如何評價 Diffie 和 Hellman 獲 2016 年圖靈獎?
2016年3月1日紐約時報頭條,密碼學先鋒獲得圖靈獎
謝不邀…
多圖預警,長答案預警,轉載請註明出處。
這個答案閱讀起來可能需要一點點耐心,嗯…
這道題竟然沒有收到邀請,也是有點莫名其妙… 不過,這道題我要儘可能答的完全,答的精彩,因為這是一個需要滿懷敬畏之心來回答的題目。
本回答會穿插一些離散數學的知識,不過我將儘可能淡化這些數學知識,盡量以講故事的方式來回答這個問題。同時,歡迎知友們隨時對我的答案提出意見和建議,我會儘可能完善此答案,讓這個答案儘可能完美。
本題目將按照下述主線回答:- Bailey W. Diffie和Martin E. Hellman的貢獻
- 黑歷史:本來應該還有第三個人
- 現在將圖靈獎頒發給Diffie和Hellman的原因
其中,第3部分的內容是我自己的思考,屬於主觀想法,並沒有嚴謹的考證,僅供參考。
===========================
1. Bailey W. Diffie和Martin E. Hellman的貢獻介紹之前,首先給出兩位學者的帥照!左邊那位就是Hellman,而右邊那位就是Diffie。
實際上,ACM、Stanford News已經表述的很清楚了(原文參見:http://www.acm.org/awards/2015-turing),在此我引用微信公眾號「新智元」(微信號Al_era)推薦的,王嘉俊、王婉婷、李宏菲、曾天宇、張大少對此篇報道的部分翻譯(原文參見:【重磅】2015 圖靈獎出爐,現代密碼學先驅 Diffie 和 Hellman 獲獎)。
那麼,這篇開創性的論文New Directions in Cryptography[1]到底介紹了些什麼呢?這篇論文不僅提出了公鑰密碼學的概念,它實際上是一個預測性論文,以公鑰密碼學為核心,預測了密碼學未來的發展方向,主要包括:美國計算機協會(ACM)今天宣布,授予前Sun Microsystems 公司首席安全官 Whitfield Diffie 和斯坦福大學電氣工程系名譽教授 Martin Hellman 2015 年的 ACM 圖靈獎,由於他們在現代密碼學領域的重要貢獻。ACM將於6月11日在加利福尼亞州舊金山市舉辦年度頒獎典禮並授予2015年圖靈獎。
建立雙方在互聯網上私下溝通的安全通道,是數十億人使用互聯網的根本。每一天,個人和銀行、電子商務網站、郵件伺服器和雲平台都在建立著聯繫。Diffie和Hellman在1976年的開創性論文New Directions in Cryptography(密碼學的新方向),介紹了公鑰和電子簽名的方法,這是今天大多數互聯網安全協議的基礎。Diffie-Hellman協議保護保護著每天互聯網的溝通,以及萬億美元的金融交易。......在《密碼學新方向》一文中,Diffie和Hellman展示了一種演算法,表明非對稱加密或是公共密鑰加密是可行的。這個演算法中,一個公鑰——不是秘密的、可以被自由分享——被用來進行加密,而一個永遠不需要離開接收裝置的私鑰被用來進行解密。雖然公鑰決定了私鑰,但是這種不對稱加密系統在設計時使得從公鑰中計算私鑰變成一件不可行的事。
- 公鑰密碼學(論文第三章:Public Key Cryptography)
- 單向認證,也就是後來的數字簽名(論文第四章:One-Way Authentication)
- 陷門單向函數(論文第五章:Problem Interrelations and Trapdoors)
- 計算複雜性問題(論文第六章:Computational Complexity)
可以說,Diffie和Hellman在這篇論文中指出了密碼學的未來發展方向,並且論證了它們之間的關係:利用計算複雜性問題可以構造陷門單向函數,進一步可以構造公鑰密碼學,而公鑰密碼學可以實現加密和認證功能。後續的研究一步步地實現了這些功能。
Diffie和Hellman憑這篇論文開創了密碼學的一個新領域,而這個新領域隨著互聯網的發展而得到了廣泛的研究與應用。
可以說,Diffie和Hellman的獲獎,實至名歸。
然而,在ACM的評論中我們可以注意到這樣一句話:Diffie和Hellman展示了一種演算法,表明非對稱加密或是公共密鑰加密是可行的。
之所以這樣說,是因為在這篇論文中,Diffie和Hellman並沒有提出其中任何一種具體的公鑰加密演算法,而是只給出了一個在公開信道中雙方可以交換一個密鑰的協議,這個協議被稱作Diffie-Hellman密鑰交換協議(Diffie-Hellman Key Exchange)。這個密鑰交換協議雖然不是加密演算法,但確實體現了公鑰加密的思想。實際上,Taher ElGamal在1985年提出的ElGamal公鑰加密演算法,從原理上可以看作是Diffle-Hellman密鑰交換協議的變形[2]。
在1977年,Ron Rivest,Adi Shamir和Leonard Adleman這三個人真正提出了一個公鑰加密/數字簽名演算法,也就是我們都知道的RSA演算法[3]。RSA演算法的提出,標誌著公鑰密碼學在實際中確實是可以實現的。計算機領域是一個理論與應用結合的領域,只有真正實現了的演算法才能被廣泛認可。早在2002年,Rivest、Shamir和Adleman就因共同提出了RSA演算法而得到圖靈獎。Diffie和Hellman得到圖靈獎的時間反而晚了14年。
我們要明確的是,RSA演算法實際上涵蓋了Diffle和Hellman所提出的所有概念:- RSA演算法可以用來對數據進行加密,是公鑰密碼學的一個典型實例
- RSA演算法可以用來實現數字簽名,是單向認證的一個典型實例
- RSA演算法的本質是RSA陷門單向函數。而且,RSA安全性所基於的大整數分解問題,至今為止都被認為是唯一可以用來構造陷門單向置換(Trapdoor One-Way Permutation)的方法。
- RSA演算法的安全性可以規約為一個計算複雜性問題:RSA問題。
因此,RSA演算法和Diffie-Hellman所做的貢獻本質上屬於同一個概念。按照圖靈獎的傳統,一般不會因為同一個概念而頒發兩個圖靈獎,那為什麼今年又把圖靈獎頒發給了Diffie和Hellman呢?更奇怪的是,在「新智元」推薦的文章中,第一張圖裡面是三個人:
===========================
2. 黑歷史:本來應該還有第三個人如果你閱讀了New Directions in Cryptography這篇論文的話,你會發現在第三章:Public Key Cryptography中有這樣一句話:
Merkle has independently studied the problem of distributing keys over an insecure channel. His approach is different from that of the public key cryptosystems suggested above, and will be termed a public key distribution system.
而引用的標註是:R. Merkle. Secure Communication over an Insecure Channel. Submitted to Communications of the ACM。或者你在維基百科上閱讀了Diffie-Hellman密鑰交換協議這個詞條的話(Diffiea€「Hellman key exchange),你會發現維基百科是如此描述的:
Diffie-Hellman key exchange is a specific method of securely exchanging cryptographic keys over a public channel and was one of the first public-key protocols as originally conceptualized by Ralph Merkle and named after Whitfield Diffie and Martin Hellman.
如果你再深挖一下的話,你會發現更神奇的事情。Diffle-Hellman密鑰交換協議是有專利的(https://patentimages.storage.googleapis.com/pdfs/US4200770.pdf)。這個專利於1977年9月6日申請,1980年4月29日獲批。而這個專利的作者有三個人,正是Hellman,Diffie,以及Merkle。
我靠,你們是不是在逗我?原來密鑰交換協議這個概念也不是Diffie和Hellman提的,而是一個叫做Ralph C. Merkle提的,是他最先研究的。實際上,上面圖中的第三個人就是Merkle。那麼為什麼New Directions on Cryptography這篇論文裡面沒有Merkle的名字,但是專利上面有呢?又是為什麼圖靈獎沒有同時給Merkle呢?Merkle和Diffie、Hellman究竟是什麼關係?
先來個Merkle的帥照!嗯… 我覺得還是很帥的。
我們來看看Ralph Merkle的維基百科(Ralph Merkle),上面有這樣一段描述:
Merkle graduated from Livermore High School in 1970 and proceeded to study computer science at the University of California, Berkeley, obtaining his B.A. in 1974, and his M.S. in 1977. In 1979 he received his Ph.D. in electrical engineering at Stanford University, with a thesis entitled Secrecy, authentication and public key systems; his advisor was Martin Hellman.
其中一個疑問可以解決了,原來Hellman是Merkle的博士生導師,怪不得!不過另一個奇怪的事情是,這哥們在Berkeley研究計算機科學,怎麼Ph.D.是在Stanford拿的?實際上,Merkle在Berkeley一直在研究公開信道的密鑰交換問題,論文做出來以後,他在Berkeley的導師認為他的論文胡寫一通,答辯不通過,不能拿到博士學位。萬般無奈之下,Merkle找到了在Stanford的Hellman,並且在Stanford拿到了博士學位… 所以呢?論文答辯不通過也不要灰心,沒準研究的是個圖靈獎苗子的問題呢?Merkle也沒通過嘛!
Merkle最先研究的密鑰交換,但是為何New Directions on Cryptography這篇論文裡面沒有Merkle的名字呢?我們來看看New Directions on Cryptography這篇原始論文的第一頁:
不過也還好啦,其實如果你學習過密碼學的話,應該聽說過一個叫做Merkle Tree的東西。這個就是Merkle提出的。這個密碼學數據結構在比特幣的區塊鏈(Block Chain)構造中有著非常重要的應用哦!
===========================
3. 現在將圖靈獎頒發給Diffie和Hellman的原因回到正題,為什麼這時候將圖靈獎頒發給Diffie和Hellman呢?
我個人的理解是:如果不給Diffie和Hellman,後面為密碼學做出貢獻的各個學者們就都別拿圖靈獎了…
到現在為止,公鑰密碼學的構造主要有三個方向:- 基於大整數分解問題。典型的就是RSA問題,以及二次剩餘問題等。
- 基於離散對數問題。典型的就是Diffie-Hellman密鑰交換協議,ElGamal加密/簽名演算法。大家眾所周知的比特幣(Bitcoin)中所使用的數字簽名演算法,也是基於離散對數問題,只不過是使用橢圓曲線進行構造的。
- 基於格困難問題。典型的就是NTRU加密演算法,以及現在火的一塌糊塗的全同態加密。
大整數分解問題的代表是RSA,他們開創了這一領域,得到了圖靈獎無可厚非。
然而,事物是以螺旋上升發展的。由於RSA演算法所依賴的代數結構性質不太好,並且加密/簽名演算法的密鑰長度和密文長度太長,自1985年ElGamal推出基於離散對數問題的公鑰加密/簽名演算法後,RSA就逐漸推出了歷史舞台,取代而之的就是基於離散對數問題的公鑰加密/簽名演算法。2001年,隨著Boneh和Franklin基於雙線性映射構造基於身份的加密演算法以後[4],基於離散對數問題的各種演算法火的一塌糊塗。按照延續性的話,任何基於離散對數問題所構造的密碼學方案未來有拿獎潛力的話,那麼首先就要給Diffie-Hellman頒獎,因為是他們首次提出可以基於離散對數問題構造公鑰密碼學方案。
有高潮就有低潮,隨著2009年,Craig Gentry構造出了第一個全同態加密方案後[5],基於格困難問題的公鑰加密/簽名演算法逐漸走進了歷史舞台。Gentry的貢獻可以認為是圖靈獎的備選。不過,根據著名密碼學家Vadim Lyubashevsky在Winter School on Cryptography 2012: Lattice-Based Cryptography的演講中所提到的:
A Method for Obtaining Digital Signatures and Public-Key Cryptosystems.」 According to the (very short) introduction, this paper purports to present a practical implementation of Diffie and Hellman』s public-key cryptosystem for applications in the electronic mail realm. If this is indeed the premise, the paper should be rejected both for a failure to live up to it and for its irrelevance.
...I doubt that a system such as this one will ever be practical. The paper does a poor job of convincing the reader that practicality is attainable....The introduction is only two paragraphs long, the relevant literature is not presented or cited, and there is virtually no comparison with the relevant work in the area. In summary, it looks as if this paper is a mathematical exercise with little originality (the authors claim that most of their ideas come from other papers), too far from practical applicability, running against the established standards, and with a declared application area of dubious feasibility. Not the kind of material our readers like to see in the journal. Reject.
我們,一直很欣慰…
以上。===========================參考文獻[1] Whitfield Diffie, Martin E. Hellman. New Directions in Cryptography. IEEE Transactions on Information Theory, 1976, 22(6): 644-654.[2] Taher ElGamal. A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms. IEEE Transactions on Information Theory, 1985, 31(4): 469-472.[3] Ron Rivest, Adi Shamir, Leonard Adleman. Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM, 1977, 21(2): 120-126.[4] Dan Boneh, Matthew K. Franklin. Identity-Based Encryption from the Weil Pairing. CRYPTO 2001, 213-229.[5] Craig Gentry. Fully Homomorphic Encryption Using Ideal Lattices. STOC 2009, 169-178.下圖是我在RSAC 2016會議中拍的,中間那位甘道夫(D)和戴眼鏡(H)的就是主角。獲獎消息是RSAC的cryptographers" panel經典環節前獲知的,現場6個嘉賓除去主持人和捧場的,還有2012年獲圖靈獎的RSA發明者中的Rivest和Shamir,以及DH密鑰交換的Diffie和Hellman,只要學過密碼學,大家都應該知道這四個人是誰吧?
從往年兩個圖靈獎獲得者變成了四個,無論他們是參加這個panel,還是打麻將,應該都是圖靈獎密度最高的組合了吧,當時現場報以熱烈掌聲,現場沒有參加的同學,可以翻牆看一下這個視頻(The Cryptographers" Panel),如果不會翻牆的話,也可以看看這個http://pan.baidu.com/s/1o7rYHiM。
為何獲獎,ACM主席Wolf在頒獎詞中已經說了,Diffie和Hellman的貢獻在於現代的密碼體系,其1966年論文介紹了公鑰密碼和數字簽名,已經成為了互聯網傳輸的安全協議基礎。
關於DH密鑰交換,我覺得在一個不可信的環境中,基於離散對數問題,能設計出一個有效密鑰交換體系,就是很大貢獻了。大家覺得這個公式很簡單很優美有木有。。。
今年很熱的話題是Apple和FBI撕逼,關於這點Hellman提到很有意思的事情:1970年代NSA主管Bobby差點因為這篇著名的論文將Hellman扔進監獄(感謝他沒這麼做)。現在Bobby和Hellman卻是好朋友,所以這些密碼學家在提出廣為工業界採用的加密演算法和體系的同時,也在與監管機構協商、合作,這種積極入世的態度也許是我們很多國內科研工作者要學習的。
名至實歸,開創了一個新時代,打開了密碼學的新天地。
可以看看這篇http://mp.weixin.qq.com/s?__biz=MzIyNDA2NTI4Mg==mid=406254329idx=1sn=1d58408b6b1b9680172aee83a0b53495scene=2srcid=0303jhf4ALG4lDSVV9bh07BLfrom=timelineisappinstalled=0#wechat_redirect
一直在用dh,卻不知道這倆還一起提出公鑰體系。失敬了
謝邀,通過論壇朋友推薦看明白了獲獎原因。
這兩個人是非對稱加密的創始人。.開創了當時密碼學新方向。古典密碼學是演算法不公開,秘鑰不公開。香農時代之後密碼學變成了秘鑰不公開,演算法公開。但是這樣沒有什麼用。非對稱加密之前通訊是什麼樣子呢?比如A國和A駐B國大使館通訊。假定為A與a通訊。因為沒有秘鑰,演算法公開,現在通訊線路是被竊聽的。所以沒有辦法傳遞涉密信息。只能通過秘密渠道交換秘鑰之後才能進行通訊。但是這樣沒有辦法滿足實時通訊或者及時更新秘鑰的需求。更沒有辦法適應大規模的通訊。比如A國有200個國家的大使館,那麼這201個地方相互通訊需要的通訊秘鑰是200*199/2約2W個秘鑰。秘鑰的更新和秘密傳遞代價太大。而有了非對稱加密之後只要201個秘鑰就行了。每個消息傳遞同時可控,秘鑰更新也是很方便的。比如有了非對稱之後A和a的通訊過程是這樣的。A的公開秘鑰是A『,a的公開秘鑰是a"A給a發消息。發送f(加密演算法)(message,a』)a收到之後解密為message,發送f(加密演算法)(message確認,A』)就行了。然後雙方可以使用「message確認」作為秘鑰進行對稱加密通訊。非對稱的建立簡化了秘鑰交換過程,加強了雙方的身份識別。是密碼學跨時代的進步。實至名歸。非對稱加密體系相較於對稱加密體系在安全性上有了質的提升,即使單方截獲密文和公鑰也無法在短時間內解出明文。致敬非對稱加密體系。公鑰和私鑰概念的提出,在密鑰管理上簡化了很多,而後來一系列的非對稱加密演算法,如RSA和ECC,真是讓人拍案叫絕於其數學之美…(尤其是ECC,不僅在密鑰長度上縮短了不少,破解時間上也不輸。當時研讀演算法的我一直在想:演算法設計人到底是怎麼設計出來這種演算法的……)總之,真心致敬兩位前輩四十年前搭出來的非對稱加密世界,才有了後面這麼多精彩的加密演算法供我們這些後生以拜讀,40年間在通信保密上的貢獻也是有目共睹。真是讓人備受鼓舞的消息啊。
實至名歸。
專業相關,基本每本專業書都能看到兩位前輩的名字。非對稱加密體系真正讓我開始發現了數學之美,可以說是開啟了密碼學的一個新篇章。他們其它在通信上的貢獻也是有目共睹。這個獎是對信息安全行業來說,無疑不是一個非常鼓舞的消息。正在做的大創項目中也有用到DH加密演算法,感謝兩位前輩。上周上課的時候60多歲的我系密碼學老教授激動地對我們說今年的圖靈獎給了我們密碼學!這是我們密碼學的榮耀,是對全體密碼學家的肯定!實至名歸,榮耀之至。
項目中用到了DH加密演算法,給大神們致敬。
對於非對稱加密來說,這個獎不算遲到;但對於信息安全行業來說,這個獎來得有點遲了,現在的信安太需要這樣一個激勵了
實至名歸 向前輩致敬
上個學期學習密碼學時,我的腦中只有一個想法,
為什麼人和人之間的智商差距乳齒之大!!!!
為什麼!為什麼他們!能想出這麼優美而神奇的密碼!
為什麼!為什麼數學!數學會這麼美!而我,卻這麼丑,又這麼笨!密碼學,我配不上你。
我,選擇死亡。
推薦閱讀:
※有限域的階為什麼一定是素數的整數次冪?
※量子計算機出現之後,取代數字密碼的將會是圖形類的密碼嗎?
※怎樣看懂密碼學入門書籍「introduction to modern cryphtography 」?
※請教DH演算法在混合加密中,到底起什麼作用?
※有人把國密演算法集成到 OpenSSL 里的么?