随机性在计算机科学和密码学中扮演着至关重要的角色。从简单的抛硬币决定权利的方式,到复杂的密钥生成与安全通信,随机性保障了选择的公平性和难以预测的性质。然而,现实世界中生成真正的随机数极其困难,程序员通常依赖于哈希函数来模拟随机性。哈希函数通过将输入数据混合处理,生成看似随机的输出,长久以来被假设其输出可以视为接近完全随机。这一假设被称为随机预言模型,并广泛应用于加密协议的安全证明中。波士顿大学的Ran Canetti指出,如今几乎所有密码学应用的安全分析都依赖于这一模型。
近日,三位计算机科学家通过一项突破性研究动摇了这一根基,揭示了即便在采用随机预言模型的前提下,关键的证明系统仍可被攻击者利用,以虚假证明欺骗系统,从而曝露出严重的安全隐患。此次研究聚焦于区块链系统中的证明协议,这类协议用于验证外部服务器所完成的计算过程的正确性。以太坊基金会的Dmitry Khovratovich、零知识证明技术公司Succinct的Ron Rothblum及区块链初创公司[alloc] init的Lev Soukhanov成功展示了无论选用何种哈希函数,都可构造出“证明谎言”的攻击方法。这类攻击利用了被广泛采用的Fiat-Shamir变换,这一技术允许非交互式地进行计算证明。借助Fiat-Shamir变换,证明者无需与验证者频繁交互,仅凭生成的哈希来模拟随机挑战,从而简化和加速了证明过程。然而,Fiat-Shamir变换的安全性长期被建立在随机预言模型的理想假设上。
1996年由David Pointcheval和Jacques Stern提供的理论证明,基于这一模型,Fiat-Shamir是安全的,但该证明并未能覆盖现实中实际哈希函数的具体实现细节。早在21世纪初,已有理论指出存在设计精巧的交互式证明协议可被Fiat-Shamir攻击,但这些协议多属于精心构造的、非实际应用的极端案例。此次研究首次证明,现实世界中用于关键区块链和云计算服务的Fiat-Shamir证明系统同样存在脆弱性。研究团队利用GKR协议作为攻击载体,该协议本质上用于验证一个程序对某一私有输入确实产生了指定输出。通过构造一种恶意程序,研究人员让其能够利用自身哈希值作为秘密输入,重新计算随机挑战的同时伪造内部数据验证过程,从而使验证者无法察觉实际输出与宣称的正确输出不符。他们进一步证明,可以将该恶意程序嵌入任何计算任务中,譬如造假学生完成作业的成绩证明,但仍保持程序逻辑与原程序一致,确保表面通过验证。
此类攻击一旦在区块链网络中实施,意味着攻击者能伪造数百万美元的虚假交易记录,极大威胁数字金融系统的安全和信任基础。面对如此严峻的打击,区块链领域和密码学界迫切开始寻找防御策略。Polyhedra公司迅速响应修补了其产品中的漏洞。此外,耶路撒冷巴伊兰大学的Eylon Yogev联合Simons计算理论研究所的Gal Arnon提出对Fiat-Shamir变换进行结构性修改,通过限制被验证程序的复杂度低于使用的哈希函数复杂度,从根本上杜绝包含恶意计算代码的可能性。这种策略虽在理论上有效,但并非适用所有应用场景,且并未阻止可能出现的新型攻击变种。密码学领域因此陷入深深的不安。
业界领袖Justin Thaler强调,目前更需关注Fiat-Shamir协议实现中的软件缺陷,但当务之急仍是深刻理解攻击的潜在风险及其实际危害。Ran Canetti警告,复杂的代码适配和跨平台实现容易藏匿后门,攻击者或能悄然植入恶意程序,造成系统崩溃。显然,随机预言模型这一象征安全的假设已被迫开始反思。或许,是时候重新审视密码学中众多基于这一模型的安全证明,避免未来沉睡于虚假信任之中无法醒来。此次发现虽然令人忧虑,却也推动密码学迈向更加严谨与健壮的理论基础,确保数字信息时代的安全屏障持续稳固。未来,随机性生成的可靠性以及非交互式证明设计的安全性将成为重点研究领域,这关乎区块链金融、云计算服务乃至全球数字安全体系的命运。
不断进步的科学研究提醒我们,每一份信任背后都需要深度验证,而密码学的力量,应当经得起时间与实践的考验。
