“熔断和幽灵”有可能威胁量子通信干线的安全

考槃在涧,硕人之宽。独寐寤言,永矢弗谖。考槃在阿,硕人之薖。独寐寤歌,永矢弗过。考槃在陸,硕人之轴。独寐寤宿,永矢弗告。
打印 被阅读次数

“熔断和幽灵”有可能威胁量子通信干线的安全

                                              评京沪量子通信干线工程

2018年的新年刚过,北京时间1月4日凌晨4时左右,英特尔公司通过其官方推特发布了一份关于产品安全漏洞的声明,“渔阳鼙鼓动地来,惊破霓裳羽衣曲。”一夜醒来,人们方知自己桌上的电脑、手中的智能手机和常去的热门网站几乎都存在严重的安全隐患,数字世界中保护我们隐私的原来只有一层糊窗纸,一捅就破,互联网上几乎人人在裸奔。

这次问题出在英特尔的微处理器(CPU),它们都存在“熔断和幽灵”这两种可怕的安全漏洞,这两个漏洞的名字听上去就吓死人[1]。其它公司的微处理器也都存在这些漏洞,他们都是难兄难弟,五十步别笑一百步[2]。最不可思议的是这些芯片底层的安全缺陷竟然存在了一二十年不为人知,长期以来我们引以为傲的数字化大厦原来是建在一片沙滩上,災难隨时都可能发生。

这些带有严重安全漏洞的微处理器不仅用在各种消费电子产品中,也被使用在核电站、飞行器和国防工程中。不信?请看下面这张网上公开的图片。

 

图片展示的是量子通信京沪干线合肥总控中心,这是监控量子通信干线各个枢纽机关(其中主要是可信任中继站)的中心,这是掌握所有机密的核心,这是保护量子通信干线安全的最后屏障。请看总控制台上的计算机(红色箭头所指),屏幕显示正在运行微软公司的视窗操作系统,十有八九该机使用的也是英特尔的微处理器。不知这台计算机是否已经打上了针对“熔断和幽灵”漏洞的修复补丁?在如此高大上的设备中打个补丁,听上去真有点别扭,但又有什么更好的办法呢?(友情提示,微软的补丁本身也有漏洞哦,更新修复须小心。)

除了合肥总控中心控制台上的计算机用了英特尔的微处理器,估计还有成百上千的英特尔微处理器被用在京沪量子干线的各种设备中。量子密码通信能够做的只是密钥分发,它本身无法作加密解密等更为复杂的操作。无论量子密码通信这个过程有多高深多玄乎,无论你上天入地,最终你还得输出壹与零组成的经典电讯号,并把这些二进制的电讯号交给英特尔的微处理器去完成对数据的加密与解密。没有计算机,没有这些微处理器,用几百位长的密钥对数据作加密解密是不可想象的。

京沪量子通信干线从总控制台到各处的可信任中继站使用成百上千的微处理器,这些微处理器,不管是英特尔还是AMD或者ARM全都是一个熊样,全部带着严重的“熔断和幽灵”安全隐患,它们为恶意攻击者在量子干线上窃取密钥提供了许多机会。

存在于微处理器硬件中的安全缺陷对量子通信系统的破坏性远超传统密码系统,其原因主要是两条:1)京沪量子通信干线使用了许多“可信任中继站。在这些中继站里密钥与各类硬件(包括微处理器)有亲密接触,恶意攻击者很容易通过诸如“熔断和幽灵”漏洞直接获取密钥。只要密钥落人手,千里长堤毁一旦。2)量子通信干线的建设者深知这些中继站是命门软肋,必须作彻底的“物理隔离”,就加建了不少监视和遥控设施,因而才有了上面图片显示的总控中心。在这些设施中又用了许多英特尔的微处理器,这就引入了更多的安全隐患和两次性伤害。

传统密码系统没有以上这些问题,因为传统密码严格保证所有通过传输线路上的信息是经过加密保护的,这其中包括数据也包括密钥本身。换言之,无论传输线路上用了多少不安全的设备和微处理器,恶意攻击者不管处在传输线路的什么地方、使用了什么方法,能够看到的都是密文乱码,无法窃取任何有意义的信息。传统密码系统对通信线路和设备从来是不设防的,在互联网时代也根本无法点点设防,传统密码从思维层次上就胜量子通信一筹。

那么传统密码是否就能保证绝对安全,正确的答案是:传统密码能保证信息从A传输到B之间有充分的安全,但是整个信息系统的安全还涉及许多其它因素,例如解密后数据的保管和存放、密钥的更新和保护等等环节,密码本身是无法保证整个信息系统安全的。换言之,传统密码可以保证信道安全,但不能保护信源的安全。只要是使用桌上电脑和手机,黑客就可以利用它们里面微处理器中的“熔断和幽灵”漏洞窃取秘密,不管是传统密码还是量子通信,全都没有用。当然量子通信的问题要更多更严重一点,因为量子通信让裸露的密钥在传送中接触了更多的微处理器。

“我们中间有些人对微软视窗操作系统的许多安全隐患熟视无睹,却对远为成熟安全的公钥密码RSA横挑眉毛竖挑眼,他们天天心安理得地使用着漏洞百出的微软视窗,却把公钥密码RSA描绘成明天就会引爆的地雷。他们的这种思维方式总让人感觉有些滑稽,这有点像即将沉没的游轮上的旅客不赶紧寻找救生圈,却在抱怨船上提供的食品临近保质期。”

上述这段文字摘自我的“量子密码工程建设还有太多不确定因素”一文,该文发表在观察者网上,发表日期为2017年12月6日。差不多一个月后就爆出了英特尔的“熔断和幽灵”事件。这旣不是先见之明,也不是乌鸦嘴,仅是时间巧合而已,只是问题比我预想的还要严重百倍。

推动量子通信的逻辑是公钥密码有安全隐患,对此没人有异议,把量子通信作为一种未来的选项而开展相应的科学研究应该支持,这一直是我的态度。但是必须明白量子通信相关技术远未成熟,而公钥密码的安全隐患还在遥远的未来,匆忙建设京沪量子通信干线既无必要也没条件。任何工程项目上马必须经得起可行性、必要性和成本收益的分析和评判。

有关量子通信的可行性、必要性和成本收益的详细分析可参见我的两篇文章:“炒作量子通信工程,连潘建伟都担心”,“量子密码工程建设还有太多不确定因素”,这里就不再重复。本文有两个重要的新材料要补充。

(1)目前量子通信干线使用的可信任中继站存在安全隐患,干线工程的负责人在公开讲话中不否认这一点。他们透露正在研制替代方案——量子中继,他们自己承认量子中继技术的成熟估计还要十年时间。即使量子中继里面的一系列技术问题(希望里面少用英特尔芯片)在十年中全部被解决,那么现在这十年中这条京沪干线该怎么办?十年后更换所有中继站的费用知多少?这十年中传统密码完全不会有问题也要安全得多,建设这条量子通信干线的收益究竟又在何处?

(2)传统密码系统在今后相当长时期内是足够安全的,这不仅有学术论文为证,近期火热发展的区块链技术是最强有力的佐证。众所周知,公钥密码就是区块链技术的安全基石,可以毫不夸张地说,没有公钥密码的安全就没有区块链技术。如果公钥密码真像量子通信推动者说得那样的不堪一击,为什么IT学术界和企业家会对区块链的明天投入如此多的热情和资金?难道这些人都是傻瓜吗?事实上,公钥密码并没有紧迫的危机,急于想代替公钥密码才真正令人不可理喻。

从更长远的角度来看,任何技术都需要更新和完善,公钥密码技术当然也不例外。但是更新后的系统必须与互联网的总体框架协调,升级换代的过程也要稳步有序地推进。密码系统牵动整个互联网的生态环境,对于这种牵一发而动全身的技术更新,我们千万不能异想天开、草率行事。

必须再次强调,公钥问题仅是密码系统的一部分,而密码系统又只是整个信息系统安全的一部分而已。今日信息系统的安全确实面临一系列严峻的挑战,但如果把这些挑战按危急严重程度罗列出来的话,密码安全问题根本进不了前三甲。隨着信息的电子化和网络化,密钥的产生、管理、分发全部是由电子计算机完成的,相比计算机硬件和操作系统的安全问题,所谓的公钥密码问题真是小巫见大巫了。

今天我们终于看到了微处理器“熔断和幽灵”这个大巫的丑陋可憎的面目了,不过我可以告诉大家,千万别信英特尔轻描淡写的声明,这个大巫掀起的腥风血雨还远未结束。集中精力、协调配合去认真面对当前的头号大巫——“熔断和幽灵”——这才是信息安全领域的头等大事。

[1]利用“熔断”漏洞,低权限的程序可以访问操作系统的内核空间,获取系统底层的核心机密;当用户通过浏览器访问存在“幽灵”恶意程序的网站时,用户的帐号、密码和其它隐私信息可能会被泄漏;在云服务环境中,攻击者可利用“幽灵”漏洞可以突破用户间的隔离,窃取其他人的信息。

[2] “熔断”是最容易被利用的缺陷,Intel所有处理器存在“熔断”缺陷,AMD处理器不存在“熔断”缺陷,ARM只有A57存在“熔断”缺陷。幽灵缺陷也不完全相同,Intel的幽灵缺陷很容易被利用,AMD因为构架复杂,研究者并未能真正突破。岳晓东博士的评论

登录后才可评论.