Dual_EC_DRBG事件后，NIST何以维持密码标准化国际地位

密码学用于对通信和数据进行加密，只有目标用户才能访问解密后的信息。加密系统依赖于一种算法、一种加密数据（通信或存储数据）的方法和一个密钥。用户加密信息或数据的安全性取决于加密密钥的保密性。如果对所有可能的密钥进行暴力破解都无法解密数据，那么加密系统就被认为是强大的。

所有类型的加密功能都依赖于密钥。解密密钥不仅应当保密，还应当无法预测。虽然物理过程可以产生随机比特，但速度太慢，无法满足加密通信数量急剧增加时对密钥数量的需求。为此，密码学家们想到了“伪随机数发生器”（PRNG），这种函数可以产生一个短的随机数字序列（或比特），然后产生一个更长的序列。本世纪初，美国国家标准协会（ANSI）提议使用椭圆曲线来生成PRNG，但所提议的方法——Dual_EC_DRBG（双椭圆曲线随机数生成算法）存在安全问题，这一点后来被斯诺登所披露。

（二）标准化和Dual_EC_DRBG算法

从加密方法或随机数生成器的数学表述，到其在广泛使用的软件中的具体实现，都需要标准化工作。一种算法要成为密码标准，必须具备两个特征：第一，必须运行良好，具有较强的密码功能，并且能够长期使用；第二，标准必须经过公开审查。但是，NSA在将Dual_EC_DRBG算法提交给NIST之前，却先从ANSI和ISO开始了Dual_EC_DRBG的标准化过程，从而巧妙地避免了对Dual_EC_DRBG的早期公开审查。

作为一个非监管机构，NIST的宗旨是“通过推动测量科学、标准和技术的发展，促进美国的创新和工业竞争力”。NIST被工业界视为“诚实的中间人”，既不偏袒某个公司，也不偏袒某个国家。NIST通过公正的评估，在国际工业标准领域发挥着值得信赖的作用。NSA对NIST施加压力，迫使其批准Dual_EC_DRBG成为联邦信息处理标准（Federal Information Processing Standards，FIPS），这是NSA对该标准进行“微调”的一个重要方面。

如前所述，NIST在Dual_EC_DRBG的标准制定方面依赖于ANSI和ISO等其他机构所做的标准化工作。这种模式存在一个问题：许多公开审查的提案实际上“并不完全公开”，这与NIST通常的程序相反。

研究人员向NIST提出了对Dual_EC_DRBG可能存在的“比特偏差”和“后门”问题的担忧。NSA向NIST施压，要求将该算法标准化，声称需要对运行Dual_EC_DRBG的机构设备进行FIPS验证，因此NIST批准将Dual_EC_DRBG作为四个可能的标准化随机比特生成器之一。

斯诺登披露的文件显示，NSA在商业加密系统中植入后门，并影响商业公钥技术的政策、标准和规范。NIST对2013年9月《纽约时报》关于Dual_EC_DRBG的报道做出了迅速反应。文章发表后仅五天，NIST就宣布重新开始对该标准进行评估，建议在Dual_EC_DRBG的安全问题得到解决之前不要使用它。

在《纽约时报》发表文章后的几天内，NIST便建议不要使用Dual_EC_DRBG来生成随机数，并按照FIPS的批准程序，重新开放该标准征求公众意见。7个月后，NIST取消了对Dual_EC_DRBG作为FIPS的批准，并敦促尚未更换实施方案的供应商立即更换实施方案。尽管对NIST来说，修正实施的方案允许Dual_EC_DRBG作为标准进入的程序是一个更为重要的问题。在NIST批准Dual_EC_DRBG作为FIPS算法之前，有关Dual_EC_DRBG安全性的问题已被反复提出。在删除该标准时，NIST的密码技术小组进行了一次内部审查，以了解是什么原因导致其标准化过程出现如此严重的错误。

2014年2月，NIST下设的计算机安全部（Computer Security Division，CSD）发布了一份关于密码标准和指南制定过程的文件草案，其中强调，其制定密码标准的指导原则是透明、公开、平衡，且具备技术优势和全球可接受性。为了实现平衡，NIST将在该过程的每个阶段持续与学术界、工业界和政府的利益相关者进行互动交流。NIST澄清NSA并未控制NIST的行动，“NIST在制定密码标准时与NSA密切合作……因为NSA在密码学方面拥有丰富的专业知识”，并且根据2002年《联邦信息安全管理法》，NIST必须与NSA和其他机构就标准制定问题进行磋商。

滑铁卢大学首席密码学家Ian Goldberg指出：“非正式渠道是破坏透明度的一种方式。”当然，很多焦点都集中于NSA；一个美国民间组织指出：“NIST应该制定一项政策，由该机构公开解释NSA就未来标准进行咨询的范围和性质，以及应NSA要求对标准进行的任何修改。”著名密码学家和安全专家Bart Preneel教授指出，关于制定密码标准的文件草案应考虑到对草案的评论意见，增加正当程序同时避免不当影响。Preneel教授进一步敦促，在NIST与NSA合作的背景下，应澄清“协商”、“协调”和“密切合作”等词语。RSA加密算法的共同发明者、密码学家Leonard Adleman提出：“NIST应尽可能减少对NSA专业知识的依赖，同时NIST与NSA之间所有与标准相关的沟通交流都应以书面形式记录，并成为公共记录的一部分。”

密码学界与社会已达成共识：NIST需要摆脱对NSA的依赖。与情报机构进行磋商是适当的，但NIST应当有权利评估和拒绝NSA的建议。

2016年，CSD公开概述了其修订后的密码标准和指南制定流程，强调了透明、公开、平衡、完整、技术价值、全球可接受性、可用性、持续改进、创新和知识产权等原则（具体解析可参考）。NIST指出，其需要确保其“内部能力强大而有效，并能接触到高水平的外部密码学家”。如果NSA或任何其他机构协助NIST制定新的标准和指南，NIST将承认该机构是设计者，尽管NIST可能无法列出实际参与标准和指南制定的个人。NIST公开承诺，其将作为一个标准组织，致力于将强有力的密码标准推向全球，而不是作为美国政府的一个分支机构来破坏这种努力。

（二）密码学专家的回应

在斯诺登披露Dual_EC_DRBG事件之后，NIST采取了正确的挽救行动来恢复其声誉。但还有两个因素促使NIST能够继续提供国际公认的密码标准。首先，NIST能够调集组织和技术资源来制定国际公认的密码标准，它具有制定密码标准的组织和技术能力；其次，目前还没有其他机构能够做同样的事情。

NIST制定新密码标准的独特组织能力，一是来自法律，包括NIST制定FIPS的责任；二是来自政策（包括政府的支持），1965年《布鲁克斯法案》即授权NIST作为自动数据处理标准的提供者。此外，由于强大的密码技术对美国国家和经济安全的重要性与日俱增，NIST的组织能力也进一步得到了加强。该机构作为一个非国家安全的政府机构，负责制定非国家安全的密码标准，这种角色放眼全球也是十分独特的。

在Dual_EC_DRBG事件中，NIST的科学家们不仅纠正了NSA后门出现的漏洞，而且还在文件和公开演讲中为自己的失误承担了责任。同时，NIST以公正、诚实和透明的方式处理着密码标准竞争。因此，如有机构想要取代NIST，必须得复制其能力，还要赢得NIST积累的信任，这个难度是相当高的，故而目前尚未出现能够替代NIST的其他组织。