一個相對新興的勒索軟體家族採用了一種新穎的宣傳手段,聲稱其用於加密文件的算法能夠抵禦量子電腦的攻擊,從而強調自身加密強度之高。
這款勒索軟體名為Kyber,至少從去年9月起便已出現,並迅速因其宣稱使用了ML-KEM(模組格密鑰封裝機制)而引發關注。ML-KEM是由美國國家標準與技術研究院(NIST)主導制定的標準,而Kyber正是ML-KEM的另一個名稱。本文中,Kyber特指該勒索軟體,相關算法則統一稱為ML-KEM。
ML-KEM是一種用於密鑰交換的非對稱加密方法,其基礎是格數學問題——這類問題對於量子電腦而言,相較於經典電腦並無解題優勢。ML-KEM旨在取代橢圓曲線和RSA加密體系,這兩種體系都基於量子電腦在算力足夠時可以破解的數學難題。
安全公司Rapid7於本周二發布報告稱,該公司對Kyber進行了逆向工程分析,發現其Windows變體使用了ML-KEM1024——即該後量子密碼學(PQC)標準中強度最高的版本。Kyber利用ML-KEM來保護用於AES-256對稱加密的密鑰,而AES-256本身同樣具備抗量子特性。FTI Consulting網路安全與數據隱私傳播業務部執行董事Brett Callow表示,這是首個被證實使用PQC的勒索軟體案例。
對於Kyber的開發者而言,選用PQC密鑰交換算法實際上並無實際必要性。Kyber的勒索信要求受害者在一周內作出回應,而能夠運行Shor算法(即可用於破解RSA和橢圓曲線加密的數學方程組)的量子電腦,距離實用化至少還需三年,實際上可能更久。
另有一個針對VMware系統的Kyber變體,同樣聲稱使用了ML-KEM。然而Rapid7的分析揭示,該變體實際使用的是4096位密鑰長度的RSA加密——這種強度即便面對Shor算法也需要更長時間才能破解。Rapid7高級安全研究員、該報告作者Anna Sirokova表示,使用或聲稱使用ML-KEM,很可能只是一種品牌營銷噱頭,且實現成本極低。
Sirokova在郵件中寫道:
首先,這是面向受害者的營銷手段。"後量子加密"聽起來比"我們使用了AES"要嚇人得多,尤其是對於負責評估是否支付贖金的非技術背景決策者而言,這是一種心理策略。攻擊者並不擔心十年後有人破解加密,他們只想在72小時內收到贖金。
其次,實現成本極低。Kyber1024(即ML-KEM)的相關庫已有完善文檔支持。勒索軟體並不直接用ML-KEM加密文件,那樣會很慢。實際流程是:先生成一個隨機的AES密鑰,用該密鑰加密文件(速度快),再用ML-KEM1024加密這個AES密鑰(確保只有攻擊者能解密)。在Rust語言中,已有現成的Kyber1024庫可用,開發者只需將其添加為依賴項並調用函數完成密鑰封裝即可。
儘管存在炒作成分,Kyber的出現表明PQC已開始引起技術背景較弱的律師和高管群體的關注——正是這些人在決定是否支付贖金。Kyber的開發者寄望於"加密強度無懈可擊"的印象,來影響受害者的付款決策。
Q&A
Q1:Kyber勒索軟體使用的ML-KEM加密是什麼?
A:ML-KEM(模組格密鑰封裝機制)是一種基于格數學問題的非對稱加密算法,由NIST主導制定,屬於後量子密碼學標準。量子電腦在解決格數學問題時相較經典電腦沒有優勢,因此ML-KEM被認為可以抵禦量子電腦的攻擊。Kyber勒索軟體使用ML-KEM1024來加密受害者數據所用的AES-256密鑰,使得只有攻擊者才能解密。
Q2:Kyber勒索軟體為什麼要宣稱使用量子安全加密?
A:主要是營銷噱頭。"後量子加密"對非技術背景的管理者和決策者聽起來更具威懾力,能在心理上增加支付贖金的壓力。實際上,當前能破解RSA的量子電腦距離實用化至少還有三年,攻擊者根本不需要量子級別的防護,他們只想在72小時內收到贖金。
Q3:Kyber勒索軟體的VMware變體真的使用了ML-KEM嗎?
A:並沒有。Rapid7的逆向分析發現,該VMware變體實際使用的是4096位密鑰長度的RSA加密,而非其聲稱的ML-KEM。這進一步印證了"後量子加密"只是Kyber開發者用來恐嚇受害者的品牌宣傳手段,並非真實技術實現。
