关于 NORX，物联网安全和区块链，听听 Philipp Jovanovic 怎么说

关键点：

• 近段时间，Jovanovic 在为 NORX 努力工作，NORX 是一种新颖的认证加密算法，支持相关数据，旨在提供高安全等级、软硬件的优良性能以及一些额外的安全功能，比如对定时侧信道攻击的内在抵抗力。
• 他还致力于比特币和其它被称为 ByzCoin 的区块链的扩展，这将把比特币的交易吞吐量提高两个数量级。由于 IT 系统在我们的社会中扮演着中心角色，它们引发了不断增长的攻击，这些攻击来自黑客、罪犯或其他政府，这些攻击可能是网络犯罪、网络间谍，或者只是恶作剧。
• 物联网系统尤其脆弱。只有一个例外，那就是宜家的 Trådfri 智能照明平台，该平台有相对像样的安全架构。
• 为了确保自身的安全使用，常见的最佳做法是尽快安装已经就绪的软件更新、启用全磁盘加密、对每项服务使用单独（per-service-unique）的强密码并和密码管理器一起使用、尽量激活双重身份验证（使用 Yubikey 以获得额外的安全性），同时拥有多个备份。
• 对于移动消息，使用支持端到端加密的应用，如 Signal、Wire、iMessage 和 Whatsapp。尽量用 PGP 或 SMIME 为电子邮件进行加密。

DotSecurity 是为非安全开发人员举办的安全会议。最好的黑客们中有一些参加了 2017 年 4 月 21 日在巴黎举行的会议，他们谈到了每个开发人员都应该知道的安全原则、工具和做法。

在本次采访（最初发布在 InfoQ 法国站上）中， Mathieu Bolla 采访了 Philipp Jovanovic ，Philipp Jovanovic 是 École polytechnique fédérale de Lausanne（ EPFL ）的密码专家。他们就 NORX、物联网安全、保持自己的安全在线和区块链进行了讨论。

InfoQ：您好，Philipp。我是 Mathieu Bolla。我是 LesFurets.com 的软件工程师，负责我们客户数据的安全。您是École polytechnique fédérale de Lausanne 的密码专家，能否请您简单地介绍一下您自己？

您好，Mathiew，很高兴认识您！从 2015 年起，我在 EPFL 的分散化和分布式系统（Decentralized and Distributed Systems，简称 DEDIS）实验室作为一名博士后研究员，和 Bryan Ford 及其团队一起工作。在这之前，我在德国的 Passau 大学获得了密码学博士学位。我的研究兴趣很广泛，包括应用密码学、信息安全以及分布式和分散化系统。

InfoQ：您最近为 NORX 努力工作，是 CASEAR（Competition for Authenticated Encryption: Security, Applicability, and Robustness）的候选人，比赛结果将于今年 12 月底揭晓。我知道它旨在通过如提供单次加密和认证的方式，降低两种互相矛盾的方法的组合风险来简化开发人员的工作。您是否可以跟我们讲讲 NORX？我们是否现在就该用它？它到底是什么？

NORX 是一种新颖的认证加密算法，支持相关数据，旨在提供高安全等级、软硬件的优良性能以及一些额外的安全功能，比如对定时侧信道攻击的内在抵抗力。我们的目标是保持整个算法的设计尽可能简单，以降低意外忽视安全弱点的风险，正如你能想象到的，那些风险很容易发生。尽管我们对 NORX 的安全性相当自信，但是目前，我们并不建议把它用在除了测试之外的任何地方。与此相反，我们建议等等 CAESAR 的比赛结论，与此同时要依靠当前标准的 AEAD 密码，如 AEX-GCM 或 ChaCha20-Poly1305。

InfoQ：一旦 CAESAR 公布了获胜者，您是否期望它成为标准？作为开发人员，我们会受到什么影响？您是否看到像 HMAC 在某些主流云服务上取代 HTTPS 消息，这对于正确地部署是有影响的，有时也被证明是不安全的？

事实上，CAESAR 不会只从剩下的算法中选一个获胜者，而是会推荐一个根据某些应用场景，比如软件、硬件，或资源受限的设备分类的密码组合。一旦比赛结束，我希望我们能更广泛地部署 CAESAR 最终的算法组合，以替换更旧的 AEAD 架构，比如 AES-CBC+HMAC 和 AES-GCM。这个转移当然不会发生在一夜之间，而是在更长的一段时间里逐渐地实现。据我所知，现在没有计划让 CAESAR 的获胜者成为默认的标准，就像 NIST 的 SHA3 比赛。但是，我希望像 IETF 的加密论坛研究小组（Crypto Forum Research Group，简称 CFRG）等组织能够考虑把某些 CAESAR 的获胜者当作标准以进一步简化采用。

InfoQ：更广泛地说，我们身处这样的一个世界：据说情报机构监视着各种目标、军队从事网络攻击、互联网公司面对来自小团体甚至个人大量的广告攻击，对于这样的信息安全状况，您怎么看？您觉得威胁的级别升高了吗？或者我们只是越来越意识到威胁以及其带来的后果？

由于 IT 系统在我们的社会中扮演着中心角色，它们引发了不断增长的攻击，这些攻击来自黑客、罪犯或其他政府，这些攻击可能是网络犯罪、网络间谍，或者只是恶作剧。我认为这些都不奇怪。我预计这个趋势还会继续下去，因为各种各样的发展趋势，像从网络上获得黑客工具和教程的障碍不断地在减少，看起来越来越多网络犯罪的获益，世界各地的政府正在升级其网络防卫和监视能力，新技术正在以越来越快的步伐被开发和投入，而且常常是过早地进入了市场。

尽管情况看上去很严峻，但仍有希望。举个例子：不久前，宜家发布了其 Trådfri 智能照明平台，该平台显然拥有一个相当不错的安全架构。乍一看，会觉得很意外，那么多企业中，只有宜家指出了对物联网产品在良好的安全设计上投资有多么重要。其实，再想一想，就容易理解宜家的决定了：由于不从其物联网产品中榨取最后一点收入，宜家降低了其设备被大范围攻击的风险，那样的攻击会迫使其进行成本高昂的产品召回，同时也许会大大破坏其形象。多亏了这个决定，这个世界逃脱了一个有着大量的物联网照明灯泡的 Trådfri 僵尸网络的命运，这个僵尸网络会成为一个笑话。我认为如果更多（特别是物联网）公司能够跟随宜家的步伐，那就太好了。

这小小的例子突出了另一个要点：对设计和开发人员的安全教育投资是至关重要的，因为新的 IT 产品必须在设计时始终牢记安全性。事后再对产品打安全补丁基本是没有什么效果的。

最后，我认为需要提高大众的安全意识，比如在终端用户的层面上，这是我们必须继续为之努力的另一个重要议题。

InfoQ：作为个人和开发人员，您预计今年会出现什么样的威胁？我们听到了很多有关赎金、网络钓鱼攻击和僵尸物联网的消息，但是这些看起来从技术上是可以避免的。您是如何进行自我保护，避免各种安全威胁的？

您提到的威胁从理论上来说也许能避免，但是，我们不是身处一个完美的世界中。因此，我们必须预计到将来在 IT 系统的设计、部署以及使用中出现错误。在这方面不会有大的惊喜，同时在 2017 年，我们很有可能看到已有的一些网络攻击形式，也可能会延伸到下一代电脑化产品上，如联网的汽车、医疗设备、增强和虚拟现实系统。

关于对我自己的设备和数据的保护，我用的是相当常见的最佳方法：尽快安装已经就绪的软件更新、确保全磁盘加密、对每项服务使用单独（per-service-unique）的强密码并和密码管理器一起使用、尽量激活双重身份验证（使用 Yubikey 以获得额外的安全性），同时拥有多个备份（当然必须是加密的）。对于移动消息传送，我完全依赖支持端到端加密的消息应用，比如：Signal、Wire、iMessage 和 Whatsapp。我也尽可能用 PGP 或 SMIME 为电子邮件加密。最后，总是要仔细想想电子邮件中的链接和其它可以点击的链接中，哪个是可以点击的，因为超过 91% 的网络攻击是由欺诈消息引起的。

InfoQ：我看到您也从事区块链上的工作，更确切地说是 ByzCoin，它是比特币和其它区块链的扩展。您以 Paypal 和 VISA 的最大吞吐量之间的某个位置为基准，这对当前比特币实现的大约每秒 7 次交易是个极大的提升。您认为您的方法会有吸引力吗？它会让加密货币变得更稳定、更主流吗？

如果像比特币这样的加密货币采用 ByzCoin ，当然非常好了，因为它不仅仅会大幅度提高比特币的性能，也会提高其安全性。我们已经多次向比特币社区询问他们是否有兴趣在对 ByzCoin 的采用上进行合作，但是，不幸的是，目前他们没多大兴趣。坦白来讲，比特币和其他加密货币目前面临一些（非常重要的）问题，转换到 ByzCoin 只是解决这些问题的第一步。但是，即便是这样一步，也会增加其他某些需要解决的挑战的迫切性。例如，ByzCoin 能提高比特币交易吞吐量两个数量级（约 700TPS），那也将大大提高存储需求。结果就是，只有设备齐全的节点能继续维持区块链，比特币将进一步被集中。为了让加密货币重新民主化，为成为主流做好准备，高耗能的工作量证明（proof-of-work）挖掘机制是另一个需要解决的关键问题。

InfoQ：您在论文中提到了有可能扩展到其它区块链。关于 Ethereum，我设想您的工作也许允许它处理更多的智能合同，交易速度比目前的更高。要实现像 Ethereum 之类的东西，这是否是唯一的限制因素？您认为您的工作已经到了一个极限，还是还有提升的空间？

ByzCoin 当然能够以您提到的方式来帮助 Ethereum，但是它也有其局限性，它只能在一定的程度范围内进行扩展，当协商一致的群体（consensus group）增加超过一定规模后，它的性能就会下降。因此，总是有提升的空间，事实上，我们团队（特别是博士生中的 Eleftherios Kokoris-Kogias）正在开发一个系统，除了解决刚才提到的存储问题外，还要让加密货币能安全地在水平方向上进行缩放，那意味着系统的吞吐量会根据达成共识的组员数量线性增加。

InfoQ：现在，让我们看看未来。最近，您为 CAESAR 比赛而在 NORX 上努力工作，接着是区块链。那么，接下来是什么？您能否告诉我们明年您会做什么项目？在加密方面什么最热门？

当然可以。目前，我参与了多个研究项目，感到非常兴奋。

我还在不断地研究对称密码学上的问题，比如我们最近在研究的在TLS 中使用AES-GCM 的潜在危险，或者是我们关于所谓的 Masked Even Mansour（MEM）结构的项目，这个可以用于指定的安全和高效的认证加密模式，这种加密模式跟 NORX 设计方式有些类似。

除此之外，在 cothority 项目中，我在继续研究安全和可扩展的去中心化系统。在这个领域的一个子项目中，我们正在整理第一阶段的成果，会在 2017 年 IEEE 的安全和隐私会议上做个讲话，那是关于以可扩展、不可分割和第三方验证的方式生成分布式随机性。这其中包括电子投票、彩票和区块链技术的应用。对于该项目的后续步骤，我们打算深入探索我们系统的应用，并把当前的原型转变成在线服务，允许任何人申请上述属性的随机性。

再有，为了数字身份的安全管理，我们正在 DEDIS 中采用新的方法工作，这个对诸如加密密钥的部署和发现、更安全的软件更新过程，以及寻找更好的替代方案来实现工作量证明和权益证明（proof-of-stake）的反多重账号（sockpuppet，马甲）机制时都至关重要，这些机制是现代开放加密货币的关键所在。

查看英文原文 P hilipp Jovanovic on NORX, IoT Security and Blockchain

感谢张卫滨对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。