必須運行良好，具有較強的密碼功能，并且能夠長期使用；第二，標準必須經過公開審查。但是，NSA在將Dual_EC_DRBG算法提交給NIST之前，卻先從ANSI和ISO開始了Dual_EC_DRBG的標準化過程，從而巧妙地避免了對Dual_EC_DRBG的早期公開審查。

作為一個非監管機構，NIST的宗旨是“通過推動測量科學、標準和技術的發展，促進美國的創新和工業競爭力”。NIST被工業界視為“誠實的中間人”，既不偏袒某個公司，也不偏袒某個國家。NIST通過公正的評估，在國際工業標準領域發揮著值得信賴的作用。NSA對NIST施加壓力，迫使其批準Dual_EC_DRBG成為聯邦信息處理標準（Federal Information Processing Standards，FIPS），這是NSA對該標準進行“微調”的一個重要方面。

如前所述，NIST在Dual_EC_DRBG的標準制定方面依賴于ANSI和ISO等其他機構所做的標準化工作。這種模式存在一個問題：許多公開審查的提案實際上“并不完全公開”，這與NIST通常的程序相反。

研究人員向NIST提出了對Dual_EC_DRBG可能存在的“比特偏差”和“后門”問題的擔憂。NSA向NIST施壓，要求將該算法標準化，聲稱需要對運行Dual_EC_DRBG的機構設備進行FIPS驗證，因此NIST批準將Dual_EC_DRBG作為四個可能的標準化隨機比特生成器之一。

斯諾登披露的文件顯示，NSA在商業加密系統中植入后門，并影響商業公鑰技術的政策、標準和規范。NIST對2013年9月《紐約時報》關于Dual_EC_DRBG的報道做出了迅速反應。文章發表后僅五天，NIST就宣布重新開始對該標準進行評估，建議在Dual_EC_DRBG的安全問題得到解決之前不要使用它。

二、Dual_EC_DRBG事件的余波

NSA在Dual_EC_DRBG中插入后門，這不僅是理論上的破解，而是實際的破解。任何知道秘密信息的人都可以預測算法生成的比特，從而泄露密鑰，進而泄露加密信息。

（一）NIST對嚴重事件的反應

在《紐約時報》發表文章后的幾天內，NIST便建議不要使用Dual_EC_DRBG來生成隨機數，并按照FIPS的批準程序，重新開放該標準征求公眾意見。7個月后，NIST取消了對Dual_EC_DRBG作為FIPS的批準，并敦促尚未更換實施方案的供應商立即更換實施方案。盡管對NIST來說，修正實施的方案允許Dual_EC_DRBG作為標準進入的程序是一個更為重要的問題。在NIST批準Dual_EC_DRBG作為FIPS算法之前，有關Dual_EC_DRBG安全性的問題已被反復提出。在刪除該標準時，NIST的密碼技術小組進行了一次內部審查，以了解是什么原因導致其標準化過程出現如此嚴重的錯誤。

2014年2月，NIST下設的計算機安全部（Computer Security Division，CSD）發布了一份關于密碼標準和指南制定過程的文件草案，其中強調，其制定密碼標準的指導原則是透明、公開、平衡，且具備技術優勢和全球可接受性。為了實現平衡，NIST將在該過程的每個階段持續與學術界、工業界和政府的利益相關者進行互動交流。NIST澄清NSA并未控制NIST的行動，“NIST在制定密碼標準時與NSA密切合作……因為NSA在密碼學方面擁有豐富的專業知識”，并且根據2002年《聯邦信息安全管理法》，NIST必須與NSA和其他機構就標準制定問題進行磋商。

滑鐵盧大學首席密碼學家Ian Goldberg指出：“非正式渠道是破壞透明度的一種方式。”當然，很多焦點都集中于NSA；一個美國民間組織指出：“NIST應該制定一項政策，由該機構公開解釋NSA就未來標準進行咨詢的范圍和性質，以及應NSA要求對標準進行的任何修改。”著名密碼學家和安全專家Bart Preneel教授指出，關于制定密碼標準的文件草案應考慮到對草案的評論意見，增加正當程序同時避免不當影響。Preneel教授進一步敦促，在NIST與NSA合作的背景下，應澄清“協商”、“協調”和“密切合作”等詞語。RSA加密算法的共同發明者、密碼學家Leonard Adleman提出：“NIST應盡可能減少對NSA專業知識的依賴，同時NIST與NSA之間所有與標準相關的溝通交流都應以書面形式記錄，并成為公共記錄的一部分。”

密碼學界與社會已達成共識：NIST需要擺脫對NSA的依賴。與情報機構進行磋商是適當的，但NIST應當有權利評估和拒絕NSA的建議。

2016年，CSD公開概述了其修訂后的密碼標準和指南制定流程，強調了透明、公開、平衡、完整、技術價值、全球可接受性、可用性、持續改進、創新和知識產權等原則（具體解析可參考第27期簡報：后斯諾登時代的NIST密碼標準和指南制定流程）。NIST指出，其需要確保其“內部能力強大而有效，并能接觸到高水平的外部密碼學家”。如果NSA或任何其他機構協助NIST制定新的標準和指南，NIST將承認該機構是設計者，盡管NIST可能無法列出實際參與標準和指南制定的個人。NIST公開承諾，其將作為一個標準組織，致力于將強有力的密碼標準推向全球，而不是作為美國政府的一個分支機構來破壞這種努力。

（二）密碼學專家的回應

在進行標準化改革的過程中，為防止今后再出現類似于Dual_EC_DRBG的情況，NIST應進行新的加密競爭。2015年，NIST宣布有意制定后量子加密標準，對此，世界頂尖密碼學家的參與至關重要。

NIST宣布于2015年舉辦一次研討會，邀請世界各地的密碼專家共同探討后量子加密標準問題。雖然并非所有與會人員都認為NIST值得信賴，但如此多的頂尖密碼專家同意出席會議，已經是一個好的“開端”。

為什么密碼學家愿意在Dual_EC_DRBG事件之后參與后量子密碼學的工作？首先，當時的情況并不像報紙標題上看起來那樣“非黑即白”。在與NSA打交道的過程中，尤其是在NIST自身技術資源相當有限的情況下，NIST的工作環境非常復雜。Dual_EC_DRBG事件之后，密碼技術組獲得了更多的資源和技術人員，與NSA的溝通規則更加嚴格和透明，NIST領導層在此方面也給予了明確和有力的支持，Bart Preneel教授認為，Dual_EC_DRBG事件之后的NIST“工作做得很好，在困難的情況下已經盡了最大努力”。

一位著名的密碼學家在被問及為什么信任NIST時解釋說，NIST工作的價值來自于這樣一個事實，即世界各地的許多密碼學家都參與了NIST的標準化工作，并致力于評估算法的安全性。這位密碼學家說：“如果NIST選擇了我的算法，那么我的算法就會被全世界使用。”

因此，盡管NIST并不是唯一一家開展后量子密碼學工作的機構，但卻是唯一一家開展后量子密碼國際標準化工作的機構，因為其有能力持續不斷地召集最優秀的人才來解決某個問題。

三、NIST維持地位的原因

在斯諾登披露Dual_EC_DRBG事件之后，NIST采取了正確的挽救行動來恢復其聲譽。但還有兩個因素促使NIST能夠繼續提供國際公認的密碼標準。首先，NIST能夠調集組織和技術資源來制定國際公認的密碼標準，它具有制定密碼標準的組織和技術能力；其次，目前還沒有其他機構能夠做同樣的事情。

NIST制定新密碼標準的獨特組織能力，一是來自法律，包括NIST制定FIPS的責任；二是來自政策（包括政府的支持），1965年《布魯克斯法案》即授權NIST作為自動數據處理標準的提供者。此外，由于強大的密碼技術對美國國家和經濟安全的重要性與日俱增，NIST的組織能力也進一步得到了加強。該機構作為一個非國家安全的政府機構，負責制定非國家安全的密碼標準，這種角色放眼全球也是十分獨特的。

在Dual_EC_DRBG事件中，NIST的科學家們不僅糾正了NSA后門出現的漏洞，而且還在文件和公開演講中為自己的失誤承擔了責任。同時，NIST以公正、誠實和透明的方式處理著密碼標準競爭。因此，如有機構想要取代NIST，必須得復制其能力，還要贏得NIST積累的信任，這個難度是相當高的，故而目前尚未出現能夠替代NIST的其他組織。

四、未來：NIST的地位是否會持續

NIST正在開展輕量級密碼學和后量子密碼標準的競賽，這些標準化工作得到了國際社會的支持，為NIST繼續在制定國際通行的密碼標準方面發揮領導作用起到了積極促進效果。斯諾登事件曝光后，歐盟探索了“技術主權”，以對“美國監控”可能侵害歐洲公民隱私權的擔憂為催化劑，通過監管和激勵相結合的方式，發展歐洲的隱私和安全技術。2015年，NIST和密碼學家們又回到了舒適、互利的角色定位。如果世界仍像20世紀末一樣處于美國統領的狀態，NIST的角色很可能已成功重建，并一直保持下去。

然而，特朗普就任總統后所采取的一系列行動，包括退出《巴黎協定》、關于伊朗核計劃的《聯合全面行動計劃》、聯合國人權理事會和世界衛生組織，拒絕簽署《跨太平洋伙伴關系協定》，威脅退出北大西洋公約組織等，迫使人們對美國信守承諾持懷疑態度。盡管拜登政府執政期間，美國與某些亞洲國家的關系顯著回暖，但鑒于美國國內政治局勢的重大變化，許多亞洲政治家對美國政治體系依然表示謹慎和不信任。

近年來，歐盟、中國、俄羅斯均在推廣本國密碼標準方面作出努力，試圖將開放的互聯網轉變為一個具有超強監控能力的國際通信網絡。這種潛在的轉變，即使只是部分成功，也會對通信安全、單一連接的全球互聯網和許多“分裂網”的持續存在產生許多影響。互聯網的轉型在一定程度上更凸顯出NIST加密標準對美國國家安全的重要性。這些標準是一種軟實力，在美國國家和經濟安全方面發揮了重要作用。但是，NSA制定的密碼標準因缺乏信任而難以達成這樣的效果。NIST制定的標準在過去就有廣泛的信任基礎，目前來看這種局面還將持續下去。

此前，NSA一直反對NIST在制定密碼標準方面發揮作用。而十多年后，隨著強加密技術在世界各國政府中的廣泛應用，NSA將更多的注意力轉移到了計算機網絡的利用上，開始接受NIST作為民用部門密碼標準（包括用于保密的標準）提供者的角色。

目前，美國面臨的國家安全威脅比NSA啟動Dual_EC_DRBG計劃時所面臨的威脅更加復雜。NIST提供的軟實力，不僅僅是其密碼標準的部署，還有其開放密碼標準競爭和誠實中介的模式，有助于美國的國家安全。這對NSA和NIST來說都是一個意義非凡的轉折，因為后者現在以軟實力的方式為美國提供國家安全，雙方目前的關系傾向于合作，共同致力于完成后量子密碼標準的制定。