บรรจวบ เข้าสู่ระบบ
Score:17
Noah avatar Crypto

"NeuralHash" มีเอกลักษณ์เฉพาะตัวเพียงใด

ธง gn
Noah

วันนี้ฉันกำลังอ่านเกี่ยวกับบริษัทเทคโนโลยีรายใหญ่ที่วางแผนจะนำระบบใหม่มาใช้เพื่อตรวจหาและรายงาน CSAM ในรูปภาพของผู้ใช้โดยอัตโนมัติ โดยรวมแล้ว ระบบตามที่อธิบายไว้ในข้อมูลสรุปทางเทคนิค 12 หน้าดูเหมือนจะได้รับการออกแบบมาค่อนข้างดี และอาจใกล้เคียงกับที่คุณจะได้รับความเป็นส่วนตัวอย่างแท้จริง ในขณะที่ยังอนุญาตให้มีการสอดแนมเนื้อหาได้

ดังที่ได้กล่าวไปแล้ว แฮ็กเกอร์ในตัวฉันอดไม่ได้ที่จะรู้สึกตื่นตระหนกเล็กน้อยเมื่อได้ยินเกี่ยวกับข้อยกเว้นของสิ่งที่อาจเป็นการเข้ารหัสแบบ end-to-end (ไม่ใช่ว่าที่เก็บข้อมูลรูปภาพของพวกเขาโฆษณาว่าเข้ารหัสแบบ end-to-end เพื่อเริ่มต้น ด้วย อย่างไรก็ตาม ภาพรวมทางเทคนิคระบุว่าภาพถ่ายทั้งหมดเข้ารหัสด้วย aเกณฑ์แตกได้âคีย์ที่สร้างขึ้นแบบสุ่มโดยอุปกรณ์ของผู้ใช้) ดังนั้น ฉันจึงมาที่นี่เพื่อสรุปสิ่งที่ฉันเห็นว่าเป็นการโจมตีที่สมจริงที่สุดในการรับประกันความแข็งแกร่งของการเข้ารหัส/ความเป็นส่วนตัวของระบบนี้ และเพื่อ (หวังว่าจะ) ได้เรียนรู้ว่าทำไมฉันถึงคิดผิดหรือสิ่งที่ฉันมองข้ามไป

สมมติว่าบริษัทนี้เคยประสบกับการละเมิดข้อมูล ซึ่งเป็นสถานการณ์ที่ไม่น่าจะเกิดขึ้นตั้งแต่แรก แต่ไม่เคยเกิดขึ้นมาก่อน ผลจากการละเมิดข้อมูลนี้ รูปภาพของผู้ใช้จำนวนมาก (ในรูปแบบเข้ารหัส) จึงรั่วไหลหากมีการเข้ารหัสแบบ end-to-end จริง สิ่งนี้จะไม่เป็นข้อกังวลด้านความเป็นส่วนตัวที่สำคัญ เนื่องจากภาพถ่ายทั้งหมดจะถูกเข้ารหัสด้วยกุญแจที่รู้จักเฉพาะในอุปกรณ์ของผู้ใช้ปลายทางเท่านั้น และดังนั้นจึงไม่สามารถถอดรหัสได้จริงโดยใครก็ตามบน อินเทอร์เน็ต.

อย่างไรก็ตาม ในระบบใหม่นี้ ฉันเข้าใจว่ารูปถ่ายหรืออย่างน้อยก็ของพวกเขา อนุพันธ์ทางสายตา (ซึ่งฉันไม่สามารถหาคำจำกัดความได้ ฉันกำลังสันนิษฐาน คล้ายกับภาพขนาดย่อ) จะถูกเข้ารหัสสองครั้ง โดยชั้นนอกจะถูกเข้ารหัสด้วยคีย์ที่ได้มาจาก NeuralHash ของภาพถ่าย

NeuralHash ถูกอธิบายว่าเป็นอัลกอริทึมการแฮชที่สามารถให้แฮชเดียวกันสำหรับรูปภาพเดียวกัน แม้ว่ารูปภาพนั้นจะผ่านการครอบตัด ปรับขนาด ปรับแต่งสี บีบอัด ฯลฯ

หากต้องการอ้างอิงส่วนหนึ่งของบทสรุปทางเทคนิค:

จุดประสงค์หลักของแฮชคือเพื่อให้แน่ใจว่ารูปภาพที่เหมือนกันและดูคล้ายกันจะส่งผลให้เกิดแฮชเดียวกัน และรูปภาพที่ต่างกันจะทำให้แฮชต่างกัน ตัวอย่างเช่น รูปภาพที่ได้รับการครอบตัดหรือปรับขนาดเล็กน้อยควรถือว่าเหมือนกับต้นฉบับและมีแฮชเหมือนกัน

วิธีนี้ยอดเยี่ยมในทางทฤษฎี เพราะมันหมายความว่ารูปภาพทั้งหมด (ที่ไม่ซ้ำใคร) ที่ถ่ายโดยผู้ใช้จะถูกเข้ารหัสด้วยความลับที่รัดกุมและไม่ซ้ำใคร ทำให้เป็นส่วนตัวและปลอดภัย

แต่จะเกิดอะไรขึ้นเมื่อผู้ใช้เก็บภาพที่ไม่ซ้ำใคร ตัวอย่างเช่น ภาพหน้าจอจากเว็บไซต์ยอดนิยม มีมที่เผยแพร่ทางอินเทอร์เน็ต เป็นต้น? อะไรจะหยุดผู้โจมตีจากการสร้าง NeuralHash ของมีมยอดนิยม การได้มาซึ่งคีย์ จากนั้นบังคับให้ข้อมูลที่รั่วไหลออกมาอย่างโหดเหี้ยมจนกว่าจะถอดรหัสรายการได้สำเร็จ ด้วยเหตุนี้จึงตรวจสอบเนื้อหาภายในคลังภาพบนคลาวด์ของผู้ใช้รายใดรายหนึ่ง และลดระดับความเป็นส่วนตัวของผู้ใช้

หรืออีกตัวอย่างหนึ่ง สมมติว่าเป็นผู้โจมตี รัก แอปเปิ้ลและต้องการหารูปถ่ายของแอปเปิ้ลจริงๆอะไรจะหยุดพวกเขาไม่ให้ AI สร้างภาพถ่ายสองสามล้านรูปของแอปเปิ้ล แฮชมัน สืบหากุญแจ แล้วบังคับการรั่วไหลขนาดใหญ่อย่างโหดเหี้ยมจนกว่าจะพบผลที่ตรงกัน ไม่สามารถมีได้ นั่น การเรียงสับเปลี่ยนของแอปเปิ้ลหลายๆ ลูก ทำได้หรือเปล่า? แน่นอนว่าคุณจะไม่พบรูปถ่ายของ Apple ทั้งหมด แต่ฉันคิดว่าอย่างน้อยคุณก็จะได้รับ บาง การแข่งขันที่ถอดรหัสได้

บริษัทนี้เปิดเผยในเอกสารฉบับหนึ่งว่ามีโอกาสไม่เป็นศูนย์ที่จะเกิดผลบวกปลอมเมื่อพูดถึงแมตช์ ดังนั้นพวกเขาจึงแนะนำการแชร์เกณฑ์ความลับ (เช่น ต้องมีแมตช์หลายแมตช์กับ " ฐานข้อมูลก่อนที่ระดับการเข้ารหัสภายในจะถูกทำลาย ... เพิ่มเติมในตอนต่อไป) เพื่อลดโอกาสที่จะเกิดผลบวกลวงให้เหลือหนึ่งในล้านล้าน มีโอกาสน้อยกว่า 1 ในล้านล้านที่จะมีการจับคู่ที่ผิดพลาดกับภาพใด ๆ อย่างเห็นได้ชัด เมื่อพิจารณาจากภาพถ่ายที่อยู่ในช่วงที่บังคับไม่ได้ สำหรับผม โดยเฉพาะอย่างยิ่งถ้าคุณรู้อยู่แล้วว่าคุณต้องการภาพถ่ายประเภทใด

ในหมายเหตุสุดท้าย มีชั้นในของการเข้ารหัสเกณฑ์ซึ่งโดยพื้นฐานแล้วต้องการให้ชั้นนอกของภาพถ่ายหลายภาพถูกถอดรหัสก่อนที่จะสามารถสร้างคีย์เพื่อถอดรหัสชั้นในได้ แต่อีกครั้ง ขึ้นอยู่กับขนาดเกณฑ์ (ซึ่งต้องค่อนข้างต่ำ เนื่องจากต้องน้อยกว่าจำนวนจริงของ CSAM ที่บางคนอาจมีได้) ดูเหมือนจะไม่ใช่อุปสรรคใหญ่: คุณแค่ต้องหา ผู้ใช้ที่มี เช่น มีมทั่วไปสิบรายการที่จัดเก็บไว้ในคลังเก็บรูปภาพบนคลาวด์ทั้งหมด และตอนนี้คุณได้สร้างคีย์นั้นแล้ว ตามรายงานระบุว่ามีการใช้คีย์เดียวกัน ทั้งหมด ภาพถ่ายของผู้ใช้สำหรับการเข้ารหัสชั้นแรกนั้น

ในตอนท้ายของวัน ฉันเห็นการรับประกันความปลอดภัยและความเป็นส่วนตัวของระบบนี้ในกรณีที่ข้อมูลรั่วไหลจากสิ่งหนึ่งซึ่งเป็นสิ่งสำคัญ: NeuralHash

หาก NeuralHash มีอัตรา False Positive สูงพอ และสามารถวิศวกรรมย้อนกลับหรือรั่วไหลหรือเปิดเผยต่อสาธารณะได้ (หากยังไม่ได้ดำเนินการ) บริษัทเทคโนโลยีรายใหญ่แห่งนี้จะรับประกันผู้ใช้ได้จริงหรือไม่ว่าภาพถ่ายส่วนตัวของพวกเขาจะยังคงอยู่โดยไม่มีเงื่อนไข ส่วนตัวตราบเท่าที่พวกเขาไม่ใช่ CSAM? การป้องกันการเข้ารหัสใดที่ฉันมองข้ามไป ซึ่งทำให้การโจมตีแบบที่ฉันอธิบายไว้ข้างต้นเป็นไปไม่ได้ ฉันพลาดอะไรไป คุณเห็นข้อบกพร่องอื่น ๆ ที่อาจเกิดขึ้นหรือไม่?

อัปเดต: ฉันไม่แน่ใจว่าการระบุชื่อบริษัทเป็นการเฉพาะนั้นเป็นที่ยอมรับหรือไม่ ดังนั้นฉันจึงตัดสินใจทำผิดพลาดโดยไม่ระมัดระวังและไม่ทำเช่นนั้น ดังที่กล่าวไว้ ฉันเห็นความคิดเห็นสองสามข้อที่ขอแหล่งที่มา ดังนั้น นี่คือ. ฉันหวังว่านี่จะช่วยได้!

การเพิ่มผู้ดูแล (2021-08-19): มีรายละเอียดทางเทคนิคใน Abhishek Bhowmick, Dan Boneh, Steve Myers: ระบบ Apple PSI - โปรโตคอลความปลอดภัยและการวิเคราะห์. เป็นหนึ่งในหลายเอกสารที่ลิงก์อยู่ที่ด้านล่างของ หน้านี้.

10524
3 + 10
Noah avatar
gn flag
Noah
@fgrieu ความจริงที่ว่าพวกเขาไม่ประสบความสำเร็จอย่างสมบูรณ์คือข้อบกพร่องที่ฉันพยายามเน้นและเหตุผลที่ฉันแจ้งข้อกังวลเกี่ยวกับการเข้ารหัสภาพถ่ายของผู้ใช้ที่อาจถูกบังคับอย่างไร้เหตุผล ในส่วนที่เกี่ยวกับ "แฮชเดียวกัน" ไม่ใช่แฮชที่เท่ากัน มันจะต้องแฮชเท่ากันหรือไม่? หากบริษัทจะสามารถถอดรหัสอิมเมจ CSAM ได้สำเร็จสำหรับการตรวจสอบด้วยตนเอง พวกเขาจำเป็นต้องมีแฮชที่เท่ากันเพื่อรับคีย์ถอดรหัสมาใช่ไหม นอกจากนี้ ในหน้า 5 ยังแสดงภาพตัวอย่าง 2 ภาพที่แตกต่างกันแต่มีลักษณะคล้ายคลึงกัน และติดป้ายกำกับด้วยค่า NeuralHash เดียวกัน
0
ตอบกลับ
fgrieu avatar
ng flag
fgrieu
ฉันไม่เห็นว่าความไม่สมบูรณ์เล็กๆ น้อยๆ (หลีกเลี่ยงไม่ได้) ของ NeuralHash จะทำให้การอ้างสิทธิ์ความเป็นส่วนตัวเป็นโมฆะ หากการอ้างสิทธิ์ (ที่น่าเชื่อถือ) ที่ทำขึ้นเกี่ยวกับอัตราผลบวกปลอมที่ต่ำถือเป็นโมฆะ ดูเหมือนว่าความไม่สมบูรณ์ดังกล่าวส่วนใหญ่จะนำไปสู่ความน่าจะเป็นที่เพิ่มขึ้นของการตรวจจับไม่พบ เห็นได้ชัดว่า การแก้ไขซอฟต์แวร์ที่ทำการวิเคราะห์หรือฐานข้อมูลของแฮชที่ถูกขึ้นบัญชีดำ อาจนำไปสู่การละเมิดความเป็นส่วนตัวได้ ฉันขอสงวนวิจารณญาณของฉันเกี่ยวกับสิ่งที่สามารถทำได้
0
ตอบกลับ
Noah avatar
gn flag
Noah
@fgrieu บริษัทกล่าวว่า "เกณฑ์ถูกเลือกเพื่อให้ความน่าจะเป็นที่ต่ำมาก (1 ใน 1 ล้านล้าน) ของการติดธงทำเครื่องหมายบัญชีที่ระบุอย่างไม่ถูกต้อง" สมมติว่าเกณฑ์คือ 9 หมายความว่ามีโอกาสประมาณ 1 ใน 100 พันล้านที่รูปภาพแบบสุ่มที่อัปโหลดโดยผู้ใช้จะถูกตั้งค่าสถานะอย่างไม่ถูกต้องว่าเป็น CSAM (เกิดผลบวกลวง) สำหรับฉันแล้ว ดูเหมือนว่าด้วยชุดข้อมูลที่รั่วไหลจำนวนมากพอ (หรืออาจเข้าถึงข้อมูลโดยรัฐบาล) และการใช้ AI เพื่อสร้างรูปภาพที่ *ตรงเป้าหมาย* จำนวนมาก รูปภาพของผู้ใช้ *ที่ไม่รู้จัก* อาจถูกบังคับอย่างทารุณอย่างแนบเนียน .
0
ตอบกลับ
th flag
johnflan
เมื่อฉันถ่ายภาพโดยเฉพาะอย่างยิ่งกับผู้คน ฉันมักจะถ่ายภาพต่อเนื่องและระบุสิ่งที่ดีที่สุดในภายหลัง ฉันเดาว่า NeuralHash ของรูปภาพเหล่านั้นจะเหมือนกัน (หากแฮชคงที่เมื่อเทียบกับการครอบตัด ก็จะคล้ายกัน) ฉันสงสัยว่า NeuralHash เดียวกันนี้มีส่วนช่วยในโครงการถอดรหัสเกณฑ์หรือไม่
1
ตอบกลับ
Tom K. avatar
cn flag
Tom K.
คุณช่วยอธิบายได้ไหมว่าเหตุใดส่วนที่ยกมาของบทสรุปทางเทคนิคจึงบอกเป็นนัยเกี่ยวกับความลับที่ใช้ ฉันได้อ่านส่วนนี้และส่วนต่อไปนี้หลายครั้งแล้ว และฉันก็ไม่แน่ใจจริงๆ ว่ามันควรทำงานอย่างไร เมื่อคุณพูดว่า "อะไรจะหยุด...?" คุณช่วยอธิบายรายละเอียดเกี่ยวกับขั้นตอนที่ผู้โจมตีจะต้องดำเนินการได้ไหม
0
ตอบกลับ
Noah avatar
gn flag
Noah
@johnflan นั่นเป็นคำถามที่ดีมาก! ฉัน *หวังว่า* บริษัทจะคำนึงถึงเรื่องนี้ ไม่เช่นนั้นผลบวกลวงในรูปของภาพถ่ายต่อเนื่องอาจทำให้บัญชีถูกแบนได้... ทั้งนี้ขึ้นอยู่กับขั้นตอนและความถูกต้องของการตรวจสอบโดยเจ้าหน้าที่
0
ตอบกลับ
Noah avatar
gn flag
Noah
@ทอมเค เรียบง่ายเกินไป ภาพถ่ายจะถูกเข้ารหัสด้วย NeuralHash ดังนั้นหากผู้โจมตีสามารถเดาได้ว่าภาพถ่ายควรมีลักษณะอย่างไร พวกเขาสามารถสร้างภาพถ่ายจำนวนมากจนในที่สุดก็สร้างภาพถ่ายที่คล้ายกันมากพอที่จะสร้าง NeuralHash เดียวกันได้ พวกเขาสามารถใช้ NeuralHash เดียวกันนั้นเพื่อถอดรหัสภาพถ่ายต้นฉบับได้ ตัวอย่างเช่น หากมีคนต้องการสแกนข้อมูลที่รั่วไหลเพื่อหาภาพเปลือย พวกเขาสามารถใช้ AI เพื่อสร้างภาพเปลือยปลอมหลายพันภาพ จากนั้นลองใช้แฮชเหล่านั้นเพื่อถอดรหัสข้อมูลที่รั่วไหลจนกว่าพวกเขาจะสามารถถอดรหัสภาพเปลือยจริงของใครบางคนได้ นั่นตอบคำถามของคุณหรือไม่
0
ตอบกลับ
G. Maxwell avatar
fr flag
G. Maxwell
สิ่งเหล่านี้ไม่ได้เข้ารหัสด้วย NeuralHash แต่ NeuralHash จะใช้ในส่วนแยกส่วนตัว ดูคำตอบของฉันด้านล่าง!
1
ตอบกลับ
Tom K. avatar
cn flag
Tom K.
คุณควรเน้นส่วนนี้จริงๆ รูปภาพไม่ได้เข้ารหัสด้วยแฮชเป็นคีย์ นั่นจะเป็นข่าวสำหรับฉัน
0
ตอบกลับ
lindsaymacvean avatar
is flag
lindsaymacvean
ลิงค์ข่าว ycombinator นี้ https://news.ycombinator.com/item?id=28105849 นำไปสู่โค้ดจำนวนมากที่แสดงหลักฐานของแนวคิดการโจมตีด้วยกำลังดุร้ายสำหรับอัลกอริทึมที่คล้ายกับ NeuralHash https://gist.github.com/unrealwill/c480371c3a4bf3abb29856c29197c0be
0
ตอบกลับ
Score:9
G. Maxwell avatar Crypto
ธง fr
G. Maxwell

โปรโตคอลการแยกชุดส่วนตัวเป็นแบบโต้ตอบ คุณเปรียบเทียบกับฐานข้อมูลเฉพาะ และจากนั้นหลังจากโปรโตคอลเสร็จสิ้น สิ่งเดียวที่เรียนรู้ในส่วนตัดกัน หากจุดตัดนั้นว่างเปล่ากว่าไม่มีอะไรจะเรียนรู้ สมมติว่าโปรโตคอลถูกสร้างขึ้นอย่างถูกต้อง การถอดเสียงที่บันทึกไว้จะไม่อนุญาตให้เรียนรู้อะไรในภายหลัง

อย่างไรก็ตาม การกล่าวอ้างซ้ำๆ เกี่ยวกับคำกล่าวอ้างของ Apple ที่ว่า Apple ปกป้องความเป็นส่วนตัว ดูเหมือนจะเป็นการเข้าใจผิด โปรโตคอลการเข้ารหัสที่นี่ไม่ตอบสนองวัตถุประสงค์ของความเป็นส่วนตัวของผู้ใช้อย่างแน่นอน ความเป็นส่วนตัวของผู้ใช้จะได้รับการปกป้องที่ดีกว่าโดยแผนการไร้เดียงสาที่ชัดเจนของ Apple ที่ส่งรายการแฮชที่ไม่อนุญาตและซอฟต์แวร์ไคลเอ็นต์ให้กับผู้ใช้เพื่อแจ้งผู้ใช้หากมีการจับคู่: ระบบจะขึ้นอยู่กับระบบของผู้ใช้ที่กระทำการขัดต่อความสนใจเป็นอย่างอื่นอยู่แล้ว ระบบของผู้ใช้สามารถใช้แฮชจำลองแบบสุ่มสำหรับทุกสิ่ง ดังนั้น Apple อาจส่งรายการได้เช่นกัน การส่งรายการจะทำให้แบนด์วิธและ CPU มีประสิทธิภาพมากขึ้น

จุดประสงค์ของการแยกส่วนตัวนั้นไม่ใช่เพื่อปกป้องความเป็นส่วนตัวของผู้ใช้ แต่เป็นการปกป้อง Apple จากความรับผิดชอบด้วยการทำให้ผู้ใช้ไม่สามารถเรียนรู้หรือพิสูจน์อะไรเกี่ยวกับเนื้อหาของฐานข้อมูลได้ มันปกป้องความเป็นส่วนตัวของ Apple กับคุณและสาธารณะโดยรวม

ฐานข้อมูลอาจมีภาพยอดนิยมตามที่คุณแนะนำหรือไม่ หรือภาพที่ระบุว่าคุณเป็นสมาชิกของศาสนา ชาติพันธุ์ หรืออุดมการณ์ทางการเมืองที่เฉพาะเจาะจง พร้อมที่จะตกเป็นเป้าหมายของการฆ่าล้างเผ่าพันธุ์หรือไม่ อย่างที่มีคนแชร์การ์ตูนการเมืองวิจารณ์เผด็จการผิวสี? รายการอาจแตกต่างกันไปอย่างลับๆ สำหรับผู้ใช้แต่ละคนหรือเมื่อเวลาผ่านไป แฮ็กเกอร์หรือตัวการของรัฐที่บุกรุกโครงสร้างพื้นฐานของ Apple หรือผู้สร้างรายการเองอาจกำลังแอบแก้ไขรายการหรือไม่ อย่างแน่นอนและมีการเข้ารหัสเพื่อทำให้ข้อมูลนั้นเป็นไปไม่ได้ในทางทฤษฎี (ไม่ใช่แค่คำนวณได้ยาก) เพื่อให้คุณค้นพบหรือพิสูจน์การละเมิดประเภทเหล่านั้น

หรืออย่างน้อยโครงร่าง ECC PSI ที่ชัดเจนที่สุดและสร้างได้ง่ายที่สุดก็มีความปลอดภัยตามทฤษฎีของข้อมูล พวกเขาไม่ได้ให้รายละเอียดทางเทคนิคเพียงพอที่จะรู้ว่าพวกเขารู้หรือไม่

การสร้างจุดตัดส่วนตัวโดยทั่วไปจะทำให้คุณสร้างพหุนามโดยมีรูทที่แฮชรูปภาพของคุณ Apple จะส่งรายการการเข้ารหัส EC-elgamal ของแฮชฐานข้อมูลให้คุณ การเข้ารหัสเป็นแบบโฮโมมอร์ฟิกเพิ่มเติม: คุณสามารถใช้ข้อความเข้ารหัสและเพิ่มข้อความเข้ารหัสอื่น และผลลัพธ์คือการเข้ารหัสที่ถูกต้องของผลรวมของข้อความธรรมดา คุณยังสามารถใช้ข้อความไซเฟอร์และคูณด้วยค่าใดก็ได้ที่คุณต้องการ และผลลัพธ์ที่ได้คือการเข้ารหัสที่ถูกต้องของข้อความธรรมดาที่คูณด้วยตัวเลขนั้น

คุณจะประเมินพหุนามรูปภาพของคุณที่จุดฐานข้อมูลแต่ละจุด จากนั้นคูณผลลัพธ์ด้วยตัวเลขสุ่มใหม่ (แตกต่างกันสำหรับการประเมินแต่ละครั้ง) ซึ่งคุณสามารถทำได้โดยใช้คุณสมบัติการบวกและการคูณที่กล่าวถึงข้างต้น หากมีการตรงกัน ผลการประเมินของคุณจะเข้ารหัสเป็นศูนย์และการคูณของคุณจะคงการเข้ารหัสเป็นศูนย์ไว้ เมื่อคุณส่งผลลัพธ์กลับ พวกเขา 'ถอดรหัส' และรับเลขศูนย์ (ที่ตรงกัน) หรือตัวเลขสุ่ม ค่อนข้างตรงไปตรงมาที่จะขยายโครงร่างประเภทนี้เพื่อแนบข้อมูลเสริมที่ Apple เรียนรู้เมื่อมีการจับคู่เท่านั้น ซึ่งน่าจะเป็นวิธีที่พวกเขาได้รับข้อมูลการถอดรหัส

ไม่ว่าในกรณีใด การโกงประเภทนี้จะต้องทำแบบเรียลไทม์ ไม่ใช่หลังจากข้อเท็จจริงในข้อมูลที่บันทึกไว้ อย่างน้อยที่สุดถ้าแยกไพรเวตเซ็ตถูกสร้างขึ้นอย่างถูกต้อง

0 + 2
Noah avatar
gn flag
Noah
ขอบคุณมาก! นี่เป็นคำตอบที่เขียนได้ดีมาก และตอนนี้ฉันได้รับแรงบันดาลใจให้ไปเรียนรู้เพิ่มเติมเกี่ยวกับทางแยกส่วนตัว! ฉันจะเปิดคำถามทิ้งไว้อีกสักหน่อย แต่คาดว่าฉันจะยอมรับคำตอบนี้ในไม่ช้า ขอบคุณอีกครั้ง! :)
2
ตอบกลับ
G. Maxwell avatar
fr flag
G. Maxwell
FWIW ฉันสร้างภาพพรีอิมเมจที่น่าดึงดูดใจจำนวนหนึ่งสำหรับ neuralhash: https://github.com/AsuharietYgvar/AppleNeuralHash2ONNX/issues/1#issuecomment-903094036
0
ตอบกลับ
Score:5
fgrieu avatar Crypto
ธง ng
fgrieu

คำพูดของคำถามเกี่ยวกับ NeuralHash ระบุว่า:

จุดประสงค์หลักของแฮชคือเพื่อให้แน่ใจว่ารูปภาพที่เหมือนกันและดูคล้ายกันจะส่งผลให้เกิดแฮชเดียวกัน และรูปภาพที่ต่างกันจะทำให้แฮชต่างกัน ตัวอย่างเช่น รูปภาพที่ได้รับการครอบตัดหรือปรับขนาดเล็กน้อยควรถือว่าเหมือนกับต้นฉบับและมีแฮชเหมือนกัน

นี่คือ โกหกเด็ก. เป็นไปไม่ได้ที่จะบรรลุสิ่งที่ระบุเป็นจุดประสงค์ข้อสันนิษฐานที่สำคัญไม่ได้ระบุไว้: รูปภาพไม่ได้สร้างขึ้นเพื่อเอาชนะวัตถุประสงค์ และถึงอย่างนั้นก็จะมีข้อยกเว้น

แม่นยำยิ่งขึ้น มันสามารถสร้างขึ้นได้

  1. False Negatives: เป็นการง่ายที่หลีกเลี่ยงไม่ได้ที่จะแสดงภาพที่คล้ายกันด้วย NeuralHash ที่แตกต่างกัน พิสูจน์: ให้ภาพสองภาพที่ต่างกัน $A$ และ $B$เทคนิคที่เรียกว่า แปรสภาพ สร้างรายการของ $n$ ภาพ $C_i$, กับ $C_1=A$ และ $C_n=B$เช่นนั้นสำหรับทุกคน $i$ ใน $[1,น)$ ภาพ $C_i$ และ $C_{i+1}$ มีความคล้ายคลึงกันทางสายตาในระดับใดก็ได้ หากภาพที่คล้ายกันคู่ใดมี NeuralHash เหมือนกัน $A$ และ $B$ จะมี NeuralHash เหมือนกัน (เพราะความเท่าเทียมกันคือ สกรรมกริยา) ขัดแย้งกับเป้าหมายที่ระบุไว้ ดังนั้นความเท่าเทียมกันของ NeuralHash สำหรับ $C_i$ และ $C_{i+1}$ แตกหักสำหรับบางคน $i$.

    รายงานมีแม้กระทั่งสิ่งประดิษฐ์¹ ที่ทำให้ NeuralHash มอบ NeuralHash ที่แตกต่างกันสำหรับอินพุตเดียวกันในเครื่องต่างๆ ในบางครั้ง

  2. ผลบวกปลอม: รายงานเป็นไปได้ที่จะแสดงภาพที่แตกต่างกันสองภาพด้วย อย่างแน่นอน NeuralHash เหมือนกัน ที่แย่กว่านั้น เริ่มจากภาพแมวและ NeuralHash ของภาพสุนัข มีรายงานว่าเป็นไปได้ที่จะสร้างภาพที่มี NeuralHash ของภาพสุนัข แต่สำหรับผู้ดูที่เป็นมนุษย์นั้นชัดเจนว่าเป็นภาพแมว (ตกลง แสดงวิดีโอผิด คนขับแต่อย่างว่า มาจาก NSA ไป: âการโจมตีดีขึ้นเสมอ พวกเขาไม่เคยแย่ลง â); และที่สำคัญรูปสุนัขเองก็ไม่จำเป็น

    นี่คือแฮชเชิงรับรู้ที่เทียบเท่ากับการโจมตีแบบพรีอิมเมจครั้งแรกและครั้งที่สอง ดังนั้นจึงเป็นการชนกัน อินพุตประกอบด้วย NeuralHash และรูปภาพเป้าหมายที่ไม่เกี่ยวข้องเพื่อเลียนแบบการรับรู้ความเป็นไปได้ของการโจมตีดังกล่าวทำให้จำเป็นต้องเก็บรายชื่อ NeuralHashes ที่ถูกขึ้นบัญชีดำไว้เป็นความลับ: ไม่มีอุปสรรคทางเทคนิคอื่นใดที่จะป้องกันไม่ให้ฝ่ายตรงข้ามจำนวนมากของระบบเข้าครอบงำภายใต้ผลบวกปลอม โดยไม่จำเป็นต้องปรับแต่งภาพต้องห้าม

ดูเหมือนจะเป็นไปได้ในการซ่อมแซม 1 (และสิ่งประดิษฐ์การใช้งานที่รายงาน) เป็นส่วนใหญ่โดยการแทนที่ “เหมือนกัน” ด้วย “คล้ายกัน” ภายในค่าความคลาดเคลื่อนที่ยอมรับได้—โดยปรับแต่งจาก: ต่างกันมากที่สุด $ข$ บิต อย่างไรก็ตาม ฉันไม่คิดว่ามันจะเสร็จ เพราะฉั เกณฑ์ PSI-AD และ เกณฑ์ฟัซซี PSI-AD โปรโตคอลที่มองเห็นจะทำการจับคู่แฮชที่แน่นอน ฉันเชื่อว่าข้อจำกัดการจับคู่ที่แน่นอนนี้จะทำให้ไม่สามารถซ่อมแซมผลบวกปลอมของ NeuralHash ภายใต้ข้อสันนิษฐานของฝ่ายตรงข้ามได้ ในขณะที่คงไว้ซึ่งการเปลี่ยนแปลงทางสายตาเล็กน้อยที่ไม่เป็นอุปสรรคซึ่งแทบจะไม่เปลี่ยนแปลง NeuralHash

ในทางเทคนิค การหลีกเลี่ยงระบบโดยใช้ NeuralHash นั้นเป็นเรื่องง่าย: ฉันไม่เห็นมีการอ้างสิทธิ์ แต่ฉันจะไม่แปลกใจเลยถ้ามันเป็นไปได้ที่จะเปลี่ยนรูปภาพโดยแทบจะไม่มีการปรับเปลี่ยนภาพใด ๆ ให้เป็นภาพที่มี NeuralHash แตกต่างกันเล็กน้อย (สุ่ม ) บิต จึงหลีกเลี่ยงการตรวจจับ ฉันคิดว่าผลลัพธ์สุดท้ายนี้สามารถเข้าถึงได้โดยการติดรูปภาพต้องห้ามเคียงข้างกันในรูปภาพที่ใหญ่ขึ้น และเข้าถึงได้อย่างแน่นอนด้วยการเข้ารหัสหรือ/และซูรินาเมระดับแอปพลิเคชัน

บทสรุป

NeuralHash ไม่ทำงานตามที่โฆษณาไว้ภายใต้สมมติฐานมาตรฐานในการเข้ารหัสและการรักษาความปลอดภัยด้านไอที: เป็นแบบสาธารณะและถูกโจมตี ซึ่งมีแนวโน้มว่า

ดังนั้นระบบเซ็นเซอร์อัตโนมัติที่บ้านที่ใช้ NeuralHash จึงไม่มีประสิทธิภาพ มันหลีกเลี่ยงได้ง่าย และมีความเสี่ยงที่จะถูก Denial-of-Service ในระดับหนึ่งด้วยผลบวกลวง หาก NeuralHashes ที่อยู่ในบัญชีดำรั่วไหล อย่างไรก็ตาม อาจประสบความสำเร็จในการรายงานเนื้อหาต้องห้ามบางอย่าง และป้องกันผู้สนับสนุนจากความรับผิดชอบทางกฎหมาย

¹ มีการสันนิษฐานว่าเป็นเพราะรายละเอียดเกี่ยวกับจุดลอยตัวตัวอย่างหนึ่งที่รายงานมี 9 บิตจาก 96 บิตที่แตกต่างกัน โดยไม่มีความสัมพันธ์ที่ชัดเจนระหว่างตำแหน่ง นั่นดูเหมือนเป็นความแตกต่างอย่างมากสำหรับฉัน บางทีรายงานอาจผิดพลาด หรือสำหรับ NeuralHash เวอร์ชันก่อนเผยแพร่ หรือสำหรับการป้อนข้อมูลทางพยาธิวิทยาบางอย่าง หรืออัลกอริทึมไม่เสถียรเชิงตัวเลข ซึ่งเป็นปัญหาที่ทราบเกี่ยวกับอัลกอริทึมโครงข่ายประสาทเทียมเชิงลึกที่ได้รับจากการฝึกอบรม: เป็นเรื่องยาก (และมักไม่พยายาม) ในการวิเคราะห์ว่าทำงานอย่างไร หากพวกเขาบรรลุเป้าหมายผ่านฟังก์ชันที่มีอินพุต/เอาต์พุตมาก หรือขึ้นอยู่กับอันเดอร์โฟลว์หรือการตัดทอน อัลกอริทึมสามารถลดลงได้เมื่อรายละเอียด FPU บางอย่างเปลี่ยนแปลง จะต้องเหมือนกับฟังก์ชันที่วนซ้ำแผนที่โลจิสติก

0 + 0
Score:2
crypt avatar Crypto
ธง cn
crypt

แอปเปิ้ล อัลกอริทึมแฮชประสาท ได้รับการ วิศวกรรมย้อนกลับ และ มีรายงานการชนกันครั้งแรก.

0 + 1
fgrieu avatar
ng flag
fgrieu
ไม่ใช่แค่การปะทะกันเท่านั้น เป็นพรีอิมเมจที่ตรงเป้าหมาย ดู 2 ใน [คำตอบของฉัน](https://crypto.stackexchange.com/a/93631/555)
2
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา