"CCCF-2018-10：面向隐私保护计算的密码新技术研究"

需积分: 0 109 浏览量更新于2024-03-25 收藏 27.58MB PDF 举报

本文讨论了面向隐私保护计算的密码新技术，并且在中国计算机学会通讯（CCCF）进行了发表。该文章代表作者的学术观点，除非有CCF或CCCF特别署名，文章内容不代表CCF或CCCF的观点。CCCF鼓励学术争鸣，促进学术交流。本文的主编是李国杰和钱德沛，他们是CCF名誉理事长、CCF会士、中国工程院院士和北京航空航天大学的教授。其他编委包括袁晓如、陈熙霖、李向阳、廖小飞、王蕴红、杨珉、郑宇、彭思龙、包云岗、郭得科、徐恪和王涛等专家。他们分别来自不同的高校和研究机构，拥有丰富的学术经验和专业知识。面向隐私保护计算的密码新技术是当前计算机领域研究的热点之一。随着互联网的发展和信息技术的普及，隐私保护和数据安全问题日益突出。本文旨在探讨如何利用密码学技术保护用户的隐私信息，防止个人数据被恶意获取和滥用。通过介绍现有的密码学方法和技术，以及对未来发展方向的展望，本文试图为隐私保护计算领域的研究和实践提供一定的参考和指导。在本文中，作者们系统地介绍了隐私保护计算的基本概念和原则，包括数据加密、身份验证、访问控制等技术手段。他们还讨论了密码新技术在隐私保护中的应用，例如同态加密、多方计算、安全多方计算等方法。通过对这些技术的比较和分析，作者们提出了一些优化和改进的建议，以提高隐私保护计算系统的安全性和性能。此外，本文还关注了隐私保护计算领域存在的挑战和问题，例如隐私泄露、数据共享、数据集成等方面的难题。作者们认为，要进一步推动隐私保护计算技术的发展，需要加强学术研究和产业应用之间的合作，深入探讨技术与法律、伦理等因素之间的关系，共同促进隐私保护计算技术的创新和发展。总的来说，本文在面向隐私保护计算的密码新技术领域做出了一定的探索和论证，为相关研究和实践提供了有益的启示和建议。随着信息技术的不断发展和创新，隐私保护将成为未来计算机领域研究的重要议题，希望本文可以为相关领域的学者和从业者提供参考和借鉴。

专题

第 14 卷第 10 期 2018 年 10 月　

同公钥证书，该工作具有局限性，仅针对同一个用户。

2008 年，Stevens 和 Lenstra 等进一步改进，提出

选择前缀下的实际碰撞攻击，伪造了符合国际标准

X.509 数字证书，对实际应用安全造成了直接威胁

[12]

。2012 年，俄罗斯安全专家发现，在中东地区大

范围传播的“火焰 (Flame) 病毒”采用了选择前缀

MD5 碰撞攻击的新变体来伪造证书，并用于签名恶

意软件，让用户误认为恶意软件来自可以信任的微

软公司，该病毒主要基于数字证书伪造技术与王小

云等选定的主体差分路线

[13]

。MD5 的碰撞攻击所带

来的安全问题更加明朗化，大大加快了 MD5 算法撤

出计算机系统的进度。为避免对 MD5 算法的用户造

成更大的危害，美国计算机应急小组 (US-CERT) 建

议软件开发商、认证中心、网站和用户应该避免使

用 MD5 算法，MD5 也不再适合将来的应用

[14]

。

同时，杂凑函数的碰撞路线直接导致多个

重要消息鉴别码算法 ALPHA-MAC、MD5-MAC

与 PELICAN 的密钥（或等价子密钥）恢复攻击，

HMAC/NMAC-MD5 的区分攻击，其中 HMAC 是

NIST 公布的标准算法，MD5-MAC 是由国际密码学

会前主席 B. Preneel 设计，HMAC-MD5 是 IETF 标准，

ALPHA-MAC 和 PELICAN 均由高级加密标准 AES 的

设计者 J. Daemen 和 V. Rijmen 设计。此外，模差

分比特分析理论也被应用于分组密码、消息认证码

和认证加密算法三类密码算法的分析，例如，改进

美国国家安全局 NSA 设计的轻量级分组密码算法分

组密码 Simon 的线性攻击，改进 NIST 发布的哈希

函数新标准 SHA-3 的 MAC 算法 Keccak-MAC 和认

证加密算法 Keyak 的立方攻击，改进 Caesar 竞赛

候选算法 Ascon 和 Ketje 的密钥恢复攻击等。

面对如此严峻的安全现状，2005 年 10 月 31 日

至 2005 年 11 月 1 日，美国国家标准与技术研究院

(NIST) 召开了第一次杂凑函数研讨会，讨论 MD5 与

SHA-1 碰撞攻击的影响，并提出应对策略

[15]

。NIST

认为王小云等确实发现了 SHA-1 的实际攻击，并宣

布该攻击从根本上动摇了许多带时戳和证书签发操

作的数字签名方案。NIST 提议尽快将数字签名方案

中采用的杂凑算法替换为更强的“SHA-2”系列算

法 (SHA-224、SHA-256、SHA-384 和 SHA-512)。

而且，政府机构在 2010 年年底之前必须停止使用

基于 SHA-1 算法的数字签名。2006 年 8 月 24~25 日，

NIST 召开了第二次杂凑函数研讨会，进一步讨论了

杂凑函数及其相关应用领域的安全现状，并初步制

定了新的杂凑函数 SHA-3 算法的征集时间表。

SHA-3的征集及Keccak的设计

2007 年 11 月 2 日，美国国家标准与技术研

究院发布征集新的杂凑函数 SHA-3(Call for a New

Cryptographic Hash Algorithm (SHA-3) Family)

[16]

。

世界各地的密码学家积极响应，共提出了 64 个算

法。历时 5 年，经过 3 轮筛选，2012 年 10 月 2 日，

Keccak 被选为 SHA-3 竞赛的最终获胜者。2015 年

8 月 5 日，美国国家标准与技术研究院正式发布新

的杂凑函数标准 SHA-3

[17]

。

Keccak 采用海绵结构设计，其中的核心映射函

数 Keccak-f 根据其处理状态的大小可分为 7 个版本，

均采用 5×5 的二维数组表示，数据类型分别为 1、2、

4、8、16、32 和 64 比特。较小的版本可用于研究分析，

适中的版本提供了比较实际且轻量级的替代方案，新

的标准则采用最大版本（5×5×64=1600 比特）。此

外，这种结构使得对小版本的分析结果可以相应地转

换到大版本上，更加有利于研究人员的分析研究。

为了进一步推动 Keccak 的安全性分析，其设计

者开展公开挑战赛，列出了不同 Keccak 版本的原像

攻击挑战和碰撞攻击挑战（最长挑战轮数为 12 轮）。

截至 2018 年 8 月，最长轮数的原像攻击为 4 轮，最

长轮数的碰撞攻击为 6 轮

[18]

。值得注意的是，目前

所给出的攻击结果，很大程度上都使用了线性化的

技术，将寻找原像或者碰撞问题转化为求解线性方

程组问题。因此，如何利用线性化的技术攻击小分组，

以及寻找新的技术进一步提高原像攻击和碰撞攻击

的轮数，是当前 Keccak 分析研究的一个重要方向。

认证加密算法的设计

认证加密算法可同时保障信息的机密性和完整

第 14 卷第 10 期 2018 年 10 月　

性，是人们在研究加密算法和消息鉴别码的基础上根

据现实应用需求而提出的新型对称密码算法。随着计

算能力和分析技术的提高，人们迫切需要更安全、更

高效、更实用的认证加密算法。2013 年在美国国家

标准与技术研究院的资助下，国际密码协会发起了凯

撒竞赛(Competition for Authenticated Encryption:

Security, Applicability, and Robustness, CAESAR)

[19]

，

明确提出要找到满足下列条件的认证加密算法：(1)

从安全和实现性能上要比 AES-GCM 有优势；(2) 更

适合广泛应用。竞赛要求算法设计者把算法放到公

共平台公开测评。截至 2014 年 3 月，竞赛共征集

到 57 个算法，经过 3 轮评选，2018 年 3 月，基于

流密码结构的 ACORN、MORUS，基于海绵结构的

Ascon，基于分组密码的 AEGIS、COLM、Deoxys 和

OCB，这 7 个算法凭借出色的软硬件性能和安全强

度进入决赛，受到密码学界和工业界的持续关注。

密码算法的分析方法简介

密码分析与密码设计是矛和盾的关系，二者相

互促进，共同发展。设计者提出新算法的同时，会

给出该算法抵抗各种分析技术的初步评估，从分析

的角度支撑算法安全性。分析成功的关键在于合理

构造区分器，将密码算法和随机函数进行区分，有

效分割密钥空间。

差分分析

[20]

和线性分析

[21]

是两类通用的密码

分析技术。差分分析是指通过分析满足特定差分（如

异或值）的明文对相对应密文差分的影响来恢复某

些密钥比特。一旦特定明文差分导致密文差分分布

不均匀，就不是随机置换。在差分分析的基础上，

又发展出截断差分、高阶差分、不可能差分、飞去

来器和矩形攻击等多种分析方法。线性分析则利用

密码算法中明文、密文和密钥的高偏差线性近似来

恢复某些密钥比特。线性分析又发展出多重线性分

析、非线性密码分析和零相关线性分析等。

与差分和线性分析从一对明文入手不同，还有一

些分析技术考虑特定明文集合对应密文集合的不随机

特性，比如积分分析

[22]

。积分分析本质上是一种高

阶差分，它利用密码算法的代数表达式的次数，选择

适合的明文集合，让密文集合的某些比特异或和为零，

从而进行区分。Division Property 可以看作是积分区

分器的扩展，不仅关注某个具体的密文比特，还关注

多个密文比特的乘积的异或和

[23]

。该方法的提出使

得欧洲 Nessie 标准算法 Misty1 的全算法被攻击。

近年来，各类密码分析方法中的区分器的自动

化搜索成为研究热点。借助于 MILP、S AT、STP 等

工具对搜索问题进行建模，通过专用求解器求解，

可大大提高搜索效率，简化密码算法的分析工作，

提升密码算法的设计效率。

总结

在万物互联的今天，各种智能技术都以用户个

人数据为基础，用户的隐私数据不可避免地要在公

开网络上传输。计算能力的提高和新的应用环境的

出现对保障信息机密性和完整性的密码技术提出了

新的需求。轻量级密码算法的出现，新的杂凑函数

标准的征集，认证加密算法竞赛的开展等活动，极

大促进了密码技术的发展。 ■

王　薇

山东大学软件学院讲师。主要研究方

向为对称密码算法的分析与设计。

weiwangsdu@sdu.edu.cn

王美琴

山东大学数学学院教授。中国密码学会理

事，教育部新世纪优秀人才计划获得者，

主要研究方向为对称密码算法的分析与

设计。mqwang@sdu.edu.cn

参考文献

[1] Stallings W. Cryptography and Network Security:

Principles and Practice.

International Journal of

Engineering & Computer Science

, 2017.

更多参考文献：http://dl.ccf.org.cn/cccf/list

专题

第 14 卷第 10 期 2018 年 10 月　

全同态加密研究与挑战

全同态加密概述

同态加密(Homomorphic Encryption, HE)

的思想最早是由李维斯特(Rivest)、阿德尔曼

(Adleman) 和 Dertouzous

[1]

在 1978 年提出，最初

被称为“隐私同态”。此后 30 余年，许多密码学家

致力于构造一个真正意义上的全同态加密方案，但

进展甚微。直到 2009 年，IBM 研究员金特里 (Gentry)

基于理想格提出了第一个全同态加密体制

[2]

，才使

得全同态的研究取得了突破性的进展，解决了困扰

人们多年的难题，同时拉开了全同态研究的帷幕。

随着云计算、云存储需求的不断提升，数据

存储和计算服务的外包已经成为必然趋势，数据安

全和隐私保护问题越来越受到学术界和工业界的关

注。全同态加密方案能够在保护隐私数据的前提下

对数据进行处理，从而保护了数据的安全性，极大

地扩展了云计算的应用范围。因此，无论是在理论

上，还是在实际中，全同态加密研究均有极其重要

的意义，以至于有国外学者将全同态加密誉为“密

码学的圣杯”

[3]

。

何为全同态加密？

“同态”这个词在多个领域都有涉及到。在抽象

代数中，同态是一个保持原像与像之间代数结构的

映射。这个映射本质上就是一个函数，原像集合作

为输入，输出像集中的元素。而同态加密是一种特

殊的加密方案，它允许第三方（比如云服务提供者）

在不知道私钥的情况下对加密的数据执行特定的计

算，使得计算后得到的加密数据解密后的结果与对

明文执行相同计算得到的结果相同。事实上，同态

加密对应于抽象代数所定义的那个映射。举一个简

单的例子：对于明文消息

和

，可通过

Enc

(

) 和

Enc

(

) 来得到

Enc

(

)，其中

Enc

表示加密函数。

图 1 是一个简单的用户 - 云端同态加密的应用场景，

在这个场景中，用户首先对其隐私数据

进行加密，

并将密文

Enc

(

) 发送给云服务器。当用户想要对

它的隐私数据计算函数

时，用户将该函数

发送

给云服务器。云服务器用

Eval

() 函数对密文

执行

函数

的同态运算，并将计算后的密文结果

* 发送

给用户。用户用私钥解密密文

* 即可得到

(

)。在

这个例子中，服务器端不需要用户的私钥就可以利

用

Eval

() 对加密的数据

Enc

(

) 进行各种各样的运算，

比如加法运算、乘法运算等。

目前，同态加密方案主要分为以下两类：

有限同态加密

(Somewhat Homomorphic

Encryption, SWHE) ：指允许对密文进行有限次数多

项式函数运算的同态加密。

关键词：

全同态加密　云计算　安全多方计算　区块链

李　杰

　张　江

中国科学院信息工程研究所

密码科学技术国家重点实验室

图1　一个简单的用户-云端同态加密场景

第 14 卷第 10 期 2018 年 10 月　

全同态加密

(Fully Homomorphic Encryption,

FHE) ：指允许对密文进行任意次数多项式函数运算

的同态加密方案。

基于格上困难问题的同态加密方案具有抗量子

计算机攻击的潜质，因而，是一种带噪声的加密方

案。随着运算次数的增加，噪声会逐渐变大（加法

变成 2 倍，乘法变成平方），当噪声达到上限阈值

时再进行计算就无法保证正确解密，所以金特里基

于理想格构造的基础同态加密方案

[2]

是有限同态加

密方案。噪声控制一直是同态加密方案的研究热点，

有效地控制噪声增长能够让同态运算的次数变多，

方案的安全性变强。

自举(bootstrapping) 是金特里在2009 年将

有限同态加密方案转变成全同态加密方案所用的关

键技术，也是迄今为止所有能够成功计算任意同态

操作的全同态加密方案的核心组件。它的主要思想

是从一个有限同态加密方案出发，当密文中的噪声

达到阈值上限无法再进行同态操作时，将所得密文

和私钥当成明文对其再加密，然后利用

Eval

() 算法

执行之前密文的同态解密操作，从而得到可以继续

支持同态操作的低噪声密文。“自举技术”要求有限

同态加密方案至少能够同态地计算自身的解密函数，

我们将支持“自举技术”的同态加密方案称为“可自

举的同态加密方案”。通过重复使用该技术，在循环

安全的假设下（使用公钥加密对应的私钥是安全的），

可将同态的计算能力提升到无限，最终基于一个有限

同态的加密方案构造出一个真正的全同态加密方案。

研究进展及挑战

研究进展

经过近 10 年的发展，全同态加密方案在效率

和安全性等方面都有了大的进展和突破。目前，学

术界将现有的同态加密方案按照不同技术阶段大致

分成三代。

第一代

　金特里最初基于理想格的方案以及基

于最大近似公因子问题的变种方案 DGHV

[4]

被称为

第一代同态加密方案。这一代方案密钥尺寸大、效

率低下。它们基于的是非标准的安全假设，并且被

发现在量子计算环境下不再安全。尽管如此，第一

代方案仍对后来的工作带来了极大的启发，具有划

时代的意义。

第二代

　基于格上“带错误学习 (Learning

With Error, LWE)”假设是第二代同态加密方案的特

点。与第一代相比，基于 LWE 问题构造的同态加密

方案更为简单，其安全性可以归约到标准的格上困

难问题。它的缺点是，由于密文是向量，通过张量

积的操作实现密文同态乘法运算会导致密文的维数

急剧膨胀。BV 方案

[5]

是第二代同态加密方案的代表

之一，它通过使用重线性化技术来控制密文的维数，

进而通过维数 - 模数约减技术减少了解密算法的复

杂性，从而构造出第一个可自举的基于 LWE 问题的

有限同态加密方案。另一个代表方案是 Brakerski 等

人提出的 BGV

[6]

方案。该方案用密钥转换技术来控

制密文维数膨胀问题，用模数转换技术来降低密文

运算中的噪声增长问题，从而达到无须自举就可以

实现多项式深度的同态运算，极大地提高了效率。

IBM 推出的 Helib 库和微软推出的 SEAL 库分别实

现了 BGV 方案的两个不同的变种，它们是全同态研

究中最具代表性的两个开源代码库。

第三代

　是指金特里等人构造的一个基于矩阵

近似特征向量的 GSW 同态加密方案

[7]

。该方案的

特点是密文由一个矩阵构成，可以进行自然的乘法

加法运算，避免了密文维数膨胀问题，同时无须密

钥转换技术和模数转换技术。GSW 方案在功能上也

得到了扩展，只需公钥就可以进行同态运算，所以

基于该方案可以构造基于身份的和基于属性的同态

加密方案。

由于自举是目前实现全同态加密的唯一路径，

同时也是造成目前全同态加密效率低下的主要原

因。最近几年，许多密码学者开始致力于提高自举

的效率。在 2014 年美密会 (Crypto) 上，Alperin-

Sheriff 和 Peikert

[8]

利用对称群和置换矩阵的性质

构造了快速自举一个比特的同态加密方案，该技术

为后来的方案提供了很大的启发。通过将该技术

专题

第 14 卷第 10 期 2018 年 10 月　

扩展到环上，Ducas 和 Micciancio 在 2015 年欧

密会 (Eurocrypt)

[9]

上将自举效率降低到 1 秒 / 次，

给出了自举一个比特只需要 0.69 秒 / 次的结果。

Chillotti 等人在 2016 年亚密会 (Aisacrypt) 的最佳

论文

[10]

进一步改进了文献 [9] 中的方案，将自举效

率提升了 12 倍，实现了自举一个比特只需要 0.052

秒 / 次。在 2017 年亚密会上，Chillotti 等人

[11]

再

次对文献 [10] 中的结果进行了优化，在 TFHE 库里

同等计算机配置下最终实现了 4 倍的提速，实现自

举一个比特需要 0.013 秒 / 次。

研究挑战

效率一直都是同态加密研究最关心的问题。无

论是有限同态加密还是全同态加密，虽然效率在不

断提升，但仍然无法大规模地应用到现实生活中，

效率问题是制约其广泛应用的瓶颈。

同态方案的安全性考虑仍不够完善。目前大多

数全同态加密仅仅考虑了语义安全模型，虽然语义

安全可以满足大多数应用，但没有考虑其他具体的

应用场景，例如在特定环境下可能存在特定的安全

威胁，例如侧信道攻击等。

有待进一步研究的问题和挑战还包括电路隐私

问题、循环安全假设问题、能否构造安全无噪声的

同态方案以及能否将同态加密技术应用到更多的其

他研究领域中。

应用场景

全同态加密在医疗、金融等方面有很多的应用

场景，在此，列举几个目前研究比较热门的应用场景。

安全多方计算

　安全多方计算是密码学的基

础之一，也是大数据时代实现隐私保护的重要技术

支撑。安全多方计算使得每个用户通过运行协议能

够计算一个共同协商的函数，保证除了函数的输出

结果以外，用户不泄露任何其他的隐私信息。同态

加密技术为构造安全多方计算协议提供了新的思

路，相比于传统方法，利用同态加密能够实现通信

效率更高的安全多方计算协议。比如，利用多密钥

同态加密，每个用户都可以独立用自己的公钥加密

自己的隐私数据，得到相对于自己公钥的密文，然

后任意

个用户都可以同态地计算定义在这

个用

户隐私数据上的函数

，并最终通过运行一个多方

的解密协议得到最终的计算结果。该方法的优点是

通信代价只与多方解密函数的复杂度有关，而与需

要计算的功能函数

的复杂度无关。

机器学习

　机器学习是人工智能的一类重要分

支，它模拟或实现人类的学习行为，以获取新的知

识或技能，同时不断改善自身的性能。然而，随着

机器学习热度的不断提升，安全问题显得尤为突出。

例如医疗数据、金融数据会包含用户的敏感信息，

用机器学习方法处理这些数据时，隐私和安全成为

我们最关心的问题。同态加密使得这个问题迎刃而

解，在对数据集进行训练时，可先对数据加密处理，

则可在保持数据样本隐私安全的前提下对数据进行

学习。研究人员现在已成功实现同态训练线性回归

模型与逻辑回归模型，目前正致力于同态地训练更

加复杂的其他机器学习模型。

区块链

　近几年区块链平台大量涌现，伴随着

智能合约功能的逐渐丰富与用户数量的持续增加，

区块链需要存储和传输的数据越来越多。但是到目

前为止，大部分区块链平台上的数据都是对全网公

开的，缺乏有效的隐私保护方案。在一些公有链和

联盟链中，可能会涉及相关企业的关键性隐私数据，

从而需要利用加密处理来保护隐私性。同态加密技

术同样可以解决区块链上互不信任的参与方之间进

行互操作的信息安全问题，即同态加密技术将区块

链中发布的数据内容和交互数据、数据状态属性等

进行加密，从而在保证数据安全的同时完成对数据

的操作。

结束语

同态加密技术在近十年来取得了空前的发展，

在云计算环境下对大数据进行处理的同时保护数据

的隐私性，有效推动了大数据产业和云计算服务的

发展。同时，现有的量子算法对格上困难问题无法

剩余99页未读，继续阅读

战神哥

粉丝: 1009
资源: 325

"CCCF-2018-10：面向隐私保护计算的密码新技术研究"

面向隐私保护的新型技术与密码算法专题前言.pdf

大数据计算环境下的隐私保护技术研究进展1

cccf-docker-instructions:cccf -> docker cli 说明

2020-CCCF- 冯琦,何德彪-密码学在区块链隐私保护中的应用.pdf

cccf-host-basic:将主机添加到 cccf 配置中的容器

cccf-scale:扩展 cccf 配置

2020-CCCF-张彦、卢云龙、黄小红-区块链与联邦学习：融合与互补.pdf

cccf-balance:跨主机平衡 cccf 容器

1705-CCCF-整本（中国计算机学会通讯）

CCCF-百度人工智能芯片推荐.pdf

最新资源