本文经AI新媒体量子位授权转载(公众号ID:QbitAI),转载请联系出处。微软号称“永不逆转”的图像加密算法,现在被麻省理工的大师兄轻松破解。仅仅几行代码,原本被加密为一串数字的图片就“露馅”了,大致的轮廓都看得一清二楚了。要知道谷歌、脸书、推特等大平台都是用微软的方法加密图片的。现在还能这么轻易逆转吗?想想就毛骨悚然。无独有偶,苹果声称不可逆的图像加密算法也被“破解”。不久前,Facebook想出了一个“清奇法”,让用户上传水果照片来保护隐私,其原理也是类似的。这不禁让人深思,在Facebook上上传的水果照片安全吗……目前该方法已经在GitHub上开源。利用泄露的编译码破解小哥破解了微软在2009年提出的图像加密算法PhotoDNA,是业界最具代表性也是最早的技术之一。该方法由微软和达特茅斯学院教授HanyFarid联合开发,用于识别和删除互联网上流传的儿童受害者照片。它可以通过打乱图像数据重新创建哈希值,将每张照片与唯一的“数字指纹”相匹配。因此,系统只需要将标记为虐童的图片的哈希值与其他图片的值进行比较,一旦找到相同的数字串,即可判断为非法图片。这种方法一方面可以很好地保护用户的隐私,同时可以快速识别网络上流传的非法图片。但关键是:这个方法不可逆,否则所有的图片信息其实都是“裸奔”的。为此,微软并未公开PhotoDNA的算法细节。不过,随着前段时间苹果的NeuralHash算法被逆向,一个可以计算PhotoDNA哈希值的编译库也被泄露。在此基础上,麻省理工学院的小弟提出了一种逆向方法,叫做“核糖体(ribosome)”。它将PhotoDNA视为一个黑盒子,并使用机器学习来攻击哈希函数。由于编译库已经泄露,因此可以生成图像和哈希的数据集。在此数据集上训练神经网络后,该方法可以根据其哈希对图像进行逆向工程。小哥说PhotoDNA的哈希值是144个元素的字节向量。他使用了类似DCGAN和FastStyleTransfer的神经网络,在减小卷积步长后使用了一个residualblock来转换一张100×100的图像来。在开源项目中,小弟上传了4个预训练模型。现在只需一行训练命令即可完成从哈希到图像的转换。pythoninfer.py[--modelMODEL][--outputOUTPUT]hash的具体结果是什么?小哥在不同的数据集上进行了实验,可以看出大部分情况下都可以还原图像轮廓。而且先验越好,结果越好。比如在CelebA人脸数据集中,恢复人脸的效果显然是最好的(第二行第一张),而当它恢复其他图像时,也倾向于给出类似于人像的结果(比如第一行第一)。但是,这种方法有时也会失败。例如,在Reddit数据集中,一些生成的图像会有伪影。OneMoreThing事实上,除了微软,很多科技巨头都在使用哈希算法来加密图像。比如我们前面提到的苹果。前段时间,他们推出了一种名为NeuralHash的加密技术,可以远程扫描用户照片,从而控制色情和虐童照片的传播。当时,苹果一再强调该技术的安全性和隐私性。但是不到半个月,这个方法就被程序员破解了,另外一个英特尔工程师发现了一个bug。前段时间,Facebook声称允许用户上传水果照片以保护隐私,也是采用了这种方式。Facebook表示,他们会标记你上传照片的哈希值,如果在网上发现相同的值,就会删除该照片。然而,由于此类方法不断被成功逆转,其安全系数可能还有待验证。网友们也脑洞大开,认为Ribosome输出的结果足以用于分辨率增强模型。还原高清图像不难吗???不过,大家立马想到了之前将奥巴马的低分辨率照片还原成白人脸的算法。嗯,从哈希值(doge)看来是无法得到原画图像的。那么这一波破解就等于是泄密,但并没有完全暴露出来?
