1868 年，数学家 Charles Dodgson（更为人熟知的名字叫 Lewis Carroll）宣称一种被称为维吉尼亚密码（Vigenère cipher）的加密方案是“无法破解的”。他没有证据，但有令人信服的理由，因为三个多世纪以来，数学家一直在试图破解该密码，可一直也没有成功。只有一个小问题：事实上，一位名叫 Friedrich Kasiski 的德国步兵军官在五年之前就破解了它，记录此事的书在当时几乎没有引起任何注意。

只要人们还在发送加密信息，密码学家就一直在玩这种猫捉老鼠的游戏——创造密码并破解密码。康奈尔科技学院和康奈尔大学的密码学家 Rafael Pass 表示：“几千年来，人们一直想弄清楚，‘我们可以打破这个循环吗？’”五十年前，密码学家朝着这个方向迈进了一大步。他们证明只要有“单向函数”，你就可以创建被证明是安全的密码。单向函数是一种很容易计算的函数，但很难逆运算。从那时起，研究人员设计出各种候选单向函数，从基于乘法的简单运算到更复杂的几何或对数运算都有。

今天负责传输信用卡号和数字签名等任务的互联网协议依赖于这些函数。以色列海法理工学院的密码学家 Yuval Ishai 表示：“现实世界中使用的绝大多数加密都可以基于单向函数。”但这一进步没有终结这场猫捉老鼠的游戏——只是更加突出了它的焦点。现在密码学家不必担心加密方案各个方面的安全性，只要关注其核心的函数即可。但是目前使用的函数中没有一种被明确证明是单向函数——我们甚至不确定真正的单向函数是否真的存在。密码学家证明，如果它们确实不存在，那么安全加密就是不可能的。

在缺乏证据的情况下，密码学家只能希望能在攻击中幸存下来的函数是安全的。Ishai 表示，研究人员没有统一的方法来研究这些函数的安全性，因为每种函数都“来自不同的领域，来自不同的专家组”。长期以来，密码学家们一直想知道是否有一种不那么特别的方法。Pass 问道：“是否存在着某个问题，只有一个主问题，告诉我们密码学是否可行？”

现在他和康奈尔大学的研究 生Yanyi Liu 证明答案是肯定的。他们证明，真正单向函数存在与否取决于计算机科学另一个领域中最古老也最核心的问题之一，这个领域被称为复杂性理论或计算复杂性。这个被称为Kolmogorov 复杂性的问题涉及区分随机数字字符串和包含某些信息的字符串之间的区别有多难。

研究人员周一报告，Rambus 旧软件生成的加密密钥非常弱，用商用硬件可立即破解。这一发现是一项调查的一部分，调查还发现了其他弱加密密钥。Rambus 一位代表表示，该软件源自 SafeZone 加密库的基础版本，由 Inside Secure 公司开发，Rambus 在 2019 年收购 Verimatrix 时 Inside Secure 作为 Verimatrix 一部分归于 Rambus 。该版本在收购之前已被废弃，与该公司现在以 Rambus FIPS 安全工具包品牌销售的 FIPS 认证版本完全不同。

研究员 Hanno Bock 表示，易受攻击的 SafeZone 库没有对其用于生成 RSA 密钥的两个素数实现充分随机。相反 SafeZone 在选择一个素数之后，会再选择一个非常接近的素数作为形成密钥所需的第二个素数。Bock表示：“问题是两个素数太相似了。”“两个素数之间的差异很小。”SafeZone 漏洞跟踪代码为 CVE-2022-26320。密码学家早就知道，用太接近的两个素数生成的 RAS 密钥可以用费马（Fermat）的因式分解法轻松破解。法国数学家费马（Pierre de Fermat）于 1643 年首次描述了这种方法。费马的算法基于任何数都可以表示为两个平方的差。当因子接近数字的平方根时，可以轻松快速地把它们算出来。如果因子是真正随机而且相距甚远的话，这个方法就行不通了。RSA 密钥的安全性取决于将密钥的大合数（通常表示为N）分解成两个因子（通常表示为 P 和 Q）的难度。

到目前为止，Bock 仅在现实中发现了少量易受因式分解攻击的密钥，一些密钥属于最初品牌为富士施乐、现在属于佳能的打印机。打印机用户可以使用这些密钥生成证书签名请求（Certificate Signing Request）。这些密钥的创建日期在2020年或者更晚。弱佳能密钥的跟踪代码为 CVE-2022-26351。Bock 还在 SKS PGP 密钥服务器上发现了四个易受攻击的 PGP 密钥，通常用于加密电子邮件。与这些密钥绑定的用户 ID 暗示它们是为了测试而创建的，所以他不相信它们还在使用。Bock 表示他相信发现的所有密钥都是使用与 SafeZone 库无关的软件或方法生成的。这些密钥是手动生成的也是合理的，“可能是意识到这种攻击的人创建测试数据用的。”

无论设备多安全，用户总是其中最薄弱的一环。在实际中攻击者可简单通过口头威胁或法庭传票要求用户交出秘密。绝大多数安全方案都设计强调数据的保密性，而不是让用户可以否认设备上存在秘密数据。著名黑客黄欣国（Andrew 'bunnie' Huan）宣布了一种让用户可以否认秘密存在的机制 Plausibly Deniable DataBase (PDDB)。PDDB 使用的设备被称为 Precursor，在攻击者能无限制访问设备，能对存储器的数据进行快照，能反复的侵入性检查，PDDB 允许用户否认秘密存在。用户需要在性能和可否认之间做选择，秘密数据占据的比例很小时对性能的影响甚微，如 100 MB 容量占 8 MB。但如果 100 MB 占 80 MB 时性能影响会比较显著。

量子计算机需要比现在大一百万倍，才能破解保护比特币的 SHA-256 算法，破解将使这种加密货币面临黑客风险。破解这种难以攻破的密码传统计算机基本上不可能，但是量子计算机可以利用量子物理学的特性加速计算，从理论上说可以破解它。英国苏塞克斯大学的 Mark Webber 和同事计算出，在 10 分钟的时间窗口内破解比特币的加密需要一台有 19 亿个量子比特的量子计算机，在一小时内破解需要一台有 3.17 亿个量子比特的量子计算机。即使将时间延长到一整天，这个数字也只是下降到 1300 万个量子比特。对于比特币拥有者来说，这是个令人欣慰的消息，因为目前量子计算机的量子比特很少——IBM 破纪录的超导量子计算机只有 127 个量子比特，因此设备需要变大一百万倍才能威胁到加密货币，Webber 表示十年内不太可能出现。

德国新成立的社民党、绿党、自民党政府的联盟协议包含了对加密权、隐私权和公共资金资助开发的代码公开等方面的承诺。现在的问题是如何兑现承诺。联盟协议包含了活动人士数十年来追求的数字权利：在加密权利中，禁止政府对漏洞保密，要求所有政府部门向 Federal Office for Information Security (BSI) 报告所知道的漏洞，并定期对其 IT 系统进行外部审计；保障公共场所和互联网上的匿名权利；未来的软件开发合同都将会公开源代码；将提供真正加密通信选择。

WhatsApp 宣布将允许用户将加密的聊天历史备份上传到云端。WhatsApp 很早就支持端对端加密聊天，但用户如果要将聊天历史的备份储存到云端如 iCloud（iPhone）或 Google Drive（Android）则没有加密可供选择，只能以未加密格式储存。而储存在苹果和 Google 服务器上的未加密备份数据多年来被世界各地的执法机构用于访问嫌疑人的聊天历史。WhatsApp 现在堵上了这一薄弱环节。WhatsApp 将向用户提供两种加密备份的方式，未来几周用户将会看到一个选项生成 64 位的密钥去锁定储存在云端的备份，用户可选择离线储存密钥或保存在密码管理器中，用户可以选择将密钥储存在云端然后加上一层密码保护。没有用户密码储存在云端的密钥是无法访问的，即使 WhatsApp 在没有密码的情况下也无法访问密钥。

ProPublica 发表了一篇文章，研究了 WhatsApp 平台的隐私声明。WhatsApp 以端到端加密机制著称，大多数用户认为其母公司 Facebook 既无法读取消息内容、也无法将其转发给执法部门。但这种认知明显与一个简单的事实相矛盾—— Facebook 雇用了约 1000 名 WhatsApp 内容审核人员，他们的工作内容就是审查被标记的 WhatsApp 信息。WhatsApp 端到端加密机制中的漏洞很简单：任何 WhatsApp 消息接收者都可以对内容进行标记。标记之后，消息内容会被复制到收件人的设备上，再以独立消息的形式被发送到 Facebook 手中以供审核。与 Faecbook 平台的标准一样，WhatsApp 上的内容同样需要根据反欺诈、垃圾邮件、儿童色情及其他非法活动的标准接受审查。当消息接收者将 WhatsApp 信息做出标记时，当前内容将与同一线程中的最近四条先前消息一同接受处理，再以工单附件的形式被发送至审核系统。尽管还没有任何迹象表明 Facebook 会在未经收件人手动标记的情况下收集用户消息，但需要强调的是，这里面其实并没有什么技术障碍。“端到端加密”的安全性取决于端点本身——对于移动消息应用，也就是应用程序及其用户。例如，“端到端”加密消息传递平台可以选择对设备上的全部消息执行基于 AI 的自动内容扫描，之后将自动标记的消息转发至云端以采取进一步处理。如此一来，用户的隐私保障仍然只能由政策条款和对平台的信任来保证。

NSA 表示“不确定量子计算机何时、或者是否能够破解公钥加密技术。”在被问及是否需要担心攻击方使用量子算力开展入侵时，NSA 表示“不清楚量子计算机何时、或者能否拥有破解公钥密码术的能力。”在 FAQ 中，NSA 描述了 Cryptographically Relevant Quantum Computer(CRQC) （CRQC）这一概念，即能够实际攻击现实加密系统的量子计算机。但目前来看，这一概念能否实现还不确定。虽然 NSA 也认同此类计算机会对数字安全基础设施造成“破坏”，但也强调他们并不太相信这样的 CRQC 能被实际制造出来。但面对越来越多的量子计算研究成果，NSA 也不得不抢先一步、支持后量子 时代下的密码标准开发工作，希望最终过渡到此类更为安全的加密新时代。

生长在纽约的我一直有个间谍梦。1968 年 1 月从大学毕业时，冷战与越南战争的肃杀氛围正在全美蔓延，间谍职业风险很高。所以我选择成为一名电气工程师，为美国国防承包商开发实时频谱分析仪。1976 年在参观华沙的波兰陆军博物馆时，我看到一台二战时期德国著名的 Enigma 密码机。它的精妙设计让我着迷，于是几年之后，我有幸参观位于瑞士施泰因豪森的密码机公司 Crypto AG（CAG）总部，并在此结识了一位高级密码学家。这位朋友还给了我一份由公司创始人 Boris Hagelin 撰写的公司发展史，其中提到了 1963 年诞生的密码机 HX-63。

与 Enigma 一样，HX-63 也是一种机电密码系统，即转子密码机。它是 CAG 有史以来制造的唯一一款机电转子密码机，甚至比著名的 Enigma 还更先进、也更安全。事实上，它可以说是人类历史上最安全的转子密码机。我真的很想上手把玩一番，但总是找不到机会。

快进到 2010 年，当时我在法国军事通信基地一处肮脏的负三层地下室里。在一位两星中将及通讯官的陪同下，我进入一个堆满了古老军用无线电和密码机的安全室。看看！这有一台 CAG HX-63，几十年来无人问津、被摆在尘土飞扬的架子上面。

我小心翼翼地抬起这台 16 公斤重的机器，右侧的手摇曲柄使它能在不插电的情况下正常运行。在小心转动之后，我在机械键盘上输入的每个字符都通过九个转子的转换，最终由压印轮打印在纸带上。我当场就决定，要立刻找一台能够恢复至完美工作状态的 HX-63。

很多人可能从来没听说过 HX-63，没关系——因为大多数密码学家也没听说过。但它确实非常安全，甚至让有史以来最伟大的密码分析专家之一、曾在上世纪五十年代初担任 NSA 第一位首席密码学家的 William Friedman 感到震惊。在阅读了 1957 年由 Hagelin 申报的专利之后，Friedman 意识到这台正在开发的 HX-63 要比 NSA 自己的 KL-7 更安全——而 KL-7 已经被认为是一台牢不可破的加密设备。冷战期间，NSA 从 1952 年到 1968 年制造了数千台 KL-7，被美国各个军事、外交与情报机构广泛使用。

众多新加密技术寻求抵御未来量子计算机强大算力带来的攻击压力，但这些技术自身往往也需要耗费巨大的处理能力。如今德国科学家开发出一种微芯片能高效实现此类技术、大大降低算力需求，推动“后量子密码学时代”快速走进现实。 在理论上量子计算机能快速为经典计算机可能需要数亿年才能解决的问题找出答案。例如，现代密码学的大部分解决方案，都依赖于经典计算机在处理极大数等数学问题时的天然缺陷，而量子计算机能轻松运行在短时间内快速解决这些问题的算法。 为了在这场安全攻防战中保持领先，世界各地的研究人员正在设计后量子密码算法，希望提出量子计算机与经典计算机都难以解决的全新数学问题。慕尼黑工业大学电气工程师 Georg Sigl 解释道，这些算法大多数依赖于以多点阵或向量为基础的点阵加密方法。 简而言之，点阵加密算法通常会在点阵当中选定保密消息所需要的目标点。在此之后，算法会添加随机噪声，因此该点会接近、但又不完全存在于某个其他点阵上。Sigl 称，无论是经典计算机还是量子计算机，都很难在不清楚具体添加了什么噪声的前提下找到原始目标点和与之对应的保密信息。点阵的规模越大，破解的难度就越高。 然而，在涉及到生成随机性与多项式相乘等运算时，基于点阵的密码算法往往需要可观的处理能力。现在，Sigl 和他的同事们开发出一种带有定制加速器的微芯片，能高效完成这些运算步骤。 这款新芯片基于 RISC-V 标准。Sigl解释道，其硬件组件与控制软件能够相互补充，从而有效生成随机性并降低多项式乘法的复杂度。这项工作的工业合作伙伴包括西门子、英飞凌以及 Giesecke + Devrient 等德企。Sigl 最后总结道，与完全基于软件的解决方案相比，这款全新芯片在执行 Kyber（目前最具前途的后量子点阵密码算法之一）加密时的速度可提升至约十倍，而且电力消耗也可缩减至八分之一左右。

1990 年代的加密算法受制于出口管制规定，强加密算法被限制出口，因此很多当时广泛使用的加密算法是所谓的“弱加密”，也就是可能含有有意加入的后门，使得加密后的数据容易破解。现在，德国波鸿鲁尔大学的研究人员与法国和挪威的同事合作发表了一篇论文，发现 1990 年代实现的移动手机加密算法 GEA-1 含有后门。GEA-1 仍然包含在最近几年发售的 Android 和 iOS 手机中，它本应该早在 2013 年就需要被淘汰了。这个后门对情报机构可能没什么价值了，因为任何人都可以利用该漏洞。研究人员分析了两种加密 2G 数据的算法 GEA-1 和 GEA-2，它们都是弱加密算法，其中 GEA-1 密钥非常容易破解，因此被认为包含有意加入的后门。

Android Messages 消息应用开始向每一位用户提供端对端加密功能。但目前端对端加密只支持用户个人之间的聊天，不支持群聊。聊天双方都需要启用 Rich Communication Services (RCS)聊天功能，如果你看到发送按钮上有锁的图标，那么你发送的消息将是加密的。Beta 测试用户从去年 11 月开始就可以使用端对端加密，本周开始 Google 将该功能推送给所有用户。

Google 宣布在 Apache License 2.0 许可证下开源首个全同态加密（FHE）的通用转译器，源代码托管在 GitHub 上。全同态加密允许对密文进行特定的代数运算得到仍然是加密的结果，与对明文进行同样的运算再将结果加密一样。这项技术可以在加密的数据中进行检索、比较等操作，整个处理过程中无需对数据进行解密。同态加密技术从根本上解决将数据及其操作委托给第三方时的保密问题。今天的文件通常是在传输和存储时加密，使用时解密，存在安全弱点，FHE 可解决该问题。FHE 也可以私密的方式使用敏感数据训练机器学习模型。

6 月 6 日是 PGP 1.0 发布三十周年。PGP 作者 Philip Zimmermann 回忆说，当年他将 Pretty Good Privacy 上传到了互联网上，开启了结束美国对强加密软件出口管制的十年之路。PGP 1.0 发布之后，很多志愿者帮助改进了软件，1992 年 9 月发布了支持 10 种语言和多个平台的 PGP 2.0。因为允许 PGP 扩散到世界各地违反美国的武器出口管制法他成为了刑事调查的对象。但这反而推动了 PGP 的流行。美国政府在 1996 年初放弃了调查，相关的政策争论仍然在激烈进行，最终在 2000 年结束了美国对强加密软件的出口管制。PGP 点燃了十年的加密战争，最终导致所有西方民主国家放弃了对使用强加密软件的限制。Philip Zimmermann 说他希望 PGP 用于人权应用，传播到世界各地，尤其是那些人民需要保护自己抵御政府的地方。

加密消息应用 Signal 宣布它收到了加州中区检察官办公室的传票，索要 Signal 用户数据，但在其它应用中很容易提取的用户信息在 Signal 服务器上是基本上不存在的。传票要求获得用户的地址、通信和账号相关的姓名。但 Signal 默认启用了端对端加密，不访问用户信息、好友列表、群组、通讯录、贴纸、用户档案名称等，它能向检方提供的信息只有用户账号创建的 Unix 时间戳和账号上一次连接服务器的时间。

美国国防部高级研究计划署（DARPA）与芯片巨人签署了协议，开发实用的全同态加密。全同态加密（Fully homomorphic encryption，简写 FHE）允许对密文进行特定的代数运算得到仍然是加密的结果，与对明文进行同样的运算再将结果加密一样。这项技术可以在加密的数据中进行检索、比较等操作，整个处理过程中无需对数据进行解密。同态加密技术从根本上解决将数据及其操作委托给第三方时的保密问题。由于 FHE 会带来巨大的性能开销，因此其普及相对比较缓慢。英特尔声称，相比现有的 CPU 驱动的 FHE，它开发的专用加速芯片能将处理时间降低五个量级。

2014 年前，我们很多人并不知道许多关键基础组件虽然人人用但却无人维护。Heartbleed 漏洞的披露让人们意识到 OpenSSL 就是这样一个组件。这促使 Linux 基金会发起了 Core Infrastructure Initiative 倡议，资助关键基础组件的开发和维护。OpenBSD 项目则采用了另一种方法：创建 OpenSSL 分支 LibreSSL。该分支之后被 OpenBSD 发行版使用并活跃开发至今。自 2018 年底发布的 2.9.0 起，LibreSSL 项目合并了 36 名开发者的 1,554 个补丁。但在同一时间内，OpenSSL 合并了 276 名开发者的 5000 多个补丁。绝大部分工作是由使用 OpenSSL 的组织完成的，包括了 Oracle、Siemens、Akamai、Red Hat、IBM、VMware、Intel 和 Arm，以及 OpenSSL 软件基金会。如此程度的支持让 OpenSSL 项目解决了它的许多长期问题，它更安全也更稳定了。结果是很少有 Linux 发行版迁移到 LibreSSL。Alpine Linux 和 Gentoo 发行版尝试提供 LibreSSL，其中 Alpine Linux 很快就返回到了 OpenSSL，而 Gentoo 对 LibreSSL 的支持将在今年 2 月结束。Gentoo 开发者指出，LibreSSL 相比 OpenSSL 并没有提供多少好处，反而增加了更多成本。

一个密码破解团队破译了十二宫杀手（Zodiac killer）留下的一段 340 字符长的密码。但破译结果对于破解十二宫杀手身份之谜并无帮助。十二宫杀手是一名于 1960 年代晚期在加州北部犯下多起凶案的连环杀手。直至 1974 年为止，他寄送了许多封以挑衅为主的信件给媒体，并在其中署名。信件中包含了四道密码。David Oranchak、Sam Blake 和 Jarl Van Eycke 成功破译了密码 Z340——1969 年 11 月 8 日寄给《旧金山纪事报》的密码。这一结果已获得 FBI 确认。破译后的明文并没有多少意义，仍然只是在挑衅。

IBM 透露它成功完成了全同态加密的实地测试。全同态加密（FHE）允许对密文进行特定的代数运算得到仍然是加密的结果，与对明文进行同样的运算再将结果加密一样。这项技术可以在加密的数据中进行检索、比较等操作，整个处理过程中无需对数据进行解密。同态加密技术从根本上解决将数据及其操作委托给第三方时的保密问题。今天的文件通常是在传输和存储时加密，使用时解密，存在安全漏洞，FHE 可解决该问题。当然 FHE 也有它的问题，那就是开销巨大。相比未加密，FHE 加密的机器学习模型需要 40-50 倍的计算能力，10-20 倍的内存占用。IBM 为一家美国大型银行和一家欧洲大型银行执行了全同态加密的实地测试，美国的研究已经在 2019 年发表，欧洲的研究则仍然保密。

在法国警方破解犯罪组织使用的加密通讯网络植入间谍程序监视其通讯之后，欧洲警方通力协作逮捕了数百人，扣押了大量的毒品、枪支和现金，如英国扣押了 5400 万英镑现金，荷兰扣押了 8000 公斤海洛因和 1200 公斤冰毒以及 2000 万欧元现金。本案的规模前所未见。犯罪分子使用的加密网络是名叫 Encrochat 的加密 Android 手机。Encrochat 自称是一个端对端的安全解决方案，其部分型号是基于西班牙公司的 BQ Aquaris X2 手机，手机可以切换运行两个系统，一个是未加密的标准 Android 系统，另一个则是加密版本，安装了 Encrochat 加密消息应用，所有消息都路由经过其服务器，手机还移除了 GPS、摄像头和麦克风功能。Encrochat 以订阅的模式出售手机，一部手机一年的订阅费用多达数千美元。Encrochat 自称是一家合法的公司，但没人知道公司所有者和位置。它的很多客户被认为都是犯罪分子，法国当局称超过九成的法国 Encrochat 客户从事犯罪活动。Encrochat 手机有一项功能，在需要的时候可以输入 Pin 码清空手机。正是这项功能的失效让 Encrochat 注意到它成为了政府机构的目标。今年 5 月 Encrochat 用户报告清空手机的功能失效了。在调查之后 Encrochat 发现手机功能失效的原因是手机被安装了恶意程序。恶意程序能在消息加密发送前读取和将其储存，恶意程序是专门为 X2 型号手机定制的。Encrochat 随后推送了更新恢复了功能，但恶意程序也紧跟着更新并变得更强大。Encrochat 还意识到它的 SIM 卡供应商 KPN 可能正在与当局合作。它决定立即关闭 SIM 和其网络。它向所有客户发去通知，警告设备已经不再安全，建议立即关机并将其抛弃。但为时已晚，欧洲各国警方发起了大规模行动，逮捕了数以百计的毒贩和武器交易商。