公眾評論
1975年3月,國家標準局公布了提議中的DES細節,並徵求公眾意見。迪菲與赫爾曼的回應充滿批評,哀嘆DES缺乏支撐性的技術資訊,並指出該演算法「對我們來說仍然不明朗」。赫爾曼曾與費斯特爾直接對話,但國家安全局的限制阻礙了雙方進一步的討論。
迪菲與赫爾曼認識到,業界尚缺乏一套成熟的機制,能在持續的密碼分析攻擊下對密碼演算法進行認證。為防止公眾複製IBM曾試圖攻破DES而告失敗的做法,他們要求公開IBM測試的具體細節。兩人還指出,56位密鑰長度引發了諸多顧慮:
「密鑰長度充其量勉強夠用。即便在今日,通過窮舉搜尋破解該系統也會相當費力,但大概不會超出大型情報機構的預算。由於這類項目的可行性取決於密碼硬體的成本與速度,其未來前景看似光明。」
迪菲與赫爾曼觀察到,即便密碼分析能力僅有微小提升,也可能「顯著改善成本效能狀況」,因此他們建議理想上應將密鑰長度加倍,以杜絕窮舉攻擊的可能性。他們認為56位這個數字非常尷尬,若採用64位則更符合電腦體系結構的需求。儘管密鑰變數實際上有64位,但有八位被保留用於奇偶校驗,其原因「對我們來說並不明顯」。迪菲與赫爾曼估計,建造一台能在一天內破解56位DES密鑰的電腦,成本約為2000萬美元。雖然這筆費用十分昂貴,但若在五年內持續運作,其每個密鑰的破解成本約為1萬美元。因此,如果每破解一把密鑰所獲得的情報價值超過1萬美元,這項投資在經濟上便是可行的。唯一可能需要進行如此大規模密碼分析的實體,僅限於情報和執法機構。迪菲與赫爾曼進一步估計,若使用64位密鑰,製造此類機器的成本將高達50億美元,每個密鑰的破解成本則會飆升至250萬美元;他們評論說,「這樣的成本似乎連情報機構也難以承受。」
迪菲與赫爾曼還指出,S盒保留的特徵「令人驚訝地類似於一種可用來在系統中構建後門的型態」。然而,他們的發現最終未能得出結論:「在DES中既發現了明顯是為加強系統對抗某些攻擊而刻意插入的結構,也發現了似乎在削弱系統的結構。」迪菲與赫爾曼承認,他們的分析只是初步性的,僅投入了相當於十人週的努力,而且由於對系統缺乏全面了解,因此無法判定這些結構究竟是他們分析有誤、IBM操作不當,還是國家安全局所使的詭計。作者總結道:「在能夠信任DES之前,必須對其進行進一步解釋與研究。這一需求更為迫切,因為國家安全局並不希望真正強大的系統挫敗其密碼分析情報作業。」
1976年1月,國家標準局的Seymour Jeffery回覆迪菲與赫爾曼,表示DES符合國家標準局的設計標準。對於8位元奇偶校驗的問題,Jeffery僅回應道:「每個8位元的密鑰位元組均有一個奇偶校驗位,用於在資料傳輸前檢查密鑰的正確性。」至於迪菲與赫爾曼計算破解DES密鑰所需時間和費用的估算,Jeffery則寫道:「我們認為你們的假設與計算成本並不準確。」國家標準局估計,破解每個密鑰大約需要91年,而非迪菲與赫爾曼所說的24小時;不過,Jeffery迅速轉移話題說:「與其爭論我們假設的相對準確性,不如將這個演算法放在正確的角度來看待。」對國家標準局而言,正確的觀點是:DES總比什麼都沒有好,這正是當時非機密政府系統所採用的水準。Jeffery寫道:「我想你們會同意,這個演算法提供了顯著的保護水準……即使對抗專業破譯者也能奏效。」在某種程度上,91年的破解時間已是一種改進——在1975年3月,國家標準局的Ruth Davis曾估計,對DES進行窮舉搜尋可能需要兩千年。赫爾曼於1977年1月20日的信件顯示,Jeffery的回應已令他失去了耐心:
我越來越感受到國家標準局/國家安全局的虛偽……我相信選擇56位元密鑰的目的,就是使這個標準容易受到國家安全局的攻擊,而且IBM在其設計上也受到了這種影響。
赫爾曼主張,一個由軍事指揮下的情報機構不應該來決定如此關乎政府與公民權力平衡的重要問題:
「儘管我確信國家安全局的行動是出於對外國通訊情報的正當關切,但如果它能夠破解這個標準(DES),那麼同時也就有能力獲取國內情報。這裡存在著國家安全局的需求與公眾需求之間的權衡,我認為不該由國家安全局來決定這個平衡應該如何確定。」
赫爾曼承認,雖然他對窮舉搜尋破解所需時間的估算可能並不十分精確,但他的計算結果根本無法與國家標準局所估計的91年相符。然而,他主張,任何計算上的誤差都會被未來幾年內計算成本迅速下降所抵消。儘管他得知國家標準局打算在DES變得過時之前對其進行修改,但他認為,一個遺留問題將依然存在,因為如今所有被加密的資料都需要在10至25年的期間內保持安全。在這樣短暫的時間內更改標準,不僅昂貴且不便,而且「毫無根據,因為在目前的情況下完全足夠的標準顯然是可以實現的。」他在信件結尾強烈敦促國家標準局,「重新考慮你們目前所採取的行動路線所帶來的影響。極為重要的國家目標正受到牽制,亟需一個公正的評估。」
赫爾曼將他的異議上報給了國家標準局的母機構——商務部。1976年2月23日,赫爾曼致信商務部長 Elliot Richardson,信中寫道:
「我非常擔心,國家安全局已經秘密地影響了國家標準局,使得所提議的標準價值大打折扣,並可能對個人隱私構成威脅。」
赫爾曼告訴 Richardson,他深信國家安全局干預了選擇過程,以確保其能夠破解DES,從而使該機構有能力「幾乎隨心所欲且不被察覺地窺探其他機構所謂的私人檔案中的(解密後的DES通訊)內容。」Hellman解釋道,由於計算技術的進步,在十年內「幾乎任何組織都將能夠破解所提議的標準。」他最後總結道:
「我現在深信,參與該過程的國家標準局團隊與國家安全局關係過於密切……我認為最好直接寫信給您,通知您貴部門內部存在的干預情形。」
一個月後,赫爾曼收到的回覆並非來自 Richardson,而是由代理國家標準局局長 Ernest Ambler 發出。Ambler 表示,國家安全局參與了對 DES 的評估,因為他們是「唯一一家既具備專業知識又擁有設施來評估加密演算法」的組織。談及國家安全局後門的指控,Ambler 指出行政命令 11905,該命令明確規定了該機構的職能與責任,並對針對美國公民的資料蒐集活動施加了限制。
1976 年,國家標準局與國家安全局的代表前往史丹佛大學拜訪迪菲與赫爾曼,試圖平息他們的疑慮。Douglas L. Hogan 代表國家安全局出席,而 Dennis Branstad 代表國家標準局參與會議,隨行的還有 Arthur J. Levenson——這位前國家安全局密碼破譯員曾與艾倫·圖靈在布萊切利園共事,現正為國家標準局就 DES 提供諮詢。
會議開始時氣氛友好,國家安全局代表團同意將會議錄音,一位與會者甚至打趣道:「他們批准自己的竊聽,真是恰如其分。」赫爾曼表達了他的不滿,因為無法讓費斯特爾對 DES 提供不受限制的意見,尤其是針對原本設計以 128 位元密鑰運作的演算法,如今卻被建議改用 56 位元密鑰這一事實,未能得到充分說明。
會議中一個主要爭議點在於 DES 必須保護資料的期限。迪菲與赫爾曼主張,這一保護期至少應達 25 年。當被問及 DES 是否能提供如此長期的保護時,Levenson 回答道:「我不知道 25 年後這裡會是怎樣的狀況,所以我無法保證。」他進一步質疑迪菲與赫爾曼的預期,表示「我不認識有哪種非機密的資料需要那麼長時間的保護。」迪菲則認為,依法律規定,人口普查資料必須保密達一個世紀。Levenson 回應說:「這實際上不關你的事,也不關我的事,這事該由人口普查局局長來決定。」Branstad 表示,他們相信 DES 至少在十年內是安全的,但他不願意承諾它能在 25 年後依然保持安全,他認為那些聲稱能保證 25 年安全性的人根本就不了解實情。
國家安全局的代表透露,他們的威脅評估延伸至 1990 年。他們還考慮了其他獲取資料的方法,例如入侵實體場所,認為這相較於建造迪菲與赫爾曼所構想的破解 DES 機器而言,對大多數威脅行動者來說更為現實;他們期望破解 DES 的成本能高到足以使攻擊者另尋他法。Levenson 補充道:「這並非意圖作為永遠的標準,而是針對當前威脅而設。」
當談話轉向如果國家安全局能夠監聽國內公民的 DES 加密通訊會如何時,Levenson 顯得十分惱怒:「我在那裡工作了一輩子,從來沒有人讓我去看誰的所得稅申報表,我也不知道有誰會這麼做。」赫爾曼進一步詢問,如果行政部門要求 Levenson 針對某位美國公民採取行動,他會怎麼做?Levenson 回答說:「如果行政部門來指示我這位公務員射殺 Marty 赫爾曼,我也不知道我該怎麼辦。」另一位與會者打趣道:「你肯定會的!」Levenson 回應道:「我真不知道該怎麼回答。當有人要求你做某件事時,那就成了一個存在性的問題。」赫爾曼直接問道,國家安全局是否在未來十年內能具備破解 DES 的能力,Levenson 部分地回答說:「目前,我們還沒有那樣的能力。」當然,對於這樣的說法,自然會引來不少質疑——畢竟,任何此類能力極可能是機密的。
會議氣氛雖然友好,但雙方最終都未能就任何議題達成共識。
最初,反對者曾試圖與國家標準局接觸,以期推動變革。赫爾曼回憶道:「我們曾天真地以為他們真的希望聽取意見,我們沒想到……一旦某項標準被提議出來,它便事實上成為了一種標準。」赫爾曼進一步回憶,DES 的反對者最終明白,他們參與的並非單純技術層面的爭論,而是一場政治鬥爭,因此他們「以政治抗爭的方式進行對抗」,並藉由媒體發聲——他們請大衛·卡恩在《紐約時報》撰寫了一篇評論文章。
卡恩的文章於 1976 年 4 月刊登在《紐約時報》上。他在文中談到,透過利用 DES 可取得的數據,政府「將以犧牲美國人的隱私為代價來獲得這些信息」。對於是否應信賴聯邦政府的自我約束,卡恩評論道:「近期歷史已多次證明,一個機構往往僅僅因為擁有某種權力,就會濫用這種權力。」卡恩進一步引用聖經中的話來質疑,為了情報和安全利益而犧牲隱私是否明智:「一個人若能獲得全世界,卻失去了自己的靈魂,又有何益處?」幾年後,卡恩又撰文指出DES:
其實是如此出色,以至於國家安全局內部似乎在秘密展開了一場小型辯論……其中負責破譯的部門希望確保這個密碼足夠薄弱,讓國家安全局在外國政府和企業使用時能輕易破解;而負責制定密碼的部門則要求任何供美國人使用的密碼必須真正堅固。最終,雙方達成了一個官僚式的妥協:部分用於代換的 S 盒被加強,而密鑰本身則被相應削弱。
1977 年 7 月的《科學》雜誌中,吉娜·巴里·科拉塔用三頁篇幅仔細審視了 DES。科拉塔寫道:「一些批評者懷疑,這個加密系統的設計經過精心策劃,其安全性恰到好處,既能防止政府以外的企業間諜破解用戶的密碼,又足夠脆弱,使得國家安全局能夠破解它。」她還指出,國家標準局中有不少成員曾是國家安全局的前員工,其中包括領導國家標準局電腦安全項目的 Dennis Branstad 以及顧問 Arthur Levenson。此外,科拉塔也提到 IBM 的 Louis Branscomb 曾經領導過國家標準局。然而,考慮到當時加密和資訊安全領域的專業性,員工之間的交叉流動也不足為奇。
與卡恩持有相同的信心,詹姆斯·班福在1982年的《謎宮》中寫道:「由於與國家安全局官員進行了閉門協商,IBM同意將其密鑰的長度從128位元縮減至56位元。」班福與卡恩均未詳細說明他們如何得出這些評估結果。然而,鑑於兩人在學術界中享有崇高威望,他們的聲明很可能被同時代人視為可靠,進一步強化了政府意圖利用數位時代進一步集中權力的觀感。Tuchman 代表 IBM 駁斥了這些指控,他於1977年9月在《科學》雜誌上寫道:
「要對批評者所謂我與同事與國家安全局及國家標準局共同設計出『後門』,使得只有少數特定人士能破解DES演算法的指控,作出克制的回應實在困難……演算法的本質,包括『S盒』,完全是我和IBM同事的工作成果……我們與國家安全局的合作僅限於獲得出口含有DES之電腦設備的許可。」
顯然,關於S盒的資訊是不實的,因為國家安全局後來已承認,他們才是S盒的真正設計者。不清楚Tuchman是獨立發表這一說法,還是受國家安全局指示而如此表態,亦或存在其他原因使他未察覺國家安全局在S盒製作中所扮演的角色,但考慮到他在DES項目中的重要地位,這種可能性似乎不大。Tuchman 指出,即使IBM釋出了完整的DES設計,其批評者也可能爭辯說並未公開所有相關數據,而這是IBM無法以實證方式予以反駁的。Tuchman 建議:「對於懷疑者來說,唯一的解脫之道便是尋找一種能求解出密鑰的數學方法……在我看來,他們將會失敗,就像以往所有嘗試一樣。」Tuchman 回憶起他的母親——那位既虔誠又未涉世事的女子,在媒體報導塑造的公眾印象下,曾擔心他捲入其中,認為他應該離開IBM,不再與「那些壞人」混在一起。Tuchman 雖費了些許周折,向她保證說:「儘管水門事件發生,我在IBM和政府的同事都是站在天使那邊的。」1977年10月,赫爾曼於《科學》雜誌的讀者來信欄中回覆Tuchman說:「IBM似乎在DES密鑰長度的選擇與演算法本身的設計之間做出了區分。」他進一步指出:「從這個角度看,Tuchman所言『國家安全局在任何方面都未曾影響演算法的設計』,並不與Kolata的文章相矛盾。」赫爾曼補充道,「眾所皆知,國家安全局是不會允許……出口較大密鑰的。」儘管他對IBM陷於國家安全局與公眾之間兩難境地表示同情,但密鑰長度與演算法設計究竟由誰決定的不明確,卻使IBM面臨風險,因為他們必須對被破解的加密技術負起全部商業責任。
在IBM,Tuchman和Carl Meyer曾在高速計算機上試驗密鑰窮舉攻擊技術,並确信56位元密鑰足以阻止商業攻擊者。Tuchman回憶道,IBM的安全策略就是這樣設計的:「只要辦公桌抽屜上鎖、機房門上鎖,再加上員工表現良好,就能確保安全。」關於植入後門的指控,其主要技術挑戰在於編寫這類代碼時必須確保後門能夠隱藏得天衣無縫,不被審計者或企圖利用後門牟利的第三方發現。當IBM首次被指控植入後門時,Walter Tuchman對此技術上如何實現毫無頭緒,他曾詢問團隊中的數學家,而這些數學家也同樣對任何能夠隱藏存取機制、逃避審查的方法一無所知。Tuchman還質疑,一家年收入達五百億美元的公司怎會冒著「巨額訴訟以及毀掉公司聲譽」的風險,以隱藏後門來欺騙專業公眾;他進一步認為,設計這樣的後門簡直是「極其不道德」的。Tuchman評論說:
「我們深信,對於商業密碼學而言,56位元的密鑰是足夠的。我們也知道,如果用兩個不同的密鑰對DES進行三重運算,實際相當於112位元密鑰,那樣做將需要耗費天文數字般的資源來進行窮舉攻擊。因此,我們認為關於密鑰長度的爭議根本不存在。」