然而，又是由于冷战，GPS的开发者决定使用“选择可用性”——他们抖动了信号。这意味着那些来自卫星、携带着最高精度数据的信号比特经过了加密。民用接收机无法解码这些比特，因而准确性受到了影响，只能确保30至100米的精度。这对于大多数应用足够了，但有些应用则不行，如让洲际弹道导弹精确命中目标。可以频繁获得密钥更新的军用接收机能够接收到精确的信号。当然，这里的想法是，让GPS满足大多数用途，同时不能为敌人制造出完美的导弹制导系统。

然而，电子媒体并不像它的印刷品表亲那么幸运。不同于许多人对印刷品的肯定，电子媒体在第一修正案中从未得到明确的保护，因而受到ITAR的支配。特别是出口用与《应用密码学》中相同的源代码制作成的软盘是不合法的，表面上因为它是“机器可读的形式”。人们认为，手动输入书中的程序，和用扫描仪扫描它们并没有什么区别，然而软盘仍然无法出口。结果，一个聪明的英国人想出了一个四行的Perl脚本（一个微小的程序），实现了RSA。他把它出口到了美国，方法是把它放进他发送的电子邮件的签名档中。这个四行程序在美国被挑选出来，制成了一件T恤，相同的几百个字符变成了机器可读的条形码，也印在了T恤上。这件T恤可能因为上面的条形码而无法出口，因而也成了一个古怪的政治抗议。

《真名实姓》的情节取决于安全通信和秘密身份，即使面对的是最坚决的反对者——国家政府。一些人将拥有私下讨论的能力比作持有武器的权利：这是抵御压迫的最后一道防线。在公共政策辩论中，集会和私下交谈的能力有着悠久的历史，匿名也是如此（《联邦党人文集》大多是用假名写的，最高法院支持匿名言论的价值观）。然而，当前的政治趋势表明，文奇的推断一语中的——普通人既没有隐私也没有希望对抗政府的暴行，这些趋势正在嘲弄一个人的真名实姓，让公民置身于一个难以想象的圆形监狱中。

有了强大的、牢不可破的密码学，个人和组织就有了保密和匿名的自由。没有密码学，这些自由根本就不存在。目前，技术支撑起了牢不可破的密码学（通过适当的关注，以及对未来一定的警告）。但是在世界范围内有许多政治努力，出于各种原因，他们试图把漂亮的蘑菇云重新放进闪闪发光的金属外壳里，并让人们的保密能力退回到原始时代。

另外，那些试图拒绝强加密系统商用的政府则要容易得多。目前正在努力实现这一目标的政府包括美国联邦政府、俄罗斯和欧洲共同体的大部分国家，都是刚刚起步（法国已经完全禁止非法的加密，除非政府被授予了密钥。法国和德国都需要密钥注册，出于竞争的原因，法国政府经常监视国外公司设在法国的附属机构，诸如IBM这样的龙头公司会定期发送虚假情报的“加密”链接给他们在法国的子公司）。

伴着克林顿政府早期的剪切芯片公告一同而来的是，国家安全局在国内民用加密方面介入的最明显也是最近的公开示范。虽然这不是最初的公开宣布，它基于一个由国家安全局在过去几年（和前几届政府）开发完成的被称为Skipjack的设计。Clipper芯片的基本目标是利用密钥托管实现窃听加密通信的能力——每个芯片都有一个同时被政府控制的密钥。即使在政府永远值得信赖的理想世界中，这个解决方案在对付总是被引用的“四怪”时也很难奏效，因为那些玩家死也不会使用别人持有密钥的加密方案。在我们生活的世界中，Clipper/Skipjack系统也包含其他缺点。

有许多其他的对称加密方案，它们至少与DES一样安全，而且在软件中更容易使用——DES在硬件中使用比在通用计算机中使用要容易得多。其中一个便是名为IDEA的瑞士密码，但有许多加密方案可供选择。

为了给鲍伯发信息，爱丽丝首先要查看他的公钥。然后用他的公钥加密她的信息，发送给鲍伯。一旦完成了这些，她就再也不能解密密文——无论是用鲍伯的公钥，还是用爱丽丝的私钥和公钥都无法解密。而鲍伯则可以用他的私钥解密信息。

本文分析了强大（本质上牢不可破）的密码学的技术和政治。在技术方面，本文仅仅展示了今天可能发生的事情、如何处理它，以及在不久的将来可能发生的事情。在政治方面，叙述了最近发生在互联网和相关通信媒体上的许多事件，也对政治前景进行了预测。随着政治的不断发展，本文面临着迅速过时的风险，但任何致力于文字的事情都是如此。

不同于个人，公司可以通过他们销售的产品来看到。这意味着，通过法律禁止特定种类的产品（从而控制他们的商业分销）比控制高动机个体的私人使用更容易。在美国，通过法律禁止所有先进密码学的使用从未真正成功，因此，政府允许公司制造强密码产品。然而，对于他们是否能出口这些商品，商务部和国家安全局有着巨大的影响力，这些部门可以利用每一个比特。

但是，赚钱过程的核心是确保信息和资金的安全交换。麻省理工学院媒体实验室的研究员伦纳德·方纳提出了信息交流过程固有的一些问题，信息交流不仅应该是私密的，而且必须是安全的，不受外部团体干预。这些问题与本书中其他文章所探讨的问题相似却又有不同。我们如果想避免信息高速公路上的大规模盗窃和欺诈行为，就必须接受他的观点，他的观点对我们所有人来说都是极其重要的。这篇文章写于1995年。

这是一种笨办法。爱丽丝和鲍伯必须先私下见面。他们必须生成尽可能多的比特密钥用于通信，而且必须提前完成。

一个更好的方法是使用各种各样对称的密钥密码，如数据加密标准（DES），它通常用来加密银行之间的电汇。在这个方案中，爱丽丝和鲍伯只需要秘密商定一个56比特的密钥，一旦他们拥有了密钥，就可以互相发送任意数量的比特。密钥中0和1的模式决定了加密一个信息时比特打乱并重组的方式，密钥可以是任何长度，加密和解密都使用这个相同的密钥。

类似地，萨莫尔（RSA中的S）最近描述了一种迷人的简单技术，涉及用投影机胶片和传真机来实现由投影模式构成的一次性密钥。请回想下一次性密钥。给定一张包含貌似静态的一次性密钥的胶片，收发双方都拥有，一方可以通过传真发送数据和密钥的异或结果（经典的一次性密钥的模式），接收方可以用传真将胶片排成一队，并恢复数据，其他人得到随机噪声。一次性密钥胶片甚至可以制作成一张（非噪声）图片的样子，从而隐藏其真正的用途。这些技术将会击败任何海关检查员，他们只能看到（隐写的）图片，或是只看到传真，或只看到胶片（在萨莫尔的一次性密钥传真系统中）。击败这种传递机制需要摆脱传真机，但无论如何，人们总可以使用纸质邮件来发送加密数据。

尽管对ITAR进行了所有的讨论，但谁能使用商用的、现成的强加密只是其中的一面。假设我们仍然将我们的注意力限制在非技术用户可能使用的加密类型上（例如，你能买到的加密类型，而不是你能编程出的加密类型），那么另一个有趣的问题就是谁能破解它。此时我们便陷入了密钥托管、Clipper芯片、Skipjack分组加密算法，以及数字电话账单的泥沼中。www.99lib.net

事实上，围绕ITAR的FUD因素可能会产生可笑的后果——当然，如果政府监视公民导致公民自由受到潜在威胁被忽略的话。以“机器可读性”问题为例，上文提到过的布鲁斯·施奈尔的《应用密码学》是这个领域的经典。这本书有加密系统的源代码实例。20世纪70年代，美国政府尝试任何关于加密程序的出口或公开讨论要么“天生保密”（如核武器技术），要么受国家安全局的事先审查，这一尝试最终失败。美国政府未能通过一项行政命令或法律规定禁止美国密码学家去参加海外会议，以及在国际期刊上发表论文。这种失败也意味着像《应用密码学》这样的书在美国出口是不会被法律允许的。

“在很久很久以前的魔法时代，任何一位谨慎的巫师都把自己的真名实姓看作最值得珍视的密藏，同时也是对自己生命的最大威胁。因为——故事里都这么说——一旦巫师的对头掌握他的真名实姓，随便用哪种尽人皆知的普通魔法都能杀死他，或是使他成为自己的奴隶，无论这位巫师的魔力多么高强，而他的对头又是多么虚弱、笨拙。时移世易，我们人类成长了，进入理智时代，随之而来的是第一次、第二次工业革命。魔法时代的陈腐观念被抛弃了。可是现在，时代的轮子好像转了一整圈，我们的观念又转回魔法时代（这个时代究竟是不是真的存在，这个姑且不论）——我们重新担心起自己的真名实姓来……”

除了这些明确的宣传团体之外，许多其他的互联网讨论团体也在广泛地讨论这些问题，并且所有这些问题都会被存档。这里的主要参与者是彼得·纽曼主持的“风险文摘”（它更普遍地讨论了计算机系统的风险和收益），劳伦·韦恩斯坦主持的“隐私论坛文摘”，以及“地下计算机文摘”。

然而，政府拒绝向其人民提供预制软件的意图仍然很困难。地下市场可以给需要加密的人提供良好的加密；打击这样的地下市场需要海关官员阻止任何人携带任何类型的磁性介质（软盘或笔记本电脑）入境，验证合规非常困难，即便是技术水平优秀的海关检查员。例如，如果程序制作成存储在软盘中的图片的每个像素点的最低位该怎么办？这种技术被称为“隐写术”，它涉及在图像中添加极其细微的“噪声”比特（图片有很多比特，其中大部分是多余的）。当然，这种“噪声”才是真正的信号，图像只是一个幌子而已。政府必须禁止进口任何未被擦除的计算机和磁性介质。

根管手术的成功在于《数字电话法案》的通过，该法案要求，制造电话交换系统的人必须建立具有窃听能力、远程的数字信号流可以通过任何渴望的线路。改造现有交换机的成本保守估计在5亿美元左右（没错，5亿美元）。抱怨无法再通过线数字交换机窃听电话线路的FBI（但奇怪的是，交换机对他们而言并没有问题）现在已经获得了在任何地方窃听的能力——而在此之前，他们实际上不得不转到交换机并挂一些电缆。当然，这意味着任何电话耗子，即利用电子装置向全球各地打电话而不付费的人，大概可以做同样的事情。更糟糕的是，考虑到美国是世界上其他国家的电话交换机的主要出口国这一事实，许多国家的公民隐私保护比我们要少很多。许多受到压制的国家同时也是美国的贸易伙伴，由于美国制造的所有交换机现在可以窃听，所以我们有能力将这种能力免费提供给这些政府，无须他们进一步的研发要求。这真是个好主意吗？

事实上，米卡利认为，因为Clipper并未处理密码系统中的一个最基本的方面——如何管理和分发密钥——所以它从一开始就注定要失败。鉴于这个规范所缺失的部分，公众对提案的评论很困难，他坚决认为，覆盖全国范围的密钥的分配机制很容易就会被向其他不可泄露的加密系统分发密钥的免费基础设施服务所颠覆。总之，米卡利说，我们正在全神贯注地建造可跟踪的汽车，同时为坏蛋建立一个完整的州际公路系统——高速公路需要大量投资，个别坏蛋是很难创建的。

DES曾经是一种非常安全的算法。如今，如果知道了信息的64个比特的话，人们可以构建专用计算机（已经公布了全部细节）来破解它（这是已知明文攻击——从选择的明文一步一步进行攻击，在这里，马洛里可以选择爱丽丝加密的一些比特）。DES破解机是一台并行计算机，如果你花更多的钱，造一台更大的机器，破解起来会更快。按照1996年的价格，100万美元的机器破解一个密钥平均需要5个小时；10万美元的机器则要花费一天。三个学识渊博的研究生在一个学期内就能建造出这种机器〔为什么是三个？仅仅是因为在合理的分工下，一个人做超大规模集成电路（VLSI）设计，另一个人做板级设计，还有一个人做控制软件〕。一旦建成，这台机器便可以破解任意数量的密钥——所以要么你有一个价值100万美元的密钥，要么你愿意出售破解密钥服务给所有人，每破解一个密钥收费100美元，这样你才能够建造这种机器（仅仅伪造一笔电汇就足够买下这台机器了）。

正如曾为前副总统阿尔·戈尔负责基础设施政策的汤姆·卡利尔对一位麻省理工学院的观众所解释的，“我们正在采取拖延战术”，让美国公民无法获得强加密技术，以便使他们的通信更容易被执法机关窃听——表面上是为了抓捕“四骑士”。然而，卡利尔承认，“四骑士”却可以使用密码（而且确实在用），即便他们可能无法马上买到现成的。于是，他立刻被问道：“你的威胁模式是什么？例如，你真正想阻止的是什么？”他的回答：“我无可奉告。”不幸的是，ITAR所针对的实际威胁不是含混不清的就是保密的，但这就是事实（很可能，“拖延行动”正在试图阻止商用强加密，直到能够破解这种加密的量子计算机变成现实。这是笔者的推测：在官方圈子里，你不会发现任何人愿意说这样的话）。

但是在海湾战争期间，所有人的GPS都突然精确地运行了！为什么？因为美军需要太多的GPS单位向其人员分发（成千上万的人），军事承包商满足不了其需求。相反，美国购买了现成的、商用的民用单位，并关闭了卫星的选择可用性。（现在有一个明显的笑话：“如果你的GPS接收器突然变得很准确，那么一定是爆发了战争。”）然而，随着冷战的结束，我们真的需要选择可用性吗？毕竟，30米的精度远不足以让一艘轮船在布满险滩、拥挤而又陌生的港口航行，而且还有很多应用程序可以从无须附近的信标来启用差模接收的更精确的GPS中获益（最近，美国宣布将在未来四到十年放弃选择可用性，部分是因为对于选择可用性的解决方案在不断改善）。

加密和破解（密码破译者的工作）之间的军备竞赛一直在进行。人ｈttｐ://ｗww•９9lib•nｅｔ们想出的几乎所有的新系统通常都会被快速破解，只有罕见的、特殊的系统能够在密码破译者的攻击下幸存，但那些幸存下来的密码通常会存活几十年甚至更长时间。

在延缓公民获得强加密的斗争中，ITAR确实是一种有力的武器。它的部分力量来自围绕其使用的“恐惧、不确定和怀疑”（FUD）。例如，由于加密系统是否被视为出口的详细原则并未写明，我们事先无法知道在“四十比特规则”（本身不是法律，只是一种习惯）下未涵盖的系统是否可以出口。由于获得出口批准可能需要多年时间，这比大多数软件（甚至硬件）产品的寿命还要长几倍，因此企业会显得很弱势。另一个例子，PGP的原作者菲尔·齐默尔曼被指控违反了ITAR，因为PGP的副本在海外被找到了，尽管没有证据表明他出口了这些副本（可能是被任意互联网用户出口的，犯罪嫌疑人的数目数以百万计）。经过两年的法律斗争，调查终于结束了，司法部没有给出任何解释——两年来，齐默尔曼进入美国时都会被海关拦住、搜查、审问，除了司法部对他怀恨在心外，并没有任何明确的理由。

此外，爱丽丝可以签署一条信息，以证明其真实性。毕竟，鲍伯有理由相信马洛里已经伪造了一条信息给他——因为马洛里只需要查看鲍伯的公钥来加密一条信息即可，因而马洛里可以很容易地伪造一条声称是来自爱丽丝的信息（尽管只有鲍伯可以阅读）。为了防止这种情况，爱丽丝首先用她的私钥加密信息，再用鲍伯的公钥加密信息，最后把结果发送给鲍伯。鲍伯用他的私钥解密信息，然后再用爱丽丝的公钥解密。如果他没得到无用的数据，那么他便明白只有知道爱丽丝私钥的人才能发送这条信息（爱丽丝经常只加密她信息的一个密码散列，这是一种概括，但我们可以忽略这一细节）。

但所有这些方案都要忍受希望沟通的各方必须先私下交换密钥这一问题的困扰。如果你是一家银行，可以使用一个值得信赖的快递服务，这显然不错，但是如果你只是想在给某人打电话或发电子邮件时，不希望信息被窃听的话，就很不方便。

整个世界——炫目耀眼，充斥着金钱和政治——真正的兴趣在于互联网商务。股票市场充斥着互联网热门股，因为控制世界上大部分金钱的人已经意识到，他们可以把这个迄今为止与世隔绝、晦涩难懂的“科学聊天热线”作为赚钱的手段。

记录表明，FBI在全国范围内每年都会进行一千次窃听。做这些修改需要花费5亿美元，这意味着完成的每次窃听都价值50万美元。甚至忽略了这样一个事实：这些修改一旦完成，就是永久的，无须每年更新（因此有效地降低了“每次窃听的成本”），这似乎并不划算。

在20世纪，优秀的密码学经常被当作一种军事武器：战争的胜败部分基于哪一方能破解另一方的密码。因此这是由两个困难的问题所定义的，答案是社会学和政治学，而非技术：

谁来破解它？

通常，谈到密码系统的时候，常见的惯例就是讨论爱丽丝和鲍伯的通信，他们的通信可能会被窃听者伊芙听到，或被恶意用户马洛里积极干扰（我们经常在复杂的系统中混入其他的名字）。我们还讨论了信息的明文（爱丽丝发送的内容和鲍伯阅读的内容）和密文（诸如通过电缆传输或储存在文件中的信息），我们假设，爱丽丝和鲍伯身边没有人偷看——有时这个假设很过分，但我们暂时这样假设。

这种方法有许多优点。每个人都可以实现自己的密码系统（例如，利用新计算机或将其放入新产品中）。同时，这意味着来自世界各地的专家可以尝试破解系统——通常，只有在专家历时多年仔细研究之后也没发现任何重大漏洞的情况下，加密系统才算是可信的。

如果你关心自己的“真名实姓”，那么是时候去了解真相——并采取行动了。

然而，“四骑士”中的每一个都有动机和能力通过非官方产品使用强加密。此外，联邦政府也知道这一点，上面的商业研究只是众多案例中的一个。那么，ITAR对密码学的限制是什么？

下面，我们来看看最近人们在网络和计算机上保密的常见方式。从所有这一切中得到的教训是，“你能想到的几乎任何问题都有已知的解决方案”。还有更多的解决方案不断被发明出来。密码学和保密的问题在很大程度上不是技术，而是政治和经济问题。某些人有多渴望你的信息，这对他们来说值多少钱，你保密要花多少钱？

使用对称和公钥加密系统的这些基本技术，我们可以制造出各种各样的产品。一个重要的应用是为通信（和存储文件）保密，但是还有很多其他的应用。我们可以制造电子的、不可伪造的现金（根据定义，现金是匿名的），无论它在反复易手时是否需要通过网络链接到银行，这取决于设计。我们可以保证匿名性，通过加密邮件并用世界各地的其他机器关系网发送它们，最终解密并将信息同发信人分离开来（密码朋克重邮器完成这些事情）。我们可以编写协议，只有在十二人当中的七人（或其他人数）同意解密的时候才允许解码信息。我们可以对数据进行盲读，以便人们可以在无须阅读的情况下签署文件（例如，在不放弃发明的情况下证明自己的发明，此时非常有用）。我们可以见证一个秘密的知识，超越一切合理的怀疑，而不需要泄露哪怕一点点的秘密。我们可以通过电话抛掷一枚（虚拟的）硬币，见证它的落地方式，以免日后反悔。两个人可以同时签署一份合同。应用还有很多，在此不再举例。

对称系统的一个经典例子是一次性密钥。爱丽丝和鲍伯私下商定并同意以一个大的随机比特流作为他们的一次性密钥。然后，爱丽丝就可以发送一个比特给鲍伯，方法是从密钥中取出下一个未使用的比特，再从她的原始信息中取下另一个比特，并将二者组合起来：她原始的比特和密钥的比特要么全是0，要么全是1。如果全是0，那么她就给鲍伯发送一个0，否则就发送一个1（这种组合比特的方法被称为异或，类似于人们说的“非此即彼”的意思。异或在密码系统中是最常见的操作之一，以后要记住）。鲍伯用他自己的一次性密钥副本对来自爱丽丝的比特流进行异或操作来恢复原始信息。只要爱丽丝和鲍伯都没再从这个密钥中使用比特，它就是完全安全的，无法被任何计算能力所破解——如果密钥上的比特确实是随机的，如果密钥中没有哪部分被使用过一次以上，如果爱丽丝和鲍伯在使用比特时能够保持同步的话。

以根管手术为代表，这是FBI为说服国会和公众的公关活动所起的名字，又一次借用了“四怪”的比喻，现代电话交换机使联邦调查局无法完成窃听工作，除非被重新设计来进行琐碎的窃听。它成功了！

对于那些因为希望出口产品（不是写学术论文）而移民国外（如澳大利亚，那里不禁止加密出口）的美国知名密码学家来说，这也是一个尽人皆知的问题。当然，这意味着澳大利亚可以从美国研究人员的培训和99lib.net背景，以及他们所使用的美国开发的其他技术中获得经济利益。但这就是与ITAR共舞的生活。

整个课题是巨大的。不过，这不是一篇学术论文，我会引证我所说的部分内容（另外，我极大地简化了技术和政治，欢迎学识渊博的业内人士前来指摘）。不过，我提供了一些线索，让那些感兴趣的人可以进一步探索。我在这里主要集中于个人（而非公司或国家）使用的密码学，并强调公民自由。技术的名称和政府机构的名称混在一起，熬成了一锅缩写词“浓汤”——先干了这碗金宝汤的字母汤，然后再进入正题吧。

这个方案是不对称的——双方没有相同的密钥。主要的好处是，他们无须见面交换密钥，爱丽丝只需要鲍伯密钥的公共部分，反之亦然。

公钥系统有许多伟大的特性，但速度不是其中之一。所以，它们常常与对称系统结合使用。

注定要在各条战线上一败涂地的Clipper提案已经在很大程度上淡出了公众的视线——尽管远未到被遗弃的地步。同时，还有其他一系列的努力，以确保政府可以继续监视其公民。

关于上述讨论的许多提案的大量信息都是通过《信息自由法案》（FOIA）的请求获得的。它们大多需要漫长的法律战和多次诉讼才能获得——美国国家标准及技术研究所（NIST）、国家安全局（NSA）、联邦调查局（FBI）对于这些问题都没有任何回应的记录，尽管FOIA明确写明，这种拖延回应是非法的。电子前沿基金会等机构在法庭上花费了大量金钱与众多联邦机构的这种拖延战术作斗争。

但FBI还不算完。它在《联邦公报》（1995年10月16日，第60卷，第199号）发表了它的计划，要求可以同时窃听主要城市中心所有线路的1%。在公众的强烈抗议之后，它开始退缩，声称是引用错误（1995年11月2日《纽约时报》A1版上的文章），它真正要求的只有所有正在进行的通话的1%，而不是线路的1%——好像这10倍的差距产生了很大的影响。如果FBI真的利用DT法案强制执行1%（甚至，它后来说的0.1%）的通话可窃听，那么它就可以监控一亿条线路和每年数十亿次的对话——这比目前正在进行的窃听数量增加了100万倍。基于计算机的语音关键词识别能力持续增强（作者多年前一直致力于开发这样的系统），再结合强大的窃听能力，联邦调查局每年可以扫描数百万个它们想跟进的对话。如果这不是在一个难以想象的规模上侵犯隐私，又是什么？

请记住，密码学是用户和密码破译者之间的军备竞赛。经历了二十余年后，DES终于落伍成了一个雄心勃勃但传统的数字计算机设计。更糟的是，即使像RSA这样的公钥系统也并非永远安全。例如，贝尔实验室的彼得·肖最近证明，利用量子计算机（其计算方式完全不同于数字计算机），人们破解类似RSA的系统仅仅需要多项式时间，这表明加密完全无效。迄今唯一的问题是，没有人知道如何构建一台能够运行足够长的时间来解决实际问题的量子计算机。但许多人正在研究这个问题，他们正在取得进展。我们将会看到一些有趣的政治后果出现。

现代加密系统（有一些例外，稍后进行讨论）将该算法用于公共场合。每个人都能找到这个算法，尝试破解它、实现它，等等。这就是密钥，它为特定的用户自定义算法，它是高度保密的信息。

此外，它依赖于硬件。许多产品更愿意在软件上进行加密，因为软件更便宜，而且会减少芯片的使用——还可以随着市场的变化快速重新配置。它还依赖于防篡改硬件（并不真实存在）来保护算法——并且只有两个托管代理人。记住，这些芯片将成为民间商用的绝对基石。对于许多人而言，贿赂两个托管机构的经济压力会非常巨大——泄露国家所有芯片的密钥可以在几张软盘或一张DAT磁带中完成。贿赂奥尔德里奇·埃姆斯去摧毁中央情报局剩下的信誉到底花了多少钱？比大公司首席执行官的薪水还少。

DES是一个已经失去效用的系统的例子。直到20世纪90年代前后，它都是一个伟大的方案。如今，仍在使用它的人们被建议使用一个叫作Triple DES的方案，在这个方案中，两个或三个密钥（无关紧要）被连续送入三台加密机器，使明文被加密三次（用三种不同的方式）之后再进行传送。鲍伯的机器正好相反。这种方法仍然相当安全。

互联网上流行的一种被称为PGP的通信包，就是使用的这个方案：RSA加密会话密钥，IDEA加密信息（还有许多其他的安全措施来防止存储的密钥的无意泄露、管理密钥的集合等）。

使加密产品服从ITAR的背后官方想法源于冷战思想，限制加密工具的出口对我们对手的伤害大于对我们自己的伤害。然而，任何一个政府只要愿意都可以很容易地制作自己的加密工具。正如上文所详述的，所需要的技术是众所周知的。冷战结束以来，其他的“妖魔”已经开始进入公共讨论当中，即所谓的“国家信息基础设施的四骑士”——毒品贩子、无名外国恐怖分子、有组织犯罪、儿童色情。

ITAR可以是一种强大的武器。通过禁止把强加密轻易出口到海外，ITAR意味着把加密技术用于自己产品中的美国制造商有两个选择：其一是做一个加强版本用于国内，再做一个弱化版本用于国际出口；其二是在所有地方都使用弱版本。由于制造和储备两种不同产品的成本要远远高于一种产品，大多数美国公司都选择后者作为解决方案。这意味着，即使在国内，消费者得到的也只是脆弱的保护，甚至根本没有保护。例如，蜂窝系统的世界领导者摩托罗拉没有加密手机，因为他们为了出口不得不削弱加密（欧洲共同体也在效仿，最近发布的用于数字手机的跨欧洲标准GSM包含了非常安全的A5加密，却在最后关头被要求变更为薄弱很多的A5X，以确保政府可以窃听。没有这个改变，手机就无法出口。但是现在，一个标准分裂成至少两个，市场也混乱不堪）。

在众多关于这些问题的会议中，几乎没有哪个能比1991年创立的“计算机、自由和隐私大会”做得更好。每年，它会集执法人员、计算机专业人士和记者，对公民自由、技术获取以及计算机与社会互动这些问题的各方面进行激烈辩论。

换言之，为了防止任何一个机构妥协（无论是个人的还是行政的），提案是把密钥分为两半，每一半被不同的托管机构持有。最初，这些机构的身份（至关重要的事情）没有透露，最终，有两家机构被选中——它们都属于行政部门。

到目前为止，美国联邦调查局一直在阻挠FOIA的要求，FOI99lib.netA要求解释修改电话交换机的确切原因。这种阻挠毫无疑问是非法的——FOIA已经在法律上规定了他们的时间响应标准（从最初的请求十天起，如果请求需要检查异常多的文件的话，可能会延长十天），但FBI面不改色地无视了这些。例如，1994年10月4日，在回答EPIC提起的诉讼时，FBI声称，回答FOIA与《数字电话法案》有关的请求需要五年时间，直到1999年6月才能做出回应，美国地区法官查尔斯·里奇驳回了这一要求，他对政府的律师说：“打电话给FBI局长弗里，告诉他，我认为这件事一个半小时后就可以处理完成。”并表示自己被他们的要求“惊呆了”。然而，这样的指责本身并不足以迫使FBI遵守法律规定的时间表，原因是法官缺乏必要的执行权。到目前为止，FOIA为数不多的成功的请求之一（计算机社会责任专家联盟于1993年提出）揭露了185页的备忘录，其中没有一个FBI办公室报告提到由现代电话交换机技术所导致的窃听问题。然而FBI坚持要从根本上增强窃听能力，而且仍在阻挠FOIA对于这一问题的请求，最早也得到1999年才能做出回应，尽管遭到了里奇法官的指责。

谁来使用它？

任何涉及密码学的产品中都有类似的奇怪故事。以全球定位系统（GPS）为例。GPS是一个真正了不起的技术壮举，它使用轨道卫星网络和手持接收器，成本不到300美元，你可以在地球上的任何地方找到自己，误差不超过1米。使用GPS“差分模式”（需要一百公里内的陆基信标），你可以得到毫米级的精度。在过去的几千年里，无论是在陆地上还是在海洋中，有多少人死于不知道自己的位置？

像DES一样的对称系统，以及像RSA一样的公钥系统中使用的算法有一个有趣又极为重要的特性：将使用的密钥长度加倍通常只会使加密或解密的时间略微延长一点，但却让破解密钥的难度以天文数字般增加（从技术上来讲，加密时间通常是n²，n是密钥的长度，但破解密钥的时间经常上升到2ⁿ，它上升得更快——这就是所谓的多项式增长和指数增长）。这意味着，当使用传统计算机时（换言之，除非算法突破，我们稍后详述），爱丽丝和鲍伯可以轻而易举地保持对伊芙和马洛里的领先，方法是随着计算机计算速度的加快，慢慢增加密钥长度。这样做可以让他们海量地增加伊芙和马洛里的工作量，而自己的工作量却不会增加很多。

在公钥系统中，爱丽丝和鲍伯各自生成自己的一组密钥。每个密钥分为两半——一半公钥，一半密钥。爱丽丝和鲍伯可以在任何他们喜欢的地方公开公钥。例如，在《纽约时报》上，或在他们的网页上。他们尽可能保护私钥，从不向任何人透露。

麻省理工学院密码专家希尔维奥·米卡利随后发布了关于“公平密码系统”的细节，它完全可以在软件中实现，不依赖于其算法的保密性，它可以使n个托管持有人中的任意k个人改造密钥，禁止了无须注册密钥即可使用系统的能力，它以这样一种方式启用了系统——一旦一个人的密钥被政府捕获用于窃听，个人的隐私并没有永久丧失。与Clipper不同，Clipper的方式是任何被授权窃听的人都可以永久窃听，或窃听在过去几年中收集到的、只是在等待解密密钥的数据，而公平密码系统使用的密钥有时间限制，窃听只能在某段时间内成功。米卡利（和其他人）的提案被Clipper的推动者所无视。

这便是《真名实姓》的开篇。是什么决定了其他人是否知道一个人的真名实姓，或是知道一个人、一家公司、一个国家的秘密？

这篇长文让我们了解了密码学的政治社会的样子，也许那里就是我们要走向的地方。我做了很多断言，大部分都没有引证。你可以在许多组织的在线参考图书馆中找到所有这些以及更多的内容。其中突出的是电子前沿基金会、美国公民自由联盟、选举人电信观察以及电子隐私信息中心，它们在万维网上都有大量可访问的网页，它们也运营新闻组、公告列表以及针对所有这些问题的讨论列表。尽管最近《通信规范法案》取得了成功（法案试图强制规定，如果一个人碰巧看的是比特而不是印在纸上的油墨，那么成年人只能为小孩子阅读适合的内容），但是这些档案和列表仍然可访问，并且最先对这些问题进行全面的报道。

答案是密码学，或是密码学的缺失。

今天使用的加密系统主要有两种类型。最简单但最难使用的是所谓的对称密钥或私钥系统。要使用这样的系统，爱丽丝和鲍伯必须共享一个秘密——他们必须事先安排一次私下会面，并生成一个密钥用于他们的通信。他们不能仅仅把这个密钥从一个人发送给另一个人——如果他们可以在密钥不被窃听的情况下做到这一点，那么他们也可以对他们的信息进行这样的处理，并完全免除加密。

因此，政府拒绝实现优秀密码学知识的意图相当具有压制性。政府不得不禁止进口描述这些技术的书籍，并将自己与全球互联网隔离开来。这种孤立主义不符合任何一个希望以有意义的方式与世界其他国家进行互动的政府，因此只适用于极少数国家。

密码学的存在是为了保密。现代密码学也可以用来验证某人是谁——而且可以秘密地做到这一点。

最后，许多人指出，商业和网络现在是全球性的。他们指出，对于外国政府、公司或个人而言，如何才能相信自己使用的加密系统不会被美国政府窃听（更糟糕的是，禁止窃听美国公民的法律约束并不适用于非美国公民）？因此，外国实体不会使用Clipper——他们要么切断美国的通信，要么不得不使用其他方式。

简言之，使用的密钥超过了四十比特（从而使可能的密钥空间超过了可以轻易搜索到的空间），或实现了加密会话的能力的（与一个仅用于身份验证的简单的数字签名截然相反）任何加密产品在没有特殊豁免（通常不会授予）的前提下出口到美国和加拿大以外的地区都是非法的——这通常都不被批准。这怎么可能？因为美国的加密产品受《国际武器贸易条例》（ITAR）的管制，认为它们是“军火”，就像炸药一样。

此外，该提案在政治上是幼稚的。为了对抗意志坚定的对手，而不只是最单纯的人，其他类型的加密将被取缔。缺乏对政府保证“这不会发生”的信任会导致“如果密码学是非法的，那么只有不法分子才会有密码学”这样的战斗口号（《真名实姓》的影子……）。此外，整个互联网界和学术界都对这项提案感到震惊。唯一没有歇斯底里大笑（或移民澳大利亚）的密码学家是桃乐茜·顿宁，她本人是一位受人尊敬的密码学家，但她的主要观点似乎是“信任政府”和“从来没有人在法院未授权的情况下窃听”。这样的观点忽略了两个因素：首先，只有在法庭上使用的www•９9liｂ•ｎeｔ证据需要法庭的授权；其次，FBI窃听只有在非常罕见的情况下才会被拒绝（根据1992年的政府会计办公室发布的《关于授权或批准窃听电话、口头对话，或电子通信的申请报告〈窃听报告〉》，1992年有919个窃听被批准，0个请求被拒绝。一个被拒绝的都没有！1994年的报告也显示0个请求被拒绝。在1982～1992年，只有7个监视申请被拒绝，远低于千分之一——几乎完全是未经审查即批准）。

至于谁来使用密码学，那些限制密码学使用的人实际上已经输掉了这场战争。关于如何构建和使用强加密系统（无论是对称的还是非对称的系统）的基本知识，都是世界性的。不仅有描述了几十种这类算法的精彩文章在世界各地发布（或输出），而且更多信息（有时算法本身作为源代码）广泛存在于全球互联网上（美国商务部曾经进行了一项调查，海外的人多快能找到一份DES副本，结果表明，利用世界上最受欢迎的FTP服务器中的Archie——一个常见的FTP搜索引擎——完成一次搜索大约只需30秒，因此他们的答案是：“对于60余个目前提供DES的网站，大约需要30秒。”如今，随着快速网络搜索引擎的兴起，这个数字已经过时了，它甚至更简单了）。即使一个人找不到源代码，任何一个有足够动机的程序员，都能相对快速地实现这些系统中的一个，其中大部分的算法可以教给高中生。麻省理工学院经常在群论导论课程的第三周教授RSA背后的算法给所有计算机专业大学二年级的学生。（另一个例子是，施奈尔的《应用密码学》，其中包含这些算法的描述和源代码，此书远销海外，销量已经超过45000册。）

这对美国实业造成的损害是巨大的（对公民自由的损害将在下面讨论）。因为其他国家可以自由制定自己的法律，并不禁止将加密产品出口到美国，因而美国的消费者通常面临一个有趣的选择：买劣质的美国货，或购买外国产品保护自己的隐私。许多美国公司都在国会做证说，这些政策削弱了其竞争力，不仅在国内，也在国外市场，因为他们的技术被视为劣等货——这是一个极具讽刺意味的结果，因为人们认为这些技术大多是美国发明的。

爱丽丝生成一串被称为会话密钥的随机比特，她将其用作与鲍伯进行通信（只有一次！）的密钥。然后，她使用公钥系统加密这个密钥（缓慢地），发送给鲍伯。再然后，她用这个有些像3DES或IDEA的密钥来加密她信息的主要部分（快速地），她知道鲍伯可以用他自己的私钥解密会话密钥，然后使用会话密钥解密信息。

这两个问题是当前围绕密码学的政治纠葛的核心。

数字签名标准也需要考虑，这个标准也在当时发布。国会负责制定加密标准，美国国家标准及技术研究所（NIST）临阵脱逃（无视应该依据执行的计算机安全法），只开发了签名标准取而代之——换言之，一个人可以验证某人的身份，但不能与他们秘密交流。最初的提案被轰下了台——密钥短得可笑（显然极易破解），算法测试结果劣于其他算法，甚至NIST也承认该方法相比其他著名的方法（通过《信息自由法案》诉讼得到的文件中的）存在缺点。我在此重申，密钥分发机制并未详细说明。此外，来自电子前沿基金会（EFF）、计算机社会责任专家联盟（CPSR）、电子隐私信息中心（EPIC），以及其他与《信息自由法案》（FOIA）相关联的人士反复纠缠的要求最终揭示出（在NIST拒绝了第一个FOIA的要求之后——非法泄露美国国家安全局敏感文件的人必须被起诉），NIST实际上已经从美国国家安全局收购了整个系统——本不应该在加密中设置民用政策！很明显，美国国家安全局再次非法染指这一领域，这次推进了一个只有签名的、不保护隐私的低劣标准，很显然，扫清通向可窃听的Clipper的道路成了城市里唯一可行的加密系统。

多年来，美国国家安全局已经将从外国政府手中夺回强加密，以及破解他们提出的一切密码系统作为其主要议程。不应该对本国公民使用信号情报，这样做既违犯法律又违反行政命令。然而，美国国家安全局一直与联邦调查局和国家科学与技术研究所（NIST，原国家统计局，国家标准局）密切合作，以制定国内加密政策。联邦调查局很高兴能得到帮助，因为联邦调查局多年来一直在努力挖掘每个人的情况。这些细节是令人恐惧的——即便你相信目前的联邦调查局中几乎没有人像胡佛一样腐败。但事后看来，事实显然就是如此。

然而，到了20世纪70年代，人们发明了公钥加密系统。迪菲和赫尔曼发明了一个，李维斯特、萨莫尔、阿德尔曼发明了另一个，称为RSA（取自他们三人名字的首字母）。公开密钥系统是一种不同类型的野兽，基于大素数的数学运算。总的来讲，其安全性建立在将一个足够大的数分解为组成它的素数的难度之上——这项工作吸引成千上万人进行了多年的研究，似乎非常棘手（对于传统计算机而言），但这并不代表它是不可能的。因此，公钥系统虽然构筑在坚实的基础上，但并不是一次性密钥的基石。

先前，滥用行政权力的行为盛行，且臭名昭著。水门事件是滥用行政权力肮脏把戏的典型例子——当然，这并不意味着政府的另外两个部门就能忠于更高的标准。例如，奥尔德里奇·埃姆斯事件，一个中情局高级特工多年来毫无察觉地一直危及我们的国家安全，尽管他赤裸裸地炫耀来源不明的巨额收入，然而这一事件却发生在Clipper事件的讨论期间，这只是一个糟糕的巧合吗？在这样的情况下，“一个人可以信任政府”的呼声可能有点难以让人接受。

该提案有许多技术错误。它依赖于一个保密设计——大多数加密提案的死亡之吻，它们的力量源泉不是保密算法，而是抵制密码分析学。这个秘密的提出依赖于其算法的保密性、无法公开分析的提案，在密码社区中遭到了嘲笑（该算法保密的目的是，阻止使用相同加密算法但在没有授予政府密钥的情况下制造的盗版Clipper）。另外，从对未保密的算法的描述中，贝尔实验室研究员马特·布雷泽想出了一个方案，用伪造的（不可泄露的）密钥启用Clipper。