Clipper晶片查看源代码讨论查看历史
 |
Clipper芯片(Clipper chip)是由美国国家安全局[1] (NSA)开发和推广的芯片组,它是一种加密设备,可以保护“语音和数据消息”,并存在内置后门。它可以被电信公司采用来进行语音传输,对消息进行加密和解密。这是克林顿政府计划的一部分,旨在“允许联邦,州和地方执法人员对截获的语音和数据传输进行解码。”“每个Clipper芯片都有一个唯一的序列号和一个秘密的‘单位密钥’,在制造时会编程到芯片中”,这将使每个设备独一无二。
它于1993年发布,到1996年时已经不再生产。
柯林顿政府
克林顿政府认为,Clipper芯片对于执法人员跟上美国不断发展的技术至关重要。他们争辩说,因为“恐怖分子将不得不使用它与银行,供应商和联系人之类的局外人进行沟通对话,而政府可以监听到这些对话”。
抵制
电子隐私信息中心和电子前哨基金会等组织对Clipper芯片提案提出了质疑,称这不仅会使公民安全受到更多威胁,甚至有可能会受到非法的政府监视。而且由于Clipper芯片设计属于机密,加密强度因此无法受到外界的检验,个人和企业可能会受到不安全的通信系统的困扰。 此外,有人指出,虽然美国公司可能被迫在其加密产品中使用Clipper芯片,但外国公司却不能,并且具有高强度数据加密功能的手机可能会在国外制造并遍及世界各地,再入口到美国,否定整个提案的重点,当然也会在这个过程中严重损害美国制造商的利益。当时的参议员约翰·阿什克罗夫特和约翰·凯瑞反对Clipper芯片提案,主张个人享有对消息加密和出口加密软件的权利。
受到政府试图推动Clipper芯片的影响,几种强大的加密软件包被开发与发布,例如Nautilus, PGP以及PGPfone。其背后的想法是:如果可以在互联网上可以免费使用高强度的加密技术作为替代方案,那么政府将无法阻止其使用。
技术漏洞
1994年,Matt Blaze发表了论文“托管加密标准中的协议失败”(Protocol Failure in the Escrowed Encryption Standard)。指出,Clipper的托管系统存在严重漏洞:芯片传输了一个128位的“法律强制访问字段”(Law Enforcement Access Field),其中包含恢复加密密钥所需的信息。为了防止发送消息的软件篡改LEAF,其中包含16位杂凑 。Clipper芯片不会解码带有无效杂凑值的消息。但是,16位杂凑值太短,无法提供有意义的安全性。蛮力攻击将迅速产生另一个LEAF值,该值将给出相同的杂凑值,但是不会托管正确的密钥。这将允许Clipper芯片用作加密设备,同时禁用密钥托管功能。1997年,一组领先的密码学家发表了论文“密钥恢复,密钥托管和可信第三方加密的风险”,分析了实施密钥托管系统的总体体系漏洞,包括但不限于Clipper芯片Skipjack协议。本文描述的技术缺陷对Clipper芯片作为公共政策选择的消亡起到了重要作用。 尽管计算机科学界的许多领先声音总体上都对Clipper芯片和密钥恢复表示反对,但也有人支持该概念,包括Dorothy E. Denning 。
密钥托管
Clipper芯片使用了一种称为Skipjac的数据加密算法来传输信息,并使用迪菲-赫尔曼密钥交换算法在对等方之间分配密钥。 Skipjack是NSA开发的,该算法最初被归类为机密(SECRET),这使它无法受到密码学研究社区的同行审查。政府确实声明使用80位密钥,该算法是对称加密,并且与DES算法相似。Skipjack算法于1998年6月24日由NSA解密并公布。据说该芯片的初始成本为16美元(未经编程)或26美元(编程),其逻辑由Mykotronx设计,制造商为VLSI Technology,Inc。(请参阅本页图像上的VLSI徽标)。
这个概念的核心是密钥托管 。在工厂中,任何具有Clipper芯片的新电话或其他设备都将获得一个加密密钥 ,然后将其提供给托管机构 。如果政府机构“建立了权限”来收听通信,则将密钥提供给那些政府机构,然后后者可以解密通过特定电话传输的所有数据。当时刚成立的电子前沿基金会更喜欢“密钥投敌(key surrender)”一词,以强调他们所谓的真实发生的事情。