浅谈加密这把双刃剑

来源：http://blog.csdn.net/ouyang_peng/article/details/50983574（点击文末阅读原文前往）

加密是一个基本工具，可以帮助用户保护个人文档、照片等机密数据，因此通常意义上加密是良性的。而且实现加密难道并不高，也不需要特别强的专业知识，现在开源的加密库很多，只要懂点基本原理，搞IT的应该都可以拿过来用。

但是，当加密这个工具被恶意攻击者利用，确实会让人不知所措。最典型的使用加密进行恶意攻击的方式为：攻击者黑进系统后，将系统所有的文档（如doc、pdf、rar、jpg等）全部加密，然后威胁用户交赎金才能解密这些文档。例如，2013年出现的Cryptolocker病毒，以及最近一段时间比较火的CTB-Locker病毒，都是这个原理。下图是被CTB-Locker攻击后的界面：

攻击者已经把意图说的很明显了：你的文档、图片、数据库和其它重要的文件都已经使用强加密机制进行了加密，能够解密的私钥存储在一个秘密的Internet服务器上，要想解密恢复出你的重要文档，必须出赎金购买私钥。而且给出了支付的方式，支付只能在Tor网络中使用比特币支付，Tor网络本身是随机匿名且加密传输的，而且比特币也是完全匿名的。攻击者确实也很聪明，利用这种电子货币很好的保护了自己来获取赎金，很难被追踪到。

那么问题来了，如果被这种方式攻击了，是否有方法恢复你的文件呢？

我只能说想要暴力破解密钥来进行解密基本是不可能的，现在的强加密机制都是基于各种困难问题进行设计，这些困难问题（如大数分解、离散对数等）以现有的计算能力，在你有生之年都不可能计算出来密钥。如果说你能破解这个密码算法，那无论在学术界还是工业界，你都会轰动这个世界。因此，唯一能恢复的方法就是从攻击者那里获取私钥，只能走两条路：（1）乖乖交赎金，按照绑架你重要文档的攻击者说的去做；（2）报警，让FBI来帮你找到攻击者，进而获得其手中的私钥。当然，跟现实中的绑架案很相似，报警是要冒一定风险的，万一攻击者愤怒了，把所有密钥全都销毁，那神仙也难救了。

没有攻击者的密钥就恢复不了数据，难道这种攻击就无法预防了？

当然不是，要想加密你系统里的文件，攻击者先要有能力黑进你的系统获取一定的权限，如果攻击者根本进不了你的系统，他也无法加密你的文件。至于攻击者如何黑进你的系统，方式就很多了，病毒、木马、欺骗邮件等都有可能。这些就属于杀毒防护、入侵检测等传统安全领域了。因此，安装杀毒软件和防火墙是有一定防御作用的。攻击和防范本来就是一个相互PK成长的过程，传统杀软也不一定万能，如果出现了新的APT攻击形式，还是很难预防。

既然预防不一定万能，那就存在漏网之鱼，是否有更好的解决方法？

笔者一直认为，最好的方法经常是最容易做到的。记得当时上入侵检测课时，讲课老师问被攻击后的第一反应应该是啥？很多人思考了很久，然后PPT上打印出一行大字“立即拔掉网线”。至少断网后会将损失降到最小，特别是一些依赖联网的病毒，可能也就起不了破坏或者传播作用了，等杀毒或者重装后，再联网。这里也一样，笔者认为最好的解决方法是加强用户自己的安全意识，既然这种加密攻击无法破解，那用户最好对重要文件进行多个备份，使用不同的介质保存重要文档的多个备份，如云盘、移动硬盘、光盘、硬盘都有备份；其次，对系统进行备份，可以在攻击发生后快速进行修复；最后，安装杀毒软件和防火墙，虽然不会万无一失，但至少大部分病毒和木马等都可以防止，很多新的攻击方式实际上使用的还是这些病毒和木马等方法来黑进你系统的。

加密工具很强大，能帮助用户保护各种隐私和机密数据，维持独有的那一份净土和秘密；但是如果被恶意使用，造成的危害也会很强大，甚至让你抓狂。这种意义上，加密确实是一把双刃剑，希望能将其用到正途上，BS那些违规者。

参考

[1] 关于最近很火的CTB-locker的一些总结，http://tieba.baidu.com/p/3558315488

[2] 科普：五大招数防御疯狂来袭的敲诈病毒CTB-Locker, http://finance.huanqiu.com/zl/2015-05/6353686.html

[3] 首次现身中国的CTB-locker“比特币敲诈者"病毒分析. 奇虎360技术博客. http://blogs.360.cn/blog/ctb-locker/