查看原文
其他

可信隐私计算安全标准和测试解读

中国信通院 隐私计算联盟 2022-09-24

2021可信隐私计算高峰论坛暨数据安全产业峰会于12月21日召开。


本次大会由中国信息通信研究院、中国通信标准化协会指导,中国通信标准化协会大数据技术标准推进委员会(CCSA TC601)主办,数据安全推进计划(DSI)、隐私计算联盟(PPCA)、金融数据智能联盟(FINDA)承办。



会上,中国信通院云计算与大数据研究所高级业务主管袁博解读了“可信隐私计算”安全标准和测试。


以下为发布实录:



当前数据泄露事件频发,国家、社会、企业、个人对数据安全保护愈发重视。隐私计算从技术角度为数据安全保护提供了一种可行解。但隐私计算自身不同算法协议能保证的安全程度不同,需要划分安全等级,同时隐私计算技术落地化、产品化后也面临产品安全、系统安全的风险,亟需制定隐私计算安全标准。



制定隐私计算安全标准应至少考虑算法安全、密码安全、产品安全相关的多重安全风险点,因此一年多来,中国信通院联合数十家单位共同制定了《隐私计算 多方安全计算产品安全要求和测试方法》《隐私计算 联邦学习产品安全要求和测试方法》两个隐私计算安全标准,从九个维度、数十个测试点划定产品安全。



算法安全里,除了通用性的算法安全要求,同时也要对基础运算、联合统计、隐匿查询、安全求交、特征工程、联合建模、联合预测等重点算法的安全性进行逐一验证。部分测试项如“恶意模型”等设定了不同的安全等级。


基础运算和联合统计算法中常见采用SecureNN、ABY3等算法协议实现;隐匿查询算法常见基于同态加密的XPIR和SealPIR等方法,也出现了多服务器PIR的方法;安全求交主要有基于RSA盲签名、基于DH、基于OT的一些方法来实现。



密码安全核验了对称算法、非对称算法、杂凑算法的正确性、安全强度、密码管理、密码交换协议、数字证书、国密算法支持等维度。通信安全核验了信道安全、通信数据的完整性、保密性、篡改响应、抗重放攻击等维度。产品安全方面从授权认证、系统安全、稳定性、存储安全、日志与存证等5个维度13个测试点进行了验证。


通过文献验证、设计文档验证、代码核验、日志核验、抓包核验、检测工具检测等方式,检验了隐私计算产品的安全情况。



目前隐私计算安全专项测试已开展首批测试。下一步将继续推动互联互通系列标准、行业场景标准、一体机相关标准制定,丰富可信隐私计算标准和测试体系。


中国信通院、隐私计算联盟、大数据技术标准推进委员会(TC601)也将携手产业一道共同推动技术规范、应用落地,推动隐私计算行业健康高质量发展。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存