有没有可能在情报界会有一个关于比特币的秘密漏洞?很明显,对于比特币而言,肯定有着巨大的利益驱使人们去破解这套机密算法,因为如果能够找到一个漏洞的话,就有可能让破解者获得大量的虚拟货币。但是考虑到货币本身的去中心化特性,对于情报官员而言可能更加希望知道应该如何跟踪它的使用。
上周,我们了解到国家安全局(NSA)一直在积极努力的“破解已经被广泛使用的互联网加密技术”。国家情报总监办公室声明,在加密手段没有被恐怖分子或者网络罪犯使用的情况下,他们“不会去做这些工作”。有人猜测,目前已经有很多协议或者加密工具已经被破坏,弱化,或者被内置后门。如果真的有这样的事情,说明国安局已经让互联网对我们而言变得不再这么安全,包括那些试图从比特币中获益的人们。
比特币是一种开源的加密货币,点对点(去中心化)的电子现金系统。也是目前世界上最强大的分布式计算机项目。由于这两个因素,目前已经在被政府审查。
今年早些时候,美国财政部的的金融犯罪执法网络(FinCEN )发布了关于虚拟货币的指导意见——指出许多比特币项目已经越过红线,并且试图将它们纳入到它的监管范围。在去年4月,联邦调查局评估认为比特币可能会被网络犯罪分子或者恶意使用者所利用。
比特币现在已经成为了纽约州金融服务部门,加利福尼亚的金融机构,以及泰国的央行的监管目标。另外美国参议院的国土安全和政府事务委员会最近发出了一封信给美国国土安全部,询问关于如何处理比特币的计划。
很明显,比特币已经成为了政府的目标。要知道国安局如何努力的破解包括比特币在内的加密系统?首先,让我们先了解一下比特币是如何工作的。
首先一个关键的问题就是,是否对手有足够的计算能力和资金关闭比特币网络或者让它变得不再可靠。
比特币巧妙的将两个概念组合起来:哈希和签名。哈希函数的主要功能是,根据输出源(一段文字)生成一个可以进行唯一对应的固定字符串,常常被用来证明数字信息和文档签名的真实信息。比特币块链和全部交易序列的完整度都依赖于称为SHA-256的哈希函数,这是由美国国家安全局设计并由美国国家标准与技术研究所( NIST )发布的哈希函数。
约翰霍普金斯大学的加密研究员Matthew D. Green说,“要知道你认为国家安全局做的这个SHA – 256函数 ,没有任何外部的研究人员证明你所使用的这个函数是极强的、可靠的和能被检测的,那么他们就可以直接伪造交易。真正可怕的事情是,有人找到一种方法可以快速碰撞SHA – 256而无需暴力破解,或者使用大量的硬件设备来直接采取控制网络。 ”
椭圆曲线数字签名算法(Elliptic Curve Digital Signature Algorithm,ECDSA )的签名是用来验证货币所有人的变化。 ECDSA的理论弱点就是,有可能会允许更快的发现私钥,从而获得偷取货币的能力,但仅仅只有那些一直被反复使用的钱包地址才是脆弱。比特币的开发者 Gregory Maxwell坚持说,利用这些弱点进行的攻击会很快发现,他们可以在大约一个月的时间里部署一个能替ECDSA代的算法。“而对于SHA -256的问题的话,可能会有更多潜在的麻烦,因为我们不能使用一种向后兼容的方式来取代它, ”他说。
脆弱的随机数字发生器(RNGs)也会影响比特币的安全性,就像上个月出现的Android安全漏洞导致了部分比特币的失窃。加密算法需要高度随机性的“种子”来生成密钥,因此RNG会直接影响的加密强度——如果你能预测或影响的RNG的输出,那么就麻烦了。
一个由国安局设计的伪随机数发生器 ,Dual_EC_DRBG ,已证实有后门。虽然美国国家安全局确实有越来越多的加密武器,可以用来在网络战争当中,Maxwell认为“任何的漏洞都是非常宝贵,他们不会去使用它,除了在最紧急的情况。”此外,某些攻击最多也只能破坏比特币而已——通过制造混乱来有效地破坏其市场价值。
是否对手有足够的计算能力和资金关闭比特币网络或者让它变得不再可靠。国家安全局方面,格林估计, “如果你需要一套可以对比特币网络发动攻击的采矿硬件设备,我敢打赌,你会得到一个数字,绝对是他们能做到的。 ”
计算机研究员 Dan Kaminsky,曾经独立调查过比特币的安全性能,说:“现在告诉我们是否会受到攻击影响还为时过早。他们肯定有能力进行一次51%的攻击,但随后大家花一点点资金来重新设计一种货币就可以了。”
51 %攻击是指网络中某单个个体拥有了超过比其余的网络加在一起还要强的计算能力。根据Maxwell的估计,要拥有这样的计算能力大约只需要“1400万美元的成本”,这将称为如美国,俄罗斯,或是中国政府一个可选的选项。
比特币的性质决定它的所有交易记录是公开的——被称为块链(blockchain),你可以blockchain.info上查看。一些学术分析报告说比特币的钱包可以追踪到个人身份,用户应该对保护隐私不要抱过大的期望。
一个月前,路透社透露,一个秘密的DEA单位曾经使用智能拦截和大规模数据库启动犯罪调查。是否有可能在这个非常时刻,国安局协助DEA来识别和调查“丝绸之路”,一个通过TOR网络来进行非法交易的地下市场?
Green 说,他认为,政府可能已经在blockchain上分析网络犯罪,贩毒或潜在的恐怖主义交易——如果他们不这样做,这反而是令人惊讶的。 “他们关心的是,它给了人们一种可以匿名交易的方式, ”他说。Kaminsky似乎也在暗示同一件事情。 “至于分析blockchain交易,跟踪互联网上的人之类,国安局有很多的方法,”他说。
那么关于后门的可能性呢?因为这是自由和开源的软件项目,而不是封闭和专有的情况,所以基本被认为不太可能,如果他们插入后门的话,检查代码的人很容易会发现。
“有很多人在审查代码——但可能并没有我想的这么多, ”Maxwell说, “现在还不清楚插入后门这件事情将会变得多么艰难。 ”
Maxwell还描述了,他是如何试图接近开发者,让他们在里面插入一段跟踪代码,以及他如何被不太礼貌地拒绝了。Gavin Andrese,比特币的首席开发者和比特币基金会的首席科学家,声称,他从未做过任何可能会削弱比特币的事情。 “偷偷用后门的方式窃取人们的比特币几乎是不可能的。 ”他说。
加密技术可以用来为善或为恶,它可以创建的隐私和自由的空间,或者被用来监控和渗透网络空间。斯诺登的启示已经证实,美国国家安全局会针对那些使用加密技术的嫌犯,美国联邦调查局也是如此——他们会针对那些通信内容,相对于未加密的内容,他们会保留和存储他们的更长的时间,希望有一天,会有更好的密码分析能力,它们就可能被破解。
随着许多合法企业和初创企业的出现,比特币开始进入经济蓬勃发展的阶段,它吸引了许多痛恨全球金融体系和银行的自由主义和无政府主义者。但是,有足够多的迹象表明,政府把比特币视为一种威胁,它的用户不排除有可能就是犯罪嫌疑人。
当被问及那些认为由于比特币并非是完全匿名,而是否有可能让它摆脱被监管的状态的想法时,Andresen回应说:“像比特币这种去中心化的计划或者互联网技术是如此强大”,但他们不是“绝不会是让人们从压迫监控的状态突然进入到自由透明堡垒的灵丹妙药。 “
在过去的几天里,计算机安全专家已经刻不容缓的在审查斯诺登通过记者公布出来的文件,里面指出了那些算法和工具已经被国安局所破解。该信息的发布也可能让我们知道,我们是否仍然可以信任比特币的安全性。
一些受到影响的项目,如Tor和比特币之类的保护隐私和匿名的自由软件项目的开发人员说,我们需要的是多个工具,更多的安全性测试,更多的代码审核,以确保不被攻击和颠覆。
国安局天真地假设后门只会被自己人使用,但是这些漏洞往往都是被其他国家或者非国家人员发现的。
尽管如此,窃取比特币的最简单的方法仍然是通过黑客入侵一台电脑并取走钱包文件,只要它是没有密码保护的,这一直是大多数的大型比特币盗窃案的手法。 如果比特币有任何漏洞,它更可能是在软件上,在人们使用它的方式,而不是协议本身。于此同时,在Twitter上有大量不知情的炒作,谈论比特币实际上是国家安全局用来破解我们安全通信的定制软件。
凯文·加拉格尔是一个作家,系统管理员和社会活动家。这篇文章改编自他的博客上发表的一篇论文。
原文 http://motherboard.vice.com/blog ... ks-mean-for-bitcoin
作者 Kevin M. Gallagher
翻译:巴比特——暴走恭亲王