比特幣:密碼學技術如何選型？再探工程能力邊界的安全模型

作者：李昊軒

來源：微眾銀行區塊鏈

牢不可破的密碼學算法也怕物理攻擊？物理信號泄露為何會威脅到隱私保護的效果？?隱私保護方案對部署環境有何講究？不可信執行環境下如何設計隱私保護方案？

這里，我們將繼續安全模型的分析，由隱私保護技術方案中理論層面的能力邊界，擴展到實際開發部署時工程層面的能力邊界，梳理工程實現中相關安全假設，以及適用的業務場景。

在上一論中，我們介紹了多種不同的安全模型，來衡量基于密碼學隱私保護技術方案的理論強度。然而，一個隱私保護技術方案如果只考慮理論層面的安全，而忽視工程層面的安全，其有效性是值得質疑的。

早在1985年，WimvanEck在論文中提出，攻擊者可以通過軟件運行時產生的電磁輻射信號，結合統計學分析方法，破譯出電子設備正在處理的機密信息內容。這就是一種典型的側信道攻擊，是密碼學工程領域不能忽視的風險。

與密碼學理論領域的安全模型類似，對于密碼學工程領域的安全風險，我們也可以根據其安全假設來定義對應的安全模型。最常見的三類安全模型如下：

密碼學博士高承實：量子計算機大規模應用將對非對稱密碼算法和哈希函數帶來致命性的影響:密碼學博士，計算機應用專業副教授高承實發表《量子計算機的應用會顛覆掉比特幣系統嗎？》專欄文章，文章表示，量子計算機從發展狀況來看，還處于極其早期階段，離真正實用還有相當遠的距離。如果量子計算機真正能夠大規模應用，將對密碼算法當中的非對稱密碼算法和哈希函數帶來致命性的影響。現在基于數學難解問題而生成的非對稱密碼算法RSA和ECC安全性將不復存在，哈希函數的抗碰撞性也將受到極大挑戰，除非盡可能增加哈希函數的輸出長度。目前的非對稱密碼，主要是ECDSA和哈希函數SHA256，是比特幣系統最核心的底層技術，確保了比特幣分配和支付的安全，在比特幣系統的多個環節得到了應用，包括生成錢包地址、對交易進行簽名和驗證、計算區塊內所有交易的默克爾數生成區塊以保證塊內數據難以被篡改、激勵礦工開展挖礦競賽以維護系統的自運行……如果ECDSA和SHA256兩種算法的安全性不復存在，那么整個比特幣系統的安全性也將不復存在。

當然我們也沒有必要那么悲觀。第一，量子計算機的真正使用還有相當遠的距離；第二，隨著量子計算以及量子計算機的發展，抗量子計算的密碼算法也會同步得到發展，比如格密碼。

真的到了那個時候，或者比特幣系統中的密碼模塊會替換為抗量子計算的密碼模塊，或者比特幣已經完成它的歷史使命，從這個世界上消亡。（財新）[2020/12/24 16:21:46]

黑盒安全模型

聲音 | 現代密碼學之父：密碼學將有三大機會 分別是同態加密、區塊鏈和公共密鑰技術:據中國新聞網消息，現代密碼學之父、圖靈獎得主惠特菲爾德·迪菲表示，密碼學將有三大機會。一是同態加密，也就是可以在云端進行加密，而這個云卻不知道數據已加密；二是區塊鏈，主要推動力就是比特幣，比特幣取得了巨大的成功，但它需要巨大的工作量；三是新的公共密鑰技術。[2019/8/26]

灰盒安全模型

白盒安全模型

以上三類安全模型中，密碼學系統對部署環境的信任要求逐步降低。本論，我們將繼續敘說小華的故事，以小華向好友美麗發送私密信息時的加密過程為例，一一闡述這三類安全模型對于企業隱私保護技術選型的影響和啟示。

黑盒安全模型

科班出身的小華，對于自己的技術能力相當自信，打算以加密信息的方式，給他的好友美麗一個驚喜……

小華選用了業界標準AES加密方案，將他的私密信息，用特殊的方式傳達給美麗。小華使用了公用機房中的電腦，開發并運行了對應的技術方案，產生了密文信息。

聲音 | 迅雷張驍：區塊鏈發展與密碼學的提升密不可分:據洞察網消息，迅雷鏈底層研發工程師張驍表示，區塊鏈之所以能夠解決人與人之間的信任問題，就是因為它的不可篡改性，而這種特性本質上又是基于密碼學算法來實現的。因此密碼學在區塊鏈中的地位很關鍵，區塊鏈作為信任的基石，密碼學則是區塊鏈的基石。

他相信，未來區塊鏈的發展與密碼學在安全領域上的提升是密不可分的，所以迅雷鏈也會緊密地去關注密碼學未來的發展。[2018/12/24]

不巧的是，公用機房中的電腦被攻擊者植入了木馬，木馬通過讀取代碼執行時的電量消耗和其他中間狀態信息，破譯了小華私密信息的明文。

實際上，除了基于密碼學技術構建的軟件技術方案，就連基于可信硬件模塊構建的硬件技術方案，也會不同程度受到以上這類隱私風險的影響。但是，我們依舊認為這些方案在常見業務環境中是安全可用的，究竟是何緣故？

這就引入了黑盒安全模型的定義，假定技術方案的執行過程對于外界是一個完全封閉的黑盒。

現場 | 元道：通證是凝結在密碼學基礎設施上的人類共識符號:金色財經現場報道，在中國區塊鏈行業發展論壇現場，中關村區塊鏈產業聯盟理事長、通證派創始人元道表示，行業數字化通證第一、區塊鏈第二。通證是凝結在密碼學基礎設施上的人類共識符號，全球發行，全球流通。通證應用在于：第一、協作，行業上下游的強協作激勵機制（包括負激勵）；第二、品牌，通證全球流通，便于建立全球品牌；第三、組織，新一代行業協會，社群自治組織。自金融，自帶金融的數字化變革，從自媒體到自金融。[2018/7/11]

如果我們把整體的隱私技術保護方案抽象成關于隱私數據x的一個函數y=f(x)，對于攻擊者而言，只能獲得y，無法獲得f(x)在運算過程中產生的任何中間狀態信息。

中間狀態信息包括直接敏感信息和間接敏感信息：

直接敏感信息：計算過程中的內部變量值、代碼執行軌跡等

間接敏感信息：執行時間、設備能耗、內存用量、電磁輻射等

絕大多數密碼學算法實現，如AES加密算法的標準實現等，都是基于黑盒安全模型的。

這意味著，即便對應的密碼學算法和協議設計達到了理論能力的上限，信息論安全在黑盒安全模型要求的假設被打破的前提下，依舊可能泄露隱私數據。

密碼學專家：閃電網絡主鏈beta測試版只是實驗的開端:15日閃電網絡實驗室正式上線了主鏈的測試beta版本，自稱是“重要里程碑”，然而美國約翰霍普金斯大學的密碼學專家馬修?格林(Matthew Green)今日在發推稱，“很多人把閃電網絡beta測試版當作是一個成功的結果，但其實這只是一個苦難重重的實驗的開端”。閃電網絡實驗室近日宣布獲得250萬美元種子輪融資。[2018/3/17]

反過來講，對于受控的業務環境，可以保證沒有攻擊者能夠進入機房，或者難以通過其他方式遠程獲得這些中間狀態信息，而且對應軟硬件模塊的配置和使用都正確，那么對應的技術方案還是安全的。

考慮到隱私和效率的取舍，黑盒安全模型下的技術方案，工程實現相對復雜度低，能夠提供高效的系統實現，可用于中間狀態信息泄露風險低、可控部署環境中的業務場景。

灰盒安全模型

小華吸取了上次的教訓，優化了加密算法的實現，屏蔽了執行時間、設備能耗等常用中間狀態信息泄露。新的方案似乎生效了，攻擊者之前部署的木馬無法獲得有效信息來破譯小華的私密信息。

小華的優化一定程度上降低了隱私保護技術方案對于部署環境的信任要求，相比之前的黑盒安全模型，這里的安全模型為灰盒安全模型,允許一定程度的中間狀態信息泄露。

灰盒安全模型，要求技術方案能夠防范由于常用中間狀態信息而導致的隱私信息泄露。常用中間狀態信息，一般指技術方案執行過程中，容易從外部觀察到的各種物理信號，如執行時間、設備能耗、電磁輻射、聲波信號等。這一類的攻擊通常被稱為側信道攻擊、旁路攻擊，或統稱為灰盒攻擊。

為了應對這些灰盒攻擊，需要在原先黑盒安全工程實現的基礎上改寫算法，使得在不同輸入下，所需防范的物理信號表現相同。以最常見的執行時間分析攻擊為例，灰盒安全模型下，對于所有的輸入，技術方案的執行時間總是保持均等，以此避免由于執行時間存在差異，而泄露關于隱私數據的信息。

然而，這一類灰盒安全技術方案在系統效率上的副作用也很明顯。即便某些執行路徑可以更高效地執行，也需要特意降低其效率，使之與業務邏輯中效率最差的一條執行路徑相匹配，以此確保執行過程使用的時間、消耗的能量等外部可觀測物理信號，在任意輸入下都不表現出顯著差異。

由此可見，灰盒安全技術方案的執行效率總是由業務邏輯中效率最差的一條執行路徑來決定，這對系統效率的優化帶來了一定的挑戰。

相比黑盒安全模型，灰盒安全模型對于部署環境的信任要求更接近現實情況，一定程度上考慮了內部人員風險等原本只能通過治理手段才能防范的隱私風險，具備更實用的抗攻擊能力。

灰盒安全模型下，技術方案的應用主要用于防范內部人員風險，或者在不完全可信的外包環境中部署運行業務。

白盒安全模型

好景不長，攻擊者發現之前部署的木馬失效之后，升級了木馬程序，小華的灰盒安全方案并不完美，攻擊者獲得了技術方案執行過程中的內部變量值，小華的私密信息再次遭到破譯。

灰盒安全模型雖然對中間狀態信息做了一定的保護，但無法保證所有的中間狀態信息都能得到有效保護。如果能夠實現這一點，就達到了工程層面中最強的白盒安全。

回到定義黑盒安全模型的公式，隱私技術保護方案可以抽象為關于隱私數據x的一個函數y=f(x)。在白盒安全模型下，除了x之外，攻擊者可以獲得y和f(x)在運算過程中產生的任何中間狀態信息。

白盒安全模型假定執行環境完全對攻擊者透明，聽起來效果很玄幻。但密鑰如何保護？明文輸入不是直接就被看到了嗎？面對如此強大的攻擊者，如何才能保護隱私數據的安全呢？

效果確實很玄幻，目前現有研究對白盒安全模型的定義做了一定的弱化，通常會把保護目標限定為即便攻擊者控制了整個執行環境，也無法輕易通過內存讀取等方式提取出密鑰。

為了實現白盒安全，需要在灰盒安全的基礎上進一步打亂混淆密鑰的存儲方式并改寫算法，讓正確的密鑰能夠在執行過程中被間接使用。這一工程安全要求進一步提升工程實現的復雜度，例如，AES加密算法的白盒安全實現要比黑盒安全實現慢10倍以上。

盡管白盒安全模型下的大部分技術方案目前尚不成熟，在方案可用的前提下，對于需要在不可控的公開環境中部署的業務，如公共物聯網應用，非常有必要考慮使用白盒安全技術方案，用以保護終端設備中的密鑰、控制隱私數據的泄露風險。

正是：密碼巧妙理論無破綻，工程精細實現需謹慎！

工程安全和理論安全是相互獨立的兩個維度，理論安全并不等于工程安全。再強的理論安全方案設計，也會因為不當的工程實現而導致前功盡棄。

了解密碼學工程領域的安全風險，對于實際應用落地和安全運行至關重要。企業在對基于密碼學技術的隱私保護技術方案選型時，需要理論聯系工程，根據自身的業務場景和部署環境的特征，選擇合適的安全模型，確保隱私保護技術方案的最終有效性。

在這兩論中，我們對密碼學技術選型中的理論能力邊界和工程能力邊界進行了分析。除了算法理論和工程實現中的諸多安全假設，新興的量子計算和量子通信也對隱私保護技術方案的有效性帶來了挑戰，具體分析，敬請關注下文分解。

Tags：區塊鏈比特幣BETBETA區塊鏈專業是冷門專業嗎波場幣和比特幣的區別是什么beth幣值得買嗎BetaCarbon

歐易交易所app官網下載