卢森堡大学教授如何实现没有第三方的公平交换_[#第一枪]

雷锋网AI金融评论报道，日前，“2017中欧金融科技产业发展论坛”在深圳举行。众多来自牛津大学、卢森堡大学、欧洲科学院以及法国美国等机构和地区的计算机科学专家也出席了大会，并发表各自领域的演讲。Peter Ryan教授是卢森堡大学信息安全中心负责人。他的分享主题是“没有第三方的公平交换”。

以下是演讲原文，雷锋网进行了不改变原意的编辑：

我今天要讲随机公平交换，这与概率有关。我和团队主要聚焦在安全领域。第一是基础信息 HISP 协议（人类互动交换协议）和 PAKE 协议 （密码认证交换协议），二是如何检测、猜测攻击。猜测攻击是指尝试性输入密码，如果对了就通过，不对就放弃。

HISP 协议可审计

HISP 协议被用来建立安全通道，因此需要新的密钥。这些协议要确信认证是正常进行的，确保和用户通信的人正式想通信的人并且是合法的，其中有很多方式可以做。在 HISP 中，我们没有提前分享密码，使用的是一个通道，不可欺骗，因为有认证所以加这个命名是安全的。通信使用的是低带宽的通道，人们可以比较绘画密钥的两个短摘要，确信通信是正常的。这些摘要可读，因此可以进行比较。如果双方同意，我们就可以认为对方并不是攻击者。

举个例子，你想将文档发给附件的打印机，若发射端和打印机之间没有障碍，这时候你可以直接看到显示的密码，那么可以确信发送的文档是发到了指定的打印机，而不是发给别的打印机。另一个例子，某个公司采用了声音认证方式来对通道进行认证。人们可以互相识别彼此的声音，通过声音来确定通信人正是你想通信的那个人。这是一种信任的建立，也是一种认证，正是 HISP 协议认证的基本原理。

攻击者可能作为中间人，也可能作为通信的另一方，他们想成为最早制造密钥的人，如果两边的密码能够匹配，他就可以实现这个目的。他们会采取猜测攻击，这时候对方并不知道他们遭受到乐猜测攻击，因为这种攻击之后的状况和网络通信故障基本一样，没有办法区别。这种攻击对于很多节点构成的网络是非常有效的。拉动变换就可以改变HISP 协议，从而很好地防御此类攻击。在 SAS 中加入了一些延迟的器械，延迟确保协议的通信得到保护，超时之后，任何人都不可能获取信息。这种情况下，攻击者一直无法获取有用的信息，知道的时候已经太晚了。加入延时之后，攻击者想知道他的猜测是否正确是很困难的。

研究 PAKE 协议的可审计

几年前Bill （原牛津计算机系主任 Bill Roscoe 教授）提出一个解决方法能使 HISP 协议可审计，意思是合法通信者知道有人发起攻击，而不是出现网络故障。接着我们开始研究PAKE 的可审计。

去年我对此进行了很多研究，也与一些专家进行了沟通，可不可以对PAKE 协议做同样的事情呢？使用拉动变换是否可以实现？

但实际上是很难的，因为这两类协议有很多不同点。PAKE 协议使用的是绘画到绘画的密码，而 HISP 协议没有使用这样的密码。HISP 协议是有状态的，而 PAKE 协议是无状态的。在 PAKE 中没有 PKI，而 HISP协议中有。在 PAKE 协议中，双方只是分享低商值的密码。这种低商值的秘密是事先分享的，可能是一个密码。

举个PKK 的例子，发送给 B ，进行计算，B 也进行类似的计算。双方要对于绘画密钥进行建立。这一切与密码结合在一起使用，他们使用相同的密码，最终 DH 条件就会匹配，他们就会知道对方是经过认证的，或者可以认为对方是合法的通信方。如果他们计算的结果不一样、不匹配，就可以判定对方是非法的通信方或者攻击者。

在确认条件上可以加延迟，在 HISP 中可以实现。但是HISP 是无状态的，而 PAKE 是有状态的。在 PAKE 协议中，密码会构成长期状态。如果使用加延迟的方式，到底合不合适呢？在 PAKE 中要实现这点，必须确保攻击者是首先受到确认挑战的。攻击者可以在接受延迟的确认条件之后，直接放弃，等着整个通信结束。这就意味着我们需要更加公平的信息交换方。

什么是公平交换呢？公平交换意味着如果想从另一方获取相应的信息，另一方也应该有平等的机会获取信息。我们想确信，一方接触确认码，另一方方也应该是有均等的机会。在网络中需要有足够的用户赢得互相信任。

这里我们举两个用户的例子，有一个用户是不诚实的，是攻击者。实际上双方通信不适用 TCP，也就是第三方信任平台，完全的公平交易不存在。我们可以使用一种方式尽可能在概率上实现公平，也就是攻击者想获取正确的信息，它必须有相同的被抓住的概率。我们假设 PX 表示 X 有足够的信息获取 VOI，当然获取是延迟过期之后，协议派必须满足公平。通信中双方会进行计算，通过哈希函数来计算他们各自持有的值，如果两个值相等就可以确信对方是通信者。这就是建构一个协议，双方都知道他们可以从另一方得到关键的价值。这就是 key。有些会收到假的确认条款，在真实的情况下，加密是短暂的，而对称的 SK 会被植入进来，他们会对 BX 进行盲化，然后送给另外一方，也就是初始方。初始方就进行初始盲化。他们会有一系列的条约，并且也不知道在条约当中他们主要的价值是什么，这是最关键的点。如果我们是做双向，想开始公平交易的话，他们要进行非盲化，并且开始公平交易。所以他们可以开始交易了。A 可以给 B 传递，B 又可以把信息传递给 A。

我希望大家都能够明白我说的。这是一种发送以及回复价值的过程。这样双方中的一方可以得到有价值的信息。这个协定确保了 T和 K 随机的公平性。

中欧金融科技论坛落下帷幕，但业界交流盛会永不停歇。由雷锋网(公众号：雷锋网)承办的 CCF-GAIR 全球人工智能与机器人大会将于7月7日-9日深圳召开，届时也会举办Fintech专场。原牛津计算机系主任 Bill Roscoe 教授、香港科技大学教授张晓泉、平安科技首席科学家肖京、通联数据CEO王政、北航区块链实验室主任蔡维德等都将为大家带来精彩分享，敬请期待！如果您希望现场与这些大牛们交流，欢迎参加大会，现在购票还能享有贵宾级优惠哦！

相关文章：

牛津大学量化金融创始人：如何获取并应用互联网大数据？

多位牛津教授谈金融信息安全，还将成中欧金融科技研究院重要课题

深圳和信中欧金融科技研究院成立，院长牛津大学计算机教授带来哪些利好？

模具制造价格

开瓶器价格

洗涤漂白剂批发