白盒密碼技術(shù)白皮書

有關(guān)白盒的概念

其實(shí)白盒黑盒之類概念其實(shí)是軟件保護(hù)方面的概念，在很多方面都有應(yīng)用，例如

黑盒：

傳統(tǒng)的加密技術(shù)是默認(rèn)假定處于黑盒中的，也就是假定攻擊者無法獲得密鑰。具體而言，認(rèn)為攻擊者并未實(shí)質(zhì)性地接觸到密鑰（執(zhí)行加密或者解密的算法）或者任何內(nèi)部操作，僅僅能觀察到一些外部信息或者操作，這些信息包括系統(tǒng)內(nèi)的明文（輸入）或者密文（輸出），并且認(rèn)為代碼執(zhí)行以及動(dòng)態(tài)加密不可被觀察。

灰盒：

灰盒認(rèn)為攻擊者可以實(shí)質(zhì)性地接觸到部分密鑰或者泄露的信息（也就是所謂的邊信道信息）。邊信道分析攻擊（Side Channel Analysis, SCA）利用了從密碼系統(tǒng)運(yùn)行過程中泄露的信息。泄露信息是通過被動(dòng)觀察時(shí)間信息、功率消耗、電磁輻射等而獲得的。

白盒：

白盒即攻擊者已經(jīng)完全控制了整個(gè)操作過程且對(duì)此完全可見，攻擊者可以自如地觀察動(dòng)態(tài)密碼運(yùn)行過程，并且內(nèi)部算法的詳細(xì)內(nèi)容完全可見，可隨意更改。舉例而言，只要軟件是在本地運(yùn)行的，攻擊者就可以通過調(diào)試器運(yùn)行程序，并觀察軟件運(yùn)行的過程。所有涉及解密部分的代碼也就一覽無余了。定義如下：

攻擊者對(duì)主機(jī)和軟件具有完全控制權(quán)
軟件動(dòng)態(tài)執(zhí)行過程是可見的
加密算法內(nèi)部細(xì)節(jié)完全可見、可修改

白盒密碼

白盒密碼技術(shù)是假定攻擊者已經(jīng)完全控制了整個(gè)加密的操作過程且對(duì)此完全可見，在這種情況下處理面臨的嚴(yán)重威脅。黑客們可以不受限制的觀察動(dòng)態(tài)密碼的運(yùn)行過程（擁有示例密鑰），并且內(nèi)部算法的詳細(xì)內(nèi)容是完全可見，可隨意更改。

盡管白盒密碼技術(shù)的方法完全透明，但是它將密碼進(jìn)行了組合使得密鑰不容易被提取。總而言之，白盒加密是能抵御白盒攻擊的加密技術(shù)。

密鑰明文通過白盒加密后會(huì)受到保護(hù)，它不會(huì)直接出現(xiàn)在內(nèi)存中，所以不會(huì)被提取到。

白盒攻擊

白盒攻擊（White-Box Attack）是指攻擊者對(duì)加密系統(tǒng)的運(yùn)行環(huán)境和可執(zhí)行程序擁有完全控制，可觀察和修改任意的內(nèi)部操作和數(shù)據(jù)，包括設(shè)備的CPU、寄存器、內(nèi)存等數(shù)據(jù)等等，如圖4所示。在白盒攻擊環(huán)境下，密碼算法的一般軟件實(shí)現(xiàn)方式通常會(huì)導(dǎo)致密鑰通過內(nèi)存等途徑直接泄露。

白盒攻擊是三種攻擊類型中最強(qiáng)的一種，且涉及到密碼算法本身的理論安全性及其工程實(shí)現(xiàn)的應(yīng)用安全性。如何設(shè)計(jì)能夠抵抗白盒攻擊，保護(hù)白盒環(huán)境下密鑰和敏感數(shù)據(jù)不被攻擊者竊取的有效方案是目前密碼技術(shù)領(lǐng)域的一個(gè)重要問題。

將攻擊類型和技術(shù)對(duì)應(yīng)

白盒加密基本思想

白盒加密屬于對(duì)稱加密，是指能夠在白盒環(huán)境下抵御攻擊的一種特殊的加密方法。首先舉個(gè)例子幫助理解，這里引用最早提出白盒加密實(shí)現(xiàn)方法的大牛Chow在論文《White-Box Cryptography and an AES》中所說的，“舉一個(gè)極端的例子，就是將AES加密用一個(gè)簡(jiǎn)單的查表來表示，那么AES128可以用一個(gè)

bytes的表格替換，這樣一來，AES就變成了一個(gè)完全的黑盒?！甭犉饋砗芎?jiǎn)單吧，但是這是極端情況，一個(gè)如此大的表，沒有硬盤能夠裝得下，所以在具體算法實(shí)現(xiàn)的時(shí)候必須有針對(duì)性的進(jìn)行優(yōu)化。

核心思想：

核心思想是混淆，混淆的意思就是讓人看不懂，如果說加密是隱藏信息，混淆就是是擾亂信息。它們之間的最大區(qū)別是，加密就是信息放進(jìn)了保險(xiǎn)箱，但是一旦我有了鑰匙，我就能打開這個(gè)保險(xiǎn)箱。而混淆則是讓信息以一種完全無法理解的形式存在，盡量讓人無法理解中間的過程（也就是只能看到輸入和輸出，但無法理解結(jié)果是如何得到的），但不影響信息本身發(fā)揮作用（一個(gè)加了密的程序，在源碼未解密前是無法執(zhí)行的，但是經(jīng)過混淆的程序，可以正確執(zhí)行）。

特點(diǎn)

傳統(tǒng)的加密算法中算法和密鑰是完全獨(dú)立的，也就是說算法相同密鑰不同則可以得到不同的加密結(jié)果，但白盒加密將算法和密鑰緊密捆綁在了一起，由算法和密鑰生成一個(gè)加密表和一個(gè)解密表，然后可以獨(dú)立用查找加密表來加密，用解密表解密，不再依賴于原來的加解密算法和密鑰。

優(yōu)勢(shì)：

正是由于算法和密鑰的合并，所有可以有效隱藏密鑰，與此同時(shí)也混淆了加密邏輯。具體而言白盒加密的一種實(shí)現(xiàn)思路就是將算法完全用查表來替代，因?yàn)樗惴ㄒ阎?#xff0c;加密的密鑰已知。所以將算法和密鑰固化成查表表示，這就是白盒密鑰的實(shí)現(xiàn)過程。

缺點(diǎn):

有利必有弊，白盒加密由于需要將加密和解密的算法固化到表格中，勢(shì)必要增加空間開銷，因?yàn)橐４孢@一系列的表。具體在實(shí)現(xiàn)的過程中，大部分情況需要用時(shí)間換空間，需要對(duì)具體的實(shí)現(xiàn)算法進(jìn)行優(yōu)化，也就是樣將大表分解成若干個(gè)小表，增加了查表的次數(shù)即時(shí)間開銷但是減少了表占用的空間。

白盒密碼技術(shù)

完全理想的白盒密碼安全需要從基礎(chǔ)理論到工程實(shí)現(xiàn)全方位的突破。主要的白盒密碼技術(shù)包括以下幾種：

混淆技術(shù)

通過密鑰與算法的混淆，使得交給用戶的密碼功能是有限的，用戶無法獲取其他密碼功能。一切都是算法，沒有密鑰或者密鑰可以公開，是混淆理論發(fā)展的可能方向。把一個(gè)混淆的密碼功能移交給用戶的時(shí)候，所有的原理、系統(tǒng)結(jié)構(gòu)和密鑰都可以對(duì)用戶公開。現(xiàn)代的非對(duì)稱密碼給出了這樣的示例，例如，用戶只能加密，不能解密；用戶只能驗(yàn)證簽名和不能仿造簽名。混淆密碼機(jī)制需要在非對(duì)稱的密碼理論上有更大的突破，區(qū)分出不同的獨(dú)立的密碼功能，確保一個(gè)密碼功能不影響其他密碼功能的安全，從而產(chǎn)生安全的完全白盒化的密碼應(yīng)用。

密鑰隱藏技術(shù)

密鑰隱藏技術(shù)是白盒密碼的另一個(gè)重要思路，其方法是將需要保護(hù)的密鑰隱藏到復(fù)雜的代碼中，隱藏在系統(tǒng)中。直接的密鑰隱藏技術(shù)一般采用密鑰拆分技術(shù)，通過改變算法流程，將用戶的密鑰拆分成多個(gè)無關(guān)的子密鑰，隱藏到系統(tǒng)的不同地方。需要密碼執(zhí)行的時(shí)候通過調(diào)用看似無關(guān)的密碼函數(shù)計(jì)算出需要的密碼計(jì)算結(jié)果。密鑰分散隱藏到代碼中是另一種密鑰隱藏思路，需要有好的算法實(shí)現(xiàn)密鑰與代碼的混淆。通過代碼混淆使得敵手通過代碼分析無法獲得算法和密鑰，其安全的假設(shè)就是完全復(fù)制全部的代碼是困難的。

盡管密鑰隱藏技術(shù)依賴工程實(shí)現(xiàn)，難以做到完全白盒，但相關(guān)密鑰隱藏技術(shù)已經(jīng)成為現(xiàn)代密碼系統(tǒng)安全的一種必備手段。特別是軟件密碼模塊，不得不使用多種密鑰隱藏技術(shù)來保護(hù)密鑰安全。

密鑰攻擊容忍技術(shù)

當(dāng)密鑰隱藏技術(shù)被敵人破解的時(shí)候，我們是否有能力保證，即使敵手獲得了部分密鑰，我們的密碼系統(tǒng)仍舊是安全的。密鑰攻擊容忍就是在這樣一種白盒假設(shè)下的技術(shù)思考。密鑰攻擊容忍是在密鑰保護(hù)，密鑰檢測(cè)和自毀的基礎(chǔ)上對(duì)密鑰安全的進(jìn)一步延伸。

子密鑰不影響密鑰安全的密鑰拆分技術(shù)是密鑰攻擊容忍技術(shù)的一種技術(shù)思路。通過將密鑰拆分成多個(gè)無關(guān)的子密鑰，并保證即使敵手獲得部分子密鑰也不影響原密鑰的安全就可以構(gòu)成一種密鑰攻擊容忍的解決方案。在密碼算法設(shè)計(jì)上就具備密鑰攻擊容忍就更具有基礎(chǔ)性意義。

多方協(xié)同密碼計(jì)算

多方協(xié)同計(jì)算的本質(zhì)就是在不信任的個(gè)體間進(jìn)行協(xié)同，產(chǎn)生出各自滿意的結(jié)果。在可信體系的支持下，協(xié)同計(jì)算是簡(jiǎn)單的。以可信計(jì)算為基礎(chǔ)的可信體系能夠確保信息的真實(shí)、完整、抗抵賴和合法使用，協(xié)同計(jì)算相對(duì)容易。當(dāng)信任體系被打破或難以建立的時(shí)候，也就是現(xiàn)在的零信任假設(shè)下，我們的信任又無法建立，如何合作計(jì)算就成為多方協(xié)同密碼計(jì)算的主要研究方向。

同態(tài)密碼就是兩方協(xié)同密碼計(jì)算的代表性工作。甲方通過加密將數(shù)據(jù)交給乙方，乙方在完全不知道甲方信息內(nèi)容的前提下，幫助甲方處理數(shù)據(jù)，返回處于密文狀態(tài)的處理結(jié)果。甲方對(duì)處理結(jié)果進(jìn)行解密得到明文的結(jié)論。利用同態(tài)密碼的雙方協(xié)作不需要建立強(qiáng)的信任關(guān)系，將原來加密隱藏的功能與委托計(jì)算的功能融合起來，使得對(duì)方能夠進(jìn)行計(jì)算而無法了解信息內(nèi)容。

多方協(xié)同密碼技術(shù)，是密碼技術(shù)從通信保密到計(jì)算安全的一種思想變革，需要基礎(chǔ)理論研究的大力支持。開放的安全多方協(xié)同計(jì)算必然會(huì)用到非對(duì)稱的密碼機(jī)制，以確保對(duì)某一方面的密碼功能優(yōu)勢(shì)。我們要將一種數(shù)據(jù)的計(jì)算能力交給敵手，同時(shí)還用保證我們的交給敵手處理的信息的安全。這也是白盒化密碼的基本思路。

從理論上說，簽名和驗(yàn)簽功能的分離就是一種功能拆分的非對(duì)稱多方密碼計(jì)算的范例。驗(yàn)證簽名的代碼和密鑰可以完全開放，而只需要保護(hù)好自己的簽名私鑰就行。代理重加密技術(shù)可以讓一方對(duì)信息進(jìn)行重新加密而不需要了解信息內(nèi)容；基于身份的加密能夠確保只有擁有相應(yīng)身份的人才能閱讀信息。諸多非對(duì)稱密碼學(xué)的進(jìn)展使我們有望在不遠(yuǎn)的將來擁有更多的多方安全密碼計(jì)算的手段。

白盒密碼構(gòu)造

白盒密碼的一般構(gòu)造方法通?；跇?biāo)準(zhǔn)密碼算法白盒化策略，通過將標(biāo)準(zhǔn)密碼算法中的密鑰與算法實(shí)現(xiàn)融合和混淆，使得密鑰與加密程序不可區(qū)分，即使攻擊者掌握了對(duì)白盒密碼系統(tǒng)的控制能力，也無法進(jìn)一步獲取原始的密鑰信息。

標(biāo)準(zhǔn)密碼算法白盒化又可根據(jù)密鑰是否可更新分為靜態(tài)白盒技術(shù)與動(dòng)態(tài)白盒技術(shù)兩種

靜態(tài)白盒：白盒生成后密鑰是確定的，更新密鑰需要重新生成并分發(fā)白盒。
動(dòng)態(tài)白盒：白盒與密鑰不完全綁定，可通過對(duì)輸入中經(jīng)白盒處理后的密鑰進(jìn)行替換實(shí)現(xiàn)密鑰的更新。

白盒密碼技術(shù)發(fā)展

白盒密碼系統(tǒng)，包括入侵容忍的密碼和密碼應(yīng)用系統(tǒng)，多方安全的密碼協(xié)同，是密碼系統(tǒng)發(fā)展的一個(gè)重要方向。密碼系統(tǒng)應(yīng)該確保即使攻擊者獲得系統(tǒng)結(jié)構(gòu)和部分安全信息，密碼系統(tǒng)依舊安全可控。

白盒密碼技術(shù)就是在開放條件下的一種密碼技術(shù)，采用的是開放的假設(shè)，具備更好的互聯(lián)網(wǎng)適應(yīng)能力。

開放的、白盒化的密碼應(yīng)用技術(shù)也是未來的重要方向。通過開放體系結(jié)構(gòu)讓建設(shè)參與者和使用者明確自己的責(zé)任和義務(wù)，更好地參與到密碼應(yīng)用系統(tǒng)的安全中來是大型密碼應(yīng)用的基本要求。比特幣所依賴的區(qū)塊鏈技術(shù)，就是一種白盒安全技術(shù)的典范。比特幣的區(qū)塊鏈系統(tǒng)不僅將原理全部公開，其運(yùn)行的源代碼也是完全公開的。這種在完全“開放”的環(huán)境下保證系統(tǒng)的安全也許是未來密碼應(yīng)用的主要方向。

SOTP密碼算法體制

SOTP（Super One-Time-Password）密碼算法體制是一種新型白盒密碼。

SOTP算法根據(jù)用戶密鑰信息設(shè)計(jì)均勻、非線性的單項(xiàng)擴(kuò)散變換，保證由配置數(shù)據(jù)到用戶密鑰的不可逆性，根據(jù)參數(shù)配置信息生成相應(yīng)的密碼部件，構(gòu)建用于加密的密碼墻
具體而言，密鑰通過特定算法生成與之一一對(duì)應(yīng)的配置參數(shù)，配置參數(shù)確定了密碼墻中的密碼磚、數(shù)據(jù)回流、交織層等各個(gè)組件的信息。根據(jù)配置信息生成的密碼墻即為與密鑰唯一對(duì)應(yīng)的白盒加密算法，可理解為將標(biāo)準(zhǔn)加密算法中的各類組件和過程進(jìn)行隨機(jī)重組，生成與密鑰唯一對(duì)應(yīng)的獨(dú)一無二的新算法。密碼墻的示例結(jié)構(gòu)如圖所示

通過密鑰生成與密鑰綁定的獨(dú)一無二的密碼墻（即白盒算法）后，可將數(shù)據(jù)輸入密碼墻中以實(shí)現(xiàn)加密，加密步驟如圖所示。攻擊者無法通過密碼墻恢復(fù)出密鑰信息，可以抵抗白盒密鑰攻擊。

參考資料

【密碼篇】白盒加密基本思想
物聯(lián)網(wǎng)場(chǎng)景下的白盒加密技術(shù)
密碼技術(shù)的現(xiàn)狀與白盒化發(fā)展趨勢(shì)