Conflux研究总监杨光：从现代密码学到区块链

“Itmustnotberequiredtobesecret,anditmustbeabletofallintothehandsoftheenemywithoutinconvenience.”

这是著名的密码学柯克霍夫六大原则之一。

软件开源与安全性的议题，近来因美国政府可能管制一事，引发了极大的讨论与关注。

区块链堪称是与开源最相关的技术之一，而作为区块链起源之一的密码学，其实早已对此有了答案。

导言／林佳谊

文／杨光

在提到密码或者密码学的时候，很多人的脑海里可能会浮现出两种截然不同的形象。

一种在神秘中带着些许浪漫主义色彩，例如福尔摩斯在探案中遇到的跳舞小人（参见TheAdventureoftheDancingMen）或者《达芬奇密码》中的暗号，常见诸于大众文学和影视作品。

另一种则显得冰冷无情甚至有些乏味，例如根据一段短短的口令，电脑程序把好好的文件变成了一串无法识别的“乱码”，这也是实际上我们身边的各种电子设备每时每刻都在使用的密码。

为什么我们会对同一个概念有着两种截然不同的印象？

难道是大众传媒骗了我们吗？

其实答案并不是非此即彼那么简单：两种关于密码学的描述都是正确的，只不过前者通常被我们称为“古典密码学”，而后者被称为“现代密码学”——也就是今天的人们研究和使用的密码学。

虽然两者同样顶着“密码学”的名字，但是它们在本质上却极为不同，一言以蔽之，“古典密码学属于艺术，现代密码学属于科学”。

古典密码学

具体来说，古典密码学的安全性来源于密码设计者的知识积累和创造力，以及对所设计方案的保密性。

例如二战期间美军利用纳瓦霍语难以学习及了解的特性，以该语言为基准设立了一套通信术语系统并大量招募纳瓦霍人入伍担任译码员（2002年的电影《风语者》即反映了相关事迹）。

对于日本人来说，想要攻破这套密码体系只有两条路可选：一是从零自学纳瓦霍语；二是先探听到这套密码是基于纳瓦霍语的，再设法找纳瓦霍人帮忙破解。

实际上，这套密码直到战争结束也没有被破解。

然而，如果对手技高一筹的话，过于依赖保密的设计方案的密码体系反而会弄巧成拙——图灵帮助盟军攻破德国的“Enigma”密码的故事就是一个很好的例子（注1）。

古典密码学作为一种有着几千年历史的军用技术，绝大多数情况下也可以很好地履行使命，那么又为什么沦落到今天被现代密码学所取代的地步呢？

这是因为古典密码学作为一种曲高和寡的艺术形式，同其他很多高雅艺术相似，并不符合广大人民群众的需求——简单来说，就是太贵了，普通人用不起。

对于国家政府、军队、或者某些势力强大的黑衣组织来说，专门为其成员统一设计一套密码体系并不是什么难事，只需要避免组织中出现叛徒即可。

而对于普通人来说，专门设计一套密码的成本已经有些昂贵，更昂贵的是往往一套还不够用——例如Alice想要分别跟Bob和Chris进行保密通信，为了保证Bob不能解密Alice与Chris之间的通信，Alice跟两个人通信时必须使用两套截然不同的密码系统。

想象一下，如果银行需要为每一个用户都分别设计一套用户和银行间通信使用的密码，那么密码学专业毕业的学生一定会很容易在银行找到一份工作——前提是银行没有因为成本过高而倒闭。

现代密码学的诞生

实际上，随着计算机的普及，即使美国政府这样财大气粗的土豪，也难以负担得起为每个使用计算机的部门维护专用密码系统的成本。

因此，美国的国家标准局（NIST的前身）于1972年开始征集用于加密政府内非机密敏感信息的密码系统。

在1974年的第二轮面向公众的征集中，IBM提交了一种加密算法的提案，这就是著名的DES加密算法，其中DES是英文DataEncryptionStandard（“数据加密标准”）的缩写。

作为现代密码学的开山之作和杰出代表，DES加密算法遵循了柯克霍夫原则。

该原则要求密码系统的安全性完全依赖于一个妥善保管的安全密钥，而不依赖于对密码系统本身细节的保密。用信息论的发明者克劳德•香农的说法来讲，就是“敌人了解系统。”

按照柯克霍夫原则，只需保管好不同的通信信道各自的密码，就可以使用同一个密码系统在所有信道上安全地通信。

“只换密钥，不换密码系统”的特点，极大地降低了使用加密技术的成本，使得密码从一种艺术品，变成一种低价且可大量供应的工业品。

现代密码学技术终于在以金融为代表的商业应用中获得了大显身手的机会。

尽管DES是一种非常优秀的加密算法，但是对于DES的信任并非是与生俱来的。