当前位置: 玩币族首页 > 区块链资产 > 密码学原语如何应用？精彩36问

密码学原语如何应用？精彩36问

2020-06-30 巴比特来源：火星财经

2020年3月4日，《隐私保护周三见》正式与大家见面。栏目围绕即时可用场景式隐私保护高效解决方案WeDPR的核心技术点，每周三晚8点，以社群直播的形式，和各位专家一起探寻隐私保护的发展之道。

每一个论题，交流群里的伙伴或积极参与讨论，或对分享内容不吝指正，不断助力论题拓宽研究深度，也让我们获益匪浅。本合集对交流群中的精彩碰撞进行整理汇编，以飨读者。

自下一论（第15论）起，我们将针对数字化业务系统中无处不在的数字签名开展系列解析，欢迎更多伙伴加入，共话隐私保护。进群请在公众号对话框回复【小助手】。

点击回顾：第1~9论精彩50问

第10论｜密码学原语如何应用？解析密码学特有的数据编解码

@中·李：PKCS#7中，隐私数据本身以05结尾，没有影响吗？@廖飞强：不影响。不管以什么内容结尾，都会填充，因此最后一部分是填充数据，可以区分是填充格式的内容还是数据本身的内容。

@Suki：数据编解码与数据加解密有什么区别？@廖飞强：单纯的数据编解码不能提供数据机密性功能，数据加解密是一类提供数据机密性保护的密码算法，但实现这些密码算法离不开数据编解码的参与。

另外，数据编解码不只用在数据加解算法中，例如第9论中的单向哈希实现，也需要数据编解码。数据编解码是密码协议中数据处理不可缺少的环节。

@blackflower：抗量子数据加密算法中，是如何进行数据映射的，需不需要用到量子协议？@廖飞强：抗量子数据加密算法目前研究较多的是格密码，其实现与量子协议没关系，也不存在使用量子协议进行编解码。类似还有NTRU等，其数据映射还是采用经典的数学编解码方式。

@wheat：加解密性能看起来和数据分组方式有很大关系啊，现在国密性能普遍偏低，是否与这有关系？@廖飞强：关系不太大，国密也是采用这些标准的分组加密模式，慢的原因主要还是在算法软件工程实现上。

@wheat：分享中说到，数据分组会影响安全和性能，是不是有最佳推荐方式或者标准规范呢？@廖飞强：一般从安全和性能上考虑，推荐CTR分组加密模式。

GMSSL中关于国密SM4的实现现状可以参考下图：

@唐炜：CTR主要还是因为可以并行，速度快，能否结合ECB这类方式，增加一些保护的强度？@廖飞强：CTR实际上可以看成是解决了ECB模式的安全性的优化版本，而不牺牲并行加解密。

@唐炜：CTR的密码本会不会有点简单啊？

@廖飞强：不会。CTR简洁且安全，得益于它的计数器设计。每次加密解其计数器中的nonce是随机选取的，作用类似于CBC中的IV，因此有效解决了ECB的安全问题。

@唐炜：这样的确安全一些。IV的传递和使用安全性也是个管控点吗？

@廖飞强：get到点了，IV和nonce都要随机产生，不能重复使用。

@唐炜：要把IV当成密钥一样传递、使用。不用了，销毁。这样应该可以吧？

@廖飞强：一次使用过程中，IV是附加在密文一起的，解密需要用到IV。IV的作用是提供随机性，即相同明文、相同密钥，每次提供不同的IV，其密文是不同的。其密文的安全，依赖于密钥的保护。

@唐炜：但保密传输他不香吗？

@廖飞强：密文+IV就是能保密传输的数据。

@唐炜：每次使用一个随机的IV和多个IV，n个参数一起产生IV，n至少一个。不固定。安全性和便利性有啥变化吗？也就是随机种子的产生方式问题。

@廖飞强：建议最好不用自己设计的随机数产生方法，容易出现漏洞，难以提供随机性。使用标准的伪随机生成器就能满足要求。

@唐：国密算法通过加密机主要起到什么作用？硬加密相比软加密有哪些好处？@廖飞强：加密机提供保护密钥、执行加解密等密码算法的功能。硬加密对比软加密的显著优势是大幅提升了性能和安全性。另外还提供了更好的随机数，便于产生更安全的密钥。

@唐：现在的数字信封方式动态产生密钥文件主要作用是避免密钥泄露吗？@廖飞强：动态产生密钥文件更安全，如果能一次一密，当然更好。

@刘雪峰@西电：嘉宾今天讲的加密上工程面临的问题，很透彻。隐私计算领域，工程坑也有很多，比如负数、浮点数、无理数等等，目前还没有统一标准。这个可能也是未来学术工程化一个待解决的问题。

@廖飞强：是的，密码协议的标准工程实现也面临很大的挑战，需要不断完善、升级。

第11论｜密码学原语如何应用？解析密码学承诺的妙用

@邱震尧：使用支持加法同态特性的加密算法，是否也能实现类似Pedersen承诺的密文加法约束关系验证的效果？例如使用Paillier加法同态加密算法。

@廖飞强：Paillier加法同态加密算法可以达到这种密文关系效果，但Paillier可以解密密文，主要用于用户自身的加解密数据。其密钥需要自己保存，因此不方便其他人验证。

@唐炜：这个不解密计算的方法，已经有和应用系统贯通的场景使用了吗？

@廖飞强：目前使用最广泛的就是隐私支付了，比如WeDPR提供公开可验证密文账本方案中的隐私交易特性就采用了Pedersen承诺。

@H：听过3D零知识证明，不知道是不是也用到了Pedersen承诺？

@廖飞强：通过查看公开的专利，使用到了Pedersen承诺。其核心是Pedersen承诺结合双线性对构造了一种验证乘法关系的方案。

@琪：Pedersen承诺看似挺好用，用于零知识证明过程中有什么不足或局限吗？

@廖飞强：有的。Pedersen承诺适合做简单的约束关系证明，对于复杂的关系证明都需要额外构造。另外要证明承诺值满足在一个特定范围，需要额外的范围证明提供支持。

@lekkoliu：zk-SNARKs零知识证明系统。还是挺期待的

@廖飞强：后续有零知识证明系统专题哈，欢迎持续关注！

第12论｜密码学原语如何应用？解析密文同态性的妙用

@lekkoliu：目前同态性在应用层面哪些已经投入了产业界使用？又分别在哪些领域，性能如何？

@李昊轩：目前利用同态性构造的密码协议非常多，比如支付、投票、竞拍等等隐私保护场景均会涉及。半同态加密方案已经比较成熟，能够满足大多数业务的需求。全同态近些年发展也很快，在医疗领域也有了一些应用，但是正如前面所说，还面临数据膨胀、复杂度高等问题，支持高频次和大数据量的业务需求，还需一定的努力。

@lekkoliu：全同态的方案目前仅面临性能的瓶颈了吗？根据摩尔定律来看，是否三到五年后能够到来呢？

@李昊轩：全同态方案目前除了性能瓶颈外，还面临业务方理解难度大、模型复杂等问题。但是按照当前的发展势头，发展可期。

@皱皱：同态加密和安全多方计算哪个更好？

@李昊轩：同态加密被广泛用于构造安全多方协议。同态加密本质是一种加密算法，即对数据的加密和解密。安全多方计算则是一种协议模型，即对数据进行一定处理，得到最终结果。两者相辅相成，不具有直接可比性。

@皱皱：那么同态加密、零知识证明、安全多方计算，他们都有什么关系？

@李昊轩：可以这样理解，同态加密可以用来实现安全多方计算，零知识证明可以用来保证安全多方计算的正确性。根据密文的同态性，可以巧妙构造一些零知识证明，从而证明这些不同密文之间的代数关系，如证明C(v1)=c(v2)+c(v3)。

@kentzhang：单密钥和多密钥同态性能差异，大到什么程度，和密钥个数成怎样的比例？

@李昊轩：多密钥全同态加密在算法复杂度上与单密钥至少有10倍以上的差距，可以参考这篇文章《EfficientMulti-KeyHomomorphicEncryptionwithPackedCiphertextswithApplicationtoObliviousNeuralNetworkInference》

@kentzhang：多方同态在个数有限，数据量较小(64位以下)，比如3方的情况下，还能做到体验上基本可用、立等可取的节奏不？

@李昊轩：在大部分情况下，多密钥同态性能都不如其他定制化的安全多方计算协议，目前多密钥同态在工程上的实现较少，仅有的工程实现资料主要是微软研究院针对SEAL做的扩充。

@blackflower：想问一下，有没有可以体验的全同态开源代码库？

@李昊轩：这个网站总结了一些目前开源的全同态加密库，可以参考下：https://homomorphicencryption.org/introduction/

@suki：密文同态技术和区块链有什么好的结合点？

@李昊轩：比如在联盟链中，考虑到监管需求，链上机构可能需要将应用中的一些隐私数据上链，如营收账目、产品流量等。为了不泄露机密，机构可以使用监管方的公钥对这些信息进行加密，加密后，信息统计可交由代理机构完成。在这种场景下，由于需要针对密文进行计算，同态加密便可大展身手。

@wheat：如何看待利用承诺构造乘法同态，再结合本身承诺具备的加法同态，就叫做全同态的说法？

@李昊轩：这种说法在学术圈比较少见。全同态在密码学中一般指全同态加密FHE，FullyHomomorphicEncryption，或者我们一般说密文具备什么样的同态性。

@wheat：snark是否有使用同态性质，或者说借助这个特性？比如如ZCash中的拆分支付，是否用到？我理解需要证明会计平衡，可能需要……

@李昊轩：ZKSNARK是基于电路构造，原理上也是根据不同密文中对应的明文相互关联进行验证，这种也可以说是广义上的同态性。

@wheat：既然全同态这么难，有没有存在比较好的办法，将乘法转为加法，然后用加法同态来实现隐匿计算？联邦学习中就必然会面临这个问题

@李昊轩：机器学习中经常面临的问题是计算模型不明确，如果是确定性的计算过程，比如说固定轮次的乘法这种，转换为加法，然后使用半同态方案就比较高效。

@郭锐KyonGuo：感谢李老师，很硬核！能否推荐同态加密相关的综述性论文供大家参考。

@李昊轩：半同态的算法目前比较成熟，我就不再赘述了。多密钥全同态的论文可以参考这篇《Multi-KeyFHEfromLWE》

第13论｜密码学原语如何应用？走近门限密码算法

@琪：请问门限签名讲解过程中，提到了可以不依赖可信第三方来初始化，具体是怎么操作的？

@李昊轩：有多种替代第三方初始化的过程，我这里抛砖引玉给大家提供一种方法。一种常见的思想就是使用我们之前提到过的密文同态性，用户本地产生随机数，将私钥碎片放入密码信封中，作为密文共享，最后完成初始化的过程。

@小花：想了解一下，门限密码学算法和相关技术方案，有没有好的开源库推荐？

@李昊轩：门限密码学有很多通用算法，以门限签名为例，基于BLS的门限签名就是比较常用的实现方案，开源社区上有很多成熟实现。

@李大狗：比多签更加复杂的权限控制是怎么实现的呢？例如不同的私钥有不同的权重。

@李昊轩：有一个很朴素的思想，就是一个实体拥有两份私钥，这样他对外的权重就可以理解为2。当然，更复杂的扩充方案密码学中也有考虑，但是如何在保证私钥权重隐私性的情况下，还能实现不同权重的占比，也是密码学一个很有意思的研究方向，这里也和安全多方可计算相关。

@唐炜：如果不考虑性能，可以切多份私钥，权重靠私钥的数量来划分。以前的方案里，门限都是用来解开备份密钥的。

@wheat：门限加密只能是公私钥的方式吗？有没有对称加密模式的门限加密呢？

@李昊轩：针对秘密共享是密码学原语之一，公钥加密和签名是公钥密码领域的设计。

@wheat：似乎没提schnnor，怎么看schnnor和BLS？

@李昊轩：schnorr聚合签名是将n个公钥，对应的n个签名聚合在一起，减少验证签名成本的一种优良方案，和我们讲的门限签名不太一样，这里就没有展开。

@袁浩然-HaoranYuan：尽管现有的秘密分享、门限加密、门限签名可以实现多用户参与的密文解密、签名等功能，但是现有的方案在用户撤销时，是否依然面临系统重构问题，是否还是需要重构拉格朗日差值多项式？

@李昊轩：作为一种特殊的群签名，可扩充的门限密码方案在复杂度上都不是特别理想。成员新增、扩充等操作都依赖重复初始化的过程，这个也是一个很有意思的研究方向，就这个问题而言，大部分方案看上去都需要。

@曾毅DevinZeng：如果要实现ABC三个用户的三分之二门限签名，那么在签名前，ABC是怎么得到自己的私钥分片的？他们需要两两通讯多次吗？

@李昊轩：可以参考《ThresholdSignatures,MultisignaturesandBlindSignaturesBasedontheGap-Diffie-Hellman-GroupSignatureScheme》这篇文章。这篇文章基于BLS做了门限签名的扩充，交互不需要两两交互，只需要所有成员共同交互一次就可以，剩下的过程可以用交互证明来省略。

@杨高峰：可不可以多硬件同时工作，提高可用性？@严强：一定程度上是可以的，但有安全性代价和限制。

这里关键是要不要把TEE中私钥导出，如果需要导出，那解决可用性问题的同时，其安全性的卖点也相当于打了折扣。

如果不从TEE中导出私钥，可以通过一些基于门限密码学的方案，联合使用多个硬件设备中的私钥共同生成一个公开公钥，这样可在一定程度上缓解可用性问题，但是这些方案，一般只支持静态的TEE设备组，不支持动态增加TEE设备，不能从根本上解决可用性问题。

@达达：我觉得评价一个技术的成熟度，不应该看存在了多少年，应该看实用了多少年吧~

@李昊轩：评价技术成熟度可以从学术研究和产业落地两方面考量，学术价值和产业应用不完全对等，但两者相辅相成。

@严强：有道理，在这个标准上，那TEE可能就更年轻了。

@suki：想请问下严博士，有人说TEE是隐私保护对于数据可用性的妥协，不得不信厂商和平台，怎么看待这一观点？

@严强：用户总是有选择的权力的。隐私保护的诉求很多时候是一个风险管理问题，如果收益很高，用户对隐私风险也不敏感，那信厂商和平台也无妨。但如果不是这个情况，可以酌情选择不参与，压根不提供数据，或者使用其他技术方案。

也会有一些观点提到，其他的软件通用方案都不能支持现有的实际业务需求，说的也不是没有道理。但是它并没有提定制化方案也走不通，我们在实际业务探索中发现，如果认真去提炼具体的业务场景需求，并围绕场景的共性为核心，设计定制化方案，也能很好满足需求，而且不需要引入任何中心化的可信第三方。

@三塔菌：感谢严博士的精彩分享，作为小白，想请教几个问题：1、TEE是和硬件(或者硬件平台)强相关的，目前可以作为平台服务商的公司是否屈指可数呢？那么，基于TEE的数据隐私方案是否只能这些厂商来主导呢？ 2、TEE技术在保护用户数据方面有很好的优势，但是这种能力是否适用在物联网场景下呢？ 3、听说有软TEE和硬TEE两种，软TEE是否是一种伪TEE呢？

@严强

1、TEE只是一个技术工具，很难说由谁来主导的问题，作为用户和开发者，大家总是有，不使用平台服务商指定的TEE权力的。 2、对于物联网应用，如果TEE硬件设备，是在公开环境中部署的，它可以起到一定的安全加固作用。至于是不是能够保护好用户数据，就要看TEE设备实际有谁来控制了。 3、软TEE通常指通过软件算法手段，来核实程序执行的环境是否被修改，通常会比硬TEE的验证功能弱。但其也有优点，一般不依赖中心化的验证服务，不能说是伪TEE。

@三塔菌：我理解TEE是一个基于硬件的可信执行环境，这个硬件在终端设备上，秘钥不出终端设备。但是基于云服务的TEE是指云服务厂商提供TEE的方案么？这个秘钥要是不在终端，感觉就有些不靠谱了~

@严强：TEE的精髓在于，信则有。如果相信云服务商，自然可以用用他们的服务。否则的话，还是需要自己能够掌控TEE硬件。作为一项安全加固技术，TEE在自己机构内部，还是可以安心使用的。

《隐私保护周三见》

“科技聚焦人性，隐私回归属主”，这是微众银行区块链团队推出《隐私保护周三见》深度栏目的愿景与初衷。每周三晚8点，专家团队将透过栏目和各位一起探寻隐私保护的发展之道。

栏目内容含括以下五大模块：关键概念、法律法规、理论基础、技术剖析和案例分享，如您有好的建议或者想学习的内容，欢迎随时提出。

本文来源：巴比特
原文标题：密码学原语如何应用？精彩36问

—-

编译者/作者：巴比特

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。

知识隐私保护微众银行

密码学原语如何应用？精彩36问

相关阅读：

新文章

知识推荐