[[441675]]

本文經(jīng)AI新媒體量子位（公眾號(hào)ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請(qǐng)聯(lián)系出處。

微軟號(hào)稱(chēng)“永不會(huì)被逆向”的圖像加密算法，現(xiàn)在被MIT一位碩士小哥輕松破解了。

只用幾行代碼，原本被加密為一串?dāng)?shù)字的圖片便“原形畢露”，可以看清其大致輪廓。

要知道，谷歌、Facebook、Twitter等大平臺(tái)對(duì)圖像加密，用的都是微軟這一方法。

如今這么輕松就能逆向？讓人細(xì)思極恐啊。

而無(wú)獨(dú)有偶，此前蘋(píng)果號(hào)稱(chēng)不會(huì)被逆向的圖像加密算法，也曾被“破解”。

前不久，F(xiàn)acebook搞出了讓用戶(hù)上傳果照保護(hù)隱私的“清奇方法”，用到的也是類(lèi)似原理。

這不禁讓人深思，F(xiàn)acebook上傳的果照，還安全嗎……

目前這一方法已經(jīng)在GitHub上開(kāi)源。

利用泄露編譯碼破解

小哥破解的是微軟在2009年時(shí)提出的圖像加密算法PhotoDNA，是業(yè)內(nèi)最具代表性、最早出現(xiàn)的技術(shù)之一。

這一方法是微軟與達(dá)特茅斯學(xué)院Hany Farid教授共同研發(fā)，以識(shí)別刪除網(wǎng)絡(luò)上流傳的兒童受害的照片。

通過(guò)將圖片數(shù)據(jù)打亂混合、重新創(chuàng)建一個(gè)哈希值（hash values），它可以給每張照片匹配一個(gè)獨(dú)特的“數(shù)字指紋”。

由此，系統(tǒng)只需將已經(jīng)標(biāo)記為兒童被侵害圖片的哈希值與其他圖片的值對(duì)比，一旦找到相同的數(shù)字串，便可判別其為非法圖片。

這種手段一方面可以很好保護(hù)用戶(hù)的隱私，同時(shí)還能快速甄別出網(wǎng)絡(luò)上流傳的違規(guī)圖片。

但其關(guān)鍵就在于：該方法不可逆向，否則所有圖片信息其實(shí)都在“裸奔”。

為此，微軟一直未透露PhotoDNA的算法細(xì)節(jié)。

不過(guò)隨著前段時(shí)間蘋(píng)果NeuralHash算法被逆向，一個(gè)可計(jì)算PhotoDNA哈希值的編譯庫(kù)也被泄露了。

在此基礎(chǔ)上，MIT的這位小哥提出了名為“Ribosome （核糖體）”的逆向方法。

它將PhotoDNA看作一個(gè)黑盒，然后用機(jī)器學(xué)習(xí)的方法攻擊哈希函數(shù)。

因?yàn)榫幾g庫(kù)已經(jīng)被泄露，所以可以生成圖像與哈希值對(duì)應(yīng)的數(shù)據(jù)集。

在這一數(shù)據(jù)集上訓(xùn)練神經(jīng)網(wǎng)絡(luò)后，該方法便能根據(jù)哈希值來(lái)逆向圖像了。

小哥表示，PhotoDNA的哈希值是144元素的字節(jié)向量，他使用了類(lèi)似于DCGAN和Fast Style Transfer的神經(jīng)網(wǎng)絡(luò)，在縮小卷積步長(zhǎng)后使用殘差塊，從而轉(zhuǎn)換出100×100的圖像來(lái)。

在開(kāi)源項(xiàng)目中，小哥已經(jīng)上傳了4個(gè)預(yù)訓(xùn)練模型。

現(xiàn)在只需通過(guò)一行訓(xùn)練命令，就能實(shí)現(xiàn)從哈希值到圖像的轉(zhuǎn)換。

python infer.py [--model MODEL] [--output OUTPUT] hash

具體結(jié)果如何？

小哥在不同數(shù)據(jù)集上都試驗(yàn)了一下，可以看出大部分情況下都能還原出圖像輪廓。

而且先驗(yàn)越好，結(jié)果就會(huì)越好。比如在CelebA人臉數(shù)據(jù)集中，還原人臉的效果明顯最好（第二行第一個(gè)），而它在還原別的圖像時(shí)，也會(huì)傾向于給出類(lèi)似于人像的結(jié)果（如第一行第一個(gè)）。

不過(guò)此方法也有失敗的時(shí)候，比如Reddit數(shù)據(jù)集中，有些生成圖像會(huì)存在偽影。

One More Thing

事實(shí)上，除了微軟之外，還有不少科技巨頭都在用哈希算法來(lái)加密圖像。

比如我們前文提到的蘋(píng)果。

前段時(shí)間，他們推出了一種叫做NeuralHash的加密技術(shù)來(lái)遠(yuǎn)程掃描用戶(hù)照片，以此來(lái)控制色情、虐童照片的傳播。

彼時(shí)蘋(píng)果一再?gòu)?qiáng)調(diào)該技術(shù)的安全性和隱私性。

但是不到半個(gè)月的時(shí)間，該方法就被一位程序員破解，還被另一位英特爾的工程師發(fā)現(xiàn)了bug。

前段時(shí)間，Facebook聲稱(chēng)要讓用戶(hù)上傳果照保護(hù)隱私，用到的也是這種方法。

Facebook表示，他們會(huì)將你自己上傳果照的哈希值標(biāo)記，如果在網(wǎng)上發(fā)現(xiàn)了相同的數(shù)值，就會(huì)對(duì)該圖片做刪除處理。

但隨著這類(lèi)方法不斷被成功逆向，其安全系數(shù)或許還有待人們考證。

網(wǎng)友們還開(kāi)了個(gè)腦洞，認(rèn)為Ribosome輸出的結(jié)果足以再用在分辨率提升的模型上。

難道說(shuō)還原高清圖像也不是難題了？？？

不過(guò)，大家馬上想到此前曾把奧巴馬的低分辨率照片還原成白人面孔的算法。

嗯，這么看來(lái)，從哈希值得到原畫(huà)圖像，似乎還無(wú)法實(shí)現(xiàn)（doge）。

所以這一波破解等于是泄露，但沒(méi)有完全露？