《Cryptographic Reverse Firewalls》密码学反式防火墙论文的部分翻译

原文链接

https://eprint.iacr.org/2014/758.pdf
作者：Ilya Mironov，Noah Stephens-Davidowitz

部分翻译

摘要

最近爱德华·斯诺登的揭秘表明，用户的硬件和软件可能以各种各样方式被利用而攻击它自身（例如泄露她的隐私信息）。并且最近一系列的公告也显示广泛应用的密码学软件经常包含削弱其自身安全性的漏洞。这促使我们考虑以下（看似荒谬的）问题：当用户可能正使用着发生故障或被任意破坏了的机器时，我们如何保证用户的安全性？为此，我们引入密码学反式防火墙（RF）的概念。它是位于用户的计算机和外部网络之间的设备，可能修改用户在执行密码学协议过程中发送和接收的消息。
一个优秀的反式防火墙能做到以下三点：（1）维持功能，这样，如果用户的计算机工作正常，反式防火墙不会破坏正在执行的协议的正常功能。（2）它保留安全性，这样，无论用户电脑进行何种操作，反式防火墙的存在将提供与协议正确执行带来的同样的安全保证。（3）防止渗透，即不管用户机器进行了怎样的操作，反式防火墙的存在能防止机器向外界泄露信息。非常重要的是，我们没有将这个防火墙模型化为可信方。它不与用户共享任何秘密，并且在没有防火墙时，协议（当正确执行的时候）应该既安全又能实现功能。
我们对反式防火墙的安全性定义取决于所使用的协议的安全概念。我们的模型总结概括了许多以前的工作，并提供了用于构造在受损机器上运行也保持安全的密码学方案的通用框架。它也是对80年代和90年代曾受到过相当关注的一系列工作的一种摩登呈现。
通过构造一个各参与方都有安全反式防火墙的秘密函数计算协议，我们证明了这个定义是可以实现的。我们还设计了一个各参与方也都有安全反式防火墙的不经意传输协议，还有一种比已有构造都更高效也更安全的可重新随机化混淆电路。最后，我们给出了如何将任何协议转化为各方都有防渗透反式防火墙的协议的方法。（换句话说，我们给出了一种通用方法，防止被篡改的机器通过任何协议向窃听者泄漏信息。）

目录

第一章 介绍 1
第二章 密码学反式防火墙 9
2.1 密码学协议 9
2.2 讨论定义 13
第三章 不经意传输 15
第四章 未来工作的结论和方向 19

第一章 介绍

最近爱德华·斯诺登的揭秘表明,强大的攻击者为获取秘密信息会走得很远。譬如，美国国家安全局在公共加密标准中预留了后门，并且在硬件交付给消费者的过程中拦截了硬件，以便对其进行篡改。同时，在密码学协议的广泛使用的实现中已经发现了多个严重的缺陷，使许多用户容易受到简单但致命的攻击。现代密码实现的极端复杂性使得专家（更不用说一般用户）难以检测到这样的漏洞，即使它们被无意引入。蓄意在硬件和软件中植入漏洞的攻击者使得检测更加困难，他们会使用密码学方法来掩盖痕迹。
因此，面对通信平台内部被破坏这样一个令人沮丧的（但相当真实的）的可能性，我们考虑以下看似矛盾的问题：当对手可以任意篡改受害者的计算机时，我们可以设计出具有有意义的安全性的密码学协议吗？
为了解决这个问题，我们提出一个存在主动篡改敌手情况下的强且具有一般性的安全性概念，并展示如何实现这个模型中的强大密码学原型。当然，如果在某种协议中，爱丽丝的计算机简单地选择将她的发给鲍勃第一条消息用她的秘密商业计划替换，那么我们也不能希望在没有某种帮助的情况下能保证她的安全性。与网络安全的比拟相反，我们提出并研究密码学反式防火墙的功能–一个保护加密方案和协议免受内部攻击的实体。非正式地说，密码学反式防火墙是由位于爱丽丝和外部之间的第三方比如由爱丽丝雇主雇用的安全承包商所运行的机器，并且防止爱丽丝的计算机在发送和接收消息通过潜在地修改来危害用户安全。与典型防火墙相反，反式防火墙的重点在于体系内部，特别地，反式防火墙的一个重要目标是防止外渗攻击。我们的主要贡献是提出反式防火墙的定义和能给加密协议带来的额外安全级别。
更具体地说，我们定义了反式防火墙的三个期望属性。首先，反式防火墙应该维持正常功能。也就是说，如果爱丽丝的计算机运行正常，那么反式防火墙不应该破坏协议的底层功能。其次，反向防火墙应该保留安全性。 也就是说，如果没有反式防火墙存在的协议在爱丽丝的计算机表现正常时提供了哪些安全防护，那么无论计算机有怎样的操作，具有反式防火墙的协议应该提供相同的保障。最后，反式火墙应该阻止渗透。 直观地说如果不能通过防火墙进行篡改达到信息泄露的目的，那么就达到了要求。
我们将定义的大部分讨论推迟到进行正式介绍的第二节。但是，我们强调反式防火墙不被模型化为可信的第三方，我们不仅仅依赖它来保证安全。如果用户的协议实现是正确的，那么协议没有防火墙也该是正常安全运行的。换句话说，我们要求防火墙保留安全性而不是提供安全性。此外，反式防火墙只能访问爱丽丝的传入和传出消息和公共参数而不是爱丽丝的状态或输入或共享的秘密。实际上，我们对反向防火墙的信任不比对通信介质多。我们还要求防火墙是“可堆叠的”，使得一方可以具有任意多的防火墙。即使只是其中一个防火墙正确运用，或者用户的实现是正确的，那么安全性就得到保证。
注意，我们的安全定义是相当苛刻的，因为它假想敌人就存在于我们的电脑里。例如，考虑一种安全的硬币翻转协议，其中爱丽丝希望与鲍勃的公平硬币达成一致。非正式地说，如果鲍勃不能单独抛弃所得到的硬币，则协议对于没有反式防火墙标准设置中的爱丽丝是安全的。在我们的环境中，我们想象双方共同努力偏向硬币翻转对鲍勃有利的情况。鲍勃一直是对立的，在我们的环境中，鲍勃也可能篡改了爱丽丝的电脑，所以它是真正的对鲍勃有利。防御这种攻击的唯一手段是反式防火墙，它可以修改爱丽丝发送和接收的消息，但是还必须保证在爱丽丝鲍勃都可信时不会破坏协议。同时还得保证不会触及特权隐私信息。
尽管有这种优势，我们显示在这个模型中的安全性是需要非常强的原型来实现的。实际上，我们构建了一个在这个模型中是安全的两轮秘密函数计算协议(第四部分)。特别地，该协议中的每一方都具有相应的安全反式防火墙。换句话说，我们展示了一个相对简单的协议，允许爱丽丝和鲍勃联合安全地访问任何回路，它具有显著的属性，这就是为什么反式防火墙可以保证爱丽丝的安全，即使在鲍勃已篡改她的计算机的情况下，反之亦然。这立即表明，在这个模型中可以安全地实现非常大规模的双方原型。这个协议的主要成分是一个不经意传输协议，它本身有一个保护每一方安全的反式防火墙和姚