可搜索加密技術允許用戶搜索自己儲存在雲端的加密文件, 同時保證加密文件和自己搜索的關鍵詞隱私。大多數這方面的研究致力於研發高效的可搜索加密技術。爲了提高效率,這些可搜索加密技術定義了一些可以允許的關於加密文件和加密搜索詞的信息泄露。但是,這些信息泄露的實際意義並沒有被進一步探討。
爲了理解這些信息泄露的意義,在本篇論文中,我們深入研究了一種叫做文件植入的攻擊方法對於可搜索加密技術的影響。在文件植入攻擊中,雲端服務器可以向用戶發送文件,然後用戶會運用可搜索加密技術將文件加密,並上傳回服務器。我們發現運用這種攻擊方式,惡意的雲端服務器只需要向用戶發送非常少的幾個文件,然後觀察這些可搜索加密技術的信息泄露,就可以還原用戶所有加密的搜索詞。這意味着這些信息泄露與用戶的加密文件和搜索詞之間有直接聯繫。這種攻擊可被應用於所有現存的可搜索加密技術。同時我們還展示了一些直接的防禦方式對文件植入攻擊完全無效。相比於之前發現的對於可搜索加密的攻擊,我們發現的攻擊方式大大提高了搜索詞還原的成功率和比例,並且大大減少了攻擊者需要提前獲取的關於用戶文件的信息。我們希望以後的可搜索加密研究可以試圖減少或者消除這些信息泄露。
PDF下載地址:
https://www.inforsec.org/wp/wp-content/uploads/2017/03/sec16_paper_zhang.pdf
作者簡介
張宇鵬是馬里蘭大學電子工程系四年級在讀博士,導師是Jonathan Katz和Charalampos Papamanthou。主要研究領域是應用密碼學,着眼於雲計算中的安全與隱私問題。他曾在ACM計算機與通信安全會議(CCS)和USENIX安全會議(USENIX security)等頂級會議上發表多篇論文。在進入馬里蘭大學前,就讀於香港中文大學並獲得學士和碩士學位。
(PDF下載及更多內容請點擊閱讀原文)
本文分享自微信公衆號 - 百度安全實驗室(BaiduX_lab)。
如有侵權,請聯繫 [email protected] 刪除。
本文參與“OSC源創計劃”,歡迎正在閱讀的你也加入,一起分享。