BCH:密碼學技術如何選型？初探理論能力邊界的安全模型_比特幣最高的時候是多少錢一枚2021

作者：李昊軒

來源：微眾銀行區塊鏈??

系統變更后，為何隱私數據頻頻泄露？密碼學算法自由組合后構成的新協議是否依舊安全？當下部署的隱私保護系統，10年后是否依舊有效？密碼學協議是否越安全越符合實際業務需求？

這里，我們將繼續密碼學技術選型的分享，從單個密碼學算法擴展到由多個密碼學算法構成的密碼學協議的安全性，梳理相關的能力邊界，以及選用不同協議對實際業務中隱私保護效果的影響。

正如上一論所提到的，學術界在構造密碼學算法時，引入了一系列安全假設，只有當這些安全假設都成真時，對應的密碼學算法才安全。類似地，由多個密碼學算法構成的密碼學協議，由于加入更多的交互方，需要引入更多的安全假設。

對于一個密碼學協議，其所需的所有安全假設，及對應假設下的安全性要求的集合，稱之為安全模型。

了解安全模型中引入的不同安全假設，有利于企業在進行密碼學相關的隱私保護技術選型時，客觀評估備選技術方案的有效性。

安全模型中不少關鍵安全假設是相互獨立的，可以根據這些關鍵安全假設將安全模型進行分類，以此簡化評估流程。最常見的三種分類方式如下：

半誠實VS?惡意

可通用組合?VS?不可通用組合

計算資源無關VS?計算資源相關

密碼學博士高承實：量子計算機大規模應用將對非對稱密碼算法和哈希函數帶來致命性的影響:密碼學博士，計算機應用專業副教授高承實發表《量子計算機的應用會顛覆掉比特幣系統嗎？》專欄文章，文章表示，量子計算機從發展狀況來看，還處于極其早期階段，離真正實用還有相當遠的距離。如果量子計算機真正能夠大規模應用，將對密碼算法當中的非對稱密碼算法和哈希函數帶來致命性的影響。現在基于數學難解問題而生成的非對稱密碼算法RSA和ECC安全性將不復存在，哈希函數的抗碰撞性也將受到極大挑戰，除非盡可能增加哈希函數的輸出長度。目前的非對稱密碼，主要是ECDSA和哈希函數SHA256，是比特幣系統最核心的底層技術，確保了比特幣分配和支付的安全，在比特幣系統的多個環節得到了應用，包括生成錢包地址、對交易進行簽名和驗證、計算區塊內所有交易的默克爾數生成區塊以保證塊內數據難以被篡改、激勵礦工開展挖礦競賽以維護系統的自運行……如果ECDSA和SHA256兩種算法的安全性不復存在，那么整個比特幣系統的安全性也將不復存在。

當然我們也沒有必要那么悲觀。第一，量子計算機的真正使用還有相當遠的距離；第二，隨著量子計算以及量子計算機的發展，抗量子計算的密碼算法也會同步得到發展，比如格密碼。

真的到了那個時候，或者比特幣系統中的密碼模塊會替換為抗量子計算的密碼模塊，或者比特幣已經完成它的歷史使命，從這個世界上消亡。（財新）[2020/12/24 16:21:46]

以上三種分類方式相互獨立，相當于三維坐標軸中的三個維度。以下將以小華的故事為載體，一一闡明對應分類下，密碼學協議的理論能力邊界。

金色相對論 | 肖臻：區塊鏈核心技術還是屬于分布式系統、密碼學等計算機傳統領域，跟機器學習也有很好的結合點:在今日的金色相對論中，針對“區塊鏈、分布式系統以及機器學習領域的研究具體應用有哪些”的問題，北京大學計算機系研究員、博士生導師，肖臻表示，雖然區塊鏈表面上是個新的領域，其實核心技術還是屬于分布式系統、密碼學等計算機傳統領域，跟機器學習也有很好的結合點，目前我們正在致力于利用該技術實現智能合約的高效、細粒度并發執行。已有的區塊鏈技術（比如以太坊中的智能合約）只支持單線程，就是因為在多核環境下并行程序的執行存在不確定性，影響區塊鏈中的節點達成共識。我的課題組開發的確定性重演技術有希望極大地提高智能合約的執行效率，成為區塊鏈3.0中的核心技術。我們的另一項成果是基于多智能體的智能決策系統，通過強化學習技術使得各智能體在去中心化的情況下獨立做出判斷，實現某個預先設定好的效益函數的最大化。[2019/9/12]

畢業季來臨，主人公小華離開自己的家鄉，來到了心儀城市就職。小華、房東美麗、房產中介之間的故事就此拉開帷幕……

半誠實VS?惡意

動態 | 1999年的密碼學難題被解開，證明被存儲在BTC和BCH區塊鏈上:據bitcoin.com報道，1999年4月，麻省理工學院（MIT）的密碼學家設想了一個預計需要35年才能解決的難題。上個月，自學成才的程序員Bernard Fabrot透露已經破解了該難題。Fabrot的證明過程已于4月20日被標記并儲存在BCH區塊鏈上，并已在此后5天被儲存在BTC區塊鏈上。此后Antpool礦池還在Coinbase的數據中為573138區塊添加了祝賀信息。[2019/5/18]

小華初來駕到，眼下最迫在眉睫的事，就是找到可以讓自己過夜的地方。小華通過中介獲取房源列表，最終選定了一套比較滿意的房源，并在中介的撮合下，與房東美麗取得了聯系。

在這個過程中，中介作為參與第三方，受法律規范和社會道德所約束，一般情況下并不會對房屋合同的租金、房屋信息等內容進行篡改。但是，房屋合同中包含大量個人隱私數據，中介可輕易獲取租賃雙方相關行為信息，存在顯著的隱私數據泄露風險。

為此，小華根據自身專業知識設計實現了一套密碼學租房協議，只要中介能夠正確履行該協議，交互過程中產生的隱私數據就不會泄露了。?

以上租房交互協議，依賴中介能夠正確執行租房交互協議的安全假設。基于這類安全假設的安全模型，在密碼學中被稱為半誠實模型，又稱誠實且好奇模型，或被動攻擊者模型。

聲音 | “現代密碼學之父”迪菲：量子計算不會威脅到區塊鏈:據澎湃消息，3月27日，被譽為“現代密碼學之父”的圖靈獎得主惠特菲爾德?迪菲（Whitfield Diffie）在博鰲亞洲論壇上接受澎湃新聞采訪時表示，量子計算只會威脅到密碼學中非常窄、但非常重要的一個領域，上世紀70年代建立起來的公鑰加密體系會變得脆弱。但密碼學中的許多技術，包括區塊鏈用到的哈希編碼在量子計算面前并不脆弱。[2019/3/27]

半誠實模型

參與者一定會正確執行密碼學協議，但會試圖從密碼學協議執行過程產生的中間結果中提取隱私數據。

當前大部分密碼學協議都選用了半誠實模型，這類安全模型在效率、協議設計難度上都有顯著優勢。同時，大部分業務部署時，參與方都會被現實世界諸如法律法規等因素約束，不會進行極端惡意攻擊。

小華期望通過上述半誠實模型下的密碼學租房協議，與美麗完成房源匹配和簽約流程。該技術方案將對小華和美麗的身份信息、租房明細等提供有效保護。

然而，意外還是發生了。中介并沒有如約履行該協議，并在頂級黑客的協助下，篡改了部分協議流程，小華和美麗的隱私數據，最終還是泄露了。

為了應對以上隱私風險，這里需要引入密碼學中更強的安全模型——惡意模型，也稱主動攻擊者模型。

聲音 | 肖風：密碼學已在理論上有很多成果可供解決數據隱私保護問題:今日在“Web 3.0時代隱私計算構建新數據共享世界”峰會上，萬向區塊鏈董事長肖風表示，隨著人工智能的興起，隱私計算成為世界性話題。然而，并非所有數據都存在于互聯網平臺上，也不是所有數據都是法律法規允許共享的。因此隱私計算的概念才得以提出，而恰恰密碼學已在理論上有很多成果可供我們來探討解決數據隱私保護問題。[2018/12/1]

惡意模型

參與者可以完全不遵守密碼學協議，并會采取任何手段對密碼學協議進行攻擊從而提取隱私信息。

小華吸取了上次的教訓，重新基于惡意模型設計了密碼學租房協議。盡管中介和他的黑客伙伴使出了十八般武藝，但最終也沒能攻破新協議。

小華和美麗的隱私數據終于得到了保護，但背后引入了高昂的代價。

在惡意模型下，構造一個安全的密碼學協議，通常需要在每一個可能被攻擊的環節引入零知識證明或安全多方交互。相比相同業務場景中半誠實模型下的密碼學協議，其計算和通訊的代價以及協議自身的設計難度都會高很多，甚至可能會出現實際不可用的情況，影響最終的用戶體驗。

現實可用的密碼學隱私保護方案有一定的性能要求，這里需要分析具體業務場景中攻擊者的“動機”，以此來選擇是否可以使用半誠實模型。如果攻擊者缺乏進行惡意模型下攻擊的動機，如潛在回報小于預期收益，或者攻擊只會對攻擊者自身造成利益傷害，業務方案設計可以比較安全地使用半誠實模型。

在現實業務中，受益于法律規范和社會道德的約束，大多數系統面臨的潛在攻擊源自于半誠實模型下的威脅。

尤其是強監管行業中的業務場景和其他作惡動機低的應用場景，相比惡意模型，在半誠實模型下構建隱私保護技術方案，可以顯著提升系統性能和用戶體驗。

可通用組合?VS?不可通用組合

小華的故事還在繼續。美麗考慮到房屋未來有自住的可能，希望在密碼學租房協議中提出一些支持租期靈活變動的特性。這需要對現有技術方案進行變更，添加一些新的密碼算法模塊。

新問題隨之而來：變更之后的隱私保護技術方案是否依舊有效？

這一問題對應的兩類安全模型就是可通用組合模型和不可通用組合模型，通常簡稱為UC模型和非UC模型。UC源自英文UniversalComposable，對應的定義如下：

可通用組合模型

該模型下的密碼學協議，其使用的密碼學算法組件都滿足UC的安全性要求。通過組合定理，可以將這些UC安全的密碼學算法組件任意自由組合，從而構造更加復雜但依舊安全的協議。

不可通用組合模型

該模型下的密碼學協議，對其進行修改、重組、拆分，之后獲得的新協議不一定具備原協議的安全性。

在上述小華的故事中，如果原密碼學租房協議不滿足UC模型的安全性要求，根據美麗的訴求更改協議之后，新協議很可能就不再安全，稍有不慎就可能泄露小華和美麗的隱私數據。

由于需要非常嚴謹的證明才能滿足UC模型的安全性要求，UC模型下可用的密碼學算法組件比較有限，目前大部分隱私保護技術方案都是非UC模型下的。

對于企業來講，這里的警示是，務必要核實定制化過程是否破壞了隱私保護技術方案的有效性。

在業務落地過程中，難免需要對現有方案進行深度定制，而定制密碼學協議的過程中，需要特別留意變更后的密碼學協議是否依舊能夠提供業務預期的隱私保護效果。

計算資源無關VS?計算資源相關

再次回到小華的故事。

小華通過密碼學租房協議，與美麗簽訂了一份長達5年的租房合同。在這5年內，計算機技術研究有了不少新突破，可用的計算能力上限提升了1萬億倍。之前飽受挫折的黑客卷土重來，那么，小華的密碼學租房協議是否岌岌可危？

這就引入了第三類安全模型的分類方式，即是否受到計算能力發展的影響。

計算資源無關模型

即使攻擊者擁有無限的計算資源，密碼學協議仍然是安全的。

計算資源相關模型

密碼學協議已知的最優破譯方法，其所需的計算資源遠遠大于攻擊者目前擁有的計算資源。

計算資源無關模型，通常也被稱為無條件安全模型或信息論安全模型，是信息論中最嚴格的安全模型。即便是當下熱議的可能突然出現的超高性能量子計算機，也無法破譯該安全模型下的隱私保護方案。

計算資源無關模型下的可用方案極少，唯一常用的方案是基于一次一密的密碼學協議，并需要額外引入關于安全地生成和傳輸無限長度密鑰的安全假設。

絕大部分密碼學協議屬于后一類，即計算資源相關模型。一般通過數學規約的證明方法，證明密碼學協議可以被規約到某個計算困難問題，由此保證攻擊者在有限時間內難以完成計算，此時也被稱為可證明安全模型。

從以上分類可以看到，小華的密碼學租房協議的安全性，很大概率會受到計算能力發展的影響。

對于企業而言，評估隱私保護方案中密碼協議的有效性，一定要結合隱私數據的敏感性和時效性，舉例分析如下：

某醫療制造商需要對采購方的采購金額、身份、明細等數據進行隱私保護操作，保護的時效性可能需要5年甚至更久。因此，需要選擇的技術方案需要提供較長時間的安全，才能滿足計算資源相關模型的安全性要求。

一些業務僅僅需要在幾個小時內保證數據的隱私性。這類場景下，可以選擇系統效率更高，但所需破譯時間相對較短的方案，也能滿足計算資源相關模型的安全性要求。

平衡使用密碼學協議構建隱私保護技術方案對業務商業流程的影響，實現系統效率最大化和用戶體驗的最優化，并不是選用的密碼學協議安全性越強越好。

一般情況下，建議在滿足業務需求的安全模型下，構建效率最優的密碼學協議，夠用就好。

正是：密碼方案選型無頭緒，安全模型定義知根底！

隱私保護業務落地，安全模型選型是影響隱私保護效果的重要因素之一。密碼學協議安全模型多種多樣，安全級別越高的安全模型往往效率越低。事實上，現實社會的法律規范和社會道德約束著很多業務場景，有利于簡化密碼學協議的設計。

企業需要對具體場景具體分析，選用最合適的安全模型，在此基礎上定制最適合自身業務場景的隱私保護技術方案，往往比直接套用通用方案效果更佳。

除了本文分析的理論能力相關的安全模型之外，實際開發部署技術方案時，工程層面的疏漏也會不幸地導致隱私數據泄露，具體分析，敬請關注下文分解。

Tags：區塊鏈比特幣BTCBCH區塊鏈工程專業學什么課程好比特幣最高的時候是多少錢一枚2021ViaBTC TokenBCHB價格

酷幣