尼尔·科布利茨博士:椭圆曲线密码学的独立合作创造者

你可能喜欢数学。你可能非常喜欢数学，已经获得了学位。但你对数学的热爱程度足以让你去学习一门斯拉夫语，在冷战最激烈的时期游历铁幕背后，参观美国以外唯一的另一个数学中心吗?因为尼尔·科布利茨博士就是这么喜欢数学的。

尼尔·科布利茨博士和维克多·米勒博士独立地共同发现了椭圆曲线密码学(ECC)，这是允许当今互联网上加密通信的数学的一部分。为了了解是什么让这些数学家取得了这一突破，以及为什么这些天才们从未为自己的想法申请专利，aac的马克·休斯采访了尼尔·科布利茨博士。

Neal Koblitz博士。从他的形象华盛顿大学的教员页面。

如果你对密码学的历史(尤其是冷战时期)感兴趣，并想听听我们能学到什么现代密码学，你可能需要坐下来。

理论数学背景

告诉我们一些你的背景和教育背景。beplay网页版本

NK:我一直感兴趣的纯粹数学从我小时候起上大学时，我修了纯数学和几门物理课程，但没有修过工程或其他实际应用课程。我的本科工作是在哈佛，这个系的课程本质上都是理论性的。我从来没有把学到的数学应用到现实生活中。我甚至以一种非常抽象的方式学习微积分。

“我从小就对纯数学感兴趣。”

我并没有真正了解到微积分的应用，直到几年后，当我开始教工程专业的学生微积分时，我学到的微积分对这些学生来说是完全不合适的。我必须用一种完全不同于我所学的方式来教授这门课。

在研究生阶段，我还学习了数学的一个抽象领域:代数几何的相关数论。那个(数学领域)并没有给我任何实际的背景知识——但碰巧，椭圆曲线是我的博士论文的中心主题。

同样的道理也适用于和我同时提出这些想法的人。维克多·米勒(Victor Miller)在哈佛大学(Harvard)获得了博士学位，大约和我在普林斯顿大学(Princeton)获得博士学位的时间差不多，在一个类似的数学领域;[我们都]在椭圆曲线上做了很多工作。

但我的背景和我早期的工作进入20世纪80年代，是在非常理论的数学中。我在应用中没有接地。

你的数学背景是什么时候从理论领域转向安全应用领域的?

NK:改变我对数论的看法的是RSA加密(Rivest-Shamir-Adleman)。这是数论在计算机安全领域的第一个重要应用。这确实吸引了很多人的想象力。

“RSA密码术的发明是数论在计算机时代的第一个重要应用。”

许多以前认为数论是纯理论领域的人现在看到，在应用领域可能有一些有趣的工作要做。然而，即使是在1985年，当我考虑在密码学中使用椭圆曲线时，我也不知道椭圆曲线密码学有多么重要的实际意义。(作者附言:科布利茨博士和米勒博士都没有为他们的研究获得专利。)

我知道你也在俄罗斯待过一段时间。是什么促使你那样做的?

NK:在我很小的时候，美国和苏联之间的冷战期间，两个国家都在以一种非常有竞争力的方式全力以赴地发展他们的科学技术能力。有一奔向月球还有其他类似的事情。

在20世纪60年代，苏联的理论数学水平非常高。他们是除美国之外唯一的数学超级大国。我很小的时候就意识到，能够去苏联和苏联的数学家一起工作，学习他们是如何做事的，这真的很好。为此，我深入学习了俄语。事实上，作为一名本科生，我的双学位是数学和斯拉夫语言文学，其中包括俄语。

我对我的学习很认真，我开始申请留学项目。那时候，它比现在要少见得多。我第一次参加了一个为期六周的暑期语言学习项目。我第一次去苏联是在1967年。之后，我又以独立游客的身份去了那里。然后，在我结婚后，我的妻子对俄罗斯历史非常感兴趣，所以在我完成我的博士学位后，我们又去了一次。我们在70年代和80年代去过好几次。

到了20世纪70年代，在高级别的学校里，有一些交流项目。美国国家科学院和苏联有一个交流项目。所以有一些合理的方法可以让我们花大量的时间和苏联的理论数学专家合作。1985年，我最后一次到苏联进行长途旅行。那次旅行正好是我开始从事密码学工作的时候。

“椭圆曲线密码学的想法出现在1984年。”

椭圆曲线密码学的想法出现在1984年。我和其他几个人收到了一份预印本，一个相当初级的版本，是一个算法•Lenstra用于分解大整数。如果这个算法足够快，它可能会对RSA加密系统造成威胁。

结果证明这个算法并没有比当时存在的其他算法更有效。(该算法)对RSA没有重大影响，尽管它在密码学中有其他用途。

“Lenstra的算法以一种非常基本的方式使用了椭圆曲线来解决一个乍一看似乎不涉及椭圆曲线的问题——分解整数。”

当时让我们着迷的是，Lenstra的算法以一种非常基本的方式使用椭圆曲线来解决一个乍一看似乎与椭圆曲线无关的问题——整数分解。事实上，他能够以一种聪明的方式，利用几何和椭圆曲线的数论来分解整数，这是非常有趣的。这是这类数论的第一个实际应用，1984年我去苏联的时候，我对这一点记忆犹新。

当我还在苏联的时候，我认为椭圆曲线可能是构建密码系统的一个很好的基础。我把这个想法写给了一位我认识的数学家教授安德鲁他在贝尔实验室工作。在我当时认识的数学家中，他是最能弥合纯粹数学和应用数学之间差距的人。他对密码学很了解，并且在纯数论方面有重要的研究，所以我把这个想法寄给了他。

那时还没有电子邮件，所以通过邮件回复很慢。当我收到他的回复时，他说这是个好主意，而且IBM的Victor Miller也提出了我同样的建议。他鼓励我，我怀疑是维克多·米勒，去追查。他认为把我和维克多的建议作为密码系统的基础是没有任何谬误的。

苏联时代的俄罗斯密码学

AAC:你显然觉得你在苏联的时光很有价值。他们的做法有什么不同，你从美国得不到的经验中获得了什么?

NK这(最后一次去苏联)是在我真正开始从事密码学工作之前就计划好的。那次旅行是我最后一次漫长的访问——1985年的6个月。在苏联，没有人公开研究密码学。

即使在早年的美国，除了政府的雇员以外，是否应该被允许学习密码学或允许在国安局发表他们的工作，也存在很多争议。美国国家安全局曾试图限制(政府)对密码学研究的垄断。

“早年在美国，关于是否应该允许政府雇员以外的人研究密码学或允许发表他们的工作在国家安全局有很多争议。美国国家安全局曾试图限制(政府)对密码学研究的垄断。”

最终，政府里想要[限制密码学研究]的人输了。但在苏联，政府不希望政府以外的任何人从事密码学研究，也没有人这样做。我不可能和苏联的任何人在密码学上合作，而且无论如何，当时我只是一个初学者。

在我访问苏联期间，我还在研究纯数论，他们有一些世界上最顶尖的人。其中一个叫尤里Manin他是苏联数论领域的顶尖专家之一。我在他的指导下进行了几次旅行，但当我1985年来的时候，他已经把兴趣转向了我不感兴趣的数学物理。

另外，由于没有人从事密码学工作，我在1985年的访问也没有上次那么有成效。

“在莫斯科工作真的是一种独特的经历，因为那是当时世界上数学家最集中的地方。”

1974-1975年我去了整整一年，1978年去了六个月。在莫斯科工作，那真的是一种独特的经历，因为那是当时世界上数学家最集中的地方。

并不是说美国没有大量的数学家，而是他们并不是集中在一个地方。美国的权力下放程度要高得多。在苏联，正如在许多其他国家一样，不成比例的科学工作都集中在首都或一个中心地区。这将一个领域的所有顶尖人才聚集在一起。(在莫斯科)你可以举办一个高度专业化的研讨会，有30、40或50人参加，而在美国，除非是在大型会议上，否则不太可能，但肯定不会是例行会议。所以那是一次激动人心的经历……和刺激。

我发现刺激和恐吓的另一件事是，苏联学生比我们在本科水平上的更进一步更进一步。在美国，即使是最严重的数学学生通常不会将论文发布[作为本科生]，但在苏联中，最好的学生在学院和大学里的老年人和老年人时，最好的学生开始出版论文 - 他们是非常好的论文。

当我从哈佛去那里时，遇到了和我年龄相仿的苏联学生，他们会问我哈佛的教授们现在在研究什么，我不知道。我知道他们教我们学生什么课程，但我不知道他们的研究是什么。与(俄罗斯)学生相比，我觉得自己很落后，我认为作为美国学生，我已经很先进了。

工程和数学中的女性:Kovalevskaia基金和美国与越南科学合作委员会

AAC:你选择了参与越南的技术社区。你能告诉我们那个时期的情况吗?

NK:我和我的妻子在反对越南战争的学生运动中非常活跃。一些参与反战运动的人想看看我们是否能做些什么来支持越南因为越南在战争中遭到了严重破坏。不仅仅是人类的痛苦，还有经济和环境的破坏。

越南人民很难从战争中恢复过来。在西部有一些人试图以某种方式帮助他们。越南被孤立是因为美国拒绝与越南建立任何外交关系长达20年之久。所以有很多限制，西方的科学家可以帮助解决这个问题。

我们的一个小组叫做美国与越南科学合作委员会，鼓励他们的科学家通过交流渠道带来出版物、送书、做客座演讲和其他事情，以帮助克服科学家们所遭受的孤立。

“我妻子和我发现，在越南和其他国家，女性在科学技术领域的代表性不足存在严重问题……我们说，‘这太糟糕了——我们要帮忙。’”

在20世纪80年代，我和妻子发现在越南，像其他国家一样，女性在科学和技术领域的代表性不足是一个大问题。在一次访问中，我们与河内理工学院的院长进行了交谈，我们问他们女生的比例是多少——他们说是8%。我们说，“那太糟糕了——我们要帮忙。”

在咨询了越南的一些顶尖科学家和数学家之后，我们决定在妇女联盟的协调下设立一个女性科学、技术和医学年度奖Kovalevskaia基金。自1985年以来，这种情况已经持续了34年，在越南的知名度非常高。在很长一段时间里，它都得到了很好的宣传。

在她退休之前，评选越南获奖者委员会的主席可能是越南最著名的在世女性。正因为如此，这个奖项得到了广泛的宣传，我们被鼓励去思考很多年轻女性非常清楚这一点，这鼓励她们进入科学和技术领域。

AAC:关于科瓦列夫斯卡亚奖大家应该知道些什么?

NK:该奖项以19世纪的一位俄罗斯女数学家命名索非亚聘为。她是第一个来自任何国家的女数学家成为数学家的精英学术团体的正式成员。她是瑞典的一名正教授，并成为欧洲数学体系中非常活跃的一员。

虽然她肯定不是第一个重要的女性数学家，但她是第一个因其成就而得到充分认可的人。这让很多人感到惊讶，因为19世纪的俄罗斯被认为是一个落后的国家，所以这个女人是一个真正的先驱。在西方，没有人像她一样在数学和其他领域有成就。世界上的大学里对女性有太多的限制，她的成就是独一无二的。

越南有不少最优秀的科学家在苏联学习，两国之间也进行了大量的交流。我的妻子写了她的博士论文和一本关于科瓦列夫斯卡娅的书，我们想通过这个奖来纪念她。

密码学的当前需求

AAC:说说你对当前密码学领域的看法。现代安全需要什么?

NK:它的主要弱点与糟糕的实现有关，没有使用可用的密码学，或者使用不当。

有时，提供密钥的公司会走捷径，从而导致随后出现大问题:安全性不足、密钥长度不足、系统过时等等。很多人不愿意改变你所知道的软件。

“主要的弱点与糟糕的实现有关，没有使用现有的加密技术，或使用不当……很多人不愿意改变你所知道的软件。”

很久以前，有人建议人们要么从RSA改为ECC，要么大幅增加RSA密钥的大小。但我认为直到今天也不是每个人都这么做过。我认为仍然有很多脆弱的密钥可能被攻击。

现在，在实践中，弱密码学并不一定会造成大量的问题，因为没有人有足够的资源真正有动机去破解它。有时人们可以使用相当弱的密码，如果美国国家安全局或俄罗斯黑手党或其他人真的下定决心，他们可以打破它。但是如果他们不感兴趣，他们就没有理由入侵你的系统。

因此，如果您使用相当弱的加密技术来保护您的信用卡号码，您可能会发现窃取信用卡号码的人没有资源来破解它，而有资源来破解它的人根本不在乎。所以如果你不是一个诱人的目标，你可以用弱密码学逃脱。

“…如果你不是一个诱人的目标，你也可以使用弱加密技术。”

在社会工程中有各种各样的问题经常使用钓鱼攻击和类似的东西。人们使用弱密码，在不同的系统中使用相同的密码。人们可以使用一个弱系统的密码来入侵一个强大的系统。

“在我所知道的所有案例中，入侵不是由于可用的基础密码学的弱点，而是由于没有使用密码学，没有正确设置它，走捷径，社会工程，组织问题，或系统层面的问题。”

在我所知道的所有情况下，入侵不是由于可用的基础密码学的弱点，而是由于没有使用密码学，没有正确地设置它，走捷径，社会工程，组织问题，或系统层面的问题。

但是已经被使用的基本密码学类型——包括已经有42年历史的RSA——真的很好。

你必须增加到相当大的RSA密钥因为在因式分解方面的所有进展，但它仍然是一个很好的系统，ECC也是。RSA和ECC的基本安全性确实经受住了时间的考验。

这两者都有很多成功的突破，例如，索尼在2011年的灾难中，DRM完全被打破了，因为他们使用了相同的随机数。他们应该为每个签名选择一个不同的随机数，他们只是为每件事固定一个随机数，这使得打破系统找到秘钥变得非常简单。

“有很多危险来自于执行不力和执行不力，你小心地锁上前门，同时后门却敞开着。”

黑客不是因为ECC是一个糟糕的系统，而是因为在实施ECC中有一些非常重要的事情，他们忽略了一个关键的组件。有很多危险来自于糟糕的执行和不适当的执行，当你小心地锁上前门，同时后门是敞开的。

概括

科布利茨博士和米勒博士几十年前发明的椭圆曲线密码学仍然是保护嵌入式微控制器数据交换的最佳方法之一。“黑客”不会破坏椭圆曲线密码学的数学原理，至少现在还不会。但是，黑客不需要打败数学，因为寻找安全工程师的糟糕实现要简单得多。

但事实证明，联合发明ECC并不是尼尔·科布利茨博士的唯一非凡之处。

当一些人看到一个问题时，他们会说:“应该有人对此做点什么。”当一些人组织一个奖项时，他们会以自己的名字命名，以此提醒别人他们的宽宏大量。当大多数人对某一主题感兴趣时，他们甚至会去当地图书馆借书。

我希望你能从这次采访中意识到，Koblitz博士不像大多数人。

科布利茨是一个有原则、有行动的人。他学会了一门新语言，这样他就可以在冷战高峰时期到一个遥远的地方旅行。他目睹了战后的破坏，为了帮助重建越南，他中断了自己的生活。他设立了一个奖项，表彰另一位伟大的数学家，以唤起学生们的希望和梦想，让他们有朝一日也能变得伟大。

博士Koblitz自传随机曲线:数学家的旅程可以在亚马逊上找到。