PPE加密数据库的推断攻击 InferenceAttacks on Property-Preserving Encrypted Databases (CCS2015)

论文中列举了数据库加密数据处理方法，但文章的重点是介绍了针对属性保护加密（Property-preserving Encryption）几种类型的推断攻击。

 

针对数据库加密数据处理的方法本文列举了如下五种，不详述。

1.     搜索对称加密（Searchable Symmetric Encryption）

2.     完全同态加密（Fully Homomorphic Encryption）

3.     健忘内存（Oblivious RAMs）

4.     函数加密（Functional Encryption）

5.     属性保护加密（Property-preserving Encryption）

5.1   确定性加密（Deterministic Encryption）  

一个明文加密后只有一个密文对应。

5.2 序列保护加密（Order-preserving Encryption）

Asymmetric OPE scheme OPE = (Gen; Enc; Dec) is a symmetric encryption scheme withthe following property: if m1 > m2 then EncK(m1) > EncK(m2); if m1 = m2then EncK(m1) = EncK(m2); and if m1 < m2 then EncK(m1) < EncK(m2).

加密前的明文中值的顺序（大小）与他们加密后对应密文值的顺序（大小）一致。

 

 

一、威胁模型

1. 攻击目标

1）Individual attacks：通过推断恢复敏感数据的某条记录。

2）Aggregate attacks：通过推断恢复敏感数据的统计信息。

2．攻击者能够可用的信息

1）Ciphertext-only.能够获取到数据库的密文数据。

2）Steady state EDB. 能够使用数据库并得到输出结果

3）Auxiliary Information：能够获取辅助数据集

二、针对属性保护加密推断攻击

Note：大部分推断攻击都需要公开的数据集作为辅助，并且能够与加密数据列很好地关联起来。因此，辅助数据集的选择是推断攻击最为关键的部分。针对属性保护加密推断攻击主要有以下四种：频率攻击、l_p优化、排序攻击(SortingAttack)和累加攻击（Cumulative Attack）。其中前两种是针对确定性加密的推断攻击，后两种是针对序列保护加密的推断攻击。

1.     频率攻击（Frequency Analysis）：is a well-known attack that decrypts DTE-encryptedcolumns given an auxiliary dataset that is “well-correlated" with theplaintext column. The extent of the correlation needed, however, is not significantand many publicly-available datasets can be used to attack various kinds ofencrypted columns with this attack.

假设已经有一个附属的公开数据集，并且能够与DTE加密的数据关联起来，一旦关联起来，就会泄露信息。

例子：使用下面密码字母表的每个字母加密其对应位置的明码字母表的字母，就可以通过分别统计明文和密文各自状态下的文档中每个字母出现次数，然后他们关联起来。（英文文档中每个字母出现频率是一定的）

明码字母表：abcdefghijklmnopqrstuvwxyz

密码字母表：JQKLZNDOWECPAHRBSMYITUGVXF

 

2.     l_p优化（l_p-optimization）: is a new family of attacks we introduce thatdecrypts DTE-encrypted columns. The family is parameterized by the l_p-norms and is based on combinatorial optimization techniques.

通过优化方法（寻找密文与明文频率的最小距离）去把明文和密文对应起来。该优化是本文作者首次提出来的，与频率攻击方法的区别是对频率的使用方式不同，Frequency Analysis直接使用排名，l_p-optimization使用优化方法。

例子：已知明文和密文各自的数值，并且假设他们的空间是相等的。

明码字母表：abc

密文字码表：ZHK

攻击者分别统计了明文和密文的次数，如下：

a 600  Z 750

b 440  H 500

c 200  K 198

那么用明文去对应Z HK有以下几种方案：

a b c

a c b

b a c

b c a

c a b

c b a

在以上各个方案下分别计算密文到明文的距离，即可推算出密码表。

3.     排序攻击(Sorting Attack)：is an attack that decrypts OPE-encrypted columns. Thisfolklore attack is very simple but, as we show, very powerful in practice. Itis applicable to columns that are “dense" in the sense that every elementof the message space appears in the encrypted column. While this may seem likea relatively strong assumption, we show that it holds for many real-worlddatasets.

属性保护下，明文数据值加其对应的大小顺序在密文空间中没有变。

所以，加密后加密属性列中不同的属性值足够多（稠密的），只要按顺序排序就可以和明文空间一一对应起来。不需要辅助数据集参与。

缺陷，属性值不够多，就没法攻击。

4.     累加攻击（Cumulative Attack）: is a new attack we introduce that decryptsOPE-encrypted columns. This attack is applicable even to low-density columnsand also makes use of combinatorial optimization techniques.

加密列中某一密文比其他90%的密文的值都大，那就用这个密文去对应辅助数据集中比其他90%的数据都大的那些数据。