《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 攻防最前線:利用側(cè)信道攻擊破解同態(tài)加密

攻防最前線:利用側(cè)信道攻擊破解同態(tài)加密

2022-03-18
來源:互聯(lián)網(wǎng)安全內(nèi)參

  近日,北卡羅來納州立大學(xué)的研究人員宣稱首次成功實(shí)施了針對同態(tài)加密側(cè)信道攻擊,從同態(tài)加密過程中竊取數(shù)據(jù)。同態(tài)加密是一種被寄予厚望的新興數(shù)據(jù)安全技術(shù),允許對加密數(shù)據(jù)執(zhí)行操作而不犧牲數(shù)據(jù)的安全性。

  此次攻擊的論文將于3月23日在DATE22線上會議上公布,第一作者是北卡羅來納州立大學(xué)的博士生Furkan Aydin,其他署名作者是該大學(xué)的三名研究人員。

  研究人員表示并沒能用數(shù)學(xué)工具破解同態(tài)加密,但他們找到了繞過方法。北卡羅來納州立大學(xué)電氣和計(jì)算機(jī)工程系的助理教授Aydin Aysu將這種攻擊比作電影中的開鎖者,他們聆聽保險(xiǎn)箱的聲音來破解它?!拔覀冊谟?jì)算機(jī)硬件上做同樣的事情?!盇ysu說。“我們通過‘監(jiān)聽’執(zhí)行同態(tài)加密計(jì)算的設(shè)備的功耗,推斷出實(shí)際的計(jì)算正在進(jìn)行?!?/p>

  最安全的

  隱私增強(qiáng)技術(shù)

  同態(tài)加密是一種隱私保護(hù)技術(shù),使組織更容易在云環(huán)境中安全地存儲、使用和管理數(shù)據(jù)。同態(tài)加密可以直接在加密數(shù)據(jù)上執(zhí)行計(jì)算任務(wù)(例如搜索或分析),例如云服務(wù)提供商可以在不查看高度敏感數(shù)據(jù)的情況下進(jìn)行數(shù)據(jù)計(jì)算(即“可用不可看”),同時(shí)允許組織將數(shù)據(jù)安全地存儲在云中并對數(shù)據(jù)執(zhí)行分析,而無需向云運(yùn)營商提供對加密密鑰的訪問權(quán)限,也無需在本地下載和操作數(shù)據(jù)。

  同態(tài)加密在云端可以直接對加密數(shù)據(jù)進(jìn)行操作,只將加密結(jié)果返回給數(shù)據(jù)所有者,其更復(fù)雜的應(yīng)用場景可能涉及多方,擁有第三方可以操作的私有數(shù)據(jù),并將結(jié)果返回給一個(gè)或多個(gè)參與者進(jìn)行解密。一個(gè)負(fù)責(zé)同態(tài)加密技術(shù)開發(fā)標(biāo)準(zhǔn)的開放聯(lián)盟表示,與AES等典型加密方法最大的不同是,同態(tài)加密無需使用密鑰即可直接對加密數(shù)據(jù)執(zhí)行計(jì)算操作。

  同態(tài)加密也被看作是最安全的隱私增強(qiáng)技術(shù)(PET),是加密的“圣杯”,有望徹底改變企業(yè)和個(gè)人利用數(shù)據(jù)資源的方式。

  目前,同態(tài)加密已經(jīng)有很多用例,例如在數(shù)據(jù)隱私、法規(guī)合規(guī)、反洗錢、金融欺詐和數(shù)據(jù)貨幣化等領(lǐng)域,但該技術(shù)距離廣泛采用仍有一段距離,主要是因?yàn)樗惴ㄈ匀幌鄬^慢,并且有巨大的存儲需求。Aysu說,與傳統(tǒng)系統(tǒng)相比,同態(tài)加密“沒有被廣泛使用,它主要處于研究階段,并面向?qū)嶋H實(shí)施?!?/p>

  利用了微軟開源庫

  的一個(gè)漏洞

  北卡羅來納州立大學(xué)的研究人員開發(fā)的同態(tài)加密攻擊技術(shù)利用了微軟的完全同態(tài)加密庫(微軟簡單加密庫SEAL)中的一個(gè)漏洞。SEAL是一組加密庫,用于對加密數(shù)據(jù)執(zhí)行計(jì)算操作。研究人員稱,該漏洞“基于功率的側(cè)信道泄漏”,從SEAL同態(tài)加密庫3.6版本之前就存在。它使攻擊者僅通過監(jiān)聽執(zhí)行同態(tài)加密編碼操作的設(shè)備的功率就能以明文形式提取同態(tài)加密中的數(shù)據(jù)。

  Aysu指出:該漏洞允許攻擊者監(jiān)聽執(zhí)行加密的設(shè)備并推斷正在處理的比特位是0還是1?!斑@些信息使我們能夠用一些奇特的方程找出同態(tài)加密中的秘密消息。”

  為了發(fā)起攻擊,攻擊者需要能夠測量設(shè)備的功耗,這意味著攻擊者要么需要與設(shè)備位于同一地點(diǎn),要么必須能夠遠(yuǎn)程監(jiān)控設(shè)備上的功耗。

  Aysu指出,攻擊者不需要花費(fèi)大量金錢或時(shí)間來利用漏洞執(zhí)行攻擊,北卡羅來納州立大學(xué)的研究人員只需要成本不到1000美元的設(shè)備,最多大約一個(gè)小時(shí)就能發(fā)起真實(shí)攻擊。但研究人員指出,這些攻擊遠(yuǎn)遠(yuǎn)超出了普通腳本小子的能力?!斑@些是難以執(zhí)行的攻擊,需要博士水平的知識才行?!盇ysu說道。

  Aysu表示,微軟已經(jīng)意識到了這個(gè)問題,并聲稱新版本的Microsoft SEAL不受影響。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。