Whitfield Diffie是世界著名的密码技术与安全技术专家，1991年加盟Sun公司，在Sun实验室工作。此前，他曾在北方电讯任安全系统经理达20年之久。Whitfield Diffie还是“公钥加密”概念的发明人，被业界公认为信息技术安全事物的权威人士。

Diffie 以其 1975 年发现公钥密码技术的概念而著名，在 20 世纪整个 90 年代，他主要研究密码技术的公用策略方面，并多次在美国参议院和众议员作证。

Diffie是马可尼基金会 (Marconi Foundation) 成员，并且从许多机构 -- 包括美国电气及电子工程师学会(IEEE)、电子前沿基金会 (Electronic Frontiers Foundation)、美国标准技术研究所(NIST)、美国国家安全局 (NSA)、富兰克林研究所 (Franklin Institute) 和 美国计算机协会 (ACM) --获得多种奖项。

个人简介

Bailey Whitfield 'Whit' Diffie (born June 5, 1944) is a US cryptographer and one of the pioneers of public-key cryptography.

Whitfield Diffie

He received a Bachelor of Science degree in mathematics from the Massachusetts Institute of Technology in 1965.

Diffieand Martin Hellman's paper New Directions in Cryptography was publishedin 1976. It introduced a radically new method of distributingcryptographic keys, that went far toward solving one of the fundamentalproblems of cryptography, key distribution. It has become known asDiffie-Hellman key exchange. The article also seems to have stimulatedthe almost immediate public development of a new class of encryptionalgorithms, the asymmetric key algorithms.

Diffie was Manager ofSecure Systems Research for Northern Telecom, where he designed the keymanagement architecture for the PDSO security system for X.25 networks.

In1991 he joined Sun Microsystems Laboratories (in Menlo Park,California) as a Distinguished Engineer, working primarily on publicpolicy aspects of cryptography. As of May 2007 Diffie remains with Sun,serving as its Chief Security Officer and as a Vice President. He isalso a Sun Fellow.

In 1992 he was awarded a Doctorate inTechnical Sciences (Honoris Causa) by the ETH Zurich. He is also afellow of the Marconi Foundation and visiting fellow of the IsaacNewton Institute. He has received various awards from otherorganisations. In July 2008, he was also awarded a Degree of Doctor ofScience (Honoris Causa) by Royal Holloway, University of London.

Diffieand Susan Landau's book Privacy on the Line was published in 1998 onthe politics of wiretapping and encryption. An updated and expandededition appeared in 2007.

Diffie is a visiting professor at the Information Security Group based at Royal Holloway, University of London.

与密码技术先生 ( Mr. Cryptography) 探讨安全性 Sun 公司 Whitfield Diffie 谈 ECC 与 Solaris 10 操作系统安全性

Whitfield Diffie

WhitfieldDiffie 在 1976年发表的一篇关于公钥密码技术的极具创造性的文章中，非常出色地阐述了事先互不了解的人们如何利用一个共享公钥和专用密钥实现安全通信。现在，作为Sun 公司首席安全官，Diffie 负责确保 Sun 公司在安全创新方面保持领先地位。Sun Inner Circle 最近对百忙之中的Diffie 进行了采访，与他探讨了 Sun 公司如何预测信息安全和加密的未来。

Inner Circle (IC)：自从 1976 年 Diffie-Hellman 论文引发公钥密码技术新时代以来，时间已经过去了将近 30 年。这篇论文对现在有什么影响？

DIFFIE：那就像拥有 15 分钟的盛名：1976 年，我花一个小时时间完成这篇作品而一夜成名。从那时起，我一直以此为生。这篇论文的影响非常巨大。由于每个浏览器中都采用安全套节字层 (SSL)，因而公钥加密一直是部署最广泛的密码技术。

同样影响巨大的是，我们实现一些远比这项技术本身影响大的目标。我是密码技术研究会 (Association for CryptologicResearch) 的创办者之一，该研究会现在已吸收 1,000多名会员，它在每年举办的十几次会议中发挥著非常重要的作用。我刚刚参加了在加利福尼亚州圣巴巴拉 (Santa Barbara) 举行的2006年国际密码技术大会 (Crypto 2006)，与会者达 500 人之多。第一届国际密码技术大会是在 1981年于同一地点举行的。它是我记忆中的第一次关于密码技术的公开研讨会，当时有大约 50 人参加。

我的目标之一是把用来保护政府信息的技术与用来保护商业信息的技术统合起来。如果我说一份保密文件比十亿美元资金转账需要更强有力的保护，人们往往会觉得这种观点非常愚蠢。可是，现实证明这恰恰是正确的。去年，国家安全局宣布授权使用一套新的密码算法来保护各种等级的分类信息。这些密码算法都是公开的，而且大多数是公用标准。国家安全局称之为B 套。（A 套为一组保密算法，带有富有色彩的名称，例如，"Juniper"和 "Mayfly"。）

B套密码算法的核心是“高级加密标准”(Advanced EncryptionStandard)，这是比利时设计的一种密码算法，在一次国际性竞赛中，被美国选择作为其国家标准。B套密码算法的密钥管理部分为第二代公钥密码技术。它被称为椭圆曲线密码技术 (ECC)。

IC：什么是 ECC？其工作原理是什么？

Whitfield Diffie

DIFFIE：它是根据其所使用的数学结构命名的，这些数学结构可追溯到几个世纪前用来计算椭圆面积的数学方法。ECC 基本上采用了比我们在 20 世纪 70 年代使用的更复杂的算术。因此，您可以把数字弄小，但仍然具有同样的安全性。

现在使用最广泛的公钥算法称为 Diffie-Hellman 和 RSA。这两种算法均采用所谓的 “模算术”：即时钟采用的算术；时针到达 12时后又从 1 时开始走起。ECC 是 Diffie-Hellman 方法的一个新版本。解释此新算术的最容易的方法 ─实际上这并不是一件容易的事 ─ 是画一个椭圆曲线图。

两个点确定一条直线，您通过该曲线画的任何直线都会在三个地方接触到该曲线。实际上，任何两点之和是通过这两点的直线与曲线相交的另一点。

IC：推动 ECC 应用得以推广的因素是什么？

DIFFIE：更小的密钥、更快的运算、更低的功耗、更少的内存 ─ 有什么不是如此？即使内存价格非常低廉，如果世界上存在难以计数的密钥，数百位与数千位之间的差距也是显而易见的。

一个特别引人注目的应用是微型设备。目前，微型计算机中采用了许多很不错的元件，并且需要得到保护。问题是，无论您要保护的设备有多小，对手都可以使用哪怕是最大的计算机进行攻击。基本上，无论计算机系统有多小，您仍然必须利用最强有力的密码系统对其进行保护。这样椭圆曲线密码技术就有了用武之地。随著越来越多的越来越小的设备连接到互联网，并且随著电子商务和其它安全 Web 通信持续增长，ECC 的魅力会更大。

要了解 Sun公司如何利用并支持 ECC 技术以及 Sizzle（世界上最小的安全 Web 服务器）和支持 ECC 的 OpenSSL 和 MozillaFirefox 版本的更多详情，请访问Sun 实验室下一代密码技术项目 (Sun Labs Next Generation CryptoProject) 站点。

Whitfield Diffie

IC：我们把谈话范围扩大一点，现在信息安全处于什么情况？

DIFFIE：信息安全正处在一个转折点上。信息安全差不多有一个世纪的历史了，它可以追溯到收音机的发明。当时，收音机非常具有价值，以至于没有人可以避免使用它，并希望战胜避免使用收音机的对手。问题是人人都可以收听无线电。无线电绕过当时的每种信息安全方法：上锁的建筑物、保险箱、看守和公事程序。唯一适用的方法是密码技术，而且我们花费 20世纪大部分时间来研究密码技术。现在，密码技术已经不再是问题了。它无疑是信息安全的最炉火纯青的部分。我们需要担心的是其它问题。

信息安全方面的下一个挑战出现于 20 世纪 60 年代。开发出分时技术之前，很难把计算机安全与计算机室安全区分开来。分时技术和多处理技术意味著您需要能够在同一台机器上同时运行两个相互敌对的进程，并且能够防止它们相互窃密。

IC：网格计算面临什么安全挑战？

DIFFIE：网格计算的真正挑战是，客户不再在自己的计算机上运行计算，而是把一切工作委托给网格提供商进行。这又与收音机遇到的问题相似。网格计算如此强大且又具有极高成本效益，没有人能够不使用它而取得成功。

IC：这些网格安全挑战如何转变成为安全要求？

DIFFIE：要求是相同的，但工具都发生了变化。无法把 20 世纪 60年代系统中的每个进程隔离开来，因为当时所有进程都共享一个处理器。如果一个进程独占了运行著的队列，所有其它进程都会看到它。那就像 8个人同住一屋一样：无法避免在其他人面前脱衣服。一个适当配置的网格可以服务于许多客户，因为它有著成千上万个处理器以及数万个线程。它更像是一个办公区。一个办公区容纳许多个企业，其中有些企业之间彼此竞争。其构建方式决定了它们彼此之间可以提供服务，但又各自受到保护。

让人感到自相矛盾的是，采用开放标准的平台使得节约型可扩展计算平台成为可能，这样的平台会导致产生许许多多基于商业保密算法的企业。您无需销售执行任务的程序，而只需要为具有您在网格上租用的计算的人们运行程序。这就是 Google 所采用的工作原理，同样的示例还有很多。

Whitfield Diffie

IC：正因为如此，许多人才说隐私已经根本不存在了。您认为呢？

DIFFIE：许多人这么说吗？实际上，是我们的前老板 Scott McNealy 说的。他说：“在网络上，你没有任何隐私可言，不要为此烦心了。”不知道 Jonathan 怎么认为？

那句话并没有使我的工作较轻松，遗憾的是他的确说对了。现代社会的好的一面是，信息传播速度非常快，但这与隐私完全不相容。

IC：那么如何把这些新发展与您在 Sun 公司所做的工作联系在一起？

DIFFIE：Sun公司的大客户都是大型企业，它们是必须保护其客户的隐私的企业 ─无论法律如何界定和媒体如何评论。如果您不能控制贵企业内的信息流，您就无法保护任何东西。这就是信息安全的实际情况，而且这也是 Sun公司必须重视隐私的出发点。我们生产能够管理联网环境中的信息的产品。

IC：这一切与 Solaris 10的设计有何关系？

DIFFIE：Solaris10 是自从我们 1992 年在 Solaris 2 中从 BSD UNIX 迁移到 SVR4 以来 Sun公司进行的最大修订。我们进行的最重要的更改之一是安全机制。我们过去通常拥有两个操作系统。除基本的 Solaris之外，我们为对特别重视安全性的客户制作了 Trusted Solaris。Trusted Solaris支持安全标签标记功能，而且按照其用于正式安全策略的标签控制视窗、进程、文件和设备之间的信息流。在 Solaris 10 内，我们在基本的Solaris 产品中融入新的安全手段，并且用一个集成化的附加功能取代了作为单独产品的 TrustedSolaris，这个功能称为“可信扩展”(Trusted Extensions)。这基本上是把 Trusted Solaris的标签标记安全功能添加到我们标准的商用操作系统版本中。

可信扩展 (Trusted Extensions) 将成为下一版 Solaris 10 操作系统的标准功能。

IC：您能不能进一步介绍一下 Trusted Solaris 安全谱系？

Whitfield Diffie

DIFFIE：TrustedSolaris产生于情报机构要求，这些要求针对处理多种区间内多种等级数据的工作站。不同等级的视窗必须在同一屏幕上对用户显示，但坚决杜绝混合在一起。这种相同的分隔也必须适用于网络数据包、文件系统、应用程序以及系统中所有其它形式的对象。Trusted Solaris过去曾经是最安全的通用操作系统。现在，我认为 Solaris 10 从根本上讲比旧的 Trusted Solaris 更加安全。

我们还对真实计算环境中的实用性给予极大重视。与 SE Linux 不同的是，Solaris 10 及其 Trusted Extensions 中的安全机制设计为保持应用程序兼容性，并完全支持现有的管理安全模式。

IC：那么 Solaris 10 有哪些最重要的安全功能？

DIFFIE：在我看来，Solaris 10 安全机制包含四个关键部分：区域 (Zones)、精细（且向上兼容的）特权系统 (PrivilegeSystem)、可信扩展 (Trusted Extensions) 以及密码框架 (Cryptographic Framework)。

IC：您把“区域”(Zones) 放在名单的第一位。这有什么原因吗？

DIFFIE：其名称实际上作了一切解释。操作系统安全性的实际手段是限制进程，以便控制其与其它进程的通信。您也可以限制进程占用资源，这样就不会出现下述情况：可能由于拒绝服务 (DOS) 攻击导致一个应用程序耗尽整个系统的资源。

IC：特权在 Solaris 10 安全性中有什么重要性？

Whitfield Diffie

DIFFIE：通常情况下，如果一个程序或用户需要什么特权的话，往往只需要一项或两项。早期操作系统在区隔这些情况方面做的不是很好。根 (Root)就是一个最差的示例。根可以做一切事情，但您经常必须承担根角色，才能做简单至安装设备这样的事情。通过列举大约 60项一个进程可能需要的特权，并为子进程正确继承做好安排，我们可以避免不必要地授予进程特权的过程。

我们还在向上兼容方面做的非常出色。当您在迁移到完全识别特权的环境中时，您可以拥有识别特权的进程和不识别特权的进程，两种进程都使用特权模型。

IC：因此，区域可以虚拟化基本硬件？

DIFFIE：是的。从区域内运行的程序的观点看，如果用户可以访问整个机器，就可以看到根文件系统以及他们会看到的各种东西。当一个程序访问其区域时，它以完全合理的方式执行操作。该程序可以在区域的根目录下构建文件结构 ━ 如果它拥有该项特权的话。它可以读写文件。它可以使用 I/O。它可以做各种事情。

该程序运行于一个虚拟化的环境中，在这个环境中，该程序的行为好像是它接管了整个机器，但其它进程将会同时运行，完全不会受到该程序的这些行为影响。您无法看到您的区域范围之外的任何东西，您对该区域所进行任何操作都不会影响其它区域。事实上，您可以重新引导一个区域，而您在该区域内运行的所有进程都将几乎立即重新启动，就像整个服务器重新启动了一样。这种水平的安全性不会出现其它虚拟化环境通常会出现的典型性能影响。

IC：那么 Trusted Extensions 的角色是什么？

DIFFIE：TrustedExtensions 是一组对 Solaris 10 安全策略的增强功能，这些安全策略为标准的 Solaris带来多级安全机制。它允许客户按照数据敏感性等级对数据进行分级，而不是仅仅跟踪什么用户拥有什么文件。对视窗、网络连接、文件、设备和进程的访问受到一个强制访问控制 (MAC)策略的控制。客户可以拥有一个非常安全的环境，该环境运行客户全部现有的应用程序，并允许他们在多个合作伙伴、供应商或网络之间分隔或有选择地共享资源。Trusted Extensions 将会是 Solaris 10 的下一次更新中的一项标准功能，预定年底之前发布。

Solaris 10 拥有 Solaris 密码框架 (Solaris Cryptographic Framework)，它负责管理内核和用户空间中的密码功能，并减轻基于应用程序的密码技术的风险。

IC：最后，Solaris 10 中的密码机制如何？

DIFFIE：当人们谈论联网计算时，他们是在讨论某个涉及多台机器的事情。如果那些机器不完全处在同一个物理上受到保护的空间内，它们还必须考虑采取保护机器之间数据流动的密码措施。Solaris 10 具有 Solaris密码框架，该框架管理内核和用户空间中的密码功能。这可通过减轻基于应用程序的密码机制的风险 ─ 以及管理开销 ─ 来增强安全性。

密码机制通常以一种无规则的方式运作。一名开发人员编写一个应用程序，并在该应用程序中构建密码机制 ─以保护某种数据或验证某些信息。然后，另一名开发人员编写具有某种不同的密码机制的其它应用程序。密码框架允许应用程序借助于系统以标准方式对应用程序进行加密。密码框架基于行业标准的接口，并支持所有主要加密算法。它还使应用程序可以透明地访问硬件密码加速器（如果有的话）。

IC：您对 Solaris 10 以及安全机制设计还有什么想法吗？

DIFFIE：噢，任何机构都可以回过头来看看：本来是可以在设计过程更早阶段强调安全机制的作用的。Sun 公司在设计过程中尽早考虑安全机制，这一点比大多数公司都做得出色。

出于这个目的，新的 Solaris Trusted Extensions 功能利用了我们许多年里在 Trusted Solaris上积累的经验，并把它们融合到 Solaris 10 之中。这样，Solaris Trusted Extensions 就可以在运行Solairis 10 的数百台 SPARC 和 x86 机器上工作，并支持您现有的软件和实际做法。对于我们的客户来说这是一个巨大的优势。

Whitfield Diffie 简介

Whitfield Diffie 目前担任 Sun 公司首席安全官、副总裁和 Sun研究员等职务。1991 年以来，他一直在 Sun 公司工作。Diffie 是 Sun 公司安全理念的首席解释者，负责制订 Sun 公司实现该理念的战略。

Diffie-Hellman

Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY的一个组成部分

简介:

Whitefield与MartinHellman在1976年提出了一个奇妙的密钥交换协议,称为Diffie-Hellman密钥交换协议/算法(Diffie-HellmanKey Exchange/AgreementAlgorithm).这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥.然后可以用这个密钥进行加密和解密.但是注意,这个密钥交换协议/算法只能用于密钥的交换,而不能进行消息的加密和解密.双方确定要用的密钥后,要使用其他对称密钥操作加密算法实际加密和解密消息.

(尽管Diffie-Hellman密钥交换协议/算法使用了数学原理,但是很容易理解.)

Whitfield Diffie

Diffie-Hellman

由Whitfield Diffie和MartinHellman在1976年公布的一种密钥一致性算法。Diffie-Hellman是一种建立密钥的方法，而不是加密方法。然而，它所产生的密钥可用于加密、进一步的密钥管理或任何其它的加密方式。Diffie-Hellman密钥交换算法及其优化首次发表的公开密钥算法出现在Diffie和Hellman的论文中,这篇影响深远的论文奠定了公开密钥密码编码学.由于该算法本身限于密钥交换的用途,被许多商用产品用作密钥交换技术,因此该算法通常称之为Diffie-Hellman密钥交换.这种密钥交换技术的目的在于使得两个用户安全地交换一个秘密密钥以便用于以后的报文加密.Diffie-Hellman密钥交换算法的有效性依赖于计算离散对数的难度.简言之,可以如下定义离散对数:首先定义一个素数p的原根,为其各次幂产生从1 到p-1的所有整数根,也就是说,如果a是素数p的一个原根,那么数值 a mod p, a2 mod p, ..., ap-1 mod p是各不相同的整数,并且以某种排列方式组成了从1到p-1的所有整数. 对于一个整数b和素数p的一个原根a,可以找到惟一的指数i,使得 b =ai mod p 其中0 ≤ i ≤ (p-1) 指数i称为b的以a为基数的模p的离散对数或者指数.该值被记为inda ,p(b).基于此背景知识,可以定义Diffie-Hellman密钥交换算法.该算法描述如下:1,有两个全局公开的参数,一个素数q和一个整数a,a是q的一个原根.2,假设用户A和B希望交换一个密钥,用户A选择一个作为私有密钥的随机数XA3,用户A产生共享秘密密钥的计算方式是K = (YB)XA modq.同样,用户B产生共享秘密密钥的计算是K = (YA)XB mod q.这两个计算产生相同的结果: K = (YB)XA mod q =(aXB mod q)XA mod q = (aXB)XA mod q (根据取模运算规则得到) = aXBXA mod q =(aXA)XB mod q = (aXA mod q)XB mod q = (YA)XB mod q因此相当于双方已经交换了一个相同的秘密密钥.4,因为XA和XB是保密的,一个敌对方可以利用的参数只有q,a,YA和YB.因而敌对方被迫取离散对数来确定密钥.例如,要获取用户B的秘密密钥,敌对方必须先计算 XB = inda ,q(YB) 然后再使用用户B采用的同样方法计算其秘密密钥K.Diffie-Hellman密钥交换算法的安全性依赖于这样一个事实:虽然计算以一个素数为模的指数相对容易,但计算离散对数却很困难.对于大的素数,计算出离散对数几乎是不可能的. 下面给出例子.密钥交换基于素数q = 97和97的一个原根a = 5.A和B分别选择私有密钥XA =36和XB = 58.每人计算其公开密钥 YA = 536 = 50 mod 97 YB = 558 = 44 mod 97在他们相互获取了公开密钥之后,各自通过计算得到双方共享的秘密密钥如下: K = (YB)XA mod 97 = 4436 = 75 mod97 K = (YA)XB mod 97 = 5058 = 75 mod 97 从|50,44|出发,攻击者要计算出75很不容易.下图给出了一个利用Diffie-Hellman计算的简单协议.

假设用户A希望与用户B建立一个连接,并用一个共享的秘密密钥加密在该连接上传输的报文.用户A产生一个一次性的私有密钥XA,并计算出公开密钥YA并将其发送给用户B.用户B产生一个私有密钥XB,计算出公开密钥YB并将它发送给用户A作为响应.必要的公开数值q和a都需要提前知道.另一种方法是用户A选择q和a的值,并将这些数值包含在第一个报文中.下面再举一个使用Diffie-Hellman算法的例子.假设有一组用户(例如一个局域网上的所有用户),每个人都产生一个长期的私有密钥XA,并计算一个公开密钥YA.这些公开密钥数值,连同全局公开数值q和a都存储在某个中央目录中.在任何时刻,用户B都可以访问用户A的公开数值,计算一个秘密密钥,并使用这个密钥发送一个加密报文给A.如果中央目录是可信任的,那么这种形式的通信就提供了保密性和一定程度的鉴别功能.因为只有A和B可以确定这个密钥,其它用户都无法解读报文(保密性).接收方A知道只有用户B才能使用此密钥生成这个报文(鉴别).Diffie-Hellman算法具有两个吸引力的特征: 仅当需要时才生成密钥,减小了将密钥存储很长一段时间而致使遭受攻击的机会.除对全局参数的约定外,密钥交换不需要事先存在的基础结构. 然而,该技术也存在许多不足: 没有提供双方身份的任何信息.它是计算密集性的,因此容易遭受阻塞性攻击,即对手请求大量的密钥.受攻击者花费了相对多的计算资源来求解无用的幂系数而不是在做真正的工作.没办法防止重演攻击.容易遭受中间人的攻击.第三方C在和A通信时扮演B;和B通信时扮演A.A和B都与C协商了一个密钥,然后C就可以监听和传递通信量.中间人的攻击按如下进行: B在给A的报文中发送他的公开密钥.C截获并解析该报文.C将B的公开密钥保存下来并给A发送报文,该报文具有B的用户ID但使用C的公开密钥YC,仍按照好像是来自B的样子被发送出去.A收到C的报文后,将YC和B的用户ID存储在一块.类似地,C使用YC向B发送好像来自A的报文.B基于私有密钥XB和YC计算秘密密钥K1.A基于私有密钥XA和YC计算秘密密钥K2.C使用私有密钥XC和YB计算K1,并使用XC和YA计算K2.从现在开始,C就可以转发A发给B的报文或转发B发给A的报文,在途中根据需要修改它们的密文.使得A和B都不知道他们在和C共享通信.Oakley算法是对Diffie-Hellman密钥交换算法的优化,它保留了后者的优点,同时克服了其弱点. Oakley算法具有五个重要特征:它采用称为cookie程序的机制来对抗阻塞攻击. 它使得双方能够协商一个全局参数集合. 它使用了现时来保证抵抗重演攻击.它能够交换Diffie-Hellman公开密钥. 它对Diffie-Hellman交换进行鉴别以对抗中间人的攻击.Oakley可以使用三个不同的鉴别方法:数字签名:通过签署一个相互可以获得的散列代码来对交换进行鉴别;每一方都使用自己的私钥对散列代码加密.散列代码是在一些重要参数上生成的,如用户ID和现时. 公开密钥加密:通过使用发送者的私钥对诸如ID和现时等参数进行加密来鉴别交换.对称密钥加密:通过使用某种共享密钥对交换参数进行对称加密,实现交换的鉴别.

密码学(序)-W.迪菲(Whitfield Diffie)

序

W.迪菲(Whitfield Diffie)

密码学文献有一个奇妙的发展历程，当然，密而不宣总是扮演主要角色。第一次世界大战前，重要的密码学进展很少出现在公开文献中，但该领域却和其它专业学科一样向前发展。直到1918年，二十世纪最有影响的密码分析文章之一¾¾William F.Friedman的专题论文《重合指数及其在密码学中的应用》作为私立的“河岸（Riverbank）实验室”的一份研究报告问世了[577]，其实，这篇著作涉及的工作是在战时完成的。同年，加州奥克兰的EdwardH.Hebern申请了第一个转轮机专利[710]，这种装置在差不多50年里被指定为美军的主要密码设备。

然而，第一次世界大战后，情况开始变化，完全处于秘密工作状态的美国陆军和海军的机要部门开始在密码学方面取得根本性的进展。在30年代和40年代，有几篇基础性的文章出现在公开的文献中，有关该领域的几篇论文也发表了，只不过这些论文的内容离当时真正的技术水平相去甚远，战争结束时，情况急转直下，公开的文献几乎殆尽。只有一个突出的例外，那就是仙农(Claude Shannon)的文章《保密系统的通信理论》[1432]出现在1949年《贝尔系统技术杂

志》上，它类似于Friedman1918年的文章，也是战时工作的产物。这篇文章在第二次世界大战结束后即被解密，可能是由于失误。

Whitfield Diffie

从1949年到1967年，密码学文献近乎空白。在1967年，一部与众不同的著作——DavidKahn的《破译者》[794]——出现了，它没有任何新的技术思想，但却对以往的密码学历史作了相当完整的记述，包括提及政府仍然认为是秘密的一些事情。《破译者》的意义不仅在于它涉及到的相当广泛的领域，而且在于它使成千上万原本不知道密码学的人了解密码学。新的密码学文章慢慢地开始源源不断地被编写出来了。

大约在同一时期，早期为空军研制敌我识别装置的Horst Feistel在位于纽约约克镇高地的IBMWatson实验室里花费了毕生精力致力于密码学的研究。在那里他开始着手美国数据加密标准（DES）的研究，到70年代初期，IBM发表了Feistel和他的同事在这个课题方面的几篇技术报告[1482，1484，552]。

这就是我于1972年底涉足密码学领域时的情形，当时密码学的文献还不丰富，但却也包括一些非常有价值的东西。

密码学提出了一个一般的学科领域都难以遇到的难题：即它需要密码学和密码分析学紧密结合互为促进。这是由于缺乏实际通信检验的实情所致。提出一个表面上看似不可破的系统并不难。许多学究式的设计就非常复杂，以至于密码分析家不知从何入手，分析这些设计中的漏洞远比原先设计它们更难。结果是，那些能强劲推动学术研究的竞争过程在密码学中并没起多大作用。

当MartinHellman和我在1975年提出公开密钥密码学[496]时，我们的一种间接贡献是引入了一个看来不易解决的难题。现在一个有抱负的密码体制设计者能够提出被认为是很聪明的一些东西——这些东西比只是把有意义的正文变成无意义的乱语更有用。结果研究密码学的人数、召开的会议、发表的论著和文章都惊人地增加了。

我在接受DonaldE.Fink奖（该奖是奖给在IEEE杂志上发表过最好文章的人，我和Hellman在1980年共同获得该奖）发表演讲时，告诉听众我在写作“保密性与鉴别”一文时，有一种经历¾¾我相信这种经历，即使在那些参加IEEE授奖会的著名学者们当中也是罕见的：我写的那篇文章，并非我的研究结果而是我想要研究的课题，因为在我首次沉迷于密码学的时候，这类文章根本就找不到。如果那时我可以走进斯坦福书店，挑选现代密码学的书籍，我也许能在多年前就了解这个领域了。但是在1972年秋季，我能找到的资料仅仅是几篇经典论文和一些难理解的技术报告而已。

当代的研究人员再也没有这样的问题了。现在的问题是要在大量的文章和书籍中选择从何处入手。研究人员如此，那些仅仅想利用密码学的程序员和工程师又会怎样呢？这些人会转向哪里呢？直到今天，在能够设计出通俗文章中所描述的那类密码实用程序之前，花费大量时间去寻找，并研究那些文献仍是很有必要的。BruceSchneier的《应用密码学》正好填补了这个空白的。Schneier从通信保密性的目的和达到目的所用的基本程序实例入手，对20年来公开研究的全部成果作了全景式的概括。书名开门见山：从首次叫某人进行保密会话的世俗目的，到数字货币和以密码方式进行保密选举的可能性，到处你都可以发现应用密码学的用处。

Whitfield Diffie

Schneier不满足于这本书仅仅涉及真实世界（因为此书叙述了直至代码的全部过程），他还叙述了发展密码学和应用密码学的那些领域，讨论了从国际密码研究协会直到国家安全局这样的一些机构。

在70年代后期和80年代初，当公众在密码学方面的兴趣显示出来时，国家安全局（NSA）即美国官方密码机构曾多次试图平息它。第一次是一名长期在NSA工作的雇员的一封信，据说这封信是这个雇员自己写的，此雇员自认是如此，表面上看来亦是如此。这封信是发给IEEE的，它警告密码资料的出版违反了国际武器交易条例（ITAR）。然而这种观点并没有被条例本身所支持，条例明显不包括已发表的资料。但这封信却为密码学的公开实践和1977年的信息论专题研讨会做了许多意想不到的宣传。

一个更为严重的事态发生在1980年，当时NSA发现，美国教育委员会在出版物审查方面说服国会对密码学领域的出版物进行合法地控制，结果与NSA的愿望大相经庭，形成了密码学论文自愿送审的程序；要求研究人员在论文发表之前需就发表出去是否有害国家利益征询NSA的意见。

随着80年代的到来，NSA将重点更多的集中在实际应用上，而不是密码学的研究中。现有的法律授权NSA通过国务院控制密码设备的出口。随着商务活动的日益国际化和世界市场上美国份额的减退，国内外市场上需要单一产品的压力增加了。这种单一产品受到出口控制，于是NSA不仅对出口什么，而且也对在美国出售什么都施加了相当大的影响。

密码学的公开使用面临一种新的挑战，政府建议在可防止涂改的芯片上用一种秘密算法代替广为人知且随处可得的数据加密标准（DES），这些芯片将含有政府监控所需的编纂机制。这种“密钥托管”计划的弊病是它潜在地损害了个人隐私权，并且以前的软件加密不得不以高价增用硬件来实现，迄今，密钥托管产品正值熊市，但这种方案却已经引起了广泛的批评，特别是那些独立的密码学家怨声载道。然而，人们看到的更多是编程技术的未来而不是政治，并且还加倍地努力向世界提供更强的密码，这种密码能够实现对公众的监视。

从出口控制法律涉及第一修正案的意见来看，1980年发生了大倒退，当时“联邦注册”公布了对ITAR的修正，其中提到：“……增加的条款清楚地说明，技术数据出口的规定并不干预第一修正案中个人的权利”，但事实上第一修正案和出口控制法的紧张关系还未消除，最近由RSA数据安全公司召开的一次会议清楚地表明了这一点，从出口控制办公室来的NSA的代表表达了意见：发表密码程序的人从法律上说是处在“灰色领域”。如果真是这样的话，本书第一版业已曝光，内容也处在“灰色领域”中了。本书自身的出口申请已经得到军需品控制委员会当局在出版物条款下的认可，但是，装在磁盘上的程序的出口申请却遭到拒绝。

NSA的策略从试图控制密码研究到紧紧抓住密码产品的开发和应用的改变，可能是由于认识到即便世界上所有最好的密码学论文都不能保护哪怕是一比特的信息。如果置之高阁，本书也许不比以前的书和文章更好，但若置于程序员编写密码的工作站旁时，这本书无疑是最好的。

Whitfield Diffie于

加州 Mountain View