语音隐私保护与哈希函数安全分析

### 语音隐私保护与哈希函数安全分析 #### 语音隐私保护面临的挑战与解决方案 随着基于语音的服务日益增多，用户语音数据的隐私问题逐渐受到关注。在某些系统中，由于自身无法计算哈希值，用户需要承担下载冒名数据并生成哈希值的繁重责任，以便系统训练分类器。 有几种解决方案可供选择： - **单类分类器**：仅需用户提供正样本，但此类分类器性能往往较差。 - **从正样本生成负样本**：用户可使用特定方法从正样本生成负样本集。具体而言，通过迭代估计支持向量机（SVM）分类器，生成位于决策边界错误一侧的负实例。不过，该方法在语音记录超向量上的效果仍有待观察。 此外，系统提供参数（A, w）的方式也存在一定问题。系统生成（A, w）并传输给用户后，虽由系统负责生成冒名哈希，但由于系统可自行生成哈希，仍可能从公共资源（如YouTube）搜索用户语音实例，这一过程的安全性存疑。而且，基于哈希的方法若要保证安全，需用户保留哈希参数，这限制了其通用性，无法像某些方法那样广泛应用于多种任务，如说话人识别、语音识别等。 #### RIPEMD - 160哈希函数概述 RIPEMD - 160是15年前提出的ISO/IEC标准哈希函数，因其与SHA - 1哈希输出长度相同，常被推荐作为其替代方案。尽管它与MD5和SHA - 1基于相同设计原则，但双流结构使其对MD4家族其他成员的近期攻击具有更强抵抗力，目前相关研究成果较少。 RIPEMD - 160是基于Merkle - Damgård设计原则的迭代哈希函数，通过处理512位消息块生成160位哈希值。其压缩函数包含两个并行流，两个流的设计差异较大，且在每个流中，扩展消息块用于更新状态变量。计算完成后，两个流的结果与链接输入相结合，具体公式如下： - \(h_0 = B_{-1} + B_{78} + (B'_{77} \ll 10)\) - \(h_3 = B_{-4} + (B_{75} \ll 10) + B'_{79}\) - \(h_1 = B_{-2} + (B_{77} \ll 10) + (B'_{76} \ll 10)\) - \(h_4 = B_{-5} + B_{79} + B'_{78}\) - \(h_2 = B_{-3} + (B_{76} \ll 10) + (B'_{75} \ll 10)\) 状态更新转换中，两个流的五个32位输入状态变量在五个16步的轮次中使用扩展消息字进行更新，且布尔函数f和旋转值s在每个流和每个轮次中都不同。消息扩展是对16个消息块字的轮次排列，左右流使用不同的排列方式，具体排列如下表所示： | 步骤 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | | 左流 - 轮1 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | | 左流 - 轮2 | 7 | 4 | 13 | 1 | 10 | 6 | 15 | 3 | 12 | 0 | 9 | 5 | 2 | 14 | 11 | 8 | | 左流 - 轮3 | 3 | 10 | 14 | 4 | 9 | 15 | 8 | 1 | 2 | 7 | 0 | 6 | 13 | 11 | 5 | 12 | | 左流 - 轮4 | 1 | 9 | 11 | 10 | 0 | 8 | 12 | 4 | 13 | 3 | 7 | 15 | 14 | 5 | 6 | 2 | | 左流 - 轮5 | 4 | 0 | 5 | 9 | 7 | 12 | 2 | 10 | 14 | 1 | 3 | 8 | 11 | 6 | 15 | 13 | | 右流 - 轮1 | 5 | 14 | 7 | 0 | 9 | 2 | 11 | 4 | 13 | 6 | 15 | 8 | 1 | 10 | 3 | 12 | | 右流 - 轮2 | 6 | 11 | 3 | 7 | 0 | 13 | 5 | 10 | 14 | 15 | 8 | 12 | 4 | 9 | 1 | 2 | | 右流 - 轮3 | 15 | 5 | 1 | 3 | 7 | 14 | 6 | 9 | 11 | 8 | 12 | 2 | 10 | 0 | 4 | 13 | | 右流 - 轮4 | 8 | 6 | 4 | 1 | 3 | 11 | 15 | 0 | 5 | 12 | 2 | 13 | 9 | 7 | 10 | 14 | | 右流 - 轮5 | 12 | 15 | 10 | 4 | 1 | 5 | 8 | 7 | 6 | 2 | 13 | 14 | 0 | 3 | 9 | 11 | #### RIPEMD - 160碰撞构造策略 构造RIPEMD - 160碰撞的总体策略如下： 1. 找到哈希函数在第一轮后高概率成立的特征。 2. 找到第一轮的特征（不要求高概率）。 3. 使用消息修改技术满足第一轮特征所施加的条件，提高特征概率。 4. 通过随机试验找到剩余自由消息位的值，使消息符合特征。 其中，找到第一轮和剩余轮次的良好差分特征是攻击的关键和难点，它决定了最终的攻击复杂度。 在构造高概率特征时，由于RIPEMD - 160双流结构使消息修改复杂，应尽量在第一轮至少一个流中构造稀疏特征。MD5存在仅在链接变量最高有效位有差异的稀疏特征，可用于构造长的高概率特征，但RIPEMD - 160因状态变量的额外旋转，不存在此高概率特征，且差异传播迅速，使用线性近似和编码理论算法也难以得到稀疏特征。因此，使用局部碰撞是较好的选择，它能产生大片无差异区域，适用于消息扩展中使用置换消息字的哈希函数。 在构造局部碰撞方面，有三种基本选项： - 使用两个消息字的差异，在每个轮次内构造局部碰撞。 - 使用单个消息字的差异，构造跨越两个轮次的局部碰撞。 - 结合上述两种方法或使用更多消息字差异。 在RIPEMD - 160中，局部碰撞至少需五步，使用至少三个消息字的差异可轻松构造单个五步局部碰撞。但即使有三个消息字的差异，也可能需构造多达四个短局部碰撞，这对消息字施加了诸多约束。若使用单个消息字的差异，局部碰撞需跨越六个步骤，因为五步局部碰撞无法在这种情况下构造，否则会导致矛盾。 下面是构造局部碰撞的三种选项的mermaid流程图： ```mermaid graph LR classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px; classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A([开始]):::startend --> B(构造局部碰撞):::process B --> C1(使用两个消息字差异<br>在每轮内构造):::process B --> C2(使用单个消息字差异<br>跨越两轮构造):::process B --> C3(结合或使用更多消息字差异):::process C1 --> D([结束]):::startend C2 --> D C3 --> D ``` #### 寻找高概率差分特征与确认输入 为了实现对RIPEMD - 160的攻击，需要找到高概率的差分特征以及能确认这些特征的输入。具体操作步骤如下： 1. **构建第一轮后的稀疏特征**：先为哈希函数在第一轮后构建一个非常稀疏（高概率）的特征。这要求特征中的差异和条件数量较少，以提高其成立的概率。 2. **构建第一轮的合适特征**：接着构建第一轮的特征，目标是利用一个或多个消息字在后续轮次的两个流中构建短的局部碰撞。但由于RIPEMD - 160双流结构的特点，如不同的消息字排列和旋转值，使得构建多个短局部碰撞较为困难。 3. **利用自动搜索工具**：使用自动搜索工具来寻找符合上述特征的输入。这个过程可能需要不断尝试和调整，以找到满足特征的消息字组合。 以下是寻找高概率差分特征与确认输入的步骤表格： | 步骤 | 操作内容 | | --- | --- | | 1 | 构建第一轮后稀疏特征 | | 2 | 构建第一轮合适特征 | | 3 | 利用自动搜索工具寻找确认输入 | #### 攻击结果与分析 通过上述方法，对未修改的RIPEMD - 160进行了碰撞攻击分析，取得了以下成果： - **半自由启动碰撞**：实现了36步的半自由启动碰撞。这意味着在一定条件下，可以找到两个不同的输入，使得它们在经过36步的哈希计算后产生相同的输出。 - **半自由启动近碰撞**：实现了48步的半自由启动近碰撞。近碰撞是指两个输入的哈希输出在大部分位上相同，但仍存在少量差异。 与之前的研究结果相比，本次攻击的复杂度大幅降低，并且能够展示实际的例子。然而，目前仍未能对完整轮次的哈希函数进行攻击，这表明RIPEMD - 160在完整轮次下仍具有较高的安全性，但也为进一步的研究提供了方向。 以下是攻击结果的对比表格： | 攻击类型 | 步数 | 复杂度 | 实际例子 | | --- | --- | --- | --- | | 本次半自由启动碰撞 | 36步 | 低 | 有 | | 本次半自由启动近碰撞 | 48步 | 低 | 有 | | 之前最佳攻击（如Ohtahara等） | 31步 | 接近2^160 | 无 | | 之前Sasaki和Wang攻击 | 51步 | 2^158 | 无 | #### 总结 本文围绕语音隐私保护和哈希函数安全分析展开研究。在语音隐私保护方面，指出了当前系统存在的问题，并介绍了几种解决方案及其局限性。在哈希函数安全分析方面，针对RIPEMD - 160进行了详细研究，提出了构造碰撞的策略，包括寻找高概率特征和局部碰撞的方法，并取得了一定的攻击成果。虽然目前尚未能对完整轮次的RIPEMD - 160进行有效攻击，但这些研究为进一步理解和提高哈希函数的安全性提供了有价值的参考。 以下是整个研究过程的mermaid流程图： ```mermaid graph LR classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px; classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A([开始]):::startend --> B(语音隐私保护问题):::process A --> C(RIPEMD - 160研究):::process B --> D(提出解决方案):::process C --> E(构造碰撞策略):::process E --> F(寻找高概率特征):::process E --> G(构造局部碰撞):::process F --> H(寻找确认输入):::process G --> H H --> I(攻击结果分析):::process D --> J(总结语音保护情况):::process I --> K(总结哈希函数安全):::process J --> L([结束]):::startend K --> L ```