第54卷 第2期2021年2月
有没有好看的鬼片通信技术
Communications Technology
Vol.54 No.2
Feb. 2021
文献引用格式:付兴兵,周楠,吴铤.网络空间安全一级学科中白盒密码的教学与科研探讨[J].通信技术,2021,54(2):483-487.
FU Xingbing,ZHOU Nan,WU Ting.Discussion on Teaching and Scientific Researach of White-
Box Cryptography in Cybersecurity First-level Discipline [J].Communications Technology,2021,
54(02):483-487.
doi:10.3969/j.issn.1002-0802.2021.02.033
网络空间安全一级学科中白盒密码的教学与科研探讨*
付兴兵,周 楠,吴 铤美容院店名大全
(杭州电子科技大学,浙江 杭州 310018)
摘 要:随着Internet和云计算的出现,网络空间安全变得越来越重要,这使得网络空间安全人才的培养变得日益迫切。国家于第一批和第二批分别批准了网络空间安全一级学科硕士点和博士点单位。在网络空间安全一级学科中,密码学的教学必不可少。白盒密码作为密码学的一个重要分支,可用来确保在不可信的环境下密码算法的安全性,保护密钥的机密性。在白盒密码环境下,攻击者对密码实现是完全可见的,能对软件实现平台实施完全控制,可用在数字版权管理方面,近年来更用于移动支付。因此,重点阐述白盒密码的相关概念、功能、研究方向和应用场景,可为包括研究生在内的科研人员指明了方向。
关键词:网络空间安全;一级学科;白盒密码;移动支付
中图分类号:TN915.08 文献标识码:A 文章编号:1002-0802(2021)-02-0483-05 Discussion on Teaching and Scientific Researach of White-Box Cryptography
in Cybersecurity First-level Discipline
FU Xingbing, ZHOU Nan, WU Ting
(Hangzhou Dianzi University, Hangzhou Zhejiang 310018, China)
Abstract: With the advent of the Internet and cloud computing, cybersecurity has become more and more important, which makes the cultivation of cybersecurity talents increasingly urgent. In the first batch and the second batch, the state approves the first-level discipline master and doctoral units of cybersecurity. In the first-level discipline of cybersecurity, the teaching of cryptography is essential. As an important branch of cryptography, white-box cryptography can be used to ensure the security of cryptographic algorithm in untrustworthy environment and to protect the confidentiality of keys. In the white-box cryptography environment, the attacker is fully visible to the cryptographic implementation and can fully control the software implementation platform. White-box cryptography can be used in digital rights management, and in recent years, it has been used for mobile payments. This paper focuses on the related concepts, functions, research directions and application scenarios of white-box cryptography, which can point out the direction of
* 收稿日期:2020-10-21;修回日期:2021-01-10 Received date:2020-10-21;Revised date:2021-01-10
基金项目:杭州电子科技大学2017年高等教育研究资助项目“网络空间安全一级学科培养模式创新研
究”(No.YB201767);浙江省自然科学基金(No.LY19F020045);浙江省重点研发计划(No.2017C01062)
Foundation Item: 2017 Higher Education Research Project of Hangzhou Dianzi University “Research on Innovation of Cultivation Mode of Cybersecurity First-Level Subject”(No.YB201767);Zhejiang Natural Science Foundation (No.LY19F020045);The Key R&D
Plan of Zhejiang Province (No.2017C01062)
通信技术
0 引 言
随着威胁的日益增加,社会发展需要越来越多的网络空间安全人才。国家分别批准设立了网络空间安全一级学科的硕士点和博士点,以加速我国的网络空间安全人才培养。密码学在网络空间安全人才培养中是不可缺少的重要环节,对密码学的研究和密码人才的培养具有重要意义。
密码算法设计在攻击者出现的情况下用来保护数据或通信。若这些算法利用了密钥,则它们的安全性
依赖于密钥的安全性,因此攻击者主要的目标是提取密钥。在传统的黑盒环境下,攻击者仅访问密码算法的输入与输出。然而,越来越多的软件在由恶意第三方所拥有和控制的不可信开放平台上执行,这就需要配置强密码算法。在黑盒环境不充足的情况下,攻击者能完全访问密码算法的软件实现,从而完全控制它的执行环境。白盒密码可用于数字内容保护系统中,如数字版权管理和付费电视系统,近年来更用于移动支付。提取密钥会危及内容安全,白盒密码的目的是在白盒环境下保护密码算法和密钥的机密性。
1 相关工作
传统上,密码原语被设计用来保护在黑盒攻击模型下的数据和密钥。在这种模型下,通信的端点是可信的,这样密码执行就不能被观察或篡改。这种假设在现在的数字版权管理、付费电视机顶盒和智能手机中是不适合的,因此需要白盒密码来解决。在白盒密码环境下,攻击者对密码的软件实现完全可见,能完全控制执行平台,但并不能提取密钥信息。
周等人[1]在2002年提出了白盒密码,目的是保护在不可信环境下密码算法的软件实现,主要目标是保护在白盒环境下密钥的机密性。周等人[1-2]首先提出了数据加密标准(Data Encryption Standard,DES)和高级加密标准(Advanced Encryption Standard,AES)的白盒实现。它们的方法是要到算法表示为以随机和密钥相关的表的查网络,后又提出了对DES和AES的白盒实现[3-6]。然而,所
有这些方法都通过密钥提取和表分解攻击被攻破了。Biryukov等人[7]提出了专用的白盒分组密码,基于仿射-非线性-仿射-非线性-仿射(Affine,Nonlinear,Affine,Nonlinear,Affine,ASASA)结构。此结构由2个秘密的非线性层和3个秘密的仿射层组成,且仿射层和非线性层交织在一起。ASASA结构的白盒实现使用查表。在白盒环境下,ASASA对密钥提取的安全性依赖于对ASASA的分解问题的困难性。在白盒环境下的表分解攻击应是计算上困难的,使得代码提升攻击是困难的。然而,对ASASA的分解攻击[8-9]已经提出。文献[10]提出了基于空间困难性的分组密码,在白盒下的分解安全性基于在标准黑盒下的密钥恢复困难性。然而,由于安全性优先设计策略,此方案会造成严重的性能开销,需要多次AES调用以加密单一的分组。文献[11]设计了专门的白盒分组密码SPNbox和小的分组密码,具有较好的效率和常量的执行时间。文献[12-13]提出了差分计算分析方法,能从白盒实现中自动提取密钥。文献[14]实现了和文献[10-11]同样的目标,但它提供了安全性证明保证且开销较小。文献[15]焦距在不可压缩性上,且这种不可压缩性能减轻代码量和提升攻击。他们提出了基于单向置换标准假设的不可压缩的白盒加密方案,而先前的工作多是基于公钥类型的假设和基于非标准的对称类型的假设。文献[16]使用硬件绑定和混淆用于安全存储,定义了白盒密钥派生函数,与硬件功能进行绑定,建模安全的存储功能。方案的安全性能规约到不可区分性混淆和伪随机函数安全假设。
2 预备知识
下面阐述白盒密码的一些相关概念[17]。
分组密码。一条n b比特的分组密码E是一个确定性函数。它在一把n k比特的密钥k的作用下映射n b比特的明文分组m成一条n b比特的密文分组c:E:F
2
n b×F
2
n k→F
2
n b:(m,k)|→c=E
k
(m) (1)式中,n b和n k分别为分组密码大小和密钥大小。
理想分组密码。如果分组密码E指定的在F2n b 上的2n k个置换的分组密码系列是从F2n b的(2n b)!个不同的转换中随机均匀选择的,则此分组密码E是理想分组密码。即使是理想分组密码,也容易遭到
黑盒攻击。这种攻击并不利用分组密码的内部结构。
龚玉雯在设计新的分组密码时,需要考虑混淆和扩散。
东三省是哪三个省efforts for researchers including graduate students.
Keywords: cyberspace security; first-level discipline; white-box cryptography; mobile payment
第54卷第2期付兴兵,周 楠,吴 铤:网络空间安全一级学科中白盒密码的教学与科研探讨
混淆指的是密文比特依赖于明文比特和密钥比特的复杂方式,目标是使这种关系尽可能复杂,以便攻击者要利用这种关系是困难的,甚至是不可能的。获得混淆的基本部件是非线性的替换盒(S-boxes),典型的是以查表来实现。然而,对查表的存储需求会对输入大小造成限制。
扩展指的是每个明文比特和每个密钥比特对密文比特的影响程度,目标是使影响尽可能大。它具有一个特性,即翻转一明文比特或一密钥比特会导致以1/2的概率翻转密文比特,这种特性叫雪崩效应。获得扩散的基本分量如下:(1)线性扩散盒 (D-盒),包含大量的线性运算;(2)对比特级或比特束级的置换,通常也叫比特转换或束转换。与非线性的S-boxes不同,这些扩散分量的输入大小通常没有约束。
查表。查表L映射m到n比特,是给定函数f:F2m→F2n的特定表示。此查表共需要2m×n 比特的存储空间。由于此空间大小与表的输入大小m成指数关系,当m较大时,存储需求不切实际。
非线性的替换和线性的扩散是大多数分组密码设计的关键。它通常由Feistel密码和替换置换网络两种分组密码构造。这两种构造属于迭代分组密码,即乘积密码。乘积密码是通过多次替代简单的密钥相关的轮函数生成的分组密码。尽管简单的密钥轮函数能充当弱分组密码,但是通过多次轮函数的迭代会导致强分组密码。
攻击模型。攻击模型指定攻击者的能力,以试图攻破分组密码。这种能力要以低于穷举密钥搜索的复杂性进行攻击。
黑盒模型。在这种模型下,通信信道的授权终端用户——发送方和接收方假定是可信的。这种假设在早期的密码中是有效的,但现在密码应用广泛,黑盒密码已经不够。黑盒模型是一种保守模型,即攻击者被限制在分组密码的输入/输出行为上。这里输入对应于明文和密钥,输出对应于密文。黑盒模型有唯密文攻击、已知明文攻击、选定明文攻击、选定密文攻击以及自适应选定明文/密文攻击等,阻止对内部操作或数据的观察或篡改。
灰盒模型。这种模型不再假定通信信道的端点是可信的,攻击者能对实现进行有限的访问。对密码算法实现的攻击而不是对算法的攻击,指的是实现攻击。常见的是侧信道分析攻击,如执行时间、能耗
和电磁辐射。灰盒密码涉及到密码体制的硬件实现,攻击者能篡改物理设备以获得与密钥相关的侧信道信息。
白盒模型。此模型和灰盒模型一样,终端用户是不可信的,且此模型下攻击者能完全访问密码软件的执行,能对执行平台实施完全控制。
攻击的整体复杂性可分为时间复杂性、存储复杂性和数据复杂性。
3 白盒密码的分类
对白盒密码的研究可大致分为对称白盒密码和公钥白盒密码。现在主要的研究都集中在对称白盒密码上,下面对其进行分类阐述。
3.1 基于空间困难性的白盒密码
基于仿射-非线性(Affine,Nonlinear,AS)结构的白盒密码都已经被攻破。Bogdanov等人[10]提出了基于空间困难性的白盒密码。后来,Bogdanov等人[11]提出了实用的白盒密码方案。他们的方案也是基于空间困难性的白盒密码方案,而且具有较好的效率。它们的比较如表1所示。
3.2 白盒密码的安全性证明
针对之前的一些工作[10-11]没有进行白盒密码的安全性证明,文献[14-16]实现了不可压缩性的目的,也提供了安全性证明。它们的比较如表2所示。
3.3 基于动态密钥的白盒密码
大多数的白盒密码实现都是基于固定密钥。在一些白盒密码应用中,要求更新密钥。文献[18-20]分别给出了基于动态密钥的白盒密码,比较如表3所示。
表1 基于空间困难性的白盒密码的比较
参考文献优点缺点
文献[10]1.避免了AS结构遭受分解攻击的缺点
2.把在白盒模型下密钥提取和分解攻击的安全性归约到
标准黑盒模型下分组密码的安全性
由于Space会多次调用AES来加密单
一的分组,在实际应用中会造成严重
的性能开销
文献[11]1.避免了文献[10]的缺点
安全工程专业就业前景
2.具有较好的效率和常量的执行时间
在进行小的分组密码设计时,密钥混
合存在效率瓶颈
通信技术
张若昀老婆4 对白盒密码的研究方法
白盒密码由于可用在移动支付上,因此对它的研究将会越来越受到重视。当前可在国际5大知名数据库IEEE、ACM、Elsevier、Springer和Wiles下载白盒密码的经典论文,或国际Proquest学位论文数据库或国内的中文数据库进行下载相关的白盒密码的经典论文进行研究,也可研究学习美日欧和国内白盒密码发明专利进行研究。此外,可在Github上到白盒密码的源代码进行研究,可开展讨论班、学术会议和与企业合作进行实际研发,以用于生产和生活。
5 结 语
在网络空间安全硕士点和博士点一级学科的教学中,密码学是不可缺少的一个重要环节。白盒密码是密码学的一个重要分支,可用于数字版权管理、移动支付等领域。本文对白盒密码的相关概念、分类和研究方法进行阐述,可为研究生的后续研究打下基础。
参考文献:
[1]  Stanley C,Philip A E,Harold J,et al.A White-Box DES Implementation for DRM Applications[C]//In Security and Privacy in Digital Rights Management,ACM CCS-9 Workshop,2002.
[2]  Stanley C,Philip A E,Harold J,et al.White-Box Cryptography and an AES Implementation[C]//In Selected Areas in Cryptography(SAC),2002. [3]  Julien B,Herv´e C,Emmanuelle D.White Box
Cryptography:Another Attempt[C]//IACR Cryptology ePrint Archive,2006.
[4]  Mohamed K.Protecting White-Box AES with Dual Ciphers[C]//In Information Security and Cryptology (ICISC),2010.
[5]  Hamilton E L,William D N.Clarifying Obfuscation:Improving the Security of White-Box DES[C]//In International Symposium on Information Technology Coding and Computing(ITCC),2005.
[6]  Yaying X,Xuejia L.A Secure Implementation of White-box AES[C]//In 2nd International Conference on Computer Science and its Applications(CSA),2009. [7]  Alex B,Charles B,Dmitry K.Cryptographic Schemes Based on the ASASA Structure:Black-Box,White-Box,and Public-Key(Extended Abstract)[C]//In Advances in Cryptology(ASIACRYPT),2014.
[8]  Itai D,Orr D,Thorsten K,et al.Decomposing the ASASA Block Cipher Construction[C]//Cryptology ePrint Archive,2014.
[9]  Henri G,Jerôme P,Joana T.Key-Recovery Attack on the ASASA Cryptosystem with Expanding S-Boxes[C]//In Advances in Cryptology(CRYPTO),2015. [10] Bogdanov A,Isobe T.White-box Cryptography Revisited:Space-hard Ciphers[C]//In Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security,2015.
[11] Andrey B,Takanori I,Elmar T.Towards Practical Whitebox Cryptography:Optimizing Efficiency and Space Hardness[C]//International Conference on the Theory and Application of Cryptology and Information Security,2016.
表2 基于安全性证明的白盒密码的比较
参考文献优点缺点
文献[14]相对文献[10-11]提供了安全性证明,实现了不可压
缩性目标,获得了相似的效率
安全性证明基于非标准的对称类型假设
文献[15]1.提供了不可压缩的白盒密码方案
2.提供了基于单向置换的标准假设
构造不是基于单向函数
文献[16]抗密钥提取和逆向攻击
不可区分性混淆效益较差,在实际中效率
也较差
表3 动态白盒密码的对比
参考文献优点缺点
文献[18-19]具有最佳的密钥更新大小与扩展密钥的每轮密钥字节相关的偏移量以固定方式编码。因此,对不同的密钥更新,编码仍是相同的。这样攻击者能识别特定轮密钥的哪些密钥偏移量被保持
文献[20]基于可变编码,攻击者不能区分出在不
同更新之间的相同轮密钥字节
秘密的轮密钥变得可变,难于隐藏。需要对密钥更新消
息的输入接口来更新嵌入的密钥
主要研究方向为密码学、工控安全。