一個原本有望成為國際密碼學(xué)研究新技術(shù)的GGH密碼映射方案,最近被西安電子科技大學(xué)胡予濮教授攻破����,對GGH映射本身以及基于GGH映射的各類高級密碼應(yīng)用進(jìn)行了顛覆性的否定�����。胡予濮教授的相關(guān)研究成果已經(jīng)被2016年歐洲密碼年會正式接收����。5月8日����,胡予濮將赴奧地利維也納,在歐密會上正式向全世界的密碼同行報告這一突破性成果�����。
世界密碼學(xué)者試圖解決的一個公開問題
“用最通俗的話來說��,GGH密碼是和人們的通信安全有關(guān)����。”西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國家重點實驗室的胡予濮教授表示�,1976年以前,人們在通信領(lǐng)域的觀念是“不事先進(jìn)行秘密共享是無法進(jìn)行保密通信”�。1976年��,斯坦福大學(xué)的密碼學(xué)家惠特菲爾德·迪菲和馬丁·赫爾曼首次提出公鑰密碼體制的思想��,給出非交互密鑰協(xié)商的概念�����。胡予濮介紹�����,“提出這個概念后,顛覆了人們傳統(tǒng)的觀念���,使得用戶可以在一個完全開放的信道上進(jìn)行秘密共享�,實現(xiàn)保密通信����。這一思想上的突破,成為了現(xiàn)今密鑰交換系統(tǒng)的基礎(chǔ)�,被廣泛應(yīng)用于網(wǎng)絡(luò)通信?�!?/p>
“舉個通俗的例子��,假設(shè)有A和B兩人在異地,A想告訴B一個秘密�,但不想讓其他人知道,若直接寫信的話����,可能會被快遞員偷看,現(xiàn)在他把秘密放進(jìn)一個帶鎖的盒子里����,B收到盒子后再用鑰匙打開,但前提是B和A要事先擁有共同的鑰匙��。而‘事先擁有共同的鑰匙’其實就是密鑰協(xié)商��?����!焙桢Ы淌诘牟┦垦芯可Z惠文說����。
“迪菲與赫爾曼實現(xiàn)了無需交互就可以在公開信道上共享密鑰,但僅限于兩方���。如何將這一機制擴展至三方乃至多方����,一直是現(xiàn)代密碼學(xué)沒有解決的公開問題。在接下來的幾十年中��,全世界密碼學(xué)者們都在試圖解決這個公開問題���,然而研究始終未能取得突破性進(jìn)展�?��!焙桢П硎?��,2013年的歐密會上,時為加州大學(xué)洛杉磯分校的博士生薩吉·杰瑞格以及IBM研究員克雷格·金特里和塞·哈勒維�����,共同提交了一篇論文《基于理想格的候選多線性映射方案》�。該論文提出一個分級編碼系統(tǒng)概念���,并以此在理想格上實現(xiàn)了第一個多線性映射方案(GGH映射����,取名于三位作者姓名Garg、Gentry和Halevi的首字母)�,進(jìn)而解決了現(xiàn)代密碼學(xué)遺留的這個公開問題,這篇論文也因此獲得當(dāng)年歐密會的最佳論文獎�����。
“GGH多線性映射方案��,對密碼學(xué)界產(chǎn)生了深遠(yuǎn)的影響��,迅速在國際密碼學(xué)界引發(fā)了多線性研究的熱潮��?���!焙桢Ы榻B��,這幾個人因為這個里程碑式的密碼映射方案����,不僅為密碼學(xué)界遺留下來的公開問題找到了答案��,也促使了其他近似多線性映射方案的構(gòu)造����,并有望在未來廣泛應(yīng)用于證據(jù)加密、廣播加密����、屬性加密、功能加密�����、聚合簽名等多種場合���,從而將現(xiàn)代密碼學(xué)大大地向前推進(jìn)一步。但由于多線性映射的特殊性����,杰瑞格等人無法直接證明GGH密碼方案是安全可行的,所以他們在論文中采取窮舉攻擊的辦法����,嘗試了所有現(xiàn)存的以及他們自己提出的攻擊方法�,來間接表明該方案是安全的。胡予濮說���,“2014年5月底���,我在日本九州大學(xué)進(jìn)行學(xué)術(shù)訪問時���,無意間了解到了這個信息,覺得很有意義����,就嘗試著要對它進(jìn)行密碼分析,也就是破解��?���!?/p>
沉浸“密碼世界”挑戰(zhàn)國際頂尖研究
“粗看上去,杰瑞格等人提出的GGH密碼映射方案到處都是漏洞��,但你就是無論如何也攻破不了它����。”胡予濮回憶他初次接觸GGH時說�����,“GGH提出者均是當(dāng)今國際上頂尖的密碼研究者,他們的方案十分完整���,已經(jīng)列舉了各種能夠想到的攻擊方法�,并都進(jìn)行了嘗試���?����!?/p>
從2014年5月底到2015年2月中旬�,胡予濮的腦海里全是GGH密碼方案��,他完全沉醉在格公鑰密碼�、數(shù)論�、概率統(tǒng)計等學(xué)科的世界里�。
“在攻破GGH密碼方案的過程中,最具有紀(jì)念意義的一天是2015年3月7日����?!焙桢П硎荆拔乙煌砩隙紱]睡覺���,突然覺得GGH的結(jié)構(gòu)有些不對����,半夜起來開始驗算�����。到了第二天早上還是覺得不對�,又躺在床上稍微休息了一會兒�����,希望等腦子清醒了繼續(xù)推算����。到了中午時候,我再一步一步進(jìn)行驗證��,第一次發(fā)現(xiàn)了GGH的漏洞確實是存在的�!”胡予濮激動地說,即便經(jīng)過多次推導(dǎo),已經(jīng)驗證了GGH存在漏洞����,但自己還是沒有輕易下結(jié)論說攻破了這一方案���。他將演算思路告訴自己的博士生賈惠文��,要求他對該過程進(jìn)行反復(fù)推導(dǎo)和驗證。最終���,他們得出一致結(jié)論���,攻擊過程正確無誤����。
“在此前的大半年時間里,胡老師和我到處碰壁��、毫無成果��,各種攻擊方法嘗試了50多種�����。有一次��,我們甚至都已經(jīng)將文章投遞出去了,但大半夜胡老師發(fā)現(xiàn)推導(dǎo)過程有漏洞��,讓我趕緊撤稿���?�!辟Z惠文表示�����。
2015年3月15日���,為了確認(rèn)已經(jīng)攻破了GGH密碼方案,胡予濮將描述攻擊過程的手稿發(fā)給了該方案的三位原作者�。“該方案的第三作者塞·哈勒維代表三人回函稱:‘感謝您發(fā)送的手稿���,您描述的攻擊方式�,似乎的確打破了我們在GGH一文中提到的多方密鑰協(xié)商機制?��!焙桢Ц嬖V記者��,找到了GGH的漏洞����,原作者也承認(rèn)了他提出的攻擊是有效的��,但密碼學(xué)領(lǐng)域的這場智力較量卻剛剛開始�。后來,胡予濮和賈惠文將進(jìn)一步的研究成果發(fā)給GGH相關(guān)論文的作者�����,對方一片沉默�����。
利用“組合拳”破解“高人”研究成果
“我們的研究成果�����,一是攻破了GGH映射的安全性假設(shè)���,二是攻破了基于GGH映射的非交互多方密鑰交換協(xié)議���,三是攻破了基于GGH映射的第一個證據(jù)加密方案(無論編碼工具公開還是隱藏),四是給出GGH映射的兩個修改方案并對它們進(jìn)行有效攻擊���?�?梢哉f,這是一套組合拳���,是對GGH密碼映射方案一次釜底抽薪式的攻擊�?!焙桢П硎尽?/p>
密碼學(xué)和信息安全有什么關(guān)系���?密碼技術(shù)是信息安全的核心技術(shù)�����。胡予濮說�,如果把信息安全當(dāng)作一個有大門��、有圍墻的院子。要想進(jìn)院子���,辦法有多種�����,可以翻墻進(jìn)去���,也可以推倒墻進(jìn)去,還可以挖個洞爬進(jìn)去�����,但正常合理的辦法是把門上的鎖打開���,然后推開門走進(jìn)去����。密碼技術(shù)就是大門上的那把鎖����,鎖的質(zhì)量好不好�����,雖然決定不了院子是否安全�,但卻是合法通行的關(guān)鍵。密碼技術(shù)的不斷研究��,推動著信息安全技術(shù)的發(fā)展�����。
胡予濮介紹����,現(xiàn)代密碼學(xué)發(fā)展��,就是密碼編碼學(xué)和密碼分析學(xué)“相互打架”的過程�����,也就是設(shè)計密碼和破解密碼兩撥人的較量����。設(shè)計密碼的人希望自己的密碼體制難以被對手攻破,破解密碼的人希望可以破解敵方的所有密碼體制���。
“學(xué)術(shù)研究上�,破解的目的是幫助原有密碼變得更加完善,推動現(xiàn)代密碼學(xué)向前發(fā)展�����。GGH可以被看作是一種密碼原語��,一旦被證明安全可行����,就可以在它的基礎(chǔ)上構(gòu)造出許多新的密碼體制,將極大地豐富未來密碼應(yīng)用的場景����。”胡予濮表示�����,雖然他們在破解GGH密碼方案的過程中已經(jīng)做了不少工作�����,但一切才剛剛開始,下一步他們還將對基于GGH映射的不可區(qū)分混淆進(jìn)行分析�。
(文/《西安晚報》·秦 明 任 娜)
陜公網(wǎng)安備61019002002681號
