编辑“公钥/私钥（Public Key/Private Key）”（章节）

== 弱点 ==
公钥加密系统有许多潜在的安全弱点。除了选择不合适的非对称密钥算法（目前只有少数几种被广泛认为是满意的）或密钥长度过短外，主要的安全风险是密钥对中的私钥被泄露。一旦私钥泄露，消息安全、身份验证等都将丧失。

此外，随着量子计算的发展，许多非对称密钥算法被认为容易受到攻击，因此正在开发新的抗量子攻击的加密方案。

=== 算法 ===
所有公钥方案理论上都可能遭受“暴力破解密钥攻击”。然而，只有当破解所需的计算量（由Claude Shannon称为“工作量”）超出所有潜在攻击者的计算能力时，这种攻击才变得不可行。在许多情况下，工作量可以通过选择更长的密钥来增加。但其他算法可能固有地具有更低的工作量，使得抗暴力攻击的能力（例如，使用更长的密钥）变得无关紧要。一些特定的算法已经被开发出来，专门用于攻击某些公钥加密算法；例如，RSA和ElGamal加密算法都有已知的攻击方法，其速度比暴力破解方法要快。但这些攻击方法尚未得到实质性的改进，因此并不实用。

一些曾经被认为很有前景的非对称密钥算法已被发现存在重大漏洞。例如，“背包打包”算法在新的攻击方法出现后被证明不安全。像所有加密功能一样，公钥的实现可能容易受到侧信道攻击，这些攻击通过利用信息泄露来简化秘密密钥的搜索。这些攻击往往与所使用的算法无关。目前正在进行研究，以发现并防范新的攻击。

=== 公钥篡改 ===
使用非对称密钥的另一个潜在安全漏洞是“中间人攻击”，即第三方（“中间人”）拦截公钥的通信并修改它们，提供不同的公钥。然后，攻击者必须拦截、解密并重新加密加密的消息和响应，使用正确的公钥来避免引起怀疑。

通信被认为是不安全的，尤其是当数据传输的方式使得数据容易被拦截（也称为“嗅探”）时。这些术语指的是读取发送者的私密数据。通信特别不安全的情况是拦截无法被发送者预防或监控时。

尽管实施“中间人攻击”可能困难，因为现代安全协议的复杂性，然而，当发送方使用不安全的媒体（如公共网络、互联网或无线通信）时，攻击者可以通过妥协通信基础设施而不是数据本身来简化攻击。举例来说，一个恶意的互联网服务提供商（ISP）员工可能会发现实施中间人攻击相对简单。捕获公钥只需要在ISP的通信硬件中搜索公钥；如果非对称密钥方案得当实现，这不会构成重大风险。

在一些高级的中间人攻击中，一方会看到原始数据，而另一方会收到恶意变体。非对称的中间人攻击可以使用户无法意识到其连接已经被破坏，即使其中一个用户的数据已经被泄露，因为对方看到的数据仍然正常。这可能导致用户之间的混乱争论，比如“肯定是你那边的问题！”但实际上没有一方有错。因此，只有当通信基础设施由一方或双方完全控制时，中间人攻击才是完全可防止的；例如通过发送方自己建筑内的有线路线。总之，当攻击者控制了发送方使用的通信硬件时，公钥更容易被篡改。

=== 公钥基础设施（PKI） ===
一种防止这类攻击的方法是使用公钥基础设施（PKI）；这是一个包含角色、政策和程序的体系，旨在创建、管理、分发、使用、存储和撤销数字证书，并管理公钥加密。然而，PKI也有潜在的弱点。

例如，颁发证书的证书颁发机构（CA）必须得到所有参与方的信任，确认它已经正确验证了密钥持有者的身份，确保在颁发证书时公钥是正确的，并且免于计算机黑客攻击。此外，所有参与方都必须事先安排好，检查他们的所有证书，才能开始受保护的通信。例如，Web浏览器通常会接受一个由PKI提供者颁发的自签名身份证书列表——这些证书用于验证证书颁发机构的合法性，然后，第二步检查潜在通讯者的证书。如果攻击者能够颠覆证书颁发机构，使其为一个虚假的公钥颁发证书，那么他们就可以发起一个“中间人攻击”，就像完全不使用证书方案一样容易。如果攻击者渗透了证书颁发机构的服务器并获取了其证书和密钥（公钥和私钥）存储，那么他们将能够伪造、伪装、解密并伪造交易，只要他们能够将自己置于通信流中。

尽管存在理论上的潜在问题，公钥基础设施仍然被广泛使用。例如，TLS及其前身SSL常用于提供Web浏览器交易的安全（例如，大多数网站使用TLS进行HTTPS通信）。

除了特定密钥对的抗攻击能力外，在部署公钥系统时还必须考虑证书层次的安全性。一些证书颁发机构——通常是一个运行在服务器计算机上的专用程序——为特定私钥分配的身份提供担保，生成数字证书。公钥数字证书通常有效期为几年，因此相关的私钥在这段时间内必须保持安全。当用于创建更高层次PKI服务器证书的私钥被泄露或意外披露时，就可能发生“中间人攻击”，使得任何下级证书完全不安全。

=== 未加密的元数据 ===
大多数现有的公钥加密软件不会隐藏消息头中的元数据，这可能包括发送者和接收者的身份、发送日期、主题字段以及他们使用的软件等信息。相反，只有消息的正文被隐藏，只有目标接收者的私钥才能解密该消息。这意味着，第三方可以构建一个非常详细的通信网络模型，了解讨论的主题，即使消息内容本身被隐藏。

然而，最近有展示加密消息头的技术，能够隐藏发送者和接收者的身份，并大大减少第三方可用的元数据。这个概念基于一个公开的仓库，其中包含分别加密的元数据块和加密的消息。只有目标接收者才能解密元数据块，并在解密后下载并解密他们的消息。目前，这种消息系统还处于实验阶段，尚未部署。扩展这一方法将只向第三方显示接收者所用的邮箱服务器和发送和接收的时间戳。该服务器可以由成千上万的用户共享，从而使得社交网络建模变得更加困难。