drand时间锁加密审计报告

Protocol Labs的Drand团队近期发布了基于"熵联盟"运营的Drand阈值网络的时间锁加密系统。该时间锁加密结构确保密文只能在指定时间过后才能被解密，在此之前无法解密。该加密结构的技术细节近期在真实世界密码学会议上进行了深入展示。

Kudelski Security受委托对Protocol Labs实现的时间锁加密和时间锁负责任披露服务进行安全审计。此次安全评估涵盖以下内容：

• tlock：用于执行时间锁加密的Go语言命令行工具实现
• tlock-js：时间锁加密和age加密的TypeScript实现
• timevault：用于漏洞报告加密的时间库网页接口（最新版本运行于https://timevault.drand.love/）
• 时间锁加密直接使用的部分依赖项

审计主要关注协议安全性以及与论文匹配的协议规范。在评估过程中，我们发现：

• 1个高危问题
• 5个中危问题
• 3个低危问题

所有问题在本文撰写时均已修复，详细内容可通过IPFS上的审计报告查看（CID: QmWQvTdiD3fSwJgasPLppHZKP6SMvsuTUnb1vRP2xM7y4m）。

在审计过程中，我们报告了Go语言Date函数中的一个错误，并使用timevault工具披露了该漏洞，相关细节已在先前文章中报告。

我们感谢Protocol Labs的信任，在评估过程中的积极配合以及良好的协作关系。