盛名与苍凉, 非对称密码的问世
00 分钟
2023-8-10
2024-12-14
type
status
date
slug
summary
tags
category
icon
password
 
GCHQ 所在的布莱切利是图灵破译恩尼格码机的地方,,,科技史上先后造轮子(虽然造轮子不是个好词)的例子不要太多,自己发现的公式、定律、算法被冠以他名也很常见,但其中历史缘由总使人叹息. 我想起《模仿游戏》中战争结束后图灵团队解散,漫天火光中,多年来的心血化为灰烬,可能生命结束时仍无法将自己的发现公布于世,即使它是里程碑级别的. 如詹姆斯·艾利斯所言,密码学界尽量让人对它一无所知,研究成果才能得到它最高的应用价值.
GCHQ 所在的布莱切利是图灵破译恩尼格码机的地方,,,科技史上先后造轮子(虽然造轮子不是个好词)的例子不要太多,自己发现的公式、定律、算法被冠以他名也很常见,但其中历史缘由总使人叹息. 我想起《模仿游戏》中战争结束后图灵团队解散,漫天火光中,多年来的心血化为灰烬,可能生命结束时仍无法将自己的发现公布于世,即使它是里程碑级别的. 如詹姆斯·艾利斯所言,密码学界尽量让人对它一无所知,研究成果才能得到它最高的应用价值.
 
 
过去二十多年来,迪菲、黑尔曼和墨克一直以发明公开钥匙加密系统概念的密码学家闻名于世,瑞维斯特( Rivest )、薛米尔 ( Shamir ) 和艾多曼 ( Adleman ) 则以研发 RSA 系统——公开钥匙加密概念最漂亮的实际应用系统——受到赞扬. 然而,最近的一项宣告却显示,这段历史得补充一些内容. 根据英国政府的公告,位于查腾翰、前身是布莱切利园的最高机密组织政府通讯总 ( GCHQ ) 首先发明了公开钥匙加密系统. 这是一段有关卓越的原创力与无名英雄的故事,被政府隐瞒了二十多年.
 
这段故事始于20世纪60年代末期,英国军方开始担忧钥匙发送的问题. 高阶军官展望20世纪70年代时,预期无线电设备的小型化与成本的缩减,将使每个士兵都能利用无线电设备持续跟他的长官保持联系. 通讯网广布的优点当然很多,可是这些通讯势必得加密,钥匙发送问题也就会更加困难,甚至可能无法克服. 在那个时代,只有对称式的加密系统,所以每只钥匙都得秘密传送给通讯网的每名成员. 最后,钥匙发送的负担很可能遏阻通讯网的扩张. 在1969年初,军方要求詹姆斯·艾利斯 ( James Ellis ),英国最重要的一位政府密码学家,寻找发送钥匙的方法.
 
艾利斯是一位求知欲很强、有一点儿反常的怪人. 他很自豪地宣称,在出生以前,他就环游世界半周了——他母亲在英国怀了他,却在澳大利亚生下他. 然后,还是婴儿时,他回到伦敦,20世纪20年代就在东区长大的. 在学校他的主要兴趣是科学,到了帝国理工学院 ( Imperial College ) 他攻读物理,随后加入了位于达里斯丘的邮政研究站,汤米·弗洛尔兹就是在这儿造出第一台破解密码的计算机“巨像”. 达里斯丘的密码研究部门后来被收编到GCHQ里,所以在1965年4月1日,艾利斯搬到查腾翰,加入 GCHQ 新成立的通讯电子安全组( Communications-Electronics Security Group,简称 CESG ), 一个专门负责英国通讯安全的特别部门. 既牵涉到国家安全问题,艾利斯宣誓保守他的职业秘密. 他的妻子与家属知道他在 GCHQ 工作,对他的成就却毫不知情,不晓得他是英国最杰出的解码专家之一.
 
虽有熟练的密码破解技巧,艾利斯从未受派负责任何重要的 GCHQ 研究小组. 他才气焕发,但也是不按牌理出牌、很内向、不怎么能协同作业的人. 他的同事理查德·沃顿 ( Richard Walton ) 回忆道: 他的工作态度相当任性,他并不适合 GCHQ 的日常业务. 可是,讲到新点子的构思,他却相当优异. 有时候你得剔掉一些馊主意,但他真的很有原创力,而且非常愿意挑战正统学说. 如果 GCHQ 的人全都像他,我们的麻烦就大了. 不过跟大部分的组织比起来,我们算是蛮能忍受这一类人物的. 我们这儿有一堆像他一样的人.
 
艾利斯最显著的特质之一是他吸取知识的能力. 任何他拿得到的科学期刊,他都会读过一遍,而且从不丢弃. 为了安全理由,GCHQ 的职员每天晚上必须清理他们的办公桌,每样东西都要锁进柜子里. 艾利斯的柜子就塞满了你想得出来的最晦涩的刊物. 他得到“密码宗师”( cryptoguru ) 的名号,其他研究员碰到无法解决的问题时,都会来敲他的门,希望他惊人的知识与原创力能提供解答. 也许就是这个名号使得军方决定请他检视钥匙发送问题.
 
发送钥匙的成本已经非常高,甚至可能变成扩张密码应用范围的阻碍因素. 只要降低10%的钥匙发送成本,就能大幅节省军方的安全预算了. 然而,艾利斯的反应,不是慢慢细嚼这个问题,而是马上开始寻找革命性的、彻底的解决方法. “他探究问题时,总爱问:‘这真的是我们想做的吗?’”沃顿说道,“詹姆斯就是詹姆斯,他最先的反应之一,就是挑战分享秘密数据,我是指钥匙的必要性. 没有任何定理说,你一定得有一个共同的秘密. 所以这一点是可以挑战的.
 
詹姆斯 · 艾利斯
詹姆斯 · 艾利斯
 
艾利斯对付这个问题的头一步是:钻进他堆满科学论文的宝库. 多年后,他记录下他如何发现钥匙的发送并非密码系统不可或缺的元素:改变这个观点的是贝尔电话公司在战争时期的一份报道. 某位不知名的作者叙述过一个独创的安全通话构想: 叫收信人在电话在线加入噪音,以遮掩发信人所说的话. 事后他可以消除这些噪音,因为这些噪音是他加上去的,他可以分辨得出来. 这个方法有明显的实际应用缺点,而未被采用,可是它有一些很有意思的特点. 这个方法和传统加密系统的差别是,前者的接收方参与了加密的过程. 这个构想就诞生了.
 
在此,噪音是一个技术性名词,指的是任何侵扰通讯的讯号. 噪音通常是自然产生的,而它最扰人的特质是它完全没有规律性,要从一则信息除掉噪音也就因此非常困难. 设计良好的无线电系统噪音度会非常低,信息也就会很清晰,如果噪音度很高,它会淹没信息,而且这些信息无法复原. 艾利斯想象:收信人爱丽丝刻意制造一些噪音,仔细测量过后,再加入她与鲍勃的通讯频道. 这时,鲍勃送信息给爱丽丝时,不用担心伊芙偷搭这条通讯频道,因为这些噪音会淹没这则信息,伊芙根本没有办法阅读. 伊芙也没有办法分离这些噪音和信息. 唯一能除去这些噪音、阅读这则信息的是爱丽丝,因为只有她知道这些噪音的确切性质,毕竟一开始就是她放进这些噪音的. 艾利斯意识到,这样的方法不需要交换任何钥匙就可以达到安全通讯的目的. 噪音就是钥匙,而且只有爱丽丝需要知道这些噪音的细节.
 
在他的备忘录里,艾利斯详述了他的思考过程:“下一个问题自然是:这可以用于一般的加密形式吗?我们可以造出一则安全的加密信息,让原收信人在没有事先秘密交换钥匙的情况下仍可以阅读吗?有一个晚上,我开始真正思考这个问题. 几分钟后,它理论上可行的证据就出来了. 我们有一个存在定理. 无法想象的事,其实是可能的. ”( 存在定理只显示特定的概念是可能的,但不关涉概念的细节. )换句话说,在这之前,寻找钥匙发送问题的解决方法,犹如在稻草堆中寻针,而且那根针有可能根本不在草堆. 现在,这个存在定理让艾利斯知道,那根针的确在里面的某个地方.
 
艾利斯的想法跟迪非、黑尔曼和墨克的非常相似,唯一的差异是,他比他们早了几年. 可是,没有人知道艾利斯的研究,因为他是英国政府的职员,宣誓守密. 1969年年底,艾利斯遇到了日后斯坦福三人小组在1975年抵达的困境. 他已经向自己证明公开钥匙加密法 ( 刚开始,他把它称为非秘密加密法 ) 是可行的,并发展出公开钥匙和私人钥匙的概念了. 他也知道他需要一个特别的单向函数,一个只有握有特殊信息的收信人才能求出原值的函数. 可惜,艾利斯不是数学家. 他实验过几个数学函数,可是他很快就意识到,光靠他自己一个人不会有所进展.
 
在这种情况下,艾利斯跟他的上司透露他的突破. 他们的反应至今仍列为机密文件,不过在某次访谈中,理查德·沃顿同意简述记载在许多备忘录里的交换意见. 他把公文包放在膝上,用公事包的盖子遮住稿子不让我看见,轻轻翻过那些文件:我不能让你看这些文件,因为它们仍盖满调皮的字眼,如“最高机密”之类的. 要点是,詹姆斯的构想传到了顶头上司那儿,他以顶头上司固有的方式把它寄送出去,让专家们瞧一瞧. 他们表示詹姆斯所说的千真万确. 换句话说,他们不能说他是怪胎、不理他. 可是他们又想不出任何实际应用他的构想的法子. 所以,他们既对詹姆斯的发明才能印象深刻,但又不确定该如何利用它.
 
接下来的三年,GCHQ 的顶尖头脑努力寻找可以满足艾利斯要求的单向函数,却没有任何斩获. 然后在1973年9月,一位新的数学家加入这个小组. 克里佛·考克斯 ( Clifford Cocks )刚从剑桥大学毕业,他主攻数论,是最纯粹的数学领域之一. 他加入 GCHQ 时,对密码学以及军事与外交通讯的隐晦世界没多少概念,因此他们指派尼克·帕特森 ( NickPatterson ) 辅导他,在他进入 GCHQ 的头几个星期给他一些指引.
 
大约六个星期后,帕特森跟他讲起那个“实在很古怪的点子”. 他简介了艾利斯的公开钥匙加密系统理论,并解释说还没有人找出完全符合条件的数学函数. 帕特森告诉考克斯这一些,是因为它是这儿最逗人的密码应用点子,并没期待他会尝试解决它. 然而,考克斯后来解释道,那天他坐下来工作时,“没有什么特别的事. 我就想,我不如来思索一下这个点子. 我的研究领域一直是数论,自然会想到单向函数,只能演算出来,不能推算回去的东西. 质数和分解因数是理所当然的候选人,于是就成了我的起点. ”考克斯开始写出后来被称为RSA非对称密码法的公式. 瑞维斯特、薛米尔和艾多曼在1977年发现他们用作公开钥匙加密系统的公式,可是这位年轻的剑桥毕业生比他们早四年经历同样的思索过程. 考克斯回忆道:“从开始到完成,只花了我半小时的时间. 我对自己相当满意. 我想:‘嗯,不错哦. 人家给我一个问题,我把它解决了. ’”
 
考克斯有些低估他的发现的重要性. 他不知道 GCHQ 的顶尖头脑已经跟这个问题奋战三年了,不晓得自己的成就是20世纪最重要的密码学突破之一. 考克斯的天真或许是他成功的部分缘由;他信心十足地直攻这个问题,不是怯然地刺戳它. 考克斯告诉帕特森他的发现,帕特森随即转告上司. 考克斯跟大家不太一样,他还是个新手,帕特森则非常清楚这个问题的意义,较能处理它后继的技术性问题. 很快就有一群完全陌生的人物过来向考克斯这个神童道贺. 其中一位陌生人是詹姆斯·艾利斯,渴望认识这位使他的梦想成真的先生. 考克斯还未了解他的成就有多惊人,因而对这次的会面没有多大印象,过了二十多年,如今他已回想不起艾利斯当时的反应了.
 
克里弗·考克斯
克里弗·考克斯
 
考克斯终于了解那项发现的意义时,他想到,名列20世纪前半叶最伟大的英国数学家的哈代很可能会为他的发现极度失望. 哈代在1940年写了一本书《数学家的告白》,很自豪地说道:“真正的数学跟战争没有任何关系. 还没有人发现数论有任何战争用途. ”他所谓真正的数学指的是纯数学,例如数论,也就是考克斯的研究重心. 考克斯证明哈代错了. 现在,数论的复杂性也可以用来协助军事将领秘密地规划他们的战役. 正由于他的研究跟军方通讯有关联,考克斯跟艾利斯一样,不准对 GCHQ 以外的人透露他的工作. 在最高机密政府机构工作,意味着他不能跟他的父母或是剑桥大学的老同事谈论他的发现. 他只能告诉他的妻子吉尔 ( Gill ),因为她也任职于 GCHQ.
 
考克斯的构想虽是 GCHQ 最有应用潜力的秘密之一,却是生不逢时. 考克斯发现了可以建立公开钥匙加密系统的数学函数,当时的状况却很难实施这套系统. 公开钥匙加密系统所需要的电脑功能,跟对称式密码法如 DES 相较,高很多. 在20世纪70年代初期,计算机还相当初级,无法在合理的时间内执行完公开钥匙加密的程序. 因此,GCHQ 无法开发公开钥匙加密系统. 考克斯和艾利斯证实了这个看似不可能的构想是可能的,却没有人能使这个可能的构想变成实际可行.
 
在第二年初,1974年,考克斯跟新近加入 GCHQ 的密码学家马尔科姆·威廉森 ( MalcolmWilliamson ) 说明他的公开钥匙加密系统. 他们是老朋友. 他们都是曼彻斯特大学预科学校的学生,该校校训是 Sapere aude ( 勇于成为智者 ). 1968年,还在学校时,他们俩代表英国前往苏联参加数学奥林匹克竞赛. 一起上剑桥大学后,他们走了不同的路,如今却在 GCHQ 重聚. 从17岁开始,他们就常交换一些数学想法,考克斯的公开钥匙加密系统构想却是威廉森所听过最令人震惊的想法. “克里佛跟我解释他的构想时,”威廉森回忆道,“我真的不相信. 我非常怀疑,因为这实在太奇异了. ”
 
结束谈话后,威廉森开始尝试证明考克斯犯了错,想要证明公开钥匙加密系统并不存在. 他试验那道公式,寻找藏匿在底下的漏洞. 威廉森觉得,公开钥匙加密系统听起来太好,好得不可能成真,他一心一意要找出错误,于是把这个问题带回家. GCHQ 的员工不该把工作带回家的,因为他们的每件工作都是机密,而住家环境有可能会被间谍渗透. 可是这个问题深陷在威廉森的脑袋里,他没有办法不去想它,所以他违反命令,把它带回家去了. 他花了5个小时,尝试找出缺陷. “我没有达到目的,”威廉森说,“反倒想出另一个解决钥匙发送问题的方法. ”威廉森也想出了迪菲-黑尔曼-墨克钥匙交换法,大约是跟马丁·黑尔曼同时候发现的. 威廉森最初的想法反映了他爱嘲讽的性情:“我告诉自己,这看起来很棒,不知道能不能在这一个想法找出漏洞. 我想,我那天的心情大概是看什么都不顺眼. ”
 
马尔科姆·威廉森
马尔科姆·威廉森
 
1975年,詹姆斯·艾利斯、克利佛·考克斯和马尔科姆·威廉森建立了公开钥匙加密系统的所有基础,却都必须保持沉默. 这三位英国人必须坐视自己的发现被迪菲、黑尔曼、墨克、瑞维斯特、薛米尔和艾多曼在接下来那三年陆续发现. 说起来也很奇妙,GCHQ 先发现了 RSA,再发现迪菲-黑尔曼-墨克钥匙交换法,在外界则是迪菲-黑尔曼-墨克钥匙交换法先诞生. 科学刊物报道了斯坦福和麻省理工学院所做的突破,这些可以在科学期刊发表成果的研究员在密码学界变得非常有名. 透过搜索引擎你可以在互联网找到15页提到克利佛·考克斯的网页,提到卫德费·迪菲的却有1,382页. 考克斯的态度非常内敛:“想公开获得赞扬,就不会来做这份工作. ”威廉森显得同样冷静:“我的反应是‘好的,人生就是如此. ’基本上,我还是继续过我的生活罢了. ”
 
唯一叫威廉森觉得可惜的是 GCHQ 没有申请公开钥匙加密系统的专利. 考克斯和威廉森研发出他们的突破时,GCHQ 认为申请专利是不可能的,因为专利的申请牵涉到研究细节的揭露,有违 GCHQ 的宗旨. 再来,在20世纪70年代初,数学演算式能否列为专利还是个问题. 然而1976年,迪菲和黑尔曼尝试申请专利时,数学演算式显然可以列为专利了. 这时候,威廉森很想公开他的研究,阻止迪菲和黑尔曼的申请,可是他的长官不准他这么做. 他们的眼光不够远,未能预见数字革命和公开钥匙加密系统的潜力. 1980年初,计算机的发展以及刚萌芽的互联网显示,RSA 和迪菲-黑尔曼-墨克钥匙交换系统有惊人的商机,威廉森的上司不禁开始为他们的决定后悔. 1996年,负责销售RSA产品的RSA数据安全公司 ( RSA Data Security Inc.) 被其他公司以两亿美金的价格买下.
 
GCHQ 的研究工作虽是机密,有一个组织却知道英国所做的突破. 在1980年初,美国的 NSA 知道艾利斯、考克斯和威廉森的研究成果. 卫德费·迪菲可能就是透过 NSA 听到英国这些发明的传闻. 1982年9月,迪菲决定探究这个传闻的真相. 他和他妻子前往查腾翰,想跟艾利斯当面谈一谈. 他们在当地的酒吧碰面. 艾利斯突出的性格很快就令玛丽大为赞仰:“我们围坐在一起聊着聊着,我忽然意识到这是一位你想象得到最美妙的人. 关于他的数学知识深广,我是没有评论的资格,但他是一位真正的绅士,谦虚至极,一位气度宽宏、非常有教养的人. 我说很有教养,不是指那种老派、陈腐的作风. 这位先生是一位真正的’骑士’. 他是个好人,真正的好人. 他是一位温柔和善的人. ”
 
威廉森(左2) 及考克斯(最右)参加 1968 年奥林匹克数学竞赛
威廉森(左2) 及考克斯(最右)参加 1968 年奥林匹克数学竞赛
 
迪菲和艾利斯什么都聊,从考古学一直到木桶里的老鼠如何改进苹果汁的味道,可是每当他们的对话慢慢漂向密码学时,艾利斯就会和缓地改变话题. 就在迪菲必须结束这趟拜访,准备离开时,他再也忍不住而直接对艾利斯提出藏在他心里的问题:“告诉我,你们是怎么发明公开钥匙加密系统的?”踌躇很久后,艾利斯低声说道:“呃,我不知道我能谈多少. 且允许我这么说吧,在这方面你们做的比我们多多了. ”
 
尽管公开钥匙加密系统是 GCHQ 先行发明的,我们不该因此贬低那些稍后发明出同一套系统的学术界人士的成就. 最先察觉公开钥匙加密系统潜力的,是这些学术界人士,这套系统的实际应用是他们促成的. 此外,GCHQ 很可能永远不会公开他们的研究成果,因而封锁了一套使数字革命得以完全发挥其潜力的加密形式. 再者,这些学术界人士的发明跟 GCHQ 的发明完全没有关联,他们所展现的智慧是同等的. 学术界跟最高机密研究领域完全绝缘,他们不得利用藏在机密世界里的工具和知识. 政府的研究员却能随时阅读学术界的文献. 这样的信息流向也可以视为单向函数——信息可以顺畅地单向流通,反向传送信息则有阻碍.
 
迪菲把艾利斯、考克斯和威廉森的事告诉黑尔曼时,他的想法是,学术界的这些发现应该列为机密研究历史的脚注,GCHQ 的发现则应列为学术研究历史的脚注. 然而,在这个时候,除了GCHQ、NSA、迪菲和黑尔曼外,没有人知道这项列为机密的研究成果. 提都不能提了,遑论将它列为脚注.
 
到了20世纪80年代中期,GCHQ 的态度开始转变,管理阶层开始考虑公告艾利斯、考克和威廉森的研究. 公开钥匙加密系统所使用的数学公式已经是公之于世的普遍知识,他们也看不太出来还有什么理由再对这件事那么神秘兮兮的. 事实上,公开他们在公开钥匙加密系统的创始成果,反而对他们自己较好. 理查德·沃顿回忆道:1984年,供出所有实情的念头已经在我们脑子里好一阵子了. 我们看出GCHQ被公开赞扬的好处. 政府的安全技术市场正开始扩张它的客户圈,开始接触非军方与外交界的客户,我们必须赢取那些以往没有跟我们打过交道的客户的信心. 在撒切尔主义 ( Thatcherism ) 当中,我们正设法阻遏某种“坏政府,好人民”的思潮. 我们打算发表论文时,那个写《猎捕间谍》 ( Spy catcher ) 的讨厌鬼彼得·莱特 ( PeterWright ) 突袭击溃了这个念头. 我们正在游说上面的管理阶层核准发表时,《猎捕间谍》引起一阵大惊小怪的骚动. 结果,当天的命令是“头低下来,帽子戴上. ”
 
彼得·莱特是退休的英国情报军官,他的回忆录《猎捕间谍》,让英国政府困窘不已. 又过了13年后,GCHQ 才公开实情——距艾利斯最初的突破28年了. 1997年,克里佛·考克斯完成了一些有关RSA、未被列为机密的重要研究,外界势必对这项研究成果很有兴趣,而公开它也不至于有什么安全风险. 因此,他接受邀请前往数学研究院以及它在赛伦塞斯特 ( Cirencester ) 举行的应用研讨会发表他的论文. 届时,听众席势必会坐满密码学专家,其中几位一定知道,将对 RSA 系统其中某个层面发表演说的考克斯其实是这整套系统尚未被赞颂的发明人,而可能会有人提出令他尴尬的问题,像是“你有发明 RSA 吗?”这类问题出现时,考克斯该怎么回答?依照 GCHQ 固有的政策,他必须否认他在 RSA 的发展过程中所扮演的角色,等于要他为一个完全无害的问题撒谎. GCHQ 也意识到这会显得很荒谬,于是决定改变政策. 考克斯获准在开始演讲前,先简短介绍 GCHQ 对公开钥匙加密系统的贡献.
 
1997年12月18日,考克斯发表他的演说. 守密了将近30年后,艾利斯、考克斯和威廉森终于获得他们应得的赞赏. 可叹的是,詹姆斯·艾利斯在1997年11月25日早了一个月去世,享年73岁. 艾利斯也进了那些在有生之年未能公开他们的贡献接受赞扬的英国密码专家名单. 查尔斯·巴贝奇破解维吉尼亚密码的成就未能在有生之年公开,因为这项突破对参加克里米亚战争的英国军队而言非常珍贵. 结果,弗德烈·卡西斯基赢得这项突破的荣誉. 同样地,阿兰·图灵对第二次世界大战的贡献也是无可比拟的,政府的保密政策却不允许他这些破解“奇谜”的工作曝光.
 
1987,艾利斯写了一份列为机密的文件,记录了他对公开钥匙加密系统的贡献. 对于常环绕着密码研究工作的保密主义,他也略述了他的感想:
密码学是一门最不寻常的科学. 大多数的专业科学家都争相发表他们的研究成果,因为透过传播宣扬,这些成果才有实际价值. 相反地,密码学界尽量让潜在对手对它几乎一无所知,研究成果才能得到它最高的应用价值. 因此,专业的密码学家通常都在一个密闭的圈子里工作,一方面有足够的专业交互作用来确保质量,另一方面对外保密. 通常只有为了确保历史纪录的正确性,而且继续保守秘密实在没有任何利益后,这些秘密才会被揭开.
 
转载自《码书:编码与解码的战争》
 
 
 
上一篇
贺新郎 · 读史
下一篇
何谓越位? OFFSIDE 的前世今生

留言区 ( 需等待加载几秒 >_< )
Loading...