1 隐私作为机密
在对“独处权”隐私定义的技术性重新解释中,隐私的一个常见概念是避免使任何实体都可以访问个人信息,特别是更广泛的公众。根据这一定义,隐私技术的目标是在最大限度地减少暴露信息量的同时,使服务能够使用。在这里,信息既指与服务显式交换的数据,也指与这些交换相关的元数据中隐式提供的信息(例如,用户的身份或使用频率)。
1.1 数据保密
我们现在描述了两种方法来最大限度地减少暴露的信息量。我们首先提出了可证明防止未经授权访问信息的方法,通常基于使用高级加密原语来确保无法推断任何数据。其次,我们提出了披露控制方法,放宽了保密性定义,以确保泄露给对手的信息仅限于一定数量,或者不可链接到个人。
1.1.1 基于密码学的访问控制
第一种以机密性为导向的隐私技术侧重于通过使用加密来保护数据。这些技术主要考虑两种对抗模型:一种是收件人被认为是受信任的,并且数据在传输过程中必须受到保护,另一种是收件人不受信任,即使数据经过处理,也必须保密。
保护传输中的数据。传输中的数据保护通常称为端到端加密(E2EE)。这里,终点是指通信的起点和终点。例如,电子邮件的发件人和接收者,或者服务的客户端和服务器。E2EE确保两端之间的数据机密性。也就是说,没有第三方,从通信基础设施中的路由器,到启用通信的应用程序(例如,电子邮件、消息传递)服务器,可以访问通信。此外,E2EE通常提供完整性(阻止任何中介修改交换的数据)和身份验证,确保通信各方可以确定彼此的身份。
从技术角度来看,在E2EE中,通信结束时的设备持有用于保护数据的加密密钥。通常,这些是对称加密密钥,可以使用密钥传输达成一致,也可以使用Diffie-Hellman交换的任何形式建立。使用Diffie-Hellman为每个会话商定一个密钥还提供了前向保密性,但是在实现交换时必须小心[21]。通常,数字签名和消息身份验证代码用于提供完整性和身份验证。E2EE加密的典型例子是TLS协议,广泛用于客户端-服务器场景;或PGP协议,一种用于电子邮件通信的通用加密机制。
E2EE的一种特殊类型是记录外消息传递(OTR)。OTR寻求提供比上述协议更强大的隐私属性。它认为对手不仅可以观察通信,而且最终会破坏参与通信的设备之一。这种妥协使对手有机会获得参与者的长期密钥。在如此苛刻的场景中,OTR的两个主要目标是提供i)完美的前向保密和ii)可否认的身份验证,这允许用户否认过去发送过消息。该协议使用未经身份验证的Diffie-Hellman密钥交换派生用于对话的加密密钥。然后,参与者在受保护的通道内执行相互身份验证,这保证了将来的可否认性。加密密钥轮换,旧密钥被删除,以保持前向保密。当前的OTR协议还包括针对中间人攻击的强大保护,即使参与者不预先共享秘密。
最后,我们可以说E2EE现在在即时通讯应用中很普遍,如Signal,WhatsApp,FacebookMessenger或Viber。所有这些应用程序都基于所谓的信号协议(以前称为Axolotl或TextSecure)。与OTR类似,该协议为用户之间的经过身份验证的消息提供端到端的机密性,即使消息传递服务器受到威胁,即使用户的长期密钥受到威胁,消息也是保密的。这些属性依赖于混合多个Diffie-Hellman共享密钥的经过身份验证的密钥交换协议,以及用于刷新密钥的协议,称为双棘轮。Cohn-Gordon等人在中提供了对该协议的详细描述,包括正式分析。
请注意,只要对通信方进行身份验证的机制按预期工作,上述所有协议都仅提供强有力的保证。例如,TLS提供的机密性依赖于服务保持其密钥的机密性和公钥基础设施的可靠运行,以便可以对通信方进行身份验证。同样,What-sApp的机密性依赖于电话号码难以欺骗的事实,因此,用户确信其消息的收件人是他们的意图。对话者。
在处理过程中保护数据。以前的协议侧重于保护传输中的数据免受通信参与者以外的第三方的攻击。我们现在考虑接收者需要对数据执行一些计算的情况,即使她被认为是对抗性的。我们区分了两种情况:一种是完全外包计算的,另一种是发送者参与计算。
在第一种情况下,通常称为外包,数据属于发送方,接收方充当数据处理者。典型的例子是使用云服务来计算大数据,例如,使用机器学习进行隐私保护训练和分类,或者保存发送方想要在其中执行搜索的数据库。此问题的解决方案基于高级加密协议。我们现在在几个例子中说明了这些协议的使用,并将读者引向密码学CyBOK知识区,以获取有关底层原语技术细节的更多详细信息。
外包服务时的一个常见问题是,访问特定来源的数据片段可能会向持有数据的实体透露有关用户的信息。例如,访问专利数据库中的给定条目可以揭示商业意图;而访问消息传递目录中的特定条目可以揭示用户之间的关系。此问题可以通过使用私人信息检索来缓解(请参阅加密CyBOK知识区域),这允许在不显示正在访问哪个记录的情况下查询数据库。信息检索的一个示例用例是为社交网络创建隐私保护目录。
需要远程处理的另一个例子包括数字商店或数字银行,其中服务器根据输入向用户返回信息。商店需要处理付款,然后运送数字商品;银行在身份验证时提供资金或付款。但是,用户的购物模式可能会揭示很多关于他们的个人资料的信息。在这种情况下,遗忘转移(请参阅加密CyBOK知识区域[12]),其中服务可以在不知道正在传输哪个项目的情况下传输项目,可用于支持隐私保护交互。
前面的技术对于特定操作很有用:在数据库中搜索项目,传输该项目。理想情况下,我们希望能够对外包数据执行任何操作。与此非常相关的技术是同态加密(参见密码学CyBOK知识区)。这种类型的加密允许对加密数据执行任何操作。然而,这种灵活性在计算时间方面付出了高昂的代价,对于某些实现而言,在带宽方面也付出了高昂的代价,因此在这一点上它远非实用。不太通用的版本,例如有点同态加密或部分同态加密,只允许有限的操作(总和,乘法或评估给定函数)提供更好的权衡,并且已经可以用于简单的具体任务。
我们注意到,近年来,上述保护隐私的加密原语已与新的安全硬件相结合,以提高性能。虽然这种组合确实使隐私保护加密的性能更接近部署所需的基准,但重要的是要强调,这种改进是以信任安全硬件制造商不会将信息(或密钥)泄露给非预期方为代价的。
在数据库外包的情况下,值得一提的是量身定制的解决方案,这些解决方案结合了不同类型的隐私保护加密,以提高效率。这些数据库依赖于同态加密、保序加密或确定性加密等技术。这些方案确实提供了出色的性能。然而,已经证明,选择较弱的加密原语来支持效率可能会对隐私产生重大影响。因此,仅建议将它们用于支持合规性,并且应仅部署在不太可能发生攻击的受信任环境中。不建议在数据隐私至关重要且持有数据库的实体不受信任的情况下使用它们。
第二种情况是协同计算,即参与通信的实体协作执行计算。发送方、接收方、两者或第三方都可能对此计算的结果感兴趣。然而,如果参与者彼此不信任,即对于给定的实体,任何其他参与者都可能被视为对手。典型的应用是比较数据库或跨数据集计算统计数据。这些应用程序可以通过多方计算来支持(参见密码学CyBOK知识区),如Archer等人所述。在中。当应用程序的目标是在两个数据库(例如,联系人、恶意活动或遗传信息)之间实现相似性时),也可以使用较轻的协议,例如私有集交叉点。这些协议允许双方计算数据集的交集,而不会显示除交集或交集的基数之外的任何内容。
加密域中的验证。在加密域中处理数据时,执行计算的实体很难对输入的充分性进行任何检查。为了解决这个问题,许多原语建立在零知识证明的基础上(参见密码学CyBOK知识区),以向执行计算的实体证明输入符合某种格式或某些约束。我们现在描述三种情况,其中加密域中的验证是启用隐私保护加密协议的关键。
私有计算-输入验证。零知识证明非常适合确保隐私保护协议的输入是特定形式的或不是恶意的。例如,除其他外,它们已被用于证明计费应用中输入的充分性,例如,它们属于一组有效输入,或在特定范围内,以证明在从消息传递系统请求信息时或运行专用交叉协议时没有恶意输入。
专用身份验证。为了维护保密性,参与协议的实体可能希望对其通信伙伴进行身份验证。但是,典型的身份验证系统基于显示身份验证方的身份。泄露个人的身份本身可能会导致隐私泄露(例如,当身份验证针对敏感服务(例如医疗服务)时)。避免此问题的解决方案是使用匿名凭据,也称为基于属性的凭据(ABC)。
ABC不是根据身份对实体进行身份验证以授予授权,而是使实体能够证明拥有不同属性的组合以获得相同的授权。此证明不会显示有关进行身份验证的实体的任何其他信息,也不会显示属性的具体值。此外,ABC在上下文之间是不可链接的。换句话说,凭据每次显示时看起来都不同,因此不同的显示无法相互链接。
虽然从隐私的角度来看,ABC带来了许多优势,但它们也带来了新的挑战。匿名可能会为不当行为打开大门。不幸的是,原始ABC提供的强大匿名性和不可链接性属性不允许当局限制或撤销对行为不端用户的授权。作为回应,出现了几种方案,这些方案提供了限制凭据在用户可识别之前可以使用的次数的功能;将凭据列入黑名单的能力,以便可以暂时撤销访问权限;或完全吊销凭据的功能。
有几种ABC的实现可以在不同的许可证下使用。这些实现提供了上述功能的不同子集。
私人付款。加密数据的验证也是实现隐私保护支付的关键,例如,付款人可能必须向买方证明他有足够的资金而不透露确切的金额。早期的数字现金系统依靠盲签名(参见密码学CyBOK知识区)使银行能够签署电子硬币。简而言之,要将电子硬币扩展到客户,银行会盲目地签署随机值。要花费电子硬币,客户会将此号码交给卖家,卖家可以在银行兑换。通过存储随机数,银行可以检测双重支出,但不能识别双重支出者。
最近的隐私保护支付方案,如基于区块链的零现金系统,在交易中包含更多信息,以提供更好的保证。在每笔交易中,用户在零知识中证明她拥有交易输入的电子硬币;每个输入的电子硬币要么是最近开采的(以零现金术语铸造的),要么是以前交易的输出;并且交易的输入和输出值是相同的,即不会丢失任何资金。为了提高效率,Zerocash依赖于特别有效的零知识证明,称为零知识简洁的非交互式知识定理(ZK-SNARK)系统。这些证明更短(以数百字节的顺序排列),并且验证速度相对较快。
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1隐私和在线权利(二):隐私作为机密之数据保密(上)基于密码学的访问控制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论