宣布时间锁定负责任披露
我们在此宣布一项时间锁定负责任披露,该披露将于2023年2月23日00:00(CEST)通过timevault.drand.love发布:
|
|
等等!这一切意味着什么?
最近,Protocol Labs的Drand团队发布了时间锁定加密工具timevault.drand.love。该工具允许加密数据,这些数据将在特定日期(而不是之前)被所有人解密。
该工具基于Drand项目。基本上,Drand每30秒输出一个信标。这个信标是一个可验证的公共熵源。这意味着它可以被彩票、赌场或游戏用来选择获胜者,并且每个人都可以验证这个值是公平随机生成的。信标由一个名为熵联盟(League of Entropy)的团体生成。该团体由公司和大学组成,Kudelski Security运行其中一个熵联盟节点。只要团体中的大多数行为诚实,公共熵源就可以被信任。
然而,该信标恰好也是熵联盟的阈值签名。因此,它允许构建一个时间锁定加密系统,其中熵联盟被视为可信第三方。用于锁定数据的公钥是数据可访问时的轮次号,而私钥是仅在特定轮次号发布的签名。
时间锁定加密允许几种有趣的应用。其中之一是时间锁定负责任披露。当安全研究人员发现漏洞时,通常她会联系供应商报告漏洞,并根据漏洞的性质,在漏洞公开披露之前决定禁运时间。这为供应商修补问题留出了时间,而不会让用户面临风险。通过时间锁定加密,漏洞报告被锁定直到某个日期,之后报告可以被所有人解密,没有人可以阻止报告的发布,甚至作者也不能。
我们认为这对安全研究人员来说是一个有趣的工具,我们借此机会尝试使用这个工具来锁定一个已与供应商沟通的漏洞报告,该报告将于2023年2月23日00:00(CEST)公开访问。