盧森堡大學教授：如何實現沒有第三方的公平交換？

雷鋒網AI金融評論報道，日前，「2017中歐金融科技產業發展論壇」在深圳舉行。眾多來自牛津大學、盧森堡大學、歐洲科學院以及法國美國等機構和地區的計算機科學專家也出席了大會，並發表各自領域的演講。Peter Ryan 教授是盧森堡大學信息安全中心負責人。他的分享主題是「沒有第三方的公平交換」。

以下是演講原文，雷鋒網進行了不改變原意的編輯：

我今天要講隨機公平交換，這與概率有關。我和團隊主要聚焦在安全領域。第一是基礎信息 HISP 協議（人類互動交換協議）和 PAKE 協議 （密碼認證交換協議），二是如何檢測、猜測攻擊。猜測攻擊是指嘗試性輸入密碼，如果對了就通過，不對就放棄。

HISP 協議被用來建立安全通道，因此需要新的密鑰。這些協議要確信認證是正常進行的，確保和用戶通信的人正式想通信的人並且是合法的，其中有很多方式可以做。在 HISP 中，我們沒有提前分享密碼，使用的是一個通道，不可欺騙，因為有認證所以加這個命名是安全的。通信使用的是低帶寬的通道，人們可以比較繪畫密鑰的兩個短摘要，確信通信是正常的。這些摘要可讀，因此可以進行比較。如果雙方同意，我們就可以認為對方並不是攻擊者。

舉個例子，你想將文檔發給附件的印表機，若發射端和印表機之間沒有障礙，這時候你可以直接看到顯示的密碼，那麼可以確信發送的文檔是發到了指定的印表機，而不是發給別的印表機。另一個例子，某個公司採用了聲音認證方式來對通道進行認證。人們可以互相識別彼此的聲音，通過聲音來確定通信人正是你想通信的那個人。這是一種信任的建立，也是一種認證，正是 HISP 協議認證的基本原理。

攻擊者可能作為中間人，也可能作為通信的另一方，他們想成為最早製造密鑰的人，如果兩邊的密碼能夠匹配，他就可以實現這個目的。他們會採取猜測攻擊，這時候對方並不知道他們遭受到樂猜測攻擊，因為這種攻擊之後的狀況和網路通信故障基本一樣，沒有辦法區別。這種攻擊對於很多節點構成的網路是非常有效的。拉動變換就可以改變 HISP 協議，從而很好地防禦此類攻擊。在 SAS 中加入了一些延遲的器械，延遲確保協議的通信得到保護，超時之後，任何人都不可能獲取信息。這種情況下，攻擊者一直無法獲取有用的信息，知道的時候已經太晚了。加入延時之後，攻擊者想知道他的猜測是否正確是很困難的。

研究 PAKE 協議的可審計

幾年前Bill （原牛津計算機系主任 Bill Roscoe 教授）提出一個解決方法能使 HISP 協議可審計，意思是合法通信者知道有人發起攻擊，而不是出現網路故障。接著我們開始研究 PAKE 的可審計。

去年我對此進行了很多研究，也與一些專家進行了溝通，可不可以對 PAKE 協議做同樣的事情呢？使用拉動變換是否可以實現？

但實際上是很難的，因為這兩類協議有很多不同點。PAKE 協議使用的是繪畫到繪畫的密碼，而 HISP 協議沒有使用這樣的密碼。HISP 協議是有狀態的，而 PAKE 協議是無狀態的。在 PAKE 中沒有 PKI，而 HISP 協議中有。在 PAKE 協議中，雙方只是分享低商值的密碼。這種低商值的秘密是事先分享的， 可能是一個密碼。

舉個PKK 的例子，發送給 B ，進行計算，B 也進行類似的計算。雙方要對於繪畫密鑰進行建立。這一切與密碼結合在一起使用，他們使用相同的密碼，最終 DH 條件就會匹配，他們就會知道對方是經過認證的，或者可以認為對方是合法的通信方。如果他們計算的結果不一樣、不匹 配，就可以判定對方是非法的通信方或者攻擊者。

在確認條件上可以加延遲，在 HISP 中可以實現。但是HISP 是無狀態的， 而 PAKE 是有狀態的。在 PAKE 協議中，密碼會構成長期狀態。如果使用加延遲的方式，到底合不合適呢？在 PAKE 中要實現這點，必須確保攻擊者是首先受到確認挑戰的。攻擊者可以在接受延遲的確認條件之後，直接放棄，等著整個通信結束。這就意味著我們需要更加公平的信息交換方。

什麼是公平交換呢？公平交換意味著如果想從另一方獲取相應的信息，另一方也應該有平等的機會獲取信息。我們想確信，一方接觸確認碼，另一方方也應該是有均等的機會。在網路中需要有足夠的用戶贏得互相信任。

這裡我們舉兩個用戶的例子，有一個用戶是不誠實的，是攻擊者。實際上雙方通信不適用 TCP，也就是第三方信任平台，完全的公平交易不存在。我們可以使用一種方式儘可能在概率上實現公平，也就是攻擊者想獲取正確的信息， 它必須有相同的被抓住的概率。我們假設 PX 表示 X 有足夠的信息獲取 VOI，當然獲取是延遲過期之後，協議派必須滿足公平。通信中雙方會進行計算，通過哈希函數來計算他們各自持有的值，如果兩個值相等就可以確信對方是通信者。這就是建構一個協議，雙方都知道他們可以從另一方得到關鍵的價值。這就是 key。有些會收到假的確認條款，在真實的情況下，加密是短暫的，而對稱的 SK 會被植入進來，他們會對 BX 進行盲化，然後送給另外一方，也就是初始方。初始方就進行初始盲化。 他們會有一系列的條約，並且也不知道在條約當中他們主要的價值是什麼，這是最關鍵的點。 如果我們是做雙向，想開始公平交易的話，他們要進行非盲化，並且開始公平交易。所以他們可以開始交易了。A 可以給 B 傳遞，B 又可以把信息傳遞給 A。

我希望大家都能夠明白我說的。這是一種發送以及回復價值的過程。這樣雙方中的一方可以得到有價值的信息。這個協定確保了 T 和 K 隨機的公平性。

中歐金融科技論壇落下帷幕，但業界交流盛會永不停歇。由雷鋒網承辦的 CCF-GAIR 全球人工智慧與機器人大會將於7月7日-9日深圳召開，屆時也會舉辦Fintech專場。原牛津計算機系主任 Bill Roscoe 教授、香港科技大學教授張曉泉、平安科技首席科學家肖京、通聯數據CEO王政、北航區塊鏈實驗室主任蔡維德等都將為大家帶來精彩分享，敬請期待！如果您希望現場與這些大牛們交流，歡迎參加大會，現在購票還能享有貴賓級優惠哦！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！