在这里,不过多介绍公钥管理的相关内容,分享几个好用的密钥安全分发和管理密码学工具。这些工具在工业界都有相应的产品和应用,而且都是明星产品。根据下面讲述的工具和其原理,便可轻松构建密钥的安全分发与管理方案。
一、基于属性的加密
在ABE系统中,用户的密钥和密文被标记为描述性属性集,而特定密钥只有在密文的属性与用户密钥之间匹配的情况下才能解密特定的密文。当密文和私钥之间至少图片个属性重叠时,密码系统允许解密。
在了解到什么是ABE后,我们很容易就想到了细粒度的访问控制。
细粒度的访问控制系统有助于向一组用户授予不同的访问权限,并允许灵活地指定单个用户的访问权限。
有了细粒度的访问控制,那么针对性的设计,便能做到安全的分发密钥。那么原理是什么呢?我们来看一下GPSW文章,然后给出非正式的描述。
(基于密钥策略的)属性加密方案由四种算法组成。
Setup:这是一个随机算法,除了隐式安全参数之外,不需要任何输入。它输出公共参数图片和主密钥图片。
Encryption:这是一种随机算法,它以消息图片、一组属性图片和公共参数图片作为输入。它输出密文图片。
Key Generation:这是一个随机算法,作为输入-访问结构图片,主密钥图片和公共参数图片。它输出一个解密密钥图片。
Decryption:该算法以在属性集合图片下加密的密文图片、访问控制结构图片的解密密钥图片和公共参数图片作为输入。它输出消息图片,如果图片。
虽然,从以上描述中并没办法看出原理细节,但足够理解ABE是如何运作的了。如果想了解具体细节,请查看GPSW文章。文章名称和下载链接会在最后给出。
下面给出一个比较出名的开源库:OpenABE
GitHub-zeutro/openabe:The OpenABE library-open source cryptographic library with attribute-based encryption implementations in C/C++
代理重加密
现在,咱们来看看第二个技术,代理重加密,proxy re-encryption。
PRE:其实含义非常简单,就是存在一个代理,能够在密文的情况下,将使用Alice公钥加密的密文转换为使用Bob公钥加密的密文,即Bob能使用自己私钥解密转换后的密文。
代理本质上是任何提供商,包括云服务提供商。代理或云提供商永远不会看到实际的机密消息。它只看到加密的消息和公钥(上面用绿色标记的元素)。私钥对单个方保持私密性,并且只有每个机密邮件由目标收件人解密,而不是由代理解密。因此,云提供商永远不会看到信息。
下面我们也看一个PRE的非正式描述:
细心的朋友应该能看出来,这不是传统的代理重加密,这是基于属性的重新设计的代理重加密。
对于使用代理重加密实现密钥共享方面,是有实际的产品的,也就是大名鼎鼎的基于区块链的分布式密钥管理系统Nucypher。
NuCypher KMS定位为公链和DApp的数据隐私协议层,通过结合代理重加密和区块链两项技术打造分布式密钥管理系统,使公共网络上的任意数量参与者之间的隐私数据实现安全共享(通过加密和权限控制)。NuCypher一方面能保证隐私共享过程中的完全可信(以可信中立的区块链网络代替半可信不中立的传统代理者角色),另一方面也能实现更灵活多样的信息共享(可实现任意数量参与者的N对N信息共享)。该项目有可能重塑隐私信息的传输和共享协议,如同TLS和SSL安全协议一样成为为DApp的关键组成部分。
下面是他们的官网,有兴趣的可以研究一下,欢迎讨论,之前搞过一段时间。
NuCypher
安全多方计算
最后就是安全多方计算了,该技术,这两年在国内外特别的热。下面我们先看下什么是安全多方计算。
在为安全多方计算图片做标准化定义时,研究者们构建出两种场景:图片和图片。下面分别介绍下两种场景,并引出图片的正式定义。
而在现实世界中(图片),这样一个可信第三方是不存在的,所以网络计算机构将发生变化,即各方可以通信,通过一些密码学原语,将交换的信息进行处理,在无可信第三方协助的情况下,使用交换信息计算得到最终结果。
所以,SMPC的设计与实现时,就是要求在图片的世界中的构造与图片中的构造达到相同安全等级。(对于具体的图片的安全性分析与定义,我们将在后面一篇文章中介绍)
现在,我们结合起来,对安全多方计算做一个正式点的定义。
