这个方法称为“不可区分的混淆(indistinguishability obfuscation)”或“IO”。作者将它吹捧为加密的“中央枢纽”:重建像是公钥或选择性安全签名等熟悉的编码方法。论文中主要用数学式来解释IO。
这个研究让很多人产生兴趣,但在公布这个研究之后的两年内,电脑科学研究人员在IO实作上遇到了很多挑战与阻碍。其中一项是IO相当缓慢。混淆一个程式的延迟时间不是以分钟或小时来计算,而是用一辈子来计算。此外,这个方法并不如预期像数学式保全那样安全。
但过去几个月,有许多研究论文都提供了从2013年公布以来最重要的进展。一些研究人员认为我们再十年就可以做出一个工作系统,或是更早。加州大学洛杉矶分校计算机科学家,也是这两篇论文的共同作者Amit Sahai说:“现在看起来已经没有任何比较大的限制了。IO非常强大,而且几乎可以做任何我们想得到的工作。”研究人员相信如果IO可以采用简单的数学重建,即使是量子电脑也无法突破IO。
一整座山的小小步伐
不可区分的混淆一开始是用两个不同计算程式(例如等义方程式f(x) = x(a + b) 与 f(x) = ax + bx )得到完全相同的结果。对于任何三组输入(a、b、x,)每个程式都得到与另一个程式相同的结果,只有中间过程不同。如果给IO两个相同的程式,编码出来的结果会让使用者不管怎么看都无法分辨出哪个是哪个。
2013年的论文让很多人相信IO有那个能力可以明显扩大加密的范围,但研究中并没有提到如何实作。研究人员遇到两个主要的挑战:第一个是要提升程序速度,第二个是要保证IO的安全性。
IO现在仍然是不实际的。任何加密方法或多或少都会让计算程序变慢。IO的情况则是,如山一样高的方程式需要用不可区分处理,会大大拖慢速度。
积极参与IO研究的麻省理工学院密码学家Vinod Vaikuntanathan说:“要让一个程式混淆跟执行能需要上百年。当你发现数字这么夸张的时候,你就不会再关心确切的数字。”
一般计电脑科学家用来加速执行时间的方法是减少大程式的混淆让更小连结的程式混淆。科学家要采用这个方式模煳化一个程式需要两个步骤。改善任一步骤都可以让整个计算过程更有效率。
第一个步骤比较困难。现在用的IO方法一开始会从称为“靴式载入bootstrapping”的程式开始(够小可以进行混淆)。这个程式与大的“目标target”程式互动。靴式载入程式如同安全性泡泡般包围着目标程式的输入与输出进行工作:将所有输入与输出做混淆处理,有效地进行整个目标程式的混淆处理。
但是,即使是针对小靴式载入程式,也都还没有人想出要如何更有效地做混淆处理。她说:“就像是要找『盔甲的缝隙』一样,靴式载入程式这部分真的让我们卡住了。”
研究人员在第二个步骤有比较多的进展。一旦靴式载入程式就定位之后,接下来的挑战是混淆处理更长更多样化的计算。在俄勒冈州波特兰举办的年度计算机理论座谈会(STOC)上,有三个研究小组示范了如何从用混淆处理单一电路(研究人员已经知道理论上要如何进行),进到混淆处理普通计算机(或说是电脑理论科学家眼中的图灵机)。
这是个大跃进。为了要混淆处理单一电路,研究人员需要提前知道输入的大小以及计算的每个步骤。相较之下,电脑可以读取任意长度的输入,将更多的计算看成是更多资料的输入。在STOC里介绍了如何用称为打洞程式编写(punctured programming)的技术将较长、不停输入的计算当做是一连串的离散、相连、电路尺寸的步骤进行混淆处理。
某一篇在STOC发表的论文之共同作者,哥伦比亚大学电脑科学家Allison Bishop说:“主要的技术成果是将IO应用到电路上,将计算区域化再将所有的东西绑在一起,让你可以保护整体的计算过程。”
Allison Bishop
透过数学验证的安全性
让IO更有效率可以解决实作上的问题。建立高安全性则可以解决根本的问题。
当Sahai与德州大学奥斯汀分校电脑科学家Brent Waters在2013年叙述如何使用IO的时候,这个混淆处理被相信可以用来保护程序里的机密。它们一开始的工作有点像是打一个看起来很复杂的结(看起来很难复原),但如果没有更加了解这个结的结构,无法确定会不会其实有个简单的方法可以解开。
Brent Waters
Vaikuntanathan说:“那时候只有一个架构,连要怎么去探讨它的安全性都还不清楚。”
后来情形有改善了。任何以数学作为基础的优良加密方式会定义好入侵者要进行突破时需要处理的问题。例如RSA编码,是用两个主要的大数字产生出结果。要读取你的邮件,入侵者必须回推出相乘出这个结果的两个数字:以目前电脑的能力限制,这个工作是不可能做到的。
一个加密方式的基础数学式需要有困难度,也需要简单、可以久经考验并且容易理解,让密码专家可以有信心这问体看起来就是有那么难。
Sahai说:“根据既有经验,这个方法必须是一个我们可以了解的数学问题,否则可能会被突破。”
在2013年没有一个安全性系统是采用IO实作。一年之后的2014年4月,Waters、Bishop以及(纽约州约克镇高地IBM研究院汤玛士.J.华生研究中心科学家)Graig Gentry共同发表了两篇论文炒热了IO,论文提到一些简单方法(利用一种称为多线性图的数学元素)。(Sahai是其中一篇的共同作者。)Bishop说:“我们认为攻击者如果以任何方式突破『IO』,他必定正在开其中一个问题。”
多线性图仅在2013年被介绍过应用在加密。专家们还没有时间去严格确认它的可靠性。Waters说:“现在,如果这些多线性图座标被破解,并不会带来太大惊讶。”
如今,电脑科学家都试着要想出如何用一个更容易懂的数学障碍取代多线性图。最有希望的似乎是“学习错误(learning with errors,LWE)”,一个需要机器学习的问题。LWE与多线性图有共同的数学祖先“晶格密码学(lattice-based cryptography)”,所以看起来有机会取代多线性图。然而,还没有人想出要如何产生大跃进。
Vaikuntanathan说:“就好像看着对岸的悬崖,看起来很近,好像可以跳过去一样,但事实上不是只有这个问题。”
安全性的急迫性
尽管IO面临挑战,专家们还是相信以IO为基础的安全性方法即将出现。Sahai指出加密延迟时间在理想与实作之间的差距高达30年。从这两年的进度来看,他认为IO可以比那个时间差距更早准备好,他说:“我们希望能缩短到10到15年。”
IO安全性的主要里程碑是简单的数学基础。这个领域中最杰出的人物认为目前情况正在加速IO的进展。Bishop说她“不反对”高安全性的简单组合方式会在10年内发展出来的说法。Vaikuntanathan说得更强势“我甚至认为只要再过几年。”
这些乐观的态度要归功于这两年投入IO研究的资源。Sahai现在是加州大学洛杉矶分校加密功能中心的董事。该中心致力于混淆研究,创立于2014年,美国国家科学基金会捐赠五百万赞助,由Waters与Bishop共同担任首席研究员。此外,去年秋天,美国国防部高级研究计划局(DARPA)宣布成立SafeWare,进行一项支持“用数学验证安全属性之高效率且广泛应用的混淆方法”的研究计划。
这么急着发展IO,表示出IO的能力,也显示出加密学固有的猫抓老鼠游戏。当研究人员正在发展新的安全性策略的同时,另一群人也努力进行量子电脑的工作,如果他们达到目的,他们的计算速度将会让几乎所有的加密方式变无效,(也许)除了IO。
量子安全加密是个棘手的问题,还没有哪一个方法在量子基础的计算法下被证明是完全安全的。
原始报导由Quanta杂志同意转载,Quanta杂志是由西蒙斯基金会独立编辑出版,基金会的主要工作是藉由报导数学、物理及生命科学相关的发展与趋势,来增加大众对科学的了解。
