密碼學技術如何選型？再探工程能力邊界的安全模型_PLE

作者：李昊軒

來源：微眾銀行區塊鏈

牢不可破的密碼學算法也怕物理攻擊？物理信號泄露為何會威脅到隱私保護的效果？?隱私保護方案對部署環境有何講究？不可信執行環境下如何設計隱私保護方案？

這里，我們將繼續安全模型的分析，由隱私保護技術方案中理論層面的能力邊界，擴展到實際開發部署時工程層面的能力邊界，梳理工程實現中相關安全假設，以及適用的業務場景。

在上一論中，我們介紹了多種不同的安全模型，來衡量基于密碼學隱私保護技術方案的理論強度。然而，一個隱私保護技術方案如果只考慮理論層面的安全，而忽視工程層面的安全，其有效性是值得質疑的。

早在1985年，WimvanEck在論文中提出，攻擊者可以通過軟件運行時產生的電磁輻射信號，結合統計學分析方法，破譯出電子設備正在處理的機密信息內容。這就是一種典型的側信道攻擊，是密碼學工程領域不能忽視的風險。

與密碼學理論領域的安全模型類似，對于密碼學工程領域的安全風險，我們也可以根據其安全假設來定義對應的安全模型。最常見的三類安全模型如下：

Nervos研究員論文被國際密碼學頂會歐密會收錄:近日，Nervos基金會密碼學研究員Alan Szepieniec的論文《Transparent SNARKs from DARK Compilers》被國際密碼學頂會歐密會收錄，同時，Alan也受邀在該會議上發表了主題演講。這項基礎性的工作為零知識證明領域貢獻了一種全新的無需Trusted Setup的通用工具，標志著 Nervos在2020年的研究工作又向前邁進了堅實的一步。

歐密會（Eurocrypt）是密碼學中最著名的學術會議國際密碼學協會所主辦的三大旗艦會之一，在CCF推薦列表和 CACR列表中均為A類會議，密碼學中最重要的文章一般都會在這三個會議中發布。Eurocrypt 2020是第39屆密碼技術理論與應用國際會議，首次在線上舉行。[2020/5/18]

黑盒安全模型

灰盒安全模型

白盒安全模型

以上三類安全模型中，密碼學系統對部署環境的信任要求逐步降低。本論，我們將繼續敘說小華的故事，以小華向好友美麗發送私密信息時的加密過程為例，一一闡述這三類安全模型對于企業隱私保護技術選型的影響和啟示。

聲音 | 中國傳媒大學計算機學院副教授：區塊鏈反過來激活了數學和密碼學的新應用:在11月8日由中國人民大學國家版權貿易基地主辦的“區塊鏈技術與版權保護”研討會上，中國傳媒大學計算機學院副教授姜正濤從密碼學角度解讀了區塊鏈與版權保護之間的關系。他表示：“密碼學過去是‘賠錢’的技術，屬于純開銷。有了區塊鏈之后，計算結果本身就有價值，比如電子貨物、比特幣、版權信息等本身就具有價值，所以區塊鏈反過來激活了數學和密碼學的新應用。”而且，區塊鏈可以記錄所有發生的交易，可以有效避免造假。另外，區塊鏈對低價值、實時產生的版權數據記錄的成本比較低，相較于傳統做法，區塊鏈可以節省權利人提交材料、等候審批的人力物力，對于作品價值比較低但是數量大的作品，可以提供較好的保護渠道。[2019/11/21]

黑盒安全模型

科班出身的小華，對于自己的技術能力相當自信，打算以加密信息的方式，給他的好友美麗一個驚喜……

小華選用了業界標準AES加密方案，將他的私密信息，用特殊的方式傳達給美麗。小華使用了公用機房中的電腦，開發并運行了對應的技術方案，產生了密文信息。

現場 | 姜海：密碼學將隨著黎曼猜想等理論研究的深入迎來大發展:金色財經現場報道，今日，2018可信區塊鏈峰會在北京召開。在主題為“區塊鏈安全焦點關注”的區塊鏈安全論壇上，丁牛科技有限公司CEO姜海結合最近黎曼猜想被證明引起了密碼學界的高度關注，分析了黎曼猜想與區塊鏈密碼安全。他提出，盡管黎曼猜想的證明對于傳統密碼安全有極大的沖擊，但是區塊鏈技術的安全建立在SHA-256、橢圓曲線、算法校驗等基礎之上，在使用過程中能夠極大地抵抗密碼攻擊。盡管最近有很多的安全事件發生，而其根本原因在于程序的違規操作。未來隨著隨機發生器、量子計算機以及黎曼幾個等基礎理論的研究，密碼學將會有更大的發展空間。[2018/10/10]

不巧的是，公用機房中的電腦被攻擊者植入了木馬，木馬通過讀取代碼執行時的電量消耗和其他中間狀態信息，破譯了小華私密信息的明文。

實際上，除了基于密碼學技術構建的軟件技術方案，就連基于可信硬件模塊構建的硬件技術方案，也會不同程度受到以上這類隱私風險的影響。但是，我們依舊認為這些方案在常見業務環境中是安全可用的，究竟是何緣故？

金色財經現場報道 Ripple首席密碼學家：Ripple一直非常關注現實世界的支付用例:金色財經現場報道，今日Coindesk 2018共識會議正式在紐約開幕。在有關互操作性競賽的圓桌討論時，Ripple首席密碼學家David Schwartz表示：“我們一直非常關注現實世界的支付用例，這就是為什么Ripple構建了Interledger，這是一個并不關心人們使用什么網絡的簡單協議。”[2018/5/15]

這就引入了黑盒安全模型的定義，假定技術方案的執行過程對于外界是一個完全封閉的黑盒。

如果我們把整體的隱私技術保護方案抽象成關于隱私數據x的一個函數y=f(x)，對于攻擊者而言，只能獲得y，無法獲得f(x)在運算過程中產生的任何中間狀態信息。

中間狀態信息包括直接敏感信息和間接敏感信息：

直接敏感信息：計算過程中的內部變量值、代碼執行軌跡等

間接敏感信息：執行時間、設備能耗、內存用量、電磁輻射等

絕大多數密碼學算法實現，如AES加密算法的標準實現等，都是基于黑盒安全模型的。

金色財經現場報道 String Lab聯合創始人兼CEO丁磊：區塊鏈的左手是密碼學家，右手是經濟學家:金色財經現場報道，今日粵港澳大灣區新金融論壇上，String Lab聯合創始人兼CEO丁磊分享對于區塊鏈的思考中提到，區塊鏈正在改變生產關系，其中，密碼學家是左手，經濟學家是右手。經濟學家也就是機制的制造者，通過代幣等級制，把更大的生產網絡聯系在一起，讓人們為各自的利益服務的情況下，創造新的生態系統。[2018/4/7]

這意味著，即便對應的密碼學算法和協議設計達到了理論能力的上限，信息論安全在黑盒安全模型要求的假設被打破的前提下，依舊可能泄露隱私數據。

反過來講，對于受控的業務環境，可以保證沒有攻擊者能夠進入機房，或者難以通過其他方式遠程獲得這些中間狀態信息，而且對應軟硬件模塊的配置和使用都正確，那么對應的技術方案還是安全的。

考慮到隱私和效率的取舍，黑盒安全模型下的技術方案，工程實現相對復雜度低，能夠提供高效的系統實現，可用于中間狀態信息泄露風險低、可控部署環境中的業務場景。

灰盒安全模型

小華吸取了上次的教訓，優化了加密算法的實現，屏蔽了執行時間、設備能耗等常用中間狀態信息泄露。新的方案似乎生效了，攻擊者之前部署的木馬無法獲得有效信息來破譯小華的私密信息。

小華的優化一定程度上降低了隱私保護技術方案對于部署環境的信任要求，相比之前的黑盒安全模型，這里的安全模型為灰盒安全模型,允許一定程度的中間狀態信息泄露。

灰盒安全模型，要求技術方案能夠防范由于常用中間狀態信息而導致的隱私信息泄露。常用中間狀態信息，一般指技術方案執行過程中，容易從外部觀察到的各種物理信號，如執行時間、設備能耗、電磁輻射、聲波信號等。這一類的攻擊通常被稱為側信道攻擊、旁路攻擊，或統稱為灰盒攻擊。

為了應對這些灰盒攻擊，需要在原先黑盒安全工程實現的基礎上改寫算法，使得在不同輸入下，所需防范的物理信號表現相同。以最常見的執行時間分析攻擊為例，灰盒安全模型下，對于所有的輸入，技術方案的執行時間總是保持均等，以此避免由于執行時間存在差異，而泄露關于隱私數據的信息。

然而，這一類灰盒安全技術方案在系統效率上的副作用也很明顯。即便某些執行路徑可以更高效地執行，也需要特意降低其效率，使之與業務邏輯中效率最差的一條執行路徑相匹配，以此確保執行過程使用的時間、消耗的能量等外部可觀測物理信號，在任意輸入下都不表現出顯著差異。

由此可見，灰盒安全技術方案的執行效率總是由業務邏輯中效率最差的一條執行路徑來決定，這對系統效率的優化帶來了一定的挑戰。

相比黑盒安全模型，灰盒安全模型對于部署環境的信任要求更接近現實情況，一定程度上考慮了內部人員風險等原本只能通過治理手段才能防范的隱私風險，具備更實用的抗攻擊能力。

灰盒安全模型下，技術方案的應用主要用于防范內部人員風險，或者在不完全可信的外包環境中部署運行業務。

白盒安全模型

好景不長，攻擊者發現之前部署的木馬失效之后，升級了木馬程序，小華的灰盒安全方案并不完美，攻擊者獲得了技術方案執行過程中的內部變量值，小華的私密信息再次遭到破譯。

灰盒安全模型雖然對中間狀態信息做了一定的保護，但無法保證所有的中間狀態信息都能得到有效保護。如果能夠實現這一點，就達到了工程層面中最強的白盒安全。

回到定義黑盒安全模型的公式，隱私技術保護方案可以抽象為關于隱私數據x的一個函數y=f(x)。在白盒安全模型下，除了x之外，攻擊者可以獲得y和f(x)在運算過程中產生的任何中間狀態信息。

白盒安全模型假定執行環境完全對攻擊者透明，聽起來效果很玄幻。但密鑰如何保護？明文輸入不是直接就被看到了嗎？面對如此強大的攻擊者，如何才能保護隱私數據的安全呢？

效果確實很玄幻，目前現有研究對白盒安全模型的定義做了一定的弱化，通常會把保護目標限定為即便攻擊者控制了整個執行環境，也無法輕易通過內存讀取等方式提取出密鑰。

為了實現白盒安全，需要在灰盒安全的基礎上進一步打亂混淆密鑰的存儲方式并改寫算法，讓正確的密鑰能夠在執行過程中被間接使用。這一工程安全要求進一步提升工程實現的復雜度，例如，AES加密算法的白盒安全實現要比黑盒安全實現慢10倍以上。

盡管白盒安全模型下的大部分技術方案目前尚不成熟，在方案可用的前提下，對于需要在不可控的公開環境中部署的業務，如公共物聯網應用，非常有必要考慮使用白盒安全技術方案，用以保護終端設備中的密鑰、控制隱私數據的泄露風險。

正是：密碼巧妙理論無破綻，工程精細實現需謹慎！

工程安全和理論安全是相互獨立的兩個維度，理論安全并不等于工程安全。再強的理論安全方案設計，也會因為不當的工程實現而導致前功盡棄。

了解密碼學工程領域的安全風險，對于實際應用落地和安全運行至關重要。企業在對基于密碼學技術的隱私保護技術方案選型時，需要理論聯系工程，根據自身的業務場景和部署環境的特征，選擇合適的安全模型，確保隱私保護技術方案的最終有效性。

在這兩論中，我們對密碼學技術選型中的理論能力邊界和工程能力邊界進行了分析。除了算法理論和工程實現中的諸多安全假設，新興的量子計算和量子通信也對隱私保護技術方案的有效性帶來了挑戰，具體分析，敬請關注下文分解。

Tags：區塊鏈PPLPLEripple區塊鏈最新騙局曝光APPLESkrimplesripple幣怎么買賣

幣安app下載