保守秘密：Diffie-Hellman和NSA

如果你的研究可以帮助解决一个迫在眉睫的国家问题，但政府官员认为公布它等同于叛国，那该怎么办？37年前，斯坦福大学(Stanford)的一位教授和他的研究生发现自己陷入了这种情况，当时他们在计算机隐私问题上富有远见的工作与美国国家安全局(National Security Agency)发生了冲突。当时，如何加密和解密信息的知识是政府的领域；美国国家安全局担心公开密码学的秘密会严重阻碍情报行动。但正如研究人员所看到的那样，社会对计算机的日益依赖意味着私营部门也需要有效的措施来保护信息。事实证明，双方的担忧都是有先见之明的；他们的冲突预示着，具有隐私意识的技术专家和具有安全意识的政府官员之间将展开一场普遍的拉锯战。

信息理论国际研讨会并不以其生动的内容或充满政治色彩的演讲而闻名，但1977年10月10日在康奈尔大学举行的会议是一个特例。除了与诸如“删除和拒绝误差估计的自由分配不平等”等题目的讨论外，会议还展示了斯坦福大学一个小组的工作，这引起了美国国家安全局(National Security Agency)的愤怒和全国媒体的注意。在这场会议上，斯坦福大学的一个小组的工作引起了美国国家安全局(National Security Agency)的愤怒和全国媒体的注意。讨论中的研究人员是马丁·赫尔曼(Martin Hellman)，当时他是一名电气工程副教授，以及他的学生史蒂夫·波利格(Steve Pohlig)，75岁的硕士，78岁的博士，以及拉尔夫·默克尔(Ralph Merkle)，79岁的博士。

一年前，赫尔曼和他的学生乔治亚州惠特菲尔德·迪菲出版了密码学的新方向。78。这篇论文介绍了现在构成所有现代密码学基础的原理，它的出版理所当然地在电气工程师和计算机科学家中引起了轰动。正如赫尔曼在2004年的一次口述历史中回忆的那样，非军事团体对这篇论文的反应是欣喜若狂。相比之下，美国国家安全局则是中风。

赫尔曼和他的学生正在挑战美国政府对密码学的长期国内垄断，这一事实深深激怒了情报界的许多人。美国国家安全局承认，迪菲和赫尔曼在没有接触机密材料的情况下提出了他们的想法。即便如此，用2009年解密的、现在保存在斯坦福档案馆的NSA内部历史的话说，NSA认为[Diffie-Hellman]技术是机密的。现在它已经公之于众了。

赫尔曼和美国国家安全局之间的紧张关系在1977年研讨会之前的几个月里只会恶化。7月，一位名叫J·A·迈耶(J.A.Meyer)的人给电气和电子工程师协会(Institute Of Electrical And Electronics Engineers)发了一封尖刻的信，该协会发表了赫尔曼的论文，并召开了这次会议。它是这样开始的：

在过去的几个月里，我注意到，各个IEEE组织一直在出版和出口有关加密和密码学的技术文章--这个技术领域受联邦法规ITAR(International Traffic in Armons Regulations，22CFR 121-128)管辖。迈耶在信中断言，IEEE和相关论文的作者可能会受到联邦法律的起诉，联邦法律禁止武器贩运、传播原子机密和披露机密信息。

迈耶没有点名赫尔曼或他的合著者的名字，但具体说明了IEEE在“信息论”杂志和“计算机”杂志上刊登赫尔曼文章的问题。迈耶不祥地得出结论说，这些现代武器技术不受控制地传播，其影响可能不仅仅是学术效应。

迈耶的信引起了学术界许多人的警觉，并引起了“科学”和“纽约时报”的报道，主要原因有两个。首先，这封信建议，仅仅发表一篇关于密码学的科学论文，在法律上就相当于向外国出口核武器。如果迈耶对法律的解释是正确的，它似乎对研究人员的发表自由施加了严格的限制。其次，“科学”杂志的黛博拉·沙普利和吉娜·科拉塔发现迈耶是美国国家安全局的雇员。

赫尔曼一收到这封信的副本，就意识到继续发表可能会将他和他的学生置于法律危险之中，因此他向斯坦福大学律师约翰·施瓦茨寻求建议。

在给施瓦茨的备忘录中，赫尔曼清楚地阐述了公共领域密码学研究的价值。赫尔曼首先精明地承认，美国政府对密码技术的严格控制在第二次世界大战中被证明是非常有用的：盟军利用机密的密码发现来改进他们自己的加密系统，而拒绝让轴心国获得同样的密码好处。即便如此，赫尔曼辩称，情况已经发生了变化。

这是今天的商业需求，这在1940年代是不存在的。自动化信息处理设备的越来越多的使用构成了真正的经济和隐私威胁。虽然可能性很小，但必须考虑到通过计算机化进行最初无意的警察国家式监视的危险。从这个角度来看，不完善的商业密码系统(我们的出版物正在努力避免)会对内部国家安全构成威胁。

在备忘录中，赫尔曼描述了他早先阻止NSA涉足的尝试是如何失败的，因为NSA的工作人员甚至不愿透露赫尔曼应该避免哪些领域的密码学研究。

几天后，施瓦茨回应赫尔曼，认为发表密码学研究本身不会违反联邦法律。他的发现有很强的法律基础：当时美国有两项管理机密信息的法规-一项行政命令和1954年的《原子能法案》--但这两项法规似乎都没有阻止非机密密码学研究的发表。

联邦政府只有一个可能的法律工具可以用来阻止斯坦福组织传播他们的工作：1976年的《武器出口管制法案》，该法案监管军事装备的出口。根据这项法律的慷慨解释，就密码算法进行公开陈述可能构成武器出口。然而，目前尚不清楚根据这项法案进行的起诉是否能经得起第一修正案的法律挑战。

施瓦茨对这些法律进行了综合评估，他得出结论，赫尔曼和他的学生可以合法地继续出版。与此同时，施瓦茨讽刺地指出，至少存在一种(对法律)相反的观点，那就是约瑟夫·A·迈耶(Joseph A.Meyer)的观点。赫尔曼后来回忆起施瓦茨不那么令人欣慰的非正式建议：如果你被起诉，斯坦福会为你辩护。但是如果你被判有罪，我们就不能支付你的罚款，我们也不能为你坐牢。

康奈尔研讨会是在施瓦茨提出法律意见三天后开始的；赫尔曼、默克尔和波利格不得不迅速决定是否不顾起诉、罚款和监禁的威胁继续他们的陈述。研究生通常会在学术会议上展示他们自己的研究，但根据赫尔曼的说法，在这种情况下，施瓦茨建议不要这样做。由于这些学生不是斯坦福大学的雇员，该大学可能更难证明支付他们的法律账单是合理的。施瓦茨还推断，对于年轻的博士生来说，处理冗长的法庭案件比处理终身教职员工更难。赫尔曼把决定权留给了学生。

根据赫尔曼的说法，默克尔和波利格一开始说，我们需要交论文，见鬼去吧。然而，在与他们的家人交谈后，学生们同意让赫尔曼代表他们出席。

最后，研讨会平安无事地举行了。当赫尔曼发表演讲时，默克尔和波利格站在舞台上。“科学”杂志观察到，会议按计划进行的事实毫无疑问地表明，(密码学方面的)工作已经被广泛传播。一群非政府研究人员可以公开讨论尖端的密码算法，这标志着美国政府对密码学信息在国内的控制已经结束。

鲍比·雷·英曼(Bobby Ray Inman)副海军上将于1977年夏天接任美国国家安全局(NSA)局长一职。英曼是一位经验丰富的海军情报官员，在两党都有盟友。如果他胜任这项工作的条件不错，那么他的时机就不好了。他刚把办公椅暖了一下，就被推到了媒体的中心，他最近称，这封信是在英曼上任的第一天写的，引起了媒体的轩然大波。

尽管英曼担心这些新密码技术的公布会对美国国家安全局的外国窃听能力产生影响，但他也感到困惑。正如他解释的那样，20世纪70年代密码设备的主要消费者是政府。除此之外，早期唯一的其他人。。。购买加密软件以供使用的是毒贩。既然美国国家安全局已经有非常能干的人致力于建造供美国政府使用的系统，而国家安全局对保护毒贩的通信没有兴趣，英曼想找出为什么这些年轻的研究人员如此专注于密码学。

按照情报专业人员的传统，英曼开始为自己收集一些信息。他去了加州，会见了伯克利、斯坦福和其他地方的教职员工和行业领袖。英曼很快发现，斯坦福大学的研究人员正在设计密码系统，以解决美国国家安全局尚未注意到的一个新问题：保护越来越多的商业计算机系统的安全，这些系统容易受到攻击或泄露。英曼说，研究人员的立场是，一个全新的世界正在浮现，需要密码技术，而这不会由政府提供。

马丁·赫尔曼(Martin Hellman)最近以类似的方式讲述了他们的谈话：我从一个非机密的角度从事密码学工作，因为我看到--甚至在70年代中期--计算机和通信之间的联姻日益紧密，因此需要非机密的密码学知识。英曼意识到，加州的学者们认为强大的公共密码系统是正常运行的技术环境的关键部分。

尽管如此，英曼对高级加密系统可供购买的前景并不兴奋，特别是在国外。我们担心外国会采用和使用密码技术，这将使解密和读取他们的通信变得极其困难。

围绕最近的密码学工作的公众兴奋程度使得非机密密码学领域的增长几乎是不可避免的。1977年8月，“科学美国人”发表了由麻省理工学院的Ron Rivest、Adi Shamir和Leonard Adleman设计的新RSA密码系统的描述。根据史蒂文·利维(Steven Levy)2001年出版的“加密”(Crypto)一书，研究人员向任何向麻省理工学院发送写有地址、贴好邮票的信封的人提供了一份描述该方案的技术报告的副本。作者收到了7000份请求。

为了应对非机密密码术日益增长的威胁，英曼召集了一个美国国家安全局内部小组征求意见。正如美国国家安全局解密的历史所述，在如何控制密码学研究的出版方面，该小组给了英曼三个严峻的选择：

专家小组的结论是，损害已经非常严重，需要采取措施。

美国国家安全局的文件和赫尔曼的回忆都表明，英曼最初试图按照“原子能法案”的思路起草一项限制密码研究的法律。美国国家安全局的历史记录显示，由于政治原因，英曼提出的法案在抵达时即告死亡。

国会希望将美国商业从五角大楼强加的任何形式的贸易限制中解脱出来，历史悲哀地叙述，卡特政府希望放松五角大楼对任何事情的控制，特别是任何可能影响个人权利和学术自由的事情。

赫尔曼说，即使英曼能够让国会通过一项法案，第一修正案也很难阻止研究人员公开谈论他们的工作。如果他们不发表论文，他们会在提交发表前做100场演讲。

作为妥协的最后努力，英曼为密码学研究论文组织了一个自愿的发表前审查系统。近年来，其他一些科学期刊也尝试了类似的系统。美国科学家联合会(Federation Of American Science)的史蒂文·阿弗特古德(Steven Aftergood)是一位政府保密专家，他说，这真的是所有人能想到的最好的办法了。

审查程序使用了十年，但英曼回忆说，由于#34；的爆炸，它最终分崩离析。。。使用"；进行加密。正如Diffie和Hellman在1976年预测的那样，随着世界经历了一场数字革命，密码学领域也随之发生了一场革命。

人们很容易将斯坦福大学研究人员与美国国家安全局之间冲突的结果视为言论自由的一次明确胜利，以及密码工具民主化的开始。这种描述有一定道理，但它忽略了这场争执对学术密码学社区和美国国家安全局(NSA)产生的更大影响。

赫尔曼和其他学术研究人员意识到，只要辩论在公开场合进行，他们就可以赢得这场辩论。报纸和科学期刊发现，同情一群古怪而热情的学者要比同情一个阴暗而严肃的情报机构容易得多。赫尔曼在2004年回忆说，第一修正案权利的问题也给了媒体和研究人员一个共同的原因。在出版自由问题上，新闻界都站在我们这边。“纽约时报”和其他一些出版物都发表了社论。我记得，科学覆盖了我们的工作，对我们很有帮助。

另一方面，美国国家安全局官员意识到，他们很难获得公众的支持，以压制他们认为危险的研究成果的发表。相反，他们转向了他们几乎完全控制的非政府密码学的两个方面：研究资金和国家标准。

截至2012年，联邦政府提供了美国学术研究和开发资金的60%。拨款的政府机构通过选择资助哪些项目来影响研究的进行。

甚至在1977年的信息理论研讨会之前，美国国家安全局就审查了可能与信号情报或通信安全相关的国家科学基金拨款申请。据称，进行这些审查的原因是为了让NSA就这些建议的技术优点向NSF提供建议，但该机构似乎利用这一过程来对非政府密码学研究进行控制。

例如，美国国家安全局审查并批准了罗恩·里维斯特的NSF拨款申请。后来，Rivest用这笔资金开发了极具影响力的RSA密码系统，该系统可以保护当今大多数加密的互联网流量。NSA的内部历史表明，如果审查员了解Rivest会用这笔钱做什么，该机构就会试图破坏Rivest的拨款申请。历史抱怨说，NSA错过了这个机会，因为Rivest提案的措辞过于笼统，以至于NSA没有发现该项目带来的威胁。

1979年，伦纳德·阿德尔曼(RSA三人组的另一名成员)向NSF申请资金，并将他的申请转发给了NSA。根据惠特菲尔德·迪菲(Whitfield Diffie)和苏珊·兰道(Susan Landau)2007年出版的“线路上的隐私”(Privacy On The Line)一书，美国国家安全局(NSA)提出为这项研究提供资金，而不是NSF。由于担心他的工作最终会被列为机密，阿德尔曼提出了抗议，并最终获得了NSF的拨款。

尽管NSF似乎保持了一定程度的独立性，不受NSA的影响，但该机构可能对其他联邦资金来源拥有更大的控制权。特别是，国防部通过国防高级研究计划局(DARPA)、海军研究办公室、陆军研究办公室和其他办公室为研究提供资金。在20世纪70年代末与学术界发生争执之后，美国国家安全局的历史断言，副海军上将英曼(Inman)获得了海军研究办公室(Office Of Naval Research)将与美国国家安全局(NSA)协调拨款的承诺。由于资助机构经常不需要解释为什么他们拒绝了一项特定的拨款提案，因此很难判断美国国家安全局对拨款过程的影响。

该机构还有第二种策略来防止密码技术的传播：将高级密码技术排除在国家标准之外。为了使不同的商业计算机系统更容易互操作，国家标准局(现在称为NIST)协调了一个半公开的过程来设计标准密码算法。供应商对于实现不在NIST标准中的算法犹豫不决：非标准算法在实践中更难部署，也不太可能在开放市场中被采用。

围绕NSA介入这些标准的第一次争议爆发于上世纪70年代，当时NSA说服该局削弱了数据加密标准(DES)算法。DES算法是NBS设计的一种密码系统，被银行、对隐私敏感的企业和公众广泛使用。赫尔曼和他当时的学生迪菲发起了一场激烈的公关活动，试图提高DES算法的实力，但最终没有成功。

当时，美国国家安全局领导层坚决否认它影响了DES的设计。在1979年的一次旨在平息部分争议的公开演讲中，英曼断言：美国国家安全局被指控干预DES标准的开发，并篡改该标准，以加密方式削弱该标准。这一指控是完全错误的。

最近解密的文件显示，英曼的声明如果不是不正确的，也是误导性的。美国国家安全局试图说服IBM(最初设计了DES算法)将DES密钥大小从64位减少到48位。减小密钥大小将降低针对密码系统的某些攻击的成本。历史上说，美国国家安全局和IBM最终在使用弱化的56位密钥方面做出了妥协。

今天，英曼承认，NSA正试图在保护国内商业通信和保护自己窃听外国政府能力之间取得平衡：他的问题是试图找到一种水平的密码，以确保个人和公司的隐私不受竞争对手的攻击。反对任何国家，而不是有专心努力和能力破解密码的国家。"；

美国国家安全局对标准进程的影响在减轻它认为的非政府密码学的风险方面特别有效。通过将某些密码系统排除在NBS/NIST标准之外，NSA为其窃听通信流量的任务提供了便利。

当回顾密码学中情报界和学术研究人员之间的这些第一次冲突时，有几个突出的问题需要考虑。阿夫特古德说，这项分析的起点是考虑回过头来看[政府]是不是最糟糕的。

.