你的密码安全吗?
牛牛是某大学计算机系的大二学生,小伙儿颜值很高,而且也潮,一点儿也没有技术宅男的气质。性格也很顺和,平时不管讨论什么,或者开他开涮开黑开玩笑,他都总是笑眯眯的。我有次很好奇的问他:
你是不是从不生气啊?
他顿时一脸的苦相:
谁说的,每次放假回家回到家里那些亲戚,我分分钟都想要抓狂!
啊!难道现在的七大姑八大姨逼婚催婚的“魔掌”连大学没毕业的小鲜肉也不放过了!?我顿时燃起了熊熊八卦之心,谁知,他对我吐槽说:
我平时放假最怕的就是亲戚问:小牛回来了?太好了,我的那个 qq/邮箱/银行账号密码忘记了,你快点儿帮我找回来!我说我不知道密码没法找回啊,那帮子亲戚就会一脸的不屑:这孩子,学习学傻了,你不知道可以破解啊!!
呃……听的我也有点儿忿忿不平。
你们家的这些亲戚真过分,肿么能让大二的学生干这个呢?起码得大四以后才能吧!
话没说完,牛牛同学已经快要口吐白沫晕倒在地了……
其实,说起密码来,我们谁都不陌生,古代就有专门的所谓“密信”,专门制作以后,送信人根本无法偷看,只有收信人经过特制的方式打开才能知道里面的内容。尤其是在西方,密码的编码和破译几乎是政治和军事领域最常见的事情。英国剑桥大学粒子物理学博士西蒙·辛格的畅销科普作品《码书》,就是把编码和解码的战争用文字展现在人类面前。告诉我们一个道理:密码,不是那么容易破滴!
历史的标点是密码打上去的
有部非常火的电影叫做《达芬奇密码》,故事将文艺复兴时期最富盛名的天才人物达芬奇和圣殿骑士团的秘密,通过他各种著名作品以密码的形式巧妙的关联起来,不禁让人惊呼“脑洞大开”!尽管这个故事是虚构的,即便你拥有蒙拉丽莎这样的名画,也不可能通过画作得到宝藏,不过不用担心,一来画作本身就是无价宝藏,二来,密码其实无处不在,你的生活中其实处处充满了密码。
这本《码书》提出一个很有意思的假设,尽管书中提到了很多密码在军事上的应用,不管是斯巴达时代还是二战期间,但他认为密码学的飞速发展,并不仅仅是依赖军事保密上的需要,而是欧洲中世纪宫廷政治甚至贵族妇女偷情的需要。从一开始的小纸条隐藏在信使的身上,到用醋酸和明矾写到鸡蛋里,打开鸡蛋壳才能看到内容。甚至写在头皮里面,剃光头发就能看到秘密。
这些方式,其实本质上是——我有信息,藏起来让你找不到,说到底是一种隐匿。随着盘查的越来越严格,这些隐匿的方式渐渐效果越来越不理想。因此,从中世纪以后,渐渐的,从隐藏信息本身,到隐藏自己想要表达的含义成了更常见的密码方式。
从藏头诗,到鸽子下面有只死羊,各种梗各种段子,其实都是基于这种理念进行的。
因为这种密码方式,即便信息经过敌方的手中,敌人不理解其中含义,也就起到了信息安全的目的。可惜,所谓“道高一尺魔高一丈”,既然有了密码编码,也就有了密码破译。
《码书》中从中世纪到现在,讲解了各种历史上主流的密码编码原理,以及密码破解方式。没有永远破解不了的密码,而每次密码被破解,往往伴随着的就是一系列重大历史事件的发生。
其中,《码书》的一开头,就讲了一个扣人心弦的故事——苏格兰女王玛丽上断头台。
当时尽管苏格兰女王玛丽被英格兰人抓住,但英国女王伊丽莎白一世本身和玛丽女王就是表姐妹,加上之前法庭从来没有处死君王的先例,因此,如果没有绝对的证据证明玛丽密谋行刺伊丽莎白,伊丽莎白万万下不了决心处死玛丽。不幸的是,尽管玛丽女王非常小心,和属下们商议行刺的事情都是用密码信函的方式交流。英国方面委托当时英格兰密码破解第一高手(黑客?)托马斯·菲利普破解玛丽的密信。作为欧洲顶级密码分析专家的托马斯·菲利普仅仅用了几天时间,就把玛丽女王的密信破解,从而坐实了她的罪名。
后面的故事都在历史书上写的清清楚楚:玛丽女王因意图谋害英格兰女王伊丽莎白,被送上断头台。而玛丽女王本身就是法国王后,她的盟友西班牙国王腓力二世以“为玛丽女王报仇”的名义,派出西班牙无敌舰队远征英国,从而发生了世界历史上著名的四大海战之一——英国舰队大破西班牙无敌舰队,由此西班牙霸权衰落,英国走向了通往日不落帝国的崛起道路上……
《码书》以这段惊心动魄的密码破译故事作为这本近 500 页厚书的开头,整本书中介绍了历史上诸多密码编码和破译发生的故事。不管是刚刚提到的玛丽女王送上断头台,还是二战时期图灵破解德国奇迷机密码,或者是电影中描述的用印第安方言传递作战命令的风语战士,从这些故事中我们可以清晰的认识到密码在政治军事上的重要作用,可以说,历史的标点都是密码打上去的。
1977 :当今最强的密码
当今这个时代,战争似乎距离我们越来越远,至少,当下的我们很少闻到硝烟。这个信息时代有什么显著特征呢?信息是最有价值的商品,数字信息的交换是我们社会的重要组成部分。在这个时代里面,出现了两个“前所未有”:
- 一是信息的加密与破解前所未有的频繁。
- 二是信息的加密与破解前所未有的重要。
从我们在微信上和商业伙伴的沟通,到我们利用手机银行进行转账,再到支付宝买个煎饼果子,或者用美团叫个外卖,以及发送一封公司的邮件。看起来轻而易举。我们需要考虑的是:
- 对方怎么知道网络另一端一定是你本人而不是其他人?
- 你给老哥说的悄悄话,在你和他都不告诉别人的时候,有没有可能老大哥偷偷听到?
- 我用手机银行付款成功,别人甚至银行自己会不会悄悄偷走我账户上的钱?
- 各个网站、app 都需要用户名和密码,我记不住怎么办?
这一切,需要的都是密码加密和破译技术。和我们通常感受到的不尽相同,在《码书》中,作者给我们吃了一颗大大的定心丸,那就是自 1977 年发布的 RSA 非对称密码法依然是现代密码学中最强的密码。
RSA 是瑞维斯特、薛米尔、艾多曼的名字缩写,这三位都是麻省理工学院计算机科学实验室的研究员,三个人是密码领域的绝妙组合。
而非对称密码是 1975 年美国密码专家菲迪最先提出的一种密码形态。在此之前,所有的加密技术都是对称的,不管你加密多复杂,只要对方有足够的耐心和时间抽丝剥茧,就可以解开你的密码,因为我破解密码的过程等于逆向执行编码的过程。
这好比加密者把一张纸撕得粉碎,让别人不知道上面写了什么,而破解者只要把他撕碎的碎片重新拼起来——只有有足够的耐心去尝试——就一定能还原纸上的内容。而非对称密码,是把加密和解密用一些巧妙的方式彻底分开。相当于我去商店买了一把锁,咔嚓一声就把自己的秘密锁上了,除非有钥匙,否则我自己也不知道怎么开锁,更别说破解者了。
你的密码安全吗
这样的加密真的安全吗?《码书》上说,1977 年的时候,数学家马丁·卡德钠在杂志《科学美国人》介绍了这种全新的非对称加密系统,同时刊载了一小段密码文字,声称谁要是能够破解这则信息,可以得到 100 美元的奖励。整整十七年过去了,蓝斯特拉博士汇聚了澳大利亚、美国、英国、委内瑞拉等国家 600 多人,总共动用1600部超级电脑,并透过学术网路(Internet)连线作业的方式,终于破译出来了这句原文:
The magic words are squeamish ossifrage(这个神奇的词是挑食的鱼鹰。)
这则加密信息的密钥仅仅用了 一个相当小的 N 值,而当今 RSA 系统的使用,公开钥匙的 N 值已经大到全球计算机联合起来,也需要几百亿年的时间才能破解。这个非对称加密技术,目前在高安全需求的信息领域得到广泛应用。也是当今非常火爆的话题——区块链的核心技术之一。
尽管我不太懂区块链,但从《码书》的故事中可以看出,至少从技术角度上看,区块链还是非常安全的。如果我有一枚比特币被黑客惦记上了,即便我钥匙的 N 值比较小,不用几百亿年才能破解,只需要几百年能够破解。那个时候对我来说也毫不担心了。至少,与其担心手里的比特币有危险,还不如担心通货膨胀股市崩盘房价腰斩或者生病没买保险……
既然 1977 年,个人计算机普及之前就有了这么牛叉的加密技术,为什么黑客依然层出不穷呢?最简单的一个答案就是:
尽管我们发明了窃贼打不开的锁,这不代表你就可以因此放心的乱放钥匙。