任奎,教授,主要研究领域为云安全、物联网安全与隐私保护。
张秉晟,研究员,主要研究领域为区块链、安全多方计算、数据安全、可验证计算、可证明安全等。
张聪,研究员,主要研究领域为理论密码学、应用密码学、数据安全与隐私保护。
随着信息革命的浪潮, 计算机、互联网、物联网、人工智能等领域飞速发展, 网空间已成为现代社会的重要组成部分, 并在各个方面改变着人们的生活生产方式。
另一方面, 网络空间快速发展导致的信息泄漏、隐私侵犯等问题愈发严峻, 人们对数据安全与隐私保护的需求也日益高涨。
面向不断增加的安全与隐私需求, 相关密码技术持续演进, 并广泛应用于金融、医疗、教育、政务等各个领域, 以确保对敏感信息和数据资产的安全保护。
本文围绕信息技术在不同发展阶段下的重要应用场景及研究热点, 聚焦互联网信息传输、云端存储、区块链加密货币、电子投票、Web3.0 以及隐私计算, 阐释密码技术在相关领域典型应用示范。
数据已成为我国第五大生产要素, 推动着社会的变革。
在大数据时代, 网络空间面临着新的安全威胁, 即数据在收集、流通、计算过程中可能引发隐私泄漏问题。
因此, 数据资产拥有者在数据出域时需要采用隐私计算技术, 以确保数据的全生命周期安全。
本文主要研究方向
- TLS、SSH 协议在保障数据安全传输场景下的应用
- 可搜索加密技术在云存储场景下的应用
- 零知识证明技术在区块链场景下的应用
- 安全多方计算在隐私计算场景下的应用
TLS、SSH 协议
TLS、 SSH 等协议使用对称加密、公钥加密等密码学技术在数据传输过程中建立安全的通信通道, 生成仅通信双方拥有的会话密钥, 并有效保护数据免受中间人攻击。
这些密码学技术已广泛应用于各种信息传输应用领域, 包括但不限于电子邮件、实时聊天软件以及网页浏览等, 以维护数据的机密性、完整性和消息源的可认证性。
可搜索加密
可搜索加密 (searchable encryption) 是一种加密技术, 用户将加密后的数据存储到云端, 云端服务器在不知道密钥的情况下提供查询服务. 该技术既保障了数据的安全性又实现了数据的可搜索性。
目前,可搜索加密技术已在多个产品中得到大规模部署, 包括 Dropbox、亚马逊云存储服务器 (Amazon webservices, AWS)、Google Drive、MEGA 等, 进一步支撑了移动互联网的发展。
零知识证明
零知识证明 (zero-knowledge proof) 是一种广泛应用的密码学领域隐私保护技术. 它允许一个参与方(证明者) 向另一方 (验证者) 证明某个陈述为真, 而无需透露陈述的具体内容, 确保用户数据的隐私性和安全性。
目前, 零知识证明在区块链隐私交易货币、安全电子投票、 Web3.0 下的分布式应用产品等方面广泛部署, 旨在提供加密货币的隐私性、电子投票过程的可验证性以及复杂分布式应用场景下的可扩展性。
安全多方计算
安全多方计算 (secure multi-party computation) 是一种广泛应用的隐私计算技术, 允许多个参与方在不泄漏彼此数据的情况下进行计算和数据分析。
目前, 多方安全计算中的隐私集合求交 (private set intersection) 与隐私信息检索 (private information retrieval)技术已大规模部署于商业产品中, 如蚂蚁集团的隐语、Google的Private Join and Compute、微软的APSI和 SealPIR等。
密码学在安全通信及身份认证中的应用
基于互联网通信中数据机密性、完整性和可认证性的需求, 综合运用加密算法、消息验证码和数字签名等技术的多种安全通信协议 (如 SSL/TLS、SSH 等) 应运而生, 为互联网安全通信提供有效解决方案。
TLS 协议
TLS 协议中综合使用加密算法、消息认证码、数字签名技术, 同时实现了网络通信中的三大核心需求: 数据机密性、完整性和可认证性。
其具体执行过程可分为两部分: 握手协议与记录协议, 其中握手协议主要进行身份认证与共享密钥的协商, 记录协议保证通信数据的机密性与完整性, 如下所示:
SSH协议
SSH (secure shell) 协议同样是一类加密互联网协议, 与 TLS 应用场景不同, 其主要用于实现与服务器或计算机的安全远程登录和数据传输。
OpenSSH 是 SSH 协议的一种免费开源实现, 被广泛部署于 Linux的众多发行版中,且SSH 服务器端守护进程 sshd 通常默认启动。
密码学在云存储中的应用
因此, 我们希望云存储技术可以满足以下两大要求:
- 一是安全性, 数据在云端以密文的形式存储, 在确保完整性的同时提供隐私保障;
- 二是可搜索性, 服务器需要为加密文件提供高效的查询功能。
若使用传统的加密方式, 如使用 256 位的 AES 加密算法对数据进行加密后再上传至云端,数据库中的文件均以密文的形式存储, 可以很好地满足安全性要求。
但当用户想要在云端数据库中查询包含某个关键字的文件时, 将面临如何在密文上进行搜索的难题, 用户需要从服务器上下载所有文件并一一解密, 开销大、效率低, 即无法满足高效功能性要求. 由于传统的加密方式无法同时满足以上两大需求, 可搜索加密技术应运而生. 其使用场景如图 3 所示。
可搜索加密方案涵盖三个主要角色: 可信的数据所有者、被授权搜索的用户集合以及半可信的服务器。
可搜索加密的底层技术包括属性保护加密算法、同态加密算法、oblivious RAM 访问模式(ORAM)、功能加密、对称可搜索加密算法 (symmetric searchable encryption, SSE), 这些技术的安全性和效率比较如图 4 所示。
SSE 方案因其突出的搜索效率而被广泛使用, 近年来的研究方向有:
- 对 SSE 功能性的提升, 如支持布尔查询的方案、支持关键字排序搜索的方案以及加入审计方对外包数据完整性的认证;
- 对安全性的提升, 如实现后量子的可搜索加密方案; 以及对效率的提升, 如引入多种索引结构 引入多种搜索方式 (Bloom 过滤器、并行搜索等)。
权衡功能性、安全性和效率, 找到新的平衡点, 对于改进优化 SSE 方案有着重要意义。
未来, SSE 技术将为数据隐私和高效数据检索提供更多解决方案。
随着新的应用场景的出现, 如边缘计算、物联网等, SSE 技术也将面临更多的挑战和机遇。
密码学在区块链中的应用
- 一种是客户端/服务器 (C/S) 架构, 其中数据主要存储在服务器上, 客户端仅通过与其进行交互来获取数据;
- 另一种是对等网络 (P2P) 架构, 在这种架构下没有中心服务器,彼此连接的计算机处于平等地位。
然而, 由于 P2P 架构缺乏认证性、真实性等安全性保障, 因此仅用于简单的文件共享等, 并未得到广泛应用。
区块链技术的出现, 为 P2P 网络带来了全新的发展机遇。
其利用密码学技术与共识算法, 在 P2P 网络中构建起分布式账本系统, 其中数据不再集中存储于单一中心服务器或数据库, 而是分散存储于网络中的多个节点上, 每个节点都拥有完整的账本副本。
由于区块链自身的去中心化本质意味着数据分布式存储于全球的多个节点上, 这使得任何人都可以访问区块链上的信息, 从而导致一系列隐私与安全问题。
此外, 区块链自身的存储与计算能力有限, 无法满足日益复杂的应用需求。
因此, 实现链上匿名性、不可链接性以及可扩展性对于实现区块链广泛应用与发展至关重要。
密码学环签名、零知识证明技术为上述问题提供了解决方案。
(1) 加密货币的隐私性
在以 Bitcoin为代表的加密货币交易过程中, 发送者使用自己的私钥创建一笔交易, 其中包括目标地址、交易金额等信息, 连同其公钥广播给区块链各节点。
区块链节点需验证交易的有效性, 包括检查发送者是否有足够的资金执行交易, 以及签名是否有效。
若验证通过,则等待将该交易打包进区块中。
尽管在上述场景下, 用户的社会身份与公钥对应的数字身份分离, 但由于交易细节是公开的, 随着交易过程的不断积累, 恶意的攻击者可依靠外界信息将数字身份其社会身份关联。
在此背景下, 基于零知识证明技术的匿名交易协议 Zerocash被提出, 并发展为 Zcash 数字货币产品。
在 Zcash 的交易过程中, 发送者可在不透露所拥有确切余额、地址等详细交易信息的情况下, 使用零知识证明技术向区块链节点证明交易的有效性, 如交易金额与输出金额一致、交易方拥有支配交易金额的私钥等。
传统数字货币与匿名货币的对比见图 5。
继 Zcash 之后, Monero 也是一种基于密码学技术实现的隐私货币产品。
其使用签名技术对交易信息进行签名以实现交易发送方的不可追踪。
同时, 为隐藏交易金额, Monero 使用了零知识证明技术, 在交易过程中对“输出金额与输入金额一致” 这一断言进行证明。
对外, 由于交易金额在隐私保护过程中存在模运算, 需对其进行范围证明以防止负数的产生, Monero 最初使用环签名解决这一需求, 后改用零知识证明技术以提高证明效率。
此外,Grin、 Beam 等区块链隐私货币项目近年来也得到广泛关注, 其均使用基于零知识证明等密码技术的 Mim-blewimble 协议实现高效的隐私保护。
当前基于零知识证明的主要加密货币产品如表 1 所示。
(2) 区块链可验证分布式决策
除匿名货币外, 密码学技术在区块链电子投票领域也得到广泛应用。
相较于传统的中心化电子投票系统, 基于区块链的去中心化电子投票可保证选票内容的不可篡改、不可伪造以及选举过程的公开透明。
然而, 为了确保各选票的合法性, 投票者必须首先通过身份验证程序来证明其有资格行使投票权。
由于区块链上的信息是公开的, 任何人都可以将选票与身份认证信息相关联, 从而核实其所投的选项。
为在选票匿名的前提下实现结果的可验证性, 零知识证明技术起到关键作用。
该技术允许投票者在不泄露任何个人信息的前提下, 证明投票过程合法。
同时, 公众可独立地对投票过程和结果进行检验。
- 爱沙尼亚政府于 2005 年采用基于零知识证明的区块链投票系统, 保证了选民的隐私以及选票的有效性, 进而激励更多的公民参与到地方选举与大选中。
- Zhang 等人提出了第一个区块链财政系统, 其核心部件是分布式的、端到端可验证、通用可组合安全的投票协议。
- Votem 是一个端到端可验证的投票系统, 允许用户使用移动设备投票, 并且使用区块链来安全地广播选票以及计票信息等。
- Snapshot是一个著名的去中心化自治组织 (DAO) 投票平台, 它使用IPFS来存储提案和选票, 使投票过程可以安全地在链下进行。
零知识证明被广泛应用于上述电子投票系统中, 以提高投票系统的安全性和可信度。
(3) web3下的链上可扩展性
随着区块链技术的发展, Web3.0 概念得到广泛普及。
多种“分布式 +” 模式的生态应用得到广泛研究与实践。
以分布式金融 (decentralized finance, DeFi) 为例, 其在区块链网络的基础上通过稳定币、交易所、借贷提供更加复杂的金融服务, 同时与传统金融相比实现了低成本、点对点的价值转移等特性。
当前, 基于零知识证明的链上扩容方案已广泛部署于 Curve、Sushiswap等众多 DApp 产品及服务中, 相关应用产品如表 2 所示。
密码学在专用安全多方计算中的应用
近年来, 在政策支持与技术发展的双重驱动下, 隐私计算技术高速发展, 并在数据流通的实践应用中发挥重要作用。
以蚂蚁集团推出的隐私计算框架隐语 SecretFlow 为例 (如图 6), 其综合了多方安全计算、联邦学习、可信执行环境等关键技术, 以保障跨组织协作计算时原始数据和计算结果的隐私性。
其中专用多方安全计算 (包含零知识证明、隐私集合求交、隐私信息检索等) 以密码学为基础, 在联合营销、联合个人征信、医疗数据采集等场景有着重要应用。
零知识证明技术
经过近十年的技术发展, 当前零知识证明技术可分为三种主流算法:
(1) 零知识的简洁非交互式知识论证 (zk-SNARKs);
(2) 零知识的可扩展透明知识论证 (zk-STARKs);
(3) Bulletproofs。
其技术对比如表 3 所示:
隐私集合求交技术的应用范例
隐私集合求交协议 (PSI) 允许参与方在不公开私有数据集合的前提下, 安全地计算出集合的交集。
从实现技术看, 隐私集合求交技术可以分为:
(1) 基于公钥密码的 PSI;
(2) 基于不经意传输的 PSI;
(3) 基于混淆电路的 PSI。
(1) 基于公钥密码的 PSI
基于公钥密码的 PSI 方案包括基于 Diffie-Hellman 密钥交换的 PSI 方案和基于 RSA 盲签名的 PSI方案。
以联合营销场景为例, 如图 7:
(2)基于不经意传输的 PSI
2020 年,Chase 等人提出了多点不经意伪随机函数 (multi-point OPRF, mOPRF) 和带权多点 OPRF, 实现半诚实敌手模型下的安全 PSI 协议。
Rindal 等人 提出了一种基于 Vector-OLE 和 PaXoS 数据结构的 OPRF 构造并将其用于从 OPRF 实现 PSI 的标准转换。
这是迄今为止任何已发表的 PSI 协议 (无论是半诚实还是恶意) 中速度最快、开销最低的方案。
(3)基于混淆电路的 PSI
除上述介绍的专用协议外, PSI 还可以通过通用混淆电路方法实现。
由于任意函数均可以转换为布尔电路, 因此混淆电路可以计算任何功能函数, 在 PSI协议变体 (PIS-C、Threshold PSI) 的构造上发挥着重要作用。
隐私信息检索技术的应用范例
在金融领域, 建立健全的信用评估体系是优化金融资源配置、降低交易成本的至关重要的一环。
在个人征信方面, 贷款机构需要从多维度进行评估计算, 以了解其个人信贷能力。
但仅依赖于机构自身掌握的信用记录无法实现对申请人的精确征信画像,为此, 贷款机构需融合其它金融机构或非金融机构信息, 如个人资产、商品购买情况等, 实现全面、精准、实时的评估。
然而贷款机构直接查询会泄露申请人身份, 其他机构直接共享数据也会使其丧失商业竞争力。
隐私信息检索协议 (PIR) 可有效解决上述困境, 该技术允许查询方在不公开被查询者的前提下实现信息搜索。
执行协议后, 贷款机构可从其他数据提供方中准确查询申请人的相关信息, 从而实现更全面的资产评估, 同时被查询方不会获知有关贷款机构查询的任何信息。
除上述联合个人征信外, 隐私信息检索技术在标签查询、信息核验、名单查询等场景有着广泛应用。
当前隐私信息检索协议可以根据服务器数量、实现技术、查找方式做出如图 8 所示的分类。
从服务器数量上看, PIR 可以分为单服务器 PIR和多服务器 PIR。
多服务器方案有着更好的鲁棒性和更高的效率, 但需要更强的假设, 即假设多个服务器间不会合谋设法获取用户信息。
从实现技术上看, PIR 可以基于不经意传输 OT 和同态加密来实现。
(1) 基于不经意传输的 PIR
基于 IKNP 方案 的 OT 扩展技术, Kolesnikov 等人实现了 1-out-of-∞ OT。
2019 年,Döttling 等人提出了 Rate-1 OT, 为 PIR 协议提供了可行性构造。
2021 年, Chase 等人提出了分摊策略, 显著降低了 Rate-1 OT PIR 的通信开销。
(2)基于同态加密的 PIR
以联合个人征信为例, 如图 9, 查询者可将待查询信息对应序号的密文设置为 Enck (1), 其余设置为 Enck (0), 一并发送给被查询方。
被查询方将各序号对应的消息与接收到的密文相乘后, 求和即可得到查询信息对应的密文。
将该密文发送给查询方进行解密, 即可得到对应信息。
暂无评论内容