密碼學技術如何選型？再探工程能力邊界的安全模型_區塊鏈:CRYP

作者：李昊軒

來源：微眾銀行區塊鏈

牢不可破的密碼學算法也怕物理攻擊？物理信號泄露為何會威脅到隱私保護的效果？?隱私保護方案對部署環境有何講究？不可信執行環境下如何設計隱私保護方案？

這里，我們將繼續安全模型的分析，由隱私保護技術方案中理論層面的能力邊界，擴展到實際開發部署時工程層面的能力邊界，梳理工程實現中相關安全假設，以及適用的業務場景。

在上一論中，我們介紹了多種不同的安全模型，來衡量基于密碼學隱私保護技術方案的理論強度。然而，一個隱私保護技術方案如果只考慮理論層面的安全，而忽視工程層面的安全，其有效性是值得質疑的。

早在1985年，WimvanEck在論文中提出，攻擊者可以通過軟件運行時產生的電磁輻射信號，結合統計學分析方法，破譯出電子設備正在處理的機密信息內容。這就是一種典型的側信道攻擊，是密碼學工程領域不能忽視的風險。

與密碼學理論領域的安全模型類似，對于密碼學工程領域的安全風險，我們也可以根據其安全假設來定義對應的安全模型。最常見的三類安全模型如下：

《衛報》：部分密碼學家對市場使用“Crypto”的方式感到不滿:11月22日消息，據英國《衛報》報道，隨著Crypto在加密貨幣行業使用越來越廣泛，用戶在 Google 上搜索“crypto”會看到大量指向比特幣和以太坊等加密貨幣的熱門搜索結果，但根據韋伯斯特字典對“crypto”的定義，它指的是密碼學，而密碼學又被定義為“信息的計算機編碼和解碼”。“這種詞匯轉變給密碼學家帶來了沉重的負擔，”該報道稱，過去幾年許多密碼學家一直在社交媒體上重復“crypto is cryptography”的口號，但收效甚微。密碼學專家Matt Blaze表示，“我認為將加密貨幣稱為 'crypto' 是一個糟糕的選擇，這對密碼學和加密貨幣都會產生不良后果。”[2021/11/22 22:08:04]

黑盒安全模型

灰盒安全模型

白盒安全模型

以上三類安全模型中，密碼學系統對部署環境的信任要求逐步降低。本論，我們將繼續敘說小華的故事，以小華向好友美麗發送私密信息時的加密過程為例，一一闡述這三類安全模型對于企業隱私保護技術選型的影響和啟示。

聲音 | 上海交通大學來學嘉：區塊鏈為密碼學創造了價值:據巴比特消息，上海交通大學教授來學嘉在接受采訪時提到了區塊鏈對密碼學的兩大貢獻。第一大貢獻是為抗抵賴、抗捏造提供了完整的解決方案。區塊鏈能做到抗抵賴，是因為區塊鏈本身就是第三方，參與者自覺服從，數字簽名為抗抵賴提供證據。另外，他還指出了區塊鏈對密碼學的另一個貢獻——區塊鏈為密碼學創造了價值，過去的密碼學是“賠錢”的，因為要用于保護信息系統的安全，增加了開銷；有了區塊鏈后，現在的密碼學是“值錢”的，因為密碼算法的計算結果（coin）具有價值，另外算法本身也具有價值，比如勒索軟件，你要付錢才能解開。[2019/2/25]

黑盒安全模型

科班出身的小華，對于自己的技術能力相當自信，打算以加密信息的方式，給他的好友美麗一個驚喜……

小華選用了業界標準AES加密方案，將他的私密信息，用特殊的方式傳達給美麗。小華使用了公用機房中的電腦，開發并運行了對應的技術方案，產生了密文信息。

動態 | 亞馬遜獲得密碼學及分布式數據存儲方法的專利:據cointelegraph報道，電子商務巨頭亞馬遜獲得了兩項與保護數字簽名完整性和改善分布式數據存儲方法相關的專利。這兩項專利于11月13日由美國專利商標局（USPTO）公布。[2018/11/14]

不巧的是，公用機房中的電腦被攻擊者植入了木馬，木馬通過讀取代碼執行時的電量消耗和其他中間狀態信息，破譯了小華私密信息的明文。

實際上，除了基于密碼學技術構建的軟件技術方案，就連基于可信硬件模塊構建的硬件技術方案，也會不同程度受到以上這類隱私風險的影響。但是，我們依舊認為這些方案在常見業務環境中是安全可用的，究竟是何緣故？

這就引入了黑盒安全模型的定義，假定技術方案的執行過程對于外界是一個完全封閉的黑盒。

如果我們把整體的隱私技術保護方案抽象成關于隱私數據x的一個函數y=f(x)，對于攻擊者而言，只能獲得y，無法獲得f(x)在運算過程中產生的任何中間狀態信息。

金色財經現場報道 String Lab聯合創始人兼CEO丁磊：區塊鏈的左手是密碼學家，右手是經濟學家:金色財經現場報道，今日粵港澳大灣區新金融論壇上，String Lab聯合創始人兼CEO丁磊分享對于區塊鏈的思考中提到，區塊鏈正在改變生產關系，其中，密碼學家是左手，經濟學家是右手。經濟學家也就是機制的制造者，通過代幣等級制，把更大的生產網絡聯系在一起，讓人們為各自的利益服務的情況下，創造新的生態系統。[2018/4/7]

中間狀態信息包括直接敏感信息和間接敏感信息：

直接敏感信息：計算過程中的內部變量值、代碼執行軌跡等

間接敏感信息：執行時間、設備能耗、內存用量、電磁輻射等

絕大多數密碼學算法實現，如AES加密算法的標準實現等，都是基于黑盒安全模型的。

這意味著，即便對應的密碼學算法和協議設計達到了理論能力的上限，信息論安全在黑盒安全模型要求的假設被打破的前提下，依舊可能泄露隱私數據。

反過來講，對于受控的業務環境，可以保證沒有攻擊者能夠進入機房，或者難以通過其他方式遠程獲得這些中間狀態信息，而且對應軟硬件模塊的配置和使用都正確，那么對應的技術方案還是安全的。

Andrew Miller拜訪Hyper Pay團隊 為該團隊帶來關于密碼學以及更好開發服務安全性的見解 :近日，Andrew Miller 拜訪了全球數字貨幣跨境支付整合平臺Hyper Pay團隊并進行了友好交談。Hyper Pay團隊非常感謝 Andrew 為他們帶來了一些關于密碼學以及更好開發服務安全性的深入見解。 ?[2017/12/19]

考慮到隱私和效率的取舍，黑盒安全模型下的技術方案，工程實現相對復雜度低，能夠提供高效的系統實現，可用于中間狀態信息泄露風險低、可控部署環境中的業務場景。

灰盒安全模型

小華吸取了上次的教訓，優化了加密算法的實現，屏蔽了執行時間、設備能耗等常用中間狀態信息泄露。新的方案似乎生效了，攻擊者之前部署的木馬無法獲得有效信息來破譯小華的私密信息。

小華的優化一定程度上降低了隱私保護技術方案對于部署環境的信任要求，相比之前的黑盒安全模型，這里的安全模型為灰盒安全模型,允許一定程度的中間狀態信息泄露。

灰盒安全模型，要求技術方案能夠防范由于常用中間狀態信息而導致的隱私信息泄露。常用中間狀態信息，一般指技術方案執行過程中，容易從外部觀察到的各種物理信號，如執行時間、設備能耗、電磁輻射、聲波信號等。這一類的攻擊通常被稱為側信道攻擊、旁路攻擊，或統稱為灰盒攻擊。

為了應對這些灰盒攻擊，需要在原先黑盒安全工程實現的基礎上改寫算法，使得在不同輸入下，所需防范的物理信號表現相同。以最常見的執行時間分析攻擊為例，灰盒安全模型下，對于所有的輸入，技術方案的執行時間總是保持均等，以此避免由于執行時間存在差異，而泄露關于隱私數據的信息。

然而，這一類灰盒安全技術方案在系統效率上的副作用也很明顯。即便某些執行路徑可以更高效地執行，也需要特意降低其效率，使之與業務邏輯中效率最差的一條執行路徑相匹配，以此確保執行過程使用的時間、消耗的能量等外部可觀測物理信號，在任意輸入下都不表現出顯著差異。

由此可見，灰盒安全技術方案的執行效率總是由業務邏輯中效率最差的一條執行路徑來決定，這對系統效率的優化帶來了一定的挑戰。

相比黑盒安全模型，灰盒安全模型對于部署環境的信任要求更接近現實情況，一定程度上考慮了內部人員風險等原本只能通過治理手段才能防范的隱私風險，具備更實用的抗攻擊能力。

灰盒安全模型下，技術方案的應用主要用于防范內部人員風險，或者在不完全可信的外包環境中部署運行業務。

白盒安全模型

好景不長，攻擊者發現之前部署的木馬失效之后，升級了木馬程序，小華的灰盒安全方案并不完美，攻擊者獲得了技術方案執行過程中的內部變量值，小華的私密信息再次遭到破譯。

灰盒安全模型雖然對中間狀態信息做了一定的保護，但無法保證所有的中間狀態信息都能得到有效保護。如果能夠實現這一點，就達到了工程層面中最強的白盒安全。

回到定義黑盒安全模型的公式，隱私技術保護方案可以抽象為關于隱私數據x的一個函數y=f(x)。在白盒安全模型下，除了x之外，攻擊者可以獲得y和f(x)在運算過程中產生的任何中間狀態信息。

白盒安全模型假定執行環境完全對攻擊者透明，聽起來效果很玄幻。但密鑰如何保護？明文輸入不是直接就被看到了嗎？面對如此強大的攻擊者，如何才能保護隱私數據的安全呢？

效果確實很玄幻，目前現有研究對白盒安全模型的定義做了一定的弱化，通常會把保護目標限定為即便攻擊者控制了整個執行環境，也無法輕易通過內存讀取等方式提取出密鑰。

為了實現白盒安全，需要在灰盒安全的基礎上進一步打亂混淆密鑰的存儲方式并改寫算法，讓正確的密鑰能夠在執行過程中被間接使用。這一工程安全要求進一步提升工程實現的復雜度，例如，AES加密算法的白盒安全實現要比黑盒安全實現慢10倍以上。

盡管白盒安全模型下的大部分技術方案目前尚不成熟，在方案可用的前提下，對于需要在不可控的公開環境中部署的業務，如公共物聯網應用，非常有必要考慮使用白盒安全技術方案，用以保護終端設備中的密鑰、控制隱私數據的泄露風險。

正是：密碼巧妙理論無破綻，工程精細實現需謹慎！

工程安全和理論安全是相互獨立的兩個維度，理論安全并不等于工程安全。再強的理論安全方案設計，也會因為不當的工程實現而導致前功盡棄。

了解密碼學工程領域的安全風險，對于實際應用落地和安全運行至關重要。企業在對基于密碼學技術的隱私保護技術方案選型時，需要理論聯系工程，根據自身的業務場景和部署環境的特征，選擇合適的安全模型，確保隱私保護技術方案的最終有效性。

在這兩論中，我們對密碼學技術選型中的理論能力邊界和工程能力邊界進行了分析。除了算法理論和工程實現中的諸多安全假設，新興的量子計算和量子通信也對隱私保護技術方案的有效性帶來了挑戰，具體分析，敬請關注下文分解。

Tags：區塊鏈CRYCRYPTCRYP為什么要有區塊鏈CryptoArtPulseCryptochromeCrypto Emergency

Filecoin