免責聲明:本文旨在傳遞更多市場信息,不構成任何投資建議。文章僅代表作者觀點,不代表火星財經官方立場。
小編:記得關注哦
來源:微眾銀行區塊鏈
密鑰設置是否只要夠安全就能夠重複使用?定期修改密鑰到底有沒有必要?密鑰不幸遺失該如何恢復?素未謀面的雙方,如何才能安全地進行密鑰協商?
上一論我們瞭解到,基於密碼學的隱私保護方案,其有效性很大程度上取決於能否有效管理好密鑰。這裡,我們將進一步分析密鑰管理的具體範疇、每個操作環節的典型風險,以及應對手段。
密鑰管理的對象是密鑰本身或者用於生成密鑰的密鑰材料(常稱之為
根密鑰),三類主要操作環節包括密鑰的使用、保存和協商。鑑於人類用戶(以下簡稱用戶)和計算機系統在自身能力上的差異,需要使用不同技術手段和治理手段來實現有效的密鑰管理,以下將對三類操作環節一一展開分析。
密鑰的使用
密鑰的使用是指,用戶基於根密鑰,為不同業務操作生成實際使用的密鑰的過程。這一過程不僅僅包括,直接使用預先設定好的密鑰,如輸入用戶記憶中的用戶口令,還包括使用經過一定變換後的密鑰。其主要風險是密鑰洩露導致的非授權使用,可能會造成以下後果:
- 由該密鑰加密的隱私數據洩露。特別是當所有歷史隱私數據都只用一個密鑰加密時,攻擊者將有可能獲得所有歷史隱私數據明文。
使用該密鑰通過身份驗證入侵系統。不只是數據,攻擊者可以獲得用戶所有的操作特權,例如,惡意修改系統訪問控制參數、使用具有法律效應的數字證書對未授權的內容進行數字簽名等。
針對這些在密鑰使用環節的風險,核心的應對手段為密鑰輪轉,即每隔一定時間,生成一個新的密鑰。
對於計算機系統,一般可以輕易生成新的隨機密鑰。新密鑰與舊密鑰可以沒有任何關聯,其有效期限和密鑰本身都將保存在高安全級別的存儲介質中,以此最小化密鑰暴露的風險。
然而,以上方案對於用戶而言,可用性不高。
對用戶來說,生成一個安全的新密鑰,且能夠記住和使用它,已經不是一件容易的事。如果再進一步要求用戶記憶多個超長、隨機、無關聯的密鑰,那用戶很有可能被迫“變通”,使用不安全的手段,例如將密鑰全部寫在紙上、未受保護的手機APP裡。
如何讓用戶只記憶一個密鑰,還能實現有效的密鑰輪轉,這裡可以用到的關鍵技術是密鑰派生函數(Key Derivation Function, KDF)。
KDF具有兩個核心功能:
- 將一個短的用戶口令延長到一個滿足安全密鑰長度的密鑰。
由一個根密鑰生成多個滿足安全密鑰長度的密鑰。
典型的KDF,如IETF RFC 2898標準中的PBKDF2函數,可以表達成如下形式:
DerivedKey = PBKDF2(PRF, Password, Salt, IterationCount, DerivedKeyLength)
其中:
- PRF是一個隨機數生成函數,負責在運算過程中生成一系列隨機數。
- Password是用戶口令。
- Salt是為了防止批量窮舉攻擊而設置的鹽值,其作用等價於用戶專屬的隨機種子。
- IterationCount是生成派生密鑰時所需迭代計算的次數,可以通過刻意增加迭代計算的次數,加大攻擊者窮舉攻擊的難度。
DerivedKeyLength是派生密鑰的長度,一般比用戶口令長很多。
PBKDF2函數的五個輸入中,用戶只需要記憶用戶口令Password,其他都可以由輔助的計算機系統來計算完成。用戶口令可以根據用戶的偏好設置,不影響用戶體驗。同時只要用戶口令夠長,安全性風險一般都比較可控。
除了PBKDF2之外,BIP-32標準中Hierarchical Deterministic 密鑰錢包設計的核心也是KDF。區別在於BIP-32為橢圓曲線公鑰密碼學算法提供了特有的密鑰派生規則,實現了子密鑰樹形擴展和中間節點公鑰託管擴展,有興趣的讀者可以深入瞭解一下。
KDF技術上實現了密鑰輪轉,在治理上也有必要採取一定的措施,進一步降低密鑰使用時的風險。常見治理策略主要覆蓋了兩大方面的風險:
- 密鑰的最短長度和最低複雜性:密鑰長度不能太短,不能被常見的字典庫輕易破解。
密鑰的複用:建議定期更改密鑰,且不能複用歷史密鑰。對於計算機系統,可以進一步要求為不同的系統用途設置不同的密鑰。
關於第一條治理策略,業界一般都沒有什麼異議,但對於第二條中,用戶需定期更改密鑰的建議,近年來也有一些不同觀點。
實踐中往往發現,為了方便記憶,不少用戶採用了不安全的變通方式,選用了有強關聯的一組用戶口令。例如,2019年使用的舊口令為“password2019”,2020年使用的新口令為“password2020”,一旦舊口令洩露,也很容易推斷出新口令。
反之,如果告知用戶不需要定期更改口令,用戶在心理上反而更有動力去設置一個更為複雜的口令。所以,實施定期更改用戶口令的策略,不一定更安全。
除了以上治理策略,為了控制內部人員濫用密鑰的風險,也很有必要將密鑰的控制權分派到多個職能上相互約束的相關人員手中,只有當所有相關人員都同意使用時,才能正常使用,其背後的技術原理將在下一環節中提及。
密鑰的保存
密鑰的保存是指,用戶將密鑰保存在存儲介質中,並在特定的情況下,從存儲介質恢復出之前保存的密鑰。
其主要的風險是因保存不當導致密鑰洩露或遺失,除了上一環節中提到的後果之外,可能會額外造成以下後果:
- 由該密鑰加密的隱私數據無法被解密。
由該密鑰保護的權益無法被兌現。
針對這些在密鑰保存環節的風險,核心的應對手段為物理隔離和密鑰分片。
前者指的是,密鑰保存的環境應該是一個與惡意環境隔離的安全環境。後者指的是,密鑰保存時不應該整存整取,而是進行分片,由多個信任方分別保存,必要時還需要實現多地容災恢復。
對於計算機系統,安全硬件模塊和高物理安全的服務器房間是實現物理隔離常見的手段,必要時,保存密鑰的設備可以一直保持離線狀態,杜絕意料之外的非授權訪問。
對於密鑰分片,可以使用密碼學秘密分享算法來實現。最常用的密碼學秘密分享算法是Shamir秘密分享算法,由以色列密碼學家Adi Shamir在其1979年的論文『How to share a secret』中提出。
Shamir秘密分享算法的核心思想是,將密鑰的值設為一個N階隨機多項式中的常量參數,然後在該隨機多項式上隨機選M個點的座標,這些座標就是關於密鑰的分片。
這些分片具有以下特性:
- 如果攻擊者獲得分片總數小於N,攻擊者無法獲得任意關於密鑰的信息。
如果所有可能的分片總數M大於N,通過其中任意N個分片,使用拉格朗日多項式插值算法恢復出隨機多項式之後,便可有效地恢復出密鑰。
相比計算機系統,用戶對於前一項物理隔離的要求可能更容易實現。相比讀取存儲介質中的數據,在未進行威逼利誘的前提下,用技術手段直接提取用戶記憶中的口令目前要困難得多。
但對於第二項密鑰分片的要求,則需要配合各類託管技術,使用計算機輔助手段生成和保存高安全性的密鑰分片。具體的技術分類和比較,可以參考上一論密鑰託管相關內容。
無論採用哪一種技術,一般情況下,用戶最少需要記憶一個用戶口令。但如同房門鑰匙一樣,遺忘用戶口令並不罕見,尤其是在賬戶數目和相關口令總數繁多的情況下。
如果服務提供商提供有效的重設服務,相比將用戶口令全部寫在紙上或手機APP裡,通過該服務重設用戶口令,洩露風險可能更低。
密鑰的協商
密鑰的協商是指,多個用戶或系統遠程協商即將在交互過程中所使用的密鑰。
作為社會性生物,和陌生人交換信息,是人類生活中必不可少的組成部分。在當前數據驅動的時代,計算機系統通過跨域交換信息實現更大的價值發掘,是現代信息化商業核心業務模式之一。
在這些信息交換過程中,最典型的應用之一是隱私數據的端到端加密傳輸,為此需要生成一次性密鑰對信息進行加密保護。在缺乏可信信道的前提下,能否與交互方安全地完成密鑰協商,對於隱私數據的保護尤為關鍵。
其主要的風險是惡意通信環境中的密鑰截取或篡改,除了密鑰使用環節中提到的後果之外,可能會額外造成以下後果:
- 由該密鑰保護的隱私數據被篡改。例如,金融交易中的收款人、付款金額。
由該密鑰保護的其他密鑰洩露。例如,通過加密信道傳輸的後續協議中所約定使用的密鑰。
針對這些在密鑰協商環節的風險,核心的應對手段為認證交換和認證分發。
對於計算機系統,根據業務場景和部署環境安全假設的不同,認證密鑰交換的協議有很多不同的類型,最常用的是基於公鑰證書體系和Diffie-Hellman密鑰交換協議。
關於認證密鑰分發,經典密碼學相關方案有基於公鑰證書體系的密鑰封裝(Key Encapsulation Mechanism, KEM)、基於可信中間代理和代理重加密(Proxy Re-Encryption)的密鑰密文轉換等。比較創新的技術方案包括在第6論中提到的基於量子糾纏理論的量子密鑰分發技術,我國的墨子號量子科學實驗衛星已經實現了千公里級星地雙向量子糾纏分發原型實驗。
在技術手段的協助下,用戶往往對於密鑰協商是無感的。例如,我們在使用瀏覽器時,通常不會意識到,對不同的網站建立安全連接時,會根據不同網站的不同數字證書,進行密鑰的認證交換,並最終使用不同的一次性密鑰與不同的網站通信。
但用戶也需要警惕,核實認證的有效性。一旦數字證書失竊或者過期,攻擊者就有機會假扮服務提供方,截獲用戶的隱私數據,篡改用戶的操作請求,實施經典的中間人攻擊。
密鑰管理的三大環節中,存在著大量的風險點。由於密鑰是密碼學中的最高機密,竊取密鑰往往是攻擊者的首要目標。任何一個環節出現問題,對應隱私保護方案的整體有效性,都會受到嚴重影響。
本論的分享主要關注技術方案和治理策略層面(參見以下總結表),在實際方案部署時,工程實現和其他相關層面的保護也很關鍵,會需要更完備的組合策略,從多個維度上提供層次化的保障。
正是:密鑰管理謹小慎破解,技術治理合璧顯神功!
有效的密鑰管理是使用基於密碼學的隱私保護方案的重要前提。無論隱私保護方案內部設計多麼精妙,任何在密鑰使用、保存、協商環節中出現的疏漏,都會使之功虧一簣。
除了傳統的安全性分析,針對用戶的可用性分析也至關重要。在實際隱私保護應用中,高於常規人類認知記憶能力的要求,都會促使用戶使用不安全的變通手段,導致最終效果大打折扣。
有效的密鑰管理需要在多個維度上融合技術方案和治理策略,同時實現安全性和可用性之間的平衡和優化。
瞭解完密鑰相關的重要原則和管理技術,自下一論開始,我們將分享在實際的密碼學算法中如何使用這些密鑰,深入解析隱私保護相關的密碼學原語,欲知詳情,敬請關注下文分解。
《隱私保護週三見》
“科技聚焦人性,隱私迴歸屬主”,這是微眾銀行區塊鏈團隊推出《隱私保護週三見》深度欄目的願景與初衷。每週三晚8點,專家團隊將透過欄目和各位一起探尋隱私保護的發展之道。
欄目內容含括以下五大模塊:關鍵概念、法律法規、理論基礎、技術剖析和案例分享,如您有好的建議或者想學習的內容,歡迎隨時提出。
欄目支持單位:零壹財經、陀螺財經、巴比特、火訊財經、火星財經、價值在線、鏈客社區
往期集錦
第1論|隱私和效用不可兼得?隱私保護開闢商業新境地
第2論|隱私合規風險知幾何?數據合規商用需過九重關第3論|密碼學技術何以為信?深究背後的計算困難性理論
第4論|密碼學技術如何選型?初探理論能力邊界的安全模型
第5論|密碼學技術如何選型?再探工程能力邊界的安全模型第6論|密碼學技術如何選型?終探量子計算通信的安全模型
第7論|密碼密鑰傻傻分不清?認識密碼學中的最高機密
