前不久我写到NSA可能在安然尺度中植进后门。今天，我们谈一谈NSA被求全谴责在尺度中植进后门的两个案例，然后经由过程它们来辨别两种后门之间的不合。

　　第一个案例

　　是关于NIST尺度，SP 800-90A，该尺度具体说了然一种伪随机数生成器(PseudoRandom Generator 以下简称PRG)。一个RPG可以经由过程计较获得一小组不成预感的随机比特，并进而“延展”获得大年夜量的随机比特数。在暗码学中，PRG作为大年夜大都密钥的泉源，是必需的。是以，假定你能“破解”某些人的PRG，你就可以猜想其利用的密钥，进而击溃其全部加密算法。

　　NIST尺度中供给了一些核默算法供PRG选择。此中一个算法利用了一种叫做椭圆曲线的数学布局，在这里我其实不筹算展开介绍这个数学概念。总之，这个算法利用了两个“公开参数”P和Q，它们均在尺度中有指定的值，是以说它们是公开的。

　　暗码学家相信，假定P和Q是随机的，PRG就是安然的。可是2006年，两个自力暗码学家指出，经由过程某种编制选定P和Q后，它们之间就具有了某种特别的关系。一个“局外人”可能其实不知道这类特别关系的存在，可是假定你知道了描述P和Q之间关系的“密钥”，便可以轻松击溃PRG的安然系统。

　　知道了这一点，会发现良多事实突然变得有趣起来。起首，NSA看起来十分执意要将这类算法写进尺度，即便它的运行效力很低;其次，NSA在尺度中指定了P和Q的建议取值范围;第三，NSA并未诠释这些给定的取值范围是若何得出的。如何样，是不是是有点儿意思？

　　不但如斯，此刻已可以经由过程一些已公开的步调，得出新的随机的P和Q，也就是说，以上三种标题问题都可以获得解决，可是NSA并没有这么做。

　　值得寄望的是，(或许是为了辟谣)，前不久(9月10日)，NIST从头开放了SP 800-90A的公开评论。

　　第二个案例

　　是由John Gilmore提出的，他在IPSEC尺度中发现了标题问题。IPSEC被视为安然手艺的一块基石，可以或许为因特网中的小我IP数据包供给完全靠得住的加密。一个成功遍及摆设的IPSEC和谈可以大年夜大年夜强化因特网安然，为多种收集通信供给加密呵护。

　　John说，NSA及其代办署理部门始终在降落该尺度的安然程度与履行效力，同时却不竭进步其复杂水安然安静安然方面的实现难度。虽然John还没有掌控NSA植进后门的确实证据，可是他发现，NSA的确在不竭减弱该尺度的效力，事实上，IPSEC已没有人们想象中的那样安然靠得住。

　　上述案例向我们揭示了两种不合类型的后门。第一个关于PRG的案例中，我们思疑NSA测验测验成立一个只有它能利用的后门，因为只有它知道联系关系P和Q的密钥。第二个关于IPSEC的案例中，NSA不竭减弱用户的安然防护能力，如许它就可以更等闲地拜候你的数据，但同时其他所有人都具有了如许的机缘。

　　可以肯定的是，一个私有后门很可能没法一向“私有”。假定真有如许一个magic密钥，能让NSA窥测所有人的奥秘，那这把钥匙很可能会被滥用或泄漏到外界。是以，NSA私有后门和公开后门之间的边界其实不较着。

　　可是，看起来这两种后门之间仍是引发了不合的政策辩论。前者使得NSA能奥秘地等闲拜候每小我的数据，后者则付与了每小我这类拜候权限，后者的影响力要加倍严重。

　　同时，我们应当看到一个后门是若何创作发现出来的。在PRG的案例中，需要获得拟定尺度的专家们经由过程，NSA才能使其加密过程中那藐小的缺点“蒙混过关”。在IPSEC的案例中，则貌似需要在尺度的全部拟定过程中不竭调和公关勾当才有机缘制造那小小的缺点，在这个过程中，即便没有人发现某种模式，也应当能寄望到某些单个步调，(可是却没有)。

　　或许有人会思疑，这些案例真的是NSA成心而为之，仍是只是空***来风。对此，我们其实不敢包管。可是只要NSA一向具有介入拟定安然尺度的许可权限，我们就有需要，对他们所介入拟定的任何尺度保持思疑。