真实世界密码学2024会议主题 - Trail of Bits博客

Trail of Bits博客
真实世界密码学2024会议主题
Trail of Bits
2024年6月18日
会议, 密码学

三月，Trail of Bits工程师前往充满活力（且仅略微寒冷）的多伦多市，参加了为期三天的真实世界密码学2024会议（Real World Crypto 2024），该活动汇聚了数百位密码学领域的杰出人才。我们还参加了三个相关活动：真实世界后量子密码学（RWPQC）研讨会、全同态加密（FHE）研讨会和开源密码学研讨会（OSCW）。回顾会议期间的演讲和专家讨论，我们总结出以下突出主题：

• 政府、标准化机构和行业在推进后量子密码学（PQC）标准化和采用方面取得实质性进展。
• 除了PQC标准，我们还看到了使用格基构造的更高级PQC创新。
• 多个组织对端到端加密（E2EE）和密钥透明度的投资势头增强。

我们还提到几个值得关注的领域：

• 全同态加密（FHE）是一个活跃的研究领域，正变得越来越实用。
• 带关联数据的认证加密方案（AEADs）也是一个活跃的研究领域，正在进行许多改进。

继续阅读我们的完整想法！

行业和政府如何采用PQC

社区正在为自25年前开始用椭圆曲线密码学替代RSA和DSA（持续进行中）以来最大的密码迁移做准备。在专门讨论PQC的RWPQC研讨会和主RWC活动上，讨论集中在标准化工作和大规模实际部署上。谷歌、亚马逊和Meta报告了内部部署的初步成功。

演讲的核心要点包括：

• 全球社区已广泛接受NIST后量子算法作为标准。更高级别的协议（如Signal）正忙于整合新算法。
• “存储现在，解密以后"攻击需要尽快转向后量子密钥交换协议。对于遵循良好密钥轮换实践的应用程序，后量子认证（签名方案）不那么紧迫。
• 后量子安全只是密码敏捷性的一个方面。良好的密码库存和密钥轮换实践使PQ迁移更加顺畅。

RWPQC邀请了四个标准机构的演讲。这些演讲表明，采用PQC的努力正在进行中。Dustin Moody（NIST）强调，美国政府和美国行业的目标是到2035年实现量子就绪，而Matthew Campagna（ETSI）讨论了60多个国家850多个组织之间的协调努力。Stephanie Reinhardt（BSI）警告说，密码相关的量子计算机可能在2030年代初上线，并分享了BSI的密码机制技术指南。Reinhardt还警告不要依赖量子密钥分发，引用了近200篇已发表的QKD实现攻击。NCSC推广了ML-KEM和ML-DSA的独立使用，与更常见和谨慎的混合方法形成对比。

虽然所有标准机构都支持FIPS算法，但BSI还支持使用NIST竞赛决赛入围者FrodoKEM和McEliece。

代表IETF多个工作组的Deidre Connelly谈到了她正在编写的KEM组合器指导文档，以及围绕KEM绑定属性（来自CFRG工作组）的持续讨论。她还提到了TLS工作组的进展：PQC将仅包含在TLS v1.3中，主要重点是确保各种密钥协议规范正确。LAMPS工作组正在努力将PQC算法纳入密码消息语法和互联网X.509 PKI。最后，PQUIP正在处理将PQC纳入更多协议的操作和工程方面，MLS工作组正在努力将PQC纳入MLS。

行业视角同样富有洞察力，主要科技公司的代表分享了一些关键见解：

• Signal：Rolfe Schmidt深入介绍了Signal在整合后量子密码学方面的努力，例如他们最近开发后量子密钥协议协议PQXDH的工作。他们未来的重点领域包括提供针对量子攻击者的前向保密性和后妥协安全性，实现完全后量子安全的Signal协议，以及匿名凭证。
• Meta/Facebook：Meta通过宣布加入PQC联盟展示了他们对PQC的承诺。他们的代表Rafael Misoczki还讨论了成功PQC迁移的先决条件：密码库和应用程序必须支持轻松使用PQ算法，明确阻止创建新的量子不安全密钥，并提供针对已知量子攻击的保护。此外，迁移必须具有高性能和成本效益。
• 谷歌：谷歌的Sophie Schmieg阐明了他们管理密钥轮换和密码敏捷性的方法，强调后量子迁移实际上是一个密钥轮换问题。如果你有一个良好的密钥轮换机制，并且正确地将密钥指定为密码配置和原始密钥字节而不仅仅是原始字节，那么你大部分已经迁移到后量子。
• 亚马逊/亚马逊网络服务（AWS）：Matthew Campagna总结了行业更新，介绍了AWS在保护其密码学免受量子对手攻击方面取得的进展。与大多数其他公司一样，他们的主要关注点是"存储现在，解密以后"攻击。

更多PQC：高级格技术

除了政府和行业团体都承诺采用最新的PQC NIST标准外，今年的RWC还展示了PQC其他领域的大量工作。特别是，我们参加了两个关于使用格构建的新密码原语的有趣演讲：

• LaZer：LaZer是一个有趣的库，使用格来促进高效的零知识证明（ZKPs）。对于某些指标，该证明系统实现了比当前一些最先进的证明系统更好的性能。然而，由于LaZer使用格，其算术化与现有的R1CS和Plonkish证明系统完全不同。这意味着它不能与现有的电路编译器开箱即用，因此将其推进到实际系统需要额外努力。
• Swoosh：另一个讨论集中在Swoosh上，这是一个为高效基于格的非交互式密钥交换设计的协议。在我们必须依赖后量子密钥封装机制（KEMs）而不是基于后量子Diffie-Hellman的方案的时代，开发具有后量子质量的稳健密钥交换协议是一个强有力的进步和一个有前途的研究领域。

端到端加密和密钥透明度

端到端（E2E）加密和密钥透明度是会议的一个重要主题。一些亮点：

• 密钥透明度概述：Melissa Chase就密钥透明度的开放问题和最近发展做了一个很好的概述演讲。密钥透明度在端到端加密中扮演着至关重要的角色，允许用户检测中间人攻击，而无需依赖带外通信。
• 保护Zoom中的E2EE：研究员Mang Zhao分享了他们改进Zoom的E2EE安全性的方法，特别是保护免受恶意服务器的窃听或冒充攻击。他们的策略 heavily 依赖于密码认证密钥交换（PAKE）和带关联数据的认证加密（AEAD），为用户承诺一个更安全的通信层。然后他们使用形式化方法来证明他们的方法达到了目标。
• Meta的E2EE采用：Meta/Facebook站出来记录了他们在Messenger上推出E2EE的历程。用户在升级到E2EE时遇到显著摩擦，因为他们突然需要采取行动以确保在丢失设备时能够恢复数据。在某些情况下，如贴纸搜索，Meta决定在隐私的同时优先考虑功能，因为将整个贴纸库存储在客户端将是 prohibitive。

值得关注的领域

• AEADs：在对称密码学中，带关联数据的认证加密方案（AEADs）是今年讨论的核心。围绕Poly1305和AES-GCM的深入对话说明了持续改进这些密码工具的奉献精神。我们正在准备一篇关于这些令人兴奋的进展的专门文章，请保持关注！
• FHE：FHE分组讨论展示了全同态加密的持续进展。研究人员提出了创新的理论进展，例如一种基于带舍入的环学习的新同态方案，显示出在某些指标下比当前方案实现更好性能的迹象。另一个开创性的演讲介绍了HEIR编译器，这是一个加速FHE研究的工具链，可能缓解从理论到实际实现的过渡。

2024年Levchin奖获得者

每年在RWC上，两个团队因对密码学及其实际应用的重大贡献而获得Levchin奖。

• Al Cutter、Emilia Käsper、Adam Langley和Ben Laurie因创建和部署大规模证书透明度而获得Levchin奖。证书透明度建立在相对简单的密码操作上，但对互联网安全和隐私产生了巨大的积极影响。
• Anna Lysyanskaya和Jan Camenisch因开发高效的匿名凭证而获得另一个2024年Levchin奖。他们20年前的开创性工作正变得越来越相关，因为越来越多的应用程序使用它们。

展望未来

真实世界密码学2024会议，以及FHE、RWPQC和OSCW活动，为密码学的最新技术和未来方向提供了丰富的见解。随着该领域的不断发展，政府、标准机构和行业参与者合作推进我们密码世界的细微差别，我们期待在PQC、E2EE、FHE和许多其他令人兴奋的领域持续取得进展。这些发展反映了我们确保安全未来的集体使命，并加强了密码学界持续研究、合作和参与的重要性。

如果你喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News

页面内容
行业和政府如何采用PQC
更多PQC：高级格技术
端到端加密和密钥透明度
值得关注的领域
2024年Levchin奖获得者
展望未来
最近文章
构建安全消息传递很难：对Bitchat安全辩论的 nuanced 看法
用Deptective调查你的依赖项
系好安全带，Buttercup，AIxCC的评分回合正在进行中！
使你的智能合约超越私钥风险成熟
Go解析器中意想不到的安全隐患
© 2025 Trail of Bits。
使用Hugo和Mainroad主题生成。