網(wǎng)絡(luò)犯罪給我們帶來(lái)巨大損失。平均下來(lái)凿傅,美國(guó)的公司每年要花費(fèi) 1540 萬(wàn)美元蕴侣,去應(yīng)對(duì)各種黑客焰轻。 而一次惡意攻擊造成的混亂殘局,則需要企業(yè)花費(fèi) 1900萬(wàn)美元去收拾昆雀。冷酷的事實(shí)就是如此:我們的安全系統(tǒng)辱志,不足以抵御黑客蝠筑。
但希望尚存。 企業(yè)可以對(duì)數(shù)據(jù)進(jìn)行加密揩懒,這樣一來(lái)什乙,黑客即便截獲了數(shù)據(jù),也一無(wú)用處已球〕剂停可惜的是,今天的加密技術(shù)智亮,都是可以破解的退疫,只要你有合適的工具就行。?
那么鸽素,是否有一種技術(shù),能夠徹底改變互聯(lián)網(wǎng)安全的游戲規(guī)則亦鳞?
在新墨西哥州的洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室馍忽,科學(xué)家們已經(jīng)朝著這個(gè)方向邁出了第一步。他們發(fā)明了一個(gè)設(shè)備燕差,大小和糖果盒差不多遭笋,這個(gè)設(shè)備安裝在一個(gè)顯卡大小的主板上。這個(gè)盒子外表不起眼徒探,但里面卻是瘋狂漲落的量子光場(chǎng)-這是世界上從未有過(guò)的瓦呼,最快速、最可靠测暗、真正的隨機(jī)數(shù)生成器央串。
洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室位于美國(guó)新墨西哥州的洛斯阿拉莫斯,1943年成立碗啄,以研制出世界上第一顆原子彈而聞名于世质和。一直由加利福尼亞大學(xué)負(fù)責(zé)管理。這里云集了大批世界頂尖科學(xué)家稚字,目前共有1.2萬(wàn)名雇員饲宿,每年經(jīng)費(fèi)預(yù)算高達(dá)21億美元。物理學(xué)家奧本海默是實(shí)驗(yàn)室的第一任主任胆描。世界上第一顆原子彈和第一顆氫彈都在此誕生瘫想。
為何生成隨機(jī)數(shù)如此困難?
大多數(shù)人并不知曉昌讲,他們每天都要使用隨機(jī)數(shù)去登錄網(wǎng)站国夜,發(fā)送郵件和購(gòu)物。而讓網(wǎng)站更安全的一個(gè)關(guān)鍵要素是剧蚣,URL中是 "https"支竹,而不是"http"旋廷。 在使用 https的站點(diǎn)上,電腦與服務(wù)器之間的通信礼搁,都使用隨機(jī)數(shù)進(jìn)行了加密饶碘,黑客難以攔截這些信息。隨機(jī)數(shù)被廣為應(yīng)用去保護(hù)各種信息馒吴,從亞馬遜網(wǎng)站上輸入的信用卡號(hào)碼扎运,到NSA的機(jī)密文件。
當(dāng)我第一次聽(tīng)到量子隨機(jī)數(shù)生成器饮戳,我也是懵逼的豪治,根本不了解此事意義重大。2012年扯罐,我首次訪問(wèn)洛斯阿拉莫斯负拟,去看看實(shí)驗(yàn)室里是否有可以民用的技術(shù),這是我的工作職責(zé)之一歹河。在國(guó)土安全局的 TTP 工程中掩浙,我是負(fù)責(zé)人。
那一次秸歧,我聽(tīng)取了關(guān)于量子秘鑰交換的介紹厨姚。這種技術(shù)和量子隨機(jī)數(shù)生成器不同,也更復(fù)雜键菱。洛斯阿拉莫斯實(shí)驗(yàn)室的量子通信課題負(fù)責(zé)人谬墙,Beth 和 Richard,并沒(méi)有充分的時(shí)間準(zhǔn)備我的拜訪经备,也沒(méi)有能夠?qū)?0年研究的成功拭抬,簡(jiǎn)化成我這樣一個(gè)量子物理和密碼學(xué)的門外漢能夠聽(tīng)懂的程度。他們大談闊論“Diffie-Hellman加密算法”和“量子糾纏”侵蒙,聽(tīng)得我暈頭轉(zhuǎn)向玖喘。直到最后,他們才提起了隨機(jī)數(shù)生成器蘑志。
Whitefield與Martin Hellman在1976年提出了一個(gè)奇妙的密鑰交換協(xié)議累奈,稱為Diffie-Hellman密鑰交換協(xié)議/算法
一年過(guò)后,我再次到訪急但。量子隨機(jī)數(shù)生成器的重要性澎媒,就非常明顯了。Beth 和 Richard 給我演示了當(dāng)時(shí)最新的樣機(jī)波桩,大小和微波爐差不多(比之最初的冰箱大小戒努,已經(jīng)縮小了很多)。他們?cè)敿?xì)解釋了這個(gè)設(shè)備所解決的密碼學(xué)問(wèn)題的難度。當(dāng)我理解了他們的項(xiàng)目后储玫,我們選擇了這個(gè)項(xiàng)目作為下一個(gè) TTP 課題侍筛。
TTP:?Transition to Practice,科研成功轉(zhuǎn)為商業(yè)實(shí)用項(xiàng)目
“熵”撒穷,“混亂度” 的重要性匣椰,或者如何使用熔巖臺(tái)燈加密
今天的大多數(shù)加密系統(tǒng)使用秘鑰:隨機(jī)的長(zhǎng)字符串或者近于隨機(jī)的數(shù)字。 包括 “https” 站點(diǎn)用來(lái)加密數(shù)據(jù)的 SSL 和 TLS 協(xié)議端礼。SSL 和 TLS使用一對(duì)秘鑰去建立到服務(wù)器的安全連接禽笑,其中一個(gè)秘鑰是公開的,另一個(gè)秘鑰是私有并保密的蛤奥。如果公鑰的隨機(jī)性不夠佳镜,黑客就可以用公鑰去推測(cè)私鑰中的字符,從而獲得個(gè)人信息的訪問(wèn)權(quán)凡桥。
所以蟀伸,良好的秘鑰非常關(guān)鍵。秘鑰越長(zhǎng)缅刽,加密越可靠望蜡;所謂“256位加密”,就是指用256位長(zhǎng)的秘鑰進(jìn)行加密拷恨。 還有一種方法增加可靠性,就是增加秘鑰的混亂度:秘鑰中字符的隨機(jī)性谢肾。 但實(shí)際上腕侄,現(xiàn)實(shí)世界中很難獲得真正的隨機(jī),秘鑰通常由所謂的偽隨機(jī)數(shù)生成器提供:在一串短的芦疏、真正隨機(jī)的“種子”隨機(jī)數(shù)上冕杠,設(shè)備進(jìn)行加工,擴(kuò)大隨機(jī)數(shù)的混亂度酸茴。 而真正的隨機(jī)數(shù)生成器分预,就是用來(lái)生成“種子”數(shù)列的。
隨機(jī)薪捍,不容易
隨機(jī)數(shù)生成器笼痹,幾乎從所有可能的地方去抓取“熵”,或者叫“亂碼”:環(huán)境數(shù)據(jù)酪穿,電磁波凳干,甚至熔巖臺(tái)燈中蠟團(tuán)的運(yùn)動(dòng)。(熔巖燈的隨機(jī)性還不錯(cuò)被济,直到某個(gè)晚上清潔人員關(guān)了燈救赐,隨機(jī)數(shù)就成了零了)
大多數(shù)的“亂碼”來(lái)源很尋常。英特爾芯片都有內(nèi)置的隨機(jī)數(shù)生成器只磷,從芯片的電子“噪音”中獲取“亂碼”经磅。 Linux 內(nèi)核跟蹤電腦上的各種雜亂事件泌绣,包括鼠標(biāo)點(diǎn)擊的時(shí)間間隔,或者鍵盤敲擊的時(shí)間間隔预厌。 電腦和服務(wù)器阿迈,將把這些隨機(jī)信息存入一個(gè)庫(kù)中,供系統(tǒng)取用配乓。
只是仿滔,遺憾的是,隨機(jī)數(shù)并非看上去那么隨機(jī)犹芹。例如崎页,如果一臺(tái)服務(wù)器上沒(méi)有足夠的網(wǎng)絡(luò)流量,Linux 內(nèi)核提供的隨機(jī)數(shù)將隨時(shí)間而減少腰埂。英特爾那樣的硬件隨機(jī)數(shù)生成器飒焦,也不是那么理想。黑客通過(guò)干擾電腦的溫度和電源屿笼,可以影響芯片中的電子“噪音”∥現(xiàn)場(chǎng)的輻射和其它自然現(xiàn)象都會(huì)降低混亂度。
另外驴一,要測(cè)試系統(tǒng)的輸出是否真的隨機(jī)休雌,幾乎是不可能的。舉個(gè)例子肝断,圓周率 pi 的數(shù)字通過(guò)了所有隨機(jī)數(shù)統(tǒng)計(jì)測(cè)試杈曲,但沒(méi)有用,因?yàn)楹翢o(wú)疑問(wèn) pi 的數(shù)字是可以推算的胸懈。這就讓隨機(jī)數(shù)生成器的質(zhì)量控制担扑,非常非常困難。
量子計(jì)算的解決方案
量子隨機(jī)數(shù)生成器趣钱,是如此革命性的創(chuàng)造涌献,就在于它解決了這些問(wèn)題。 它所基于的自然過(guò)程首有,是完全隨機(jī)的燕垃,從根本上就是隨機(jī)的。即使是環(huán)境因素劇烈變化井联,例如溫度變化利术、或者電磁爆,都不能讓量子漲落失去其隨機(jī)性低矮。量子是絕對(duì)可靠的隨機(jī)源印叁,而且,基于量子的隨機(jī)數(shù)生成器,運(yùn)行速度極其快轮蜕。(速度快的特性昨悼,讓推廣這項(xiàng)技術(shù)的whitewood公司,宣稱一個(gè)盒子可以為整個(gè)數(shù)據(jù)中心提供隨機(jī)數(shù))
這是未來(lái)的技術(shù)潮流-讓在線購(gòu)物跃洛,讓無(wú)人駕駛率触,所有一切的互聯(lián)網(wǎng)技術(shù),都更加安全汇竭。
(原文: http://techcrunch.com/2016/03/20/inside-the-starburst-sized-box-that-could-save-the-internet/)
