本文首發(fā)于 2017-10-30 16:06 原地址：http://www.blockchainbrother.com/article/83

此次和大家談一談算法的安全性爆价。根據(jù)被破譯的難易程度翔烁，不同的密碼算法具有不同的安全等級嗜傅。 區(qū)塊鏈技術(shù)當中一個很重要的組成部分就是密碼學伟骨，作為從事區(qū)塊鏈研究的工程技術(shù)人員注暗，應(yīng)該對密碼學有一定的了解〖洌現(xiàn)我想分享一些密碼學的基本概念以供交流學習秋茫，大家共同學習滚局，更加充實對區(qū)塊鏈技術(shù)的理解居暖。

算法的安全性

根據(jù)被破譯的難易程度，不同的密碼算法具有不同的安全等級藤肢。如果破譯算法的代價大于加密數(shù)據(jù)的價值太闺，那么一般不會有人想去破譯它，即你可能是“安全的”嘁圈。如果破譯算法所需的時間比加密數(shù)據(jù)保密的時間更長跟束，那么你可能也是“安全的”莺奸。如果用單密鑰加密的數(shù)據(jù)量比破譯算法需要的數(shù)據(jù)量少得多，那么你也可能是“安全的”冀宴。

在這里說“可能”灭贷，是因為在密碼分析中總有新的突破。另一方面略贮，隨著時間的推移甚疟，大多數(shù)數(shù)據(jù)的價值會越來越小。

Lars Knudsen曾把破譯算法分為不同的類別逃延，安全性的遞減順序為：

（1）全部破譯（total break）览妖。密碼分析者找出密鑰K，這樣就能得到

（2）全盤推導（global deduction）揽祥。密碼分析者找到一個替代算法A讽膏，在不知曉密鑰K的情況下等價于得到

（3）實例（或局部）推導（instance (or local) deduction）。密碼分析者從截獲的密文中找出明文拄丰。

（4）信息推導（information deduction）府树。密碼分析者獲得一些有關(guān)密鑰或明文的信息。這些信息可能是密鑰的幾位料按、有關(guān)明文格式的信息等奄侠。

若不論密碼分析者獲得多少密文，都沒有足夠的信息恢復出明文载矿，那么這個算法就是無條件保密的（unconditionally secure）垄潮。事實上，只有一次一密亂碼本闷盔，才是不可破的（給出無限多的資源仍然不可破）弯洗。所有其他的密碼系統(tǒng)在唯密文攻擊中都是可破的，只要簡單的一個接一個的去嘗試每種可能的密鑰逢勾，并檢查所得明文是否有意義牡整，這種方法稱為蠻力攻擊（brute-force attack）。

在密碼學中敏沉，更關(guān)心在計算上不可破譯的密碼系統(tǒng)果正。如果算法用（現(xiàn)在或者將來）可得到的資源都不能破譯，這個算法則被認為是計算安全的（computationally secure）盟迟。準確的說秋泳，“可用資源”就是公開數(shù)據(jù)的分析整理。

可以采用不同的方式衡量攻擊方法的復雜性：

1）數(shù)據(jù)復雜性（data complexity）攒菠。用于攻擊輸入所需要的數(shù)據(jù)量迫皱。

2）處理復雜性（processing complexity）。完成攻擊所需要的時間，也經(jīng)常稱作工作因素（work factor）卓起。

3）存儲需求（storage requirement）和敬。進行攻擊所需要的存儲量。

作為一個法則戏阅，攻擊的復雜性取這三個因數(shù)的最小值昼弟。有些攻擊包括這三種復雜性的折中：存儲需求越大，攻擊可能越快奕筐。

復雜性用數(shù)量級來表示舱痘。如果算法的處理復雜性是2的128次方，那么破譯這個算法也需要2的128次方次運算（這些運算可能非常復雜和耗時）离赫。假設(shè)我們擁有足夠的計算速度去完成每秒100萬次的運算芭逝，并且用100萬個并行處理器完成這個任務(wù)，那么仍然需要花費10的19次方年以上才能找到密鑰渊胸。（而這是宇宙年齡的10億倍）旬盯。

當攻擊的復雜性是常數(shù)時（除非一些密碼分析者發(fā)現(xiàn)更好的密碼分析攻擊），就只取決于計算能力了翎猛。在過去的半個世紀中胖翰，計算能力已經(jīng)得到了顯著的提高，并且現(xiàn)在這種趨勢還在發(fā)展办成。許多的密碼分析攻擊用并行處理的機制進行計算非常理想泡态，一個任務(wù)可以分成億萬個子任務(wù)搂漠，并且處理之間不需要相互作用迂卢。一種算法在現(xiàn)有技術(shù)條件下不可破譯就草率的宣稱是安全的，是很冒險的桐汤。從中我們可以得出而克，一個好的密碼系統(tǒng)應(yīng)設(shè)計成能抵御未來多年后的計算能力的發(fā)展。

注：上面提到的一次一密亂碼本（one-time pad）怔毛，是由Major Joseph Mauborgne 和AT&T公司的Gilbert Vernam在1917年發(fā)明的员萍。（事實上，一次一密亂碼本是門限方案的特殊情況）感興趣的朋友可以查閱相關(guān)資料深入了解拣度，在此我就不展開描述了碎绎。

此次和大家談一談算法的安全性。根據(jù)被破譯的難易程度抗果，不同的密碼算法具有不同的安全等級筋帖。 區(qū)塊鏈技術(shù)當中一個很重要的組成部分就是密碼學，作為從事區(qū)塊鏈研究的工程技術(shù)人員冤馏，應(yīng)該對密碼學有一定的了解∪蒸铮現(xiàn)我想分享一些密碼學的基本概念以供交流學習，大家共同學習逮光，更加充實對區(qū)塊鏈技術(shù)的理解代箭。

算法的安全性

根據(jù)被破譯的難易程度墩划，不同的密碼算法具有不同的安全等級。如果破譯算法的代價大于加密數(shù)據(jù)的價值嗡综，那么一般不會有人想去破譯它乙帮，即你可能是“安全的”。如果破譯算法所需的時間比加密數(shù)據(jù)保密的時間更長极景，那么你可能也是“安全的”蚣旱。如果用單密鑰加密的數(shù)據(jù)量比破譯算法需要的數(shù)據(jù)量少得多，那么你也可能是“安全的”戴陡。

在這里說“可能”塞绿，是因為在密碼分析中總有新的突破。另一方面恤批，隨著時間的推移异吻，大多數(shù)數(shù)據(jù)的價值會越來越小。

Lars Knudsen曾把破譯算法分為不同的類別喜庞，安全性的遞減順序為：

（1）全部破譯（total break）诀浪。密碼分析者找出密鑰K，這樣就能得到

（2）全盤推導（global deduction）延都。密碼分析者找到一個替代算法A雷猪，在不知曉密鑰K的情況下等價于得到

（3）實例（或局部）推導（instance (or local) deduction）。密碼分析者從截獲的密文中找出明文晰房。

（4）信息推導（information deduction）求摇。密碼分析者獲得一些有關(guān)密鑰或明文的信息。這些信息可能是密鑰的幾位殊者、有關(guān)明文格式的信息等与境。

若不論密碼分析者獲得多少密文，都沒有足夠的信息恢復出明文猖吴，那么這個算法就是無條件保密的（unconditionally secure）摔刁。事實上，只有一次一密亂碼本海蔽，才是不可破的（給出無限多的資源仍然不可破）共屈。所有其他的密碼系統(tǒng)在唯密文攻擊中都是可破的，只要簡單的一個接一個的去嘗試每種可能的密鑰党窜，并檢查所得明文是否有意義拗引，這種方法稱為蠻力攻擊（brute-force attack）。

在密碼學中刑然，更關(guān)心在計算上不可破譯的密碼系統(tǒng)寺擂。如果算法用（現(xiàn)在或者將來）可得到的資源都不能破譯，這個算法則被認為是計算安全的（computationally secure）。準確的說怔软，“可用資源”就是公開數(shù)據(jù)的分析整理垦细。

可以采用不同的方式衡量攻擊方法的復雜性：

1）數(shù)據(jù)復雜性（data complexity）。用于攻擊輸入所需要的數(shù)據(jù)量挡逼。

2）處理復雜性（processing complexity）括改。完成攻擊所需要的時間，也經(jīng)常稱作工作因素（work factor）家坎。

3）存儲需求（storage requirement）嘱能。進行攻擊所需要的存儲量。

作為一個法則虱疏，攻擊的復雜性取這三個因數(shù)的最小值惹骂。有些攻擊包括這三種復雜性的折中：存儲需求越大，攻擊可能越快做瞪。

復雜性用數(shù)量級來表示对粪。如果算法的處理復雜性是2的128次方，那么破譯這個算法也需要2的128次方次運算（這些運算可能非常復雜和耗時）装蓬。假設(shè)我們擁有足夠的計算速度去完成每秒100萬次的運算著拭，并且用100萬個并行處理器完成這個任務(wù)，那么仍然需要花費10的19次方年以上才能找到密鑰牍帚。（而這是宇宙年齡的10億倍）儡遮。

當攻擊的復雜性是常數(shù)時（除非一些密碼分析者發(fā)現(xiàn)更好的密碼分析攻擊），就只取決于計算能力了暗赶。在過去的半個世紀中鄙币，計算能力已經(jīng)得到了顯著的提高，并且現(xiàn)在這種趨勢還在發(fā)展忆首。許多的密碼分析攻擊用并行處理的機制進行計算非常理想爱榔，一個任務(wù)可以分成億萬個子任務(wù)被环，并且處理之間不需要相互作用糙及。一種算法在現(xiàn)有技術(shù)條件下不可破譯就草率的宣稱是安全的，是很冒險的筛欢。從中我們可以得出浸锨，一個好的密碼系統(tǒng)應(yīng)設(shè)計成能抵御未來多年后的計算能力的發(fā)展。

注：上面提到的一次一密亂碼本（one-time pad）版姑，是由Major Joseph Mauborgne 和AT&T公司的Gilbert Vernam在1917年發(fā)明的柱搜。（事實上，一次一密亂碼本是門限方案的特殊情況）感興趣的朋友可以查閱相關(guān)資料深入了解剥险，在此我就不展開描述了聪蘸。

于中陽 Mercina-zy