2021年,是我国网络安全和数据保护领域的立法“大年”。 《数据安全法》、《个人信息保护法》相继落地,让数据安全和隐私保护有了更强有力的法律保障。
中国信息通信研究院数据显示,2020年我国数字经济规模已达39.2万亿元、占GDP比重约38.6%,这表明数据要素全面融入经济价值创造。数据价值日益凸显,它既是科技企业了解用户、创造价值的富矿,又关系到用户个人隐私甚至生命财产安全。
而一系列的法律法规牵引出商业模式的根本性改变:从流量垄断的“水大鱼就大”,要转变为统筹数据使用、隐私保护和公共安全的“深海淘珍珠”模式;从无节制买卖明文数据、或者密文数据直接给密钥,要转变为隐私友好的信息使用模式,既能保护隐私又能使用数据。
从“+密码”走向“密码+”
密码在企业的应用,经历了从“+密码”到“密码+”的过程:
“+密码”是在已有的系统上、通过使用密码算法实现保密性和完整性,是一种传统的使用方式。比如网络已经有了,为了建立保密通信,通过调用密码算法完成通话双方的认证和建立会话密钥,以期建立安全连接。为此,“+密码”有两个基本特征:
特征一:密码是叠加在已有的信息系统上发挥价值,用户买单的是原来的信息系统,密码并不在企业的主航道上;
特征二:密码有广泛应用、不可或缺,在一个技术领域后面加“安全”两个字,就是一个密码战场。比如:网络安全、数据库安全、大数据安全,人工智能安全、隐私机器学习……
所以,传统上密码对于企业就是“盐”:一方面不可或缺,另一方面没法独立商业化。
而“密码+”则不然,它是从密码长出来的、原先就没有的全新产业、系统,比如隐私计算,是隐私与安全、数据使用、监管、数据服务并举的新产业、新航道。一旦离开密码,这个产业就没了。
进入数字时代,密码将发挥重塑数字产业,起到不可替代的作用。过去使用数据简单粗暴,直接给明文数据或直接给密钥,而现在,数据会以密态形式出域,并根据使用需求,灵活精准控制用途,消除隐私安全担忧。
加密数据应用
1、为用户提供丰富高效的隐私保护助手
作为线上服务的直接提供者,互联网平台每天都接触到大量的用户信息。旗下拥有微信、腾讯等平台的腾讯公司,肩负着重要的数据安全责任。
为了保障用户信息安全,腾讯从合规管理、产品评审、安全保障、内部审计和员工宣导五大维度建立起系统的隐私保护机制。
在合规管理中,腾讯将数据保护策略制度化、数据操作流程规范化,建立全生命周期的数据管理制度;在产品评审中,腾讯采用产品全覆盖、流程全覆盖、数据处理周期全覆盖的“三覆盖”评审原则开展合规性评估工作,确保产品隐私合规;在安全机制上,腾讯运用数据加密、数据脱敏、去识别化等多种安全技术,研发多款内部安全工具和用户终端安全产品,保障数据安全。在内部审计和员工宣导上,建立专门的隐私合规审计工作组,确保内部合规管理制度和隐私政策有效执行,同时,培养和提高员工的隐私保护意识,确保员工拥有识别和处理隐私问题的能力。
今年年初,腾讯升级了隐私保护平台,上线多款App的隐私管理指引,便于用户管理产品隐私授权,在客服渠道增设个人信息保护专区,并打造“阀门系统”,可以为App做“隐私体检”,具有App合规风险扫描、SDK合规解决方案、产品隐私合规评估、隐私政策管理等功能。
此次升级,腾讯隐私保护平台增加了“用户中心”和“产品隐私设计”等栏目,便于用户了解产品的个人信息处理方式,以及如何更加自主地管理授权范围等。
其中,“用户中心”模块集合微信、腾讯、王者荣耀、腾讯视频等9款产品的隐私管理指引,覆盖通信与社交、数字内容、金融科技服务、工具四大类。用户通过隐私管理指引,可以查看产品隐私保护指引、如何修改隐私设置、了解账号注销流程、管理应用授权等。
“为用户提供丰富高效的隐私保护助手,通过提升平台透明度来连接信任。”腾讯公司数据隐私保护团队李维扬如此介绍。
2、防止恶意应用随意访问私有数据
除线上平台外,智能设备厂商也是保障用户信息安全的直接参与者。根据华为2020年可持续发展报告显示:华为在2020年发布了软件过程可信能力框架和衡量标准,建立了一整套可信编码生产机制;在全球获得2963件网络安全和隐私保护相关的技术发明专利;与超过5000家供应商签署了数据处理协议并进行了数据处理尽职调查。
今年9月13日,华为应用市场发布了2021年8月安全隐私报告,为落实开展“清朗”系列专项行动,提升学生群体移动端网络环境纯净度,华为应用市场安群检测团队开展教育类App专项检测。检测涉及翻译、英语、备考、听书、阅读近10个细分领域共上万款App,问题应用中有24.32%存在频繁弹窗等广告问题,另75.68%存在闪退、无法登录等功能问题,目前问题应用已经被执行下架或通知整改。
当短信、彩信、通话记录、设备信息、电话、存储等敏感权限被访问时,华为鸿蒙系统会有实时的提醒。据了解,在Android 11上有一项非常重要的更新就是分区存储(scoped storage),也被称为沙盒机制,这种方式下应用仅能访问自己的私有数据及授权的公共数据(公共照片、音视频、下载的文件等),防止恶意应用随意访问其他应用的私有数据,导致重要数据被窃取或损坏,有效保护用户数据信息。鸿蒙系统也同样支持沙盒机制,每个应用都把文件存储在自己的“沙盒”内,无法访问其他应用的文件,架构更加合理。
3、以“数据最少化”原则保障金融数据安全
金融信息安全事关用户的财产安全,往往要求更高的防护层级,在这方面,深圳金融企业一样具有不俗的能力。
以平安集团为例,在敏感信息保护方面,其严格遵循国家各项数据安全和个人信息保护要求,已建立数据安全和个人信息保护制度体系,制定个人信息安全合规相关规范指引,开展隐私保护专项检视,建立事前、事中、事后检测机制。平安集团重点围绕数据安全生命周期打造技术防御体系,通过加密存储,访问监控,操作审计,数据脱敏等技术手段保障数据安全。
总部位于南山的乐信是一家金融科技上市公司。据介绍,乐信平台上的所有用户数据都得到了用户授权,遵循“数据最少化”原则,并都经过脱敏处理,加密储存,从技术底层保障用户隐私不被泄露。
在“小数据”“薄数据”的基础上,乐信正在探索如何发挥隐私计算技术优势,加强行业合作,通过联邦学习建模(最早由Google提出,多个实体间在不交换原始数据的情况下交换机器学习,从而达成双方模型的共同提升)等方式,在合法合规的范围内,结合自身对客户消费行为、消费特征的数据积累与洞察,通过水平合作解决“小数据”变“大数据”的问题,通过垂直合作解决从“薄”到“厚”的问题。
4、“全流程客户数据安全保护”实现全程加密
寄送快递是日常生活中的高频应用,作为快递行业的头部企业,顺丰在促进行业规范化和透明化方面功不可没。
自2017年开始,顺丰即普及使用“丰密面单”(隐私面单),对快递单上的用户个人信息进行隐藏处理,不直接显示在快递面单上;2019年双十一物流高峰期顺丰还首次启用了“隐私呼叫”功能。此举表明,顺丰已经将用户隐私安全和物流配送效率放在了同等的位置。
这是继顺丰推出“丰密面单”后,又一项极为重要的信息安全保护措施。如果说“丰密面单”的推出使得整个快递行业迈出了保护隐私信息的第一步,那么,“隐私呼叫”功能的背后就是顺丰多年来强大的科技赋能的结果——“全流程客户数据安全保护”。
“全流程客户数据安全保护”从数据采集端即开始加密,在每一个向**转的过程,客户数据都采用加密传输,数据到了各个业务系统、大数据湖均保持加密的状态,在客户数据展示页面也进行了脱敏处理,运维人员、DBA、数据分析人员、配送员等都无法直接接触到用户隐私信息,最大限度确保用户隐私信息安全。
密态数字经济已来
数据作为生产要素,数据流转是释放数据价值的必由之路。
传统上,每家机构的数据会形成一个个的数据孤岛,数据使用者必须拥有数据,数据的使用权和所有权没有分离。如果使用别家机构的数据,对方出于隐私考虑常会禁止明文出域需要将数据进行加密,而密文无法使用。即使能明文出域,这也会导致数据复制次数越来越多、价值越来越低。
在密态数字经济下,数据流转以密态形式流转,通过密态计算、计算结果可验证释放价值,因此数据所有权和使用权是分离的;数据使用次数越多,价值就越高。
支撑密态数字经济有四类核心密码技术:
l 可控:首先通过密文访问控制技术,实现数据流转过程中的可控;数据转移和流通、但控制权不转移、牢牢掌控在数据属主手里;只有满足数据属主既定安全策略的人、才能访问;
l 可用:通过密文检索获取需要的信息,进而通过密文计算进行数据的深加工,实现数据在密态下的计算效果与明文相同,实现“数据可用不可见”;
l 可审计:第三是通过匿名追踪实现数据使用可审计、监管友好;
l 可计量:基于数据和计算两个要素,以可验证计算技术衡量计算结果的正确性以及计算结果的算力消耗、通过计算复杂度衡量密态计算,实现计算可计量、形成密态数字经济的定价基础。
密码是解决数字时代使用和隐私矛盾的主要工具。蚂蚁链为保障产业协作中全链路的安全与隐私,探索出摩斯安全计算平台、数安链等多款技术产品。
以摩斯为例,它通过隐私计算、零知识证明等密码技术实现数据流转过程中的可控、可用、可审计、可验证,实现“数据使用权转移、而数据的控制权不转移”,以“密态计算”方式重塑数据流转使用模式,释放散落于各个孤岛上的数据价值。目前摩斯产品已服务于金融、政务等10多个行业上百家机构,助力密态数字经济发展。
随着数字经济的深入渗透,定义为“水和空气”的密码技术和理念融入各类的信息产品和服务,重塑数字时代,进而带来一连串的连锁反应。
密码技术的发展与展望
针对密码安全,从基础理论到工程实现都有相关的挑战和解决办法。比如,面对量子计算机呼之欲出的形势,抗量子密码算法就成为当前家喻户晓的密码研究方向。面对黑客攻击手法的不断变革,白盒密码,密钥泄露容忍也成为密码工程与密码理论的研究热点。针对开放协作的需求,多方计算安全也成为当今密码研究的重要课题,如同态密码和混淆密码。
密码高性能实现与密码算法优化等一直是密码工作者们的研究内容。而轻量级密码,低能耗实现等也是应对物联网需求的重要方向。
下文就密码安全方向中的白盒密码和多方协作计算进行分析和展望。
(一)白盒密码适应新的安全假设
白盒密码是一个古老的密码研究方向,到今天再度被提及,是因为该技术代表了一种适合当今时代的新理念。白盒密码基于这样的假设,即敌手能够进入密码系统,并获知密码系统中的所有信息。在这样的假设下设计密码系统并保证密码安全就是白盒密码的主要研究内容。
白盒密码,或者理解为密码系统白盒化,就意味着开放密码系统的体系结构和部分细节,其理由有以下几点:
首先,保障密码系统体系结构不被人知晓(保密),即黑盒假设,难度增加了。硬件和软件的攻击技术不断打破密码系统的边界,使得原本安全的环境和假设不再存在。这种假设与“零信任”的思想是一致的。
对于硬件密码系统来说,过去设立的保密边界很难被打破。但随着硬件分析技术的进步,这种假设在发生变化。过去内容无法读取的密码芯片,利用现在市场上的技术就很容易刨开染色,读取其中的信息,包括电可擦除的信息;高精度的定向探针,也能深入到芯片或硬件内部获取运行时数据;黑客还可以通过设备的电源消耗等侧信道攻击,恢复出设备中的敏感关键信息;通过注入硬件错误或数据错误使设备暂时紊乱从而泄露敏感数据。
对于软件密码模块,包括含有软件的密码模块,其安全边界也非常脆弱。敌手通过系统的漏洞,入侵密码系统;通过身份假冒,绕过系统的访问控制进入系统内核;敌手可以越过进程间隔离,跨进程读取密钥信息;系统的直接内存读取机制、内存数据扩散,如系统休眠时数据从内存到硬盘、存在未清零的动态内存以及软件编程中的漏洞等都给敌手带来获取内部信息的机会。
其次,当密码设备走向大众,随身携带的时候,依靠密码系统的技术保密来支撑安全就变得非常危险。敌手可以通过购买密码设备进行使用或结构剖析;也可以对用户不经意放置的设备进行快速分析;丢失的设备更是给敌手以更多的时间进行分析。先进的黑客技术,能够使市场上的密码产品的系统体系结构很快大白于天下。
密码算法的研究给密码系统安全研究展示了开放的发展途径。同样的密码算法,算法保密肯定比算法公开更加安全。密码科学的发展历史告诉我们,密码算法的公开和标准化所带来的算法安全增益,大大超过了算法公开所带来的安全损失。开放的密码算法不仅仅使得密码更加普及,也使得密码技术更加安全。在算法的公开和标准化的假设下,掌握公开的密码算法对敌手完全没有作用。
白盒安全,不同于过去的黑盒安全,其目标就是在敌人攻入系统、了解全部系统内容的情况下,确保系统安全的技术。如果密码机不存储密钥,只要用户保护好密钥,密码机丢失并不影响密码安全。如果密钥保存在密码机里,白盒密码机制则需要更多的技术防止黑客透过设备分析拿到密钥,密钥隐藏和密钥的泄露容忍就成为这种密码白盒安全的一个重要研究内容。
完全理想的白盒密码安全需要从基础理论到工程实现全方位的突破。主要的白盒密码技术包括以下几种:
混淆技术。通过密钥与算法的混淆,使得交给用户的密码功能是有限的,用户无法获取其他密码功能。一切都是算法,没有密钥或者密钥可以公开,是混淆理论发展的可能方向。把一个混淆的密码功能移交给用户的时候,所有的原理、系统结构和密钥都可以对用户公开。现代的非对称密码给出了这样的示例,例如,用户只能加密,不能解密;用户只能验证签名和不能仿造签名。混淆密码机制需要在非对称的密码理论上有更大的突破,区分出不同的独立的密码功能,确保一个密码功能不影响其他密码功能的安全,从而产生安全的完全白盒化的密码应用。
密钥隐藏技术。密钥隐藏技术是白盒密码的另一个重要思路,其方法是将需要保护的密钥隐藏到复杂的代码中,隐藏在系统中。直接的密钥隐藏技术一般采用密钥拆分技术,通过改变算法流程,将用户的密钥拆分成多个无关的子密钥,隐藏到系统的不同地方。需要密码执行的时候通过调用看似无关的密码函数计算出需要的密码计算结果。密钥分散隐藏到代码中是另一种密钥隐藏思路,需要有好的算法实现密钥与代码的混淆。通过代码混淆使得敌手通过代码分析无法获得算法和密钥,其安全的假设就是完全复制全部的代码是困难的。
尽管密钥隐藏技术依赖工程实现,难以做到完全白盒,但相关密钥隐藏技术已经成为现代密码系统安全的一种必备手段。特别是软件密码模块,不得不使用多种密钥隐藏技术来保护密钥安全。
密钥攻击容忍技术。当密钥隐藏技术被敌人破解的时候,我们是否有能力保证,即使敌手获得了部分密钥,我们的密码系统仍旧是安全的。密钥攻击容忍就是在这样一种白盒假设下的技术思考。密钥攻击容忍是在密钥保护,密钥检测和自毁的基础上对密钥安全的进一步延伸。
子密钥不影响密钥安全的密钥拆分技术是密钥攻击容忍技术的一种技术思路。通过将密钥拆分成多个无关的子密钥,并保证即使敌手获得部分子密钥也不影响原密钥的安全就可以构成一种密钥攻击容忍的解决方案。在密码算法设计上就具备密钥攻击容忍就更具有基础性意义。
白盒密码技术就是在开放条件下的一种密码技术,采用的是开放的假设,具备更好的互联网适应能力。
开放的、白盒化的密码应用技术也是未来的重要方向。通过开放体系结构让建设参与者和使用者明确自己的责任和义务,更好地参与到密码应用系统的安全中来是大型密码应用的基本要求。比特币所依赖的区块链技术,就是一种白盒安全技术的典范。比特币的区块链系统不仅将原理全部公开,其运行的源代码也是完全公开的。这种在完全“开放”的环境下保证系统的安全也许是未来密码应用的主要方向。
(二)多方协同密码计算
多方协同计算的本质就是在不信任的个体间进行协同,产生出各自满意的结果。在可信体系的支持下,协同计算是简单的。以可信计算为基础的可信体系能够确保信息的真实、完整、抗抵赖和合法使用,协同计算相对容易。当信任体系被打破或难以建立的时候,也就是现在的零信任假设下,我们的信任又无法建立,如何合作计算就成为多方协同密码计算的主要研究方向。
同态密码就是两方协同密码计算的代表性工作。甲方通过加密将数据交给乙方,乙方在完全不知道甲方信息内容的前提下,帮助甲方处理数据,返回处于密文状态的处理结果。甲方对处理结果进行解密得到明文的结论。利用同态密码的双方协作不需要建立强的信任关系,将原来加密隐藏的功能与委托计算的功能融合起来,使得对方能够进行计算而无法了解信息内容。
多方协同密码技术,是密码技术从通信保密到计算安全的一种思想变革,需要基础理论研究的大力支持。开放的安全多方协同计算必然会用到非对称的密码机制,以确保对某一方面的密码功能优势。我们要将一种数据的计算能力交给敌手,同时还用保证我们的交给敌手处理的信息的安全。这也是白盒化密码的基本思路。
从理论上说,签名和验签功能的分离就是一种功能拆分的非对称多方密码计算的范例。验证签名的代码和密钥可以完全开放,而只需要保护好自己的签名私钥就行。代理重加密技术可以让一方对信息进行重新加密而不需要了解信息内容;基于身份的加密能够确保只有拥有相应身份的人才能阅读信息。诸多非对称密码学的进展使我们有望在不远的将来拥有更多的多方安全密码计算的手段。
(三)密码技术的发展展望
白盒密码系统,包括入侵容忍的密码和密码应用系统,多方安全的密码协同,是密码系统发展的一个重要方向。密码系统应该确保即使攻击者获得系统结构和部分安全信息,密码系统依旧安全可控。
