加密算法能抵御5美元扳手攻击吗？

麻醉

你的yubikey，还有Needham - Schroeder协议、Cramer - Shoup加密、DSA签名算法、椭圆曲线加密算法、ed25519算法、后量子基于格的加密、全同态加密以及Naor - Yung范式，这些都非常厉害。不过，它能比我5美元买的扳手强吗？

现在这个问题就好比在问最先进的加密算法能否抵御5美元扳手攻击。对此我只能讲，在座的加密算法，在5美元扳手面前都不堪一击（汗）

直接拿着5美元扳手到你跟前了，你没硬件密钥在手，要是不找密钥或者想毁掉密钥，那就让你尝尝它的厉害，看你扛不扛得住（值得深思）。

保险

我有个防止5美元扳手攻击的办法。将硬件密钥通过手术植入体内或者贴在身上，再安装一个死亡开关。当情绪极度紧张、肾上腺素大量分泌或者心跳超过临界值时，就自动销毁硬件密钥（不过从理论上讲，这防不了攻击者实施麻醉手术，所以得有很强的说谎能力，不让他人察觉销毁密钥的条件）。平常加密解密采用短距无线通信，或许还得选对人体组织穿透性更强的波段。当然，也能多创建几个假私钥，只有真私钥能解密全部内容，假私钥只能解出正常无害内容，然后运用可否认加密技术来迷惑扳手攻击者。我很怀疑你的小秘密是否值得这样折腾，又不是要做三体里的面壁者，哈哈。最后来科普下5美元扳手攻击梗的源头。

5美元扳手攻击在网络安全领域是个诙谐的术语。它与复杂代码或者技术漏洞毫无关联，所指的是一种相当简单、没什么技术含量的方式，即通过物理恐吓或者暴力手段来获取所需之物。想象一下，有个黑客想破解某人藏着诸多秘密的加密保险箱。他有两种选择：其一，耗费数月尝试攻克几乎牢不可破的加密算法；其二，花5美元买把扳手，找到那个人，用一种友善（或许并不友善）的方式威逼对方说出密码。这个术语最初是由知名的极客漫画xkcd提出的，它幽默地表明，与其费神去攻击复杂的加密算法，还不如直接在密码上动脑筋。这个说法之所以好笑，是因为它揭示了一个颇具讽刺性的事实：人类的弱点往往比技术漏洞更容易被利用，而且这种方法简单得超乎想象，不需要任何代码或者病毒，只要一把扳手就行。不过，这个说法虽然滑稽，却有着深刻内涵。它警示我们，人类常常是安全系统里最脆弱的部分。再强大的加密算法，也抵御不了物理威胁。这实际上属于社会工程攻击或者胁迫，在现实中确实偶尔会发生。要防范这种攻击，可以采用双因素验证，这样即使攻击者逼问出密码，可能还得获取你的手机或者指纹才行；也可以分散访问权限，保证没有一个人知晓全部秘密；或者设计死亡开关或者防篡改系统，一旦遭受胁迫，系统就会自动锁定。幽默地讲，5美元扳手攻击就像是黑客的密码重置功能，只不过他们不是点击忘记密码，而是拿起扳手。