密碼學技術如何選型？初探理論能力邊界的安全模型_區塊鏈:EEE

作者：李昊軒

來源：微眾銀行區塊鏈??

系統變更后，為何隱私數據頻頻泄露？密碼學算法自由組合后構成的新協議是否依舊安全？當下部署的隱私保護系統，10年后是否依舊有效？密碼學協議是否越安全越符合實際業務需求？

這里，我們將繼續密碼學技術選型的分享，從單個密碼學算法擴展到由多個密碼學算法構成的密碼學協議的安全性，梳理相關的能力邊界，以及選用不同協議對實際業務中隱私保護效果的影響。

正如上一論所提到的，學術界在構造密碼學算法時，引入了一系列安全假設，只有當這些安全假設都成真時，對應的密碼學算法才安全。類似地，由多個密碼學算法構成的密碼學協議，由于加入更多的交互方，需要引入更多的安全假設。

對于一個密碼學協議，其所需的所有安全假設，及對應假設下的安全性要求的集合，稱之為安全模型。

了解安全模型中引入的不同安全假設，有利于企業在進行密碼學相關的隱私保護技術選型時，客觀評估備選技術方案的有效性。

安全模型中不少關鍵安全假設是相互獨立的，可以根據這些關鍵安全假設將安全模型進行分類，以此簡化評估流程。最常見的三種分類方式如下：

半誠實VS?惡意

可通用組合?VS?不可通用組合

計算資源無關VS?計算資源相關

Mano 首席技術官：Web3 的額外部分是對等發現層、密碼學和共識協議:金色財經現場報道，在Coinlive舉辦的峰會上，題為“塑造新加坡數字資產類別的未來”的圓桌討論邀請了 Cobo 首席運營官 Lily Z. King、新加坡管理大學 (SMU) 經濟學助理教授（實踐） Goh Jing Rong、Immin Mano Thanabalan 首席技術官、德國創業亞洲 Yitch，區塊鏈協會 (BAS) 合作伙伴總監 Yoon KC (Steven)。關于 Web3 是什么以及數字資產在 Web3 生態系統中扮演什么角色的問題，Mano 首先說 Web3 的額外部分是對等發現層、密碼學和共識協議，這可能是最有趣的。 YC 澄清應該是 Web3 而不是 Web 3.0。

Lily 補充說，EWeb3 有望成為一個更加開放的互聯網，讓所有用戶都能從中受益。 Jing Rong 列出了下一代互聯網的三個定義，使用新聞技術來改進當前的網絡，并專注于去中心化，即控制權被分配給生態系統中的多方。最后一個給出答案的 Yitch 解釋說，歸根結底，數字資產只是數字，除非你可以創造現實世界的效用。其他問題，如數字資產的機構采用、法規等，引起了小組成員的不同回應。[2022/12/22 22:00:54]

以上三種分類方式相互獨立，相當于三維坐標軸中的三個維度。以下將以小華的故事為載體，一一闡明對應分類下，密碼學協議的理論能力邊界。

畢業季來臨，主人公小華離開自己的家鄉，來到了心儀城市就職。小華、房東美麗、房產中介之間的故事就此拉開帷幕……

IoTeX密碼學負責人Xinxin Fan博士被IEEE標準協會正式任命為P2418.4標準工作組副主席:官方消息，物聯網區塊鏈平臺IoTeX密碼學負責人Xinxin Fan博士被IEEE標準協會正式任命為P2418.4標準工作組——“區塊鏈技術在物聯網領域應用”副主席，該工作組致力于創建區塊鏈技術在物聯網（IoT）使用中的通用標準。

范博士將代表IoTeX與IEEE 2418.1標準工作組主席兼IEEE區塊鏈計劃聯合主席Ramesh Ramadoss博士一起工作，共同推動物聯網區塊鏈行業標準制定，目前加入該標準工作組的企業來自華為、思科、AMD、IBM、GE、戴爾等。這是IoTeX繼擔任IIC區塊鏈工作組聯合主席之后的又一標準制定的重要任命。

IEEE 全稱為「電氣和電子工程師協會」（Institute of Electrical and Electronics Engineers），成立于1884年，是目前全球最大的非營利性專業技術學會，致力于推動世界領先技術標準造福人類，在全球范圍內具有極大的權威性和影響力。[2021/5/7 21:34:08]

半誠實VS?惡意

火幣研究院“區塊鏈百家講壇”：區塊鏈給密碼學帶來全新應用場景:5月12日，火幣研究院推出“區塊鏈百家講壇”第七季課程，哈爾濱工業大學區塊鏈研究中心研究員唐斌以《區塊鏈與密碼學的故事》為主題，指出密碼學是構成區塊鏈的重要基石，并闡述了區塊鏈技術運用到的密碼學原理以及區塊鏈的應用場景。

唐斌指出，區塊鏈采取了密碼學中對稱秘鑰、非對稱秘鑰、哈希算法三大重要算法，可以說是密碼學支撐了區塊鏈的去中心化、開放性、自治性、不可篡改性、匿名性五大特性。區塊鏈技術的出現，不僅帶來了一種全新的組織信息方式，還給密碼學帶來了全新的應用場景。[2020/5/12]

小華初來駕到，眼下最迫在眉睫的事，就是找到可以讓自己過夜的地方。小華通過中介獲取房源列表，最終選定了一套比較滿意的房源，并在中介的撮合下，與房東美麗取得了聯系。

在這個過程中，中介作為參與第三方，受法律規范和社會道德所約束，一般情況下并不會對房屋合同的租金、房屋信息等內容進行篡改。但是，房屋合同中包含大量個人隱私數據，中介可輕易獲取租賃雙方相關行為信息，存在顯著的隱私數據泄露風險。

為此，小華根據自身專業知識設計實現了一套密碼學租房協議，只要中介能夠正確履行該協議，交互過程中產生的隱私數據就不會泄露了。?

以上租房交互協議，依賴中介能夠正確執行租房交互協議的安全假設。基于這類安全假設的安全模型，在密碼學中被稱為半誠實模型，又稱誠實且好奇模型，或被動攻擊者模型。

聲音 | “現代密碼學之父”迪菲：量子計算不會威脅到區塊鏈:據澎湃消息，3月27日，被譽為“現代密碼學之父”的圖靈獎得主惠特菲爾德?迪菲（Whitfield Diffie）在博鰲亞洲論壇上接受澎湃新聞采訪時表示，量子計算只會威脅到密碼學中非常窄、但非常重要的一個領域，上世紀70年代建立起來的公鑰加密體系會變得脆弱。但密碼學中的許多技術，包括區塊鏈用到的哈希編碼在量子計算面前并不脆弱。[2019/3/27]

半誠實模型

參與者一定會正確執行密碼學協議，但會試圖從密碼學協議執行過程產生的中間結果中提取隱私數據。

當前大部分密碼學協議都選用了半誠實模型，這類安全模型在效率、協議設計難度上都有顯著優勢。同時，大部分業務部署時，參與方都會被現實世界諸如法律法規等因素約束，不會進行極端惡意攻擊。

小華期望通過上述半誠實模型下的密碼學租房協議，與美麗完成房源匹配和簽約流程。該技術方案將對小華和美麗的身份信息、租房明細等提供有效保護。

然而，意外還是發生了。中介并沒有如約履行該協議，并在頂級黑客的協助下，篡改了部分協議流程，小華和美麗的隱私數據，最終還是泄露了。

為了應對以上隱私風險，這里需要引入密碼學中更強的安全模型——惡意模型，也稱主動攻擊者模型。

聲音 | 密碼學家 Nick Szabo：比特幣有能力取代黃金 央行會求助于加密儲備:據 oracletimes消息， Nick Szabo是一位著名的密碼學家，他相信比特幣有能力取代黃金。換句話說，央行也許有一天會求助于加密儲備，作為補充國家黃金儲備的一種方式。據行業專家稱，經濟有問題的國家使用加密也會增加。[2019/1/11]

惡意模型

參與者可以完全不遵守密碼學協議，并會采取任何手段對密碼學協議進行攻擊從而提取隱私信息。

小華吸取了上次的教訓，重新基于惡意模型設計了密碼學租房協議。盡管中介和他的黑客伙伴使出了十八般武藝，但最終也沒能攻破新協議。

小華和美麗的隱私數據終于得到了保護，但背后引入了高昂的代價。

在惡意模型下，構造一個安全的密碼學協議，通常需要在每一個可能被攻擊的環節引入零知識證明或安全多方交互。相比相同業務場景中半誠實模型下的密碼學協議，其計算和通訊的代價以及協議自身的設計難度都會高很多，甚至可能會出現實際不可用的情況，影響最終的用戶體驗。

現實可用的密碼學隱私保護方案有一定的性能要求，這里需要分析具體業務場景中攻擊者的“動機”，以此來選擇是否可以使用半誠實模型。如果攻擊者缺乏進行惡意模型下攻擊的動機，如潛在回報小于預期收益，或者攻擊只會對攻擊者自身造成利益傷害，業務方案設計可以比較安全地使用半誠實模型。

在現實業務中，受益于法律規范和社會道德的約束，大多數系統面臨的潛在攻擊源自于半誠實模型下的威脅。

尤其是強監管行業中的業務場景和其他作惡動機低的應用場景，相比惡意模型，在半誠實模型下構建隱私保護技術方案，可以顯著提升系統性能和用戶體驗。

可通用組合?VS?不可通用組合

小華的故事還在繼續。美麗考慮到房屋未來有自住的可能，希望在密碼學租房協議中提出一些支持租期靈活變動的特性。這需要對現有技術方案進行變更，添加一些新的密碼算法模塊。

新問題隨之而來：變更之后的隱私保護技術方案是否依舊有效？

這一問題對應的兩類安全模型就是可通用組合模型和不可通用組合模型，通常簡稱為UC模型和非UC模型。UC源自英文UniversalComposable，對應的定義如下：

可通用組合模型

該模型下的密碼學協議，其使用的密碼學算法組件都滿足UC的安全性要求。通過組合定理，可以將這些UC安全的密碼學算法組件任意自由組合，從而構造更加復雜但依舊安全的協議。

不可通用組合模型

該模型下的密碼學協議，對其進行修改、重組、拆分，之后獲得的新協議不一定具備原協議的安全性。

在上述小華的故事中，如果原密碼學租房協議不滿足UC模型的安全性要求，根據美麗的訴求更改協議之后，新協議很可能就不再安全，稍有不慎就可能泄露小華和美麗的隱私數據。

由于需要非常嚴謹的證明才能滿足UC模型的安全性要求，UC模型下可用的密碼學算法組件比較有限，目前大部分隱私保護技術方案都是非UC模型下的。

對于企業來講，這里的警示是，務必要核實定制化過程是否破壞了隱私保護技術方案的有效性。

在業務落地過程中，難免需要對現有方案進行深度定制，而定制密碼學協議的過程中，需要特別留意變更后的密碼學協議是否依舊能夠提供業務預期的隱私保護效果。

計算資源無關VS?計算資源相關

再次回到小華的故事。

小華通過密碼學租房協議，與美麗簽訂了一份長達5年的租房合同。在這5年內，計算機技術研究有了不少新突破，可用的計算能力上限提升了1萬億倍。之前飽受挫折的黑客卷土重來，那么，小華的密碼學租房協議是否岌岌可危？

這就引入了第三類安全模型的分類方式，即是否受到計算能力發展的影響。

計算資源無關模型

即使攻擊者擁有無限的計算資源，密碼學協議仍然是安全的。

計算資源相關模型

密碼學協議已知的最優破譯方法，其所需的計算資源遠遠大于攻擊者目前擁有的計算資源。

計算資源無關模型，通常也被稱為無條件安全模型或信息論安全模型，是信息論中最嚴格的安全模型。即便是當下熱議的可能突然出現的超高性能量子計算機，也無法破譯該安全模型下的隱私保護方案。

計算資源無關模型下的可用方案極少，唯一常用的方案是基于一次一密的密碼學協議，并需要額外引入關于安全地生成和傳輸無限長度密鑰的安全假設。

絕大部分密碼學協議屬于后一類，即計算資源相關模型。一般通過數學規約的證明方法，證明密碼學協議可以被規約到某個計算困難問題，由此保證攻擊者在有限時間內難以完成計算，此時也被稱為可證明安全模型。

從以上分類可以看到，小華的密碼學租房協議的安全性，很大概率會受到計算能力發展的影響。

對于企業而言，評估隱私保護方案中密碼協議的有效性，一定要結合隱私數據的敏感性和時效性，舉例分析如下：

某醫療制造商需要對采購方的采購金額、身份、明細等數據進行隱私保護操作，保護的時效性可能需要5年甚至更久。因此，需要選擇的技術方案需要提供較長時間的安全，才能滿足計算資源相關模型的安全性要求。

一些業務僅僅需要在幾個小時內保證數據的隱私性。這類場景下，可以選擇系統效率更高，但所需破譯時間相對較短的方案，也能滿足計算資源相關模型的安全性要求。

平衡使用密碼學協議構建隱私保護技術方案對業務商業流程的影響，實現系統效率最大化和用戶體驗的最優化，并不是選用的密碼學協議安全性越強越好。

一般情況下，建議在滿足業務需求的安全模型下，構建效率最優的密碼學協議，夠用就好。

正是：密碼方案選型無頭緒，安全模型定義知根底！

隱私保護業務落地，安全模型選型是影響隱私保護效果的重要因素之一。密碼學協議安全模型多種多樣，安全級別越高的安全模型往往效率越低。事實上，現實社會的法律規范和社會道德約束著很多業務場景，有利于簡化密碼學協議的設計。

企業需要對具體場景具體分析，選用最合適的安全模型，在此基礎上定制最適合自身業務場景的隱私保護技術方案，往往比直接套用通用方案效果更佳。

除了本文分析的理論能力相關的安全模型之外，實際開發部署技術方案時，工程層面的疏漏也會不幸地導致隱私數據泄露，具體分析，敬請關注下文分解。

Tags：區塊鏈WEBWEB3EEE區塊鏈專業方向好就業嗎WeBlockweb3.0幣圈LEEE價格

SHIB