随着人工智能技术的不断发展,其与密码学之间的联系愈加紧密,彼此之间的相互作用也愈发深入。近年来,有关人工智能可能对密码学带来的影响引起了越来越多的讨论。一方面,人工智能在帮助密码学提高安全性和效率的同时,又能利用密码学保护自身的数据,与密码学形成相辅相成的发展态势;另一方面,人工智能的发展(尤其是在机器学习和深度学习方面)也增强了密码分析的能力和效率,并因此危及到密码系统的安全性,为密码学带来了一系列潜在的威胁。
本期简报对ResearchGate上的一篇系统性文献综述的关键内容进行了编译和总结,该篇综述由来自斯里兰卡萨伯勒格穆沃大学的Pinindu Chethiya发表于2023年12月。他搜集了大量探讨相关议题的文献,总结并批判性地评估了有关人工智能对传统加密方式影响的研究现状,讨论了该领域当前研究存在的局限性和面临的挑战,并对未来的研究提出了建议。
随着人工智能及相关技术的高速发展,人工智能算法已经具备了发现加密系统中脆弱性与漏洞的能力,这使得加密数据的安全性受到了威胁。近年来,人工智能技术已被应用于各种密码攻击活动中,如破解密码、密钥预测、绕过安全协议等。与此同时,有关人工智能对密码学威胁的研究和观点也层出不穷。因此,了解与加密系统相关的潜在风险和漏洞,并开发新的方法来防止基于人工智能的攻击已经势在必行。
本文献综述旨在总结人工智能对密码学影响的研究现状,概述人工智能对密码学构成的潜在风险和威胁,并确定该领域的主要趋势和未来研究方向。综述内容涉及不同类型的基于人工智能的密码攻击、已经提出的防御对策,以及这些对策存在的挑战和局限性。本综述还分析了人工智能和密码学的最新进展以及对密码学未来的潜在影响,包括其对隐私、安全和机密性产生影响的潜在后果。
目前的许多观点和研究中有相当一部分聚焦于人工智能在国防领域的运用,然而,这其中有不少观点实际上已经不再适用于高速发展中的人工智能领域,原因就在于这些观点并没有敏锐和密切地关注到人工智能在密码学中的应用。
与此同时,另有一些研究者已经关注到了人工智能在密码学中的应用,他们的研究主要聚焦在使用人工智能辅助密码学的几个特定环境,其中就包括对人工神经网络、机器学习和深度学习等人工智能技术的使用。近来的许多相关研究都发现了这几项人工智能技术对入侵检测和身份验证的助益,并已将其与其他技术相结合后实际应用于多个领域,例如区块链技术和人工智能结合后在智能汽车的身份验证及加密方面的应用、深度学习在车与车(V2V)交互中的应用,以及机器学习在智能电网中的应用等。也有一些研究提到了人工智能技术在应对网络攻击中的应用,例如在应对DDOS、窃听、木马植入等各种边缘网络攻击时,人工神经网络和一些机器学习算法可以有效地为识别和避免遭到这些攻击提供帮助。此外,在物联网安全方面,也有研究者对机器学习和深度学习在这一领域的适用性上表现出高度的兴趣。
纵观当前的相关研究成果,在“人工智能影响下的密码学”这一议题中,“人工智能嵌入密码学”阶段受到了大量的关注,尤其是如何在密码学中使用神经网络安全地加密和解密信息、如何在图像编码中使用神经网络、机器学习在密码学中的应用等(有关“人工智能影响下的密码学”详细解析请见寰球密码简报(第134期)丨密码与人工智能:从共同演化到量子革命)。不过,大部分的研究尚未涵盖量子计算对人工智能影响下密码学发展的影响。同时,一些研究中也指出了神经网络和量子密码学之间的一些不兼容性,这主要是由于基于神经网络的加密算法不能与任何基于海森堡原理和光子偏振的量子加解密技术兼容。
得益于云计算、大数据和物联网(IoT)的发展,人工智能在近年来亦发展迅速,并在包括机器学习、推荐引擎和自然语言处理等方面都得到了广泛的研究。在这样的发展态势之下,许多相关的技术开发也都取得不小的进展,例如在自动驾驶汽车和家用无线设备的开发中就能看到不少人工智能发展的影子。此外,一些更为复杂的机械系统开发(如基于人工智能技术开发的脑机接口、人机交互设备等)也正随着人工智能的发展而被纷纷提上日程。
然而,在没有合适的加密技术辅助的情况下,人工智能可能会在带来便利的同时带来一系列的灾难。而解决安全问题的关键就是密码学,以及如何将密码学应用于人工智能。就当前情况而言,相关技术主要集中在机器学习、非对称加密、安全外包处理和多边信息处理等方面,可验证技术(保证人工智能系统完整性和精度的一种方式)的重要性也日益增强。但总体上,目前仍缺少能够为人工智能提供可实现安全性和准确性之间平衡的加密技术,已有的相关解决方案仍存在大量的计算或策略依赖,这对它们的实用性和适用性都产生了重大影响。
目前,人工智能(尤其是其中的深度学习技术)已经越来越多地被用于数据处理、语音识别和图像分析等应用场景,例如计算机编程、网络安全、刑事司法、自动化等领域已经越来越依赖于人工智能技术。然而,在人工智能的快速发展和创新中,隐藏在其中的负面影响也逐渐显现,如何应对与人工智能相关的安全威胁与犯罪行为成为了需要更多关注的问题。
(一)人工智能数字取证
有关人工智能的犯罪可以被分为两类,即以人工智能作为工具的犯罪和将人工智能作为目标的犯罪。其中,以人工智能作为工具的犯罪实际上是对已有犯罪行为的延展,例如网络钓鱼、计算机黑客入侵等;将人工智能作为目标的犯罪则主要集中在破坏人工智能本身的功能,例如用对抗性攻击令人工智能作出误判等。针对以上犯罪行为进行调查时,就可以进行针对人工智能的取证,其本质是对人工智能本身的研究,而不是单纯将人工智能技术用于调查,其与传统的网络证据获取有所区别。
值得注意的是,一些研究表明,拥有像人类一样行为的在线社交机器人(Social Bot)已成为研究人工智能取证的关键之一。虽然在线社交机器人最初的设计目的是提升人们之间的合作效率,但其已经越来越多地被用于不法目的,包括黑客攻击、网络盗窃和对在线社交媒体活动的渗透等,并因此在影响和煽动公众情绪方面造成不良影响。
(二)人工智能有害使用
当前,一些恶意攻击者已经开始尝试将人工智能武器化,并将其直接运用于犯罪行动中。例如,一些网络犯罪分子已经可以利用人工智能技术模仿受害者家人和同事的声音,或使用人工智能评估和识别系统中的漏洞以进行攻击,并以此进行诈骗或勒索。
在针对人工智能有害使用的研究中,一些研究人员关注到了这其中三个主要的变化:已有风险的增长、新风险的出现以及已有风险特征的改变。当犯罪分子能够灵活而熟练地使用人工智能时,由于犯罪成本的下降,犯罪分子将更容易在短时间内实施更大规模的攻击(例如大规模的网络钓鱼骗局),这将导致原本已有风险的扩散和增长;随着人工智能的发展,原先无法实现的新型犯罪手段将越来越多(例如语音模仿和多无人机控制等),这将导致新风险的出现;当人工智能攻击变得更加普遍时,原有的风险性质和特征将发生改变。
此外,也有一些研究将人工智能有害使用/犯罪以更独特的视角进行了分类,即分为对资本市场的侵蚀、商业行为犯罪(如市场投机、价格管制等)、有害或致命内容、对人的犯罪(如言语攻击等)、性犯罪、盗窃、欺诈等。这些研究人员在评估人工智能安全威胁时更专注于人的表现、义务、责任和心理,例如,人工智能带来的道德威胁意味着人工智能有可能影响人们的精神状态,从而促进或导致犯罪。
(三)人工智能隐私问题
除了对人工智能取证和人工智能有害使用的关注外,也有一些研究集中在人工智能带来的隐私问题上。
其中一些研究强调,人工智能在医疗、金融和教育领域的应用可能会更容易出现隐私问题。由于训练数据的数量和质量对人工智能的有效性有重大影响,人工智能开发人员的目标往往是“尽可能多地积累信息”,而这种对大量数据的获取行为是存在不可忽视的隐私和保密风险的。针对这一问题的解决方案,目前主要依赖于例如《通用数据保护条例》(GDPR)等相关的法律和规定来进行规范,即当人工智能管理下的内容属于“个人信息”的范畴时,就可以被纳入相关立法的调整范围。
(四)人工智能安全威胁
除了人工智能在虚拟环境中带来的问题之外,也有一些研究人员开始思考其对在真实环境中的安全威胁,尤其是随着物联网的普及,一些人相信,人工智能带来的安全问题已经超越了网络的限制,即罪犯可以通过控制人工智能系统对受害者进行直接的人身攻击。而同时,当前的法律和伦理体系下却很难确定谁在道德和法律上对这种伤害负有真正的责任。例如,一些研究表明,目前一些汽车电子控制系统中的缺陷,就可能存在其被恶意入侵、攻击和控制的风险。一系列的相关试验显示,例如图像识别、漏洞扫描等技术都有可能降低人工智能系统的有效性,而鉴于人工智能目前在教育、无人驾驶、医疗等多领域上越来越广泛的应用,这些攻击可能最终会造成对受害者更直接的伤害。
另外,值得注意的是,也有一些相关业内人士和研究人员特别关注到了量子计算和人工智能的共同发展。他们认为,当前最广泛使用的加密方法(包括Diffie-Hellman和RSA等算法)都将因为量子计算对人工智能发展的加持而很快被击败,而应对这一挑战需要有足够强大的解决方案,并最终形成一个能够针对许多解决方案的标准化程序,以应对人工智能在各个层面上带来的威胁,可上述的这一切目前都尚未出现。
人工智能对于密码学的影响具有两面性。一方面,由于人工智能算法可以根据大量的数据进行学习,并将学习结果应用于识别加密算法中的脆弱性并对其实施攻击,这可能会大大减少破解加密所需的时间和资源,导致原本被加密保护的敏感数据安全性被破坏。另一方面,人工智能也可以用于增强密码学,例如通过使用机器学习来检测攻击并相应地调整算法以抵抗攻击、利用人工智能技术开发更安全的加密算法、检测加密数据中的异常情况等,合理地使用人工智能将切实地提高加密的效率和效果。
为了降低人工智能在密码学中的风险,谨慎地思考人工智能对密码学的益处和潜在风险,在利用益处的同时制定策略来减轻风险是至关重要的。从技术层面来说,在使用人工智能来增强现有加密算法的同时,应同步开发新的算法来抵抗人工智能的攻击;从投资层面来说,应更多地注重对于相关研究和开发的资金投入,以更好地了解人工智能在密码学中的潜在风险,并制定策略来减轻这些风险。
当前,针对人工智能在破解加密中的应用所带来的威胁仍然需要展开更多的研究和关注。该篇文献综述在总结了目前相关学界的多种观点后,为人工智能领域的从业者提供以下三个建议。
首先,即使在人工智能被合法使用的情况下,科学家和技术人员也应该意识到,由于人工智能的双重用途,其随时可能被用于犯罪。因此,基于人工智能的两面性,涉及这一领域的主体需要以较为严格的道德标准来进行筛选。
其次,由于人工智能可以完成人类(传统程序员)无法完成的事,人工智能和密码学领域的从业人员、研究人员与各个领域的专家之间有必要进行持续的研究和合作,以充分调查人工智能对密码学带来的影响,并开发更强大的安全解决方案来应对未来的挑战,最大限度地减少人工智能的潜在安全问题并应对人工智能犯罪带来的挑战,以确保人工智能的发展不会危及数字系统的安全。
最后,人工智能犯罪实际上与网络犯罪密切相关,而在网络犯罪中,具有双刃剑性质的信息通信技术既是犯罪的根源,也可以成为对抗犯罪的有力武器。也正因如此,相关安全部门应更多地考虑利用人工智能作为保障安全的工具,以此来应对已经出现的人工智能犯罪。
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。
4006-967-446
沃通数字证书商店
