2020年现实世界密码学会议主题解析
超过642位杰出的密码学专家齐聚2020年现实世界密码学会议(RWC 2020),这场年度盛会汇聚了密码学研究人员与在实际环境中实施密码技术的开发者。总体而言,RWC 2020是一次令人印象深刻的会议,展示了许多卓越的工作。以下我们探讨会议中凸显的三大主题:
1. 加密漏洞无处不在
传统攻击
会议再次展示了Bleichenbacher攻击:《Bleichenbacher的CAT的九条命:TLS实现的新缓存攻击》(这也引出了第四个主题:密码学家仍热爱使用拗口的双关语和滑稽的首字母缩写)。该攻击利用了Bleichenbacher对PKCS#1 v1.5中RSA密钥交换填充方式的攻击。具体来说,攻击利用了许多公司在多个服务器间重用证书的事实,因此Bleichenbacher攻击可以并行化,从而在30秒会话超时前完成。
不幸的是,这种不安全的填充方案仍被约6%的互联网支持;此外,可以进行中间人降级攻击,因此任何支持易受攻击实现的服务器都可以被100%攻破(即使客户端不支持RSA密钥交换也有效)。
另一场演讲《SHA-1是一片混乱》讨论了SHA-1上的选择前缀碰撞,并展示现在可以用负担得起的硬件实际攻击SHA-1。作者利用此漏洞对PGP进行了冒充攻击。该项目是多年工作的 culmination,理论攻击在2000年代初发现,首次实际攻击见于2017年的论文SHAttered。换句话说,SHA-1绝不应再使用(好吧,想双关语比看起来难)。
其他攻击
RWC上展示了对安全硬件的两种不同攻击:一种针对硬件安全模块(HSM),另一种针对可信平台模块(TPM)。第一种攻击针对特定HSM模型,能够(除其他外)执行任意代码并解密所有秘密。尽管攻击本身并非 heavily cryptographic,但演讲再次表明我们不能 necessarily 信任加密秘密在HSM上的安全性。第二场演讲结合了时序侧信道攻击和ECDSA上的格攻击,以恢复私钥签名,表明TPM不幸地不具备侧信道抵抗性。
同时,“伪随机黑天鹅:CTR DRBG的缓存攻击”展示随机数生成器也易受侧信道攻击。缓存攻击利用了CTR_DRBG的两个问题:密钥旋转不够快,添加更多熵是可选的(并由API调用者选择)。这意味着密钥可能被泄露,如果使用不足的熵,攻击者可以获得所有未来状态。这些攻击不是先前标准威胁模型的一部分;幸运的是,FIPS 140-3更新了此威胁模型。
2. 需要更多密码学家的理由
从所有这些攻击中,教训是在设计系统时 involve 更多密码学家并考虑各种威胁场景(对于最后一场演讲,使用Hash_DRBG)。RWC 2020的几场演讲确认了这一点。例如,我们看到了CRLite,一个可扩展的TLS撤销系统,是如何通过学术和工业合作实现的。另一方面,对电子投票系统的两次不同密码学审查和对WPA3握手协议的分析显示了 too few cryptographic cooks 的危险。
好的方面
CRLite,TLS撤销系统,始于学术设计和Firefox扩展概念验证;从那里,工业界改进了方案,考虑了超出学术界 alone 手段的基础设施。现在有一个工作原型,开发正在进行,而学术界继续 refine 协议。
更多有希望的消息来自5G安全模型检查:我们的工具足够先进,标准化现在可以且应该伴随形式化模型和分析。这一想法由TLS 1.3的符号分析开创,很高兴看到趋势继续。这些类型的分析对协议和标准非常强大,因为它们确保安全目标被 clearly stated 并由协议实现。
对于5G,安全目标在协议初始概念中未 clearly stated。RWC 2020演讲“5G认证的形式化分析”更 clearly specified 安全目标,导致发现5G未实现不可追踪性(也许这毕竟是坏的!)。尽管如此,这项工作作为重要示范,应在未来标准化努力中复制。
坏的方面
“Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd”为 involve 密码学家在协议设计中提供了相当 compelling 的案例。WPA2易受离线字典攻击,WPA3被提议作为改进。然而,Dragonblood发现WPA3易受侧信道攻击,并且据论文作者,“WPA3不符合现代安全协议的标准。”更糟的是,对策成本高且可能不被采用。最糟的是,正如作者 stated,如果协议设计过程对更多密码学家开放,这些问题本可避免。
丑陋的方面
电子投票世界中有许多丑陋,RWC 2020的演讲确认了这一点。在对莫斯科互联网投票系统的一次分析中,在 somewhat constrained 时间框架内发现了加密方案的两个重大突破。例如,第一个突破源于不安全版本的ElGamal,称为“Triple ElGamal”,试图实现768位安全,但实际上实现了三个独立的256位安全实例,可以使用CADO-NFS在10分钟内破解。
两个突破都被修复;然而,对第二个突破的修复仅在选举前两天发布,技术仍被部署。演讲者的总体印象是投票方案未实现隐私,非常部分可验证性,无胁迫抵抗性,无防 vote-buying 保护。尽管俄罗斯政府应被 commended 开放源代码,但显然更多密码学家应 involved 在整个过程中。
对瑞士互联网投票系统的类似工作导致发现一些 significant 密码学错误。协议使用零知识证明系统实现隐私和可验证性;然而,由于Fiat-Shamir转换中的缺陷,所有零知识证明都不 sound。此外,参数生成不正确,可能允许修改投票。更糟的是,语句为其零知识证明 malformed,破坏了安全证明。此结果不理想。然而,公平地说,很高兴看到密码学家 involved,因为在瑞士部署前发现了关键问题(并揭示了其他国家非公开系统的类似问题)。
3. 新增长和密码学应用
并非所有都坏;我们的密码学能力正在快速增长!RWC 2020展示了一些 fascinating 努力,将密码学应用于现实世界问题。
“Find My”密码学
今年早些时候,Apple在iOS 13中发布了新“Find My”功能,允许定位离线设备,同时保护设备所有者和发现者的隐私。先前,类似“Find My Phone”功能要求设备在线,一个严重限制,特别是对于像MacBooks这样 typically offline 的设备。此功能背后的密码学在RWC 2020上展示。Apple寻求实现以下目标的协议:
- 只有设备所有者可以跟踪设备并远程访问位置报告
- 如果设备被 compromised,先前位置受保护
- 所有者只从发现者接收匿名信息
- 发现者的位置从不向他人(包括服务器)揭示
为实现此,协议要求离线设备通过蓝牙广播公钥。活动设备成为“发现者”,当通过蓝牙发现其他离线设备时,发现者使用离线设备的公钥加密其位置并发送到云。这样,即使服务器也不知道位置——然而,基于IP的信息确实泄露给服务器,Apple的唯一承诺是他们不存储此信息的日志。
所有者然后可以在其离线设备附近有活动设备时访问时间和位置。(协议有更多微妙之处以实现剩余安全目标,如密钥旋转)。总之,Apple specified rigorous 安全和隐私目标,并构建了新颖设计以尝试实现它们。
受损凭据的私有检测
“Protocols for Checking Compromised Credentials”展示了对两个检查受损凭据协议的形式化安全分析:HaveIBeenPwned(HIBP)和Google Password Checkup(GPC)。这些协议旨在警报用户如果其凭据被 breached 并在网络上共享。GPC维护用户名和密码对的活跃数据库供用户查询。HIBP,另一方面,只维护密码。
由于这些数据库包含数亿记录,两个协议实施分桶策略,其中对应记录的哈希值根据其哈希前缀排序到桶中。这允许用户用哈希前缀查询数据库,接收一桶哈希值,并检查其凭据是否被 compromised,而不向服务器揭示其秘密的整个哈希。RWC 2020上展示的研究表明每个协议由于其分桶策略泄露 noticeable 用户秘密信息——两个协议因不同、微妙原因泄露信息。幸运的是,研究也为两个协议产生了缓解策略。
超凡密码学
RWC甚至包括一些超凡的密码学应用。Galileo是欧盟使用的全球导航卫星系统(如GPS)。如RWC讨论,这些导航系统是我们基础设施的关键部分,欺骗位置实际上相当容易。幸运的是,到目前为止,此欺骗 mostly used for playing Pokemon Go;然而,对这些卫星系统的欺骗攻击是真实的。为防范潜在未来攻击,Galileo将提供公共导航消息认证服务。
协作 banking
RWC的最后一场演讲讨论了使用多方计算检测洗钱。金融监管机构对允许洗钱活动的银行处以大额罚款,因此这些银行有激励检测非法活动。然而,银行间协作困难,因为交易数据是私有的。幸运的是,多方计算可以 facilitate 此协作而不违反隐私。总之,此努力通过应用基于图的方法建模交易和 specialized for 多方计算的算法实现有希望的结果,用于 various 银行间高效、协作分析。
结论
RWC 2020 clearly made 涉及密码学家在设计和实现新颖协议中将节省时间和金钱,并使每个人更安全。如果您 involved 在此类工作,鼓励所有 involved 开源代码,发布协议供审查,并嘿,与Trail of Bits密码学团队交谈!
如果您喜欢此帖子,分享它: Twitter LinkedIn GitHub Mastodon Hacker News
页面内容
- 加密漏洞无处不在 传统攻击 其他攻击
- 需要更多密码学家的理由 好的方面 坏的方面 丑陋的方面
- 新增长和密码学应用 “Find My”密码学 受损凭据的私有检测 超凡密码学 协作 banking 结论 最近帖子 我们构建了MCP一直需要的安全层 利用废弃硬件中的零日漏洞 Inside EthCC[8]:成为智能合约审计员 用Vendetect大规模检测代码复制 构建安全消息传递很难:Bitchat安全辩论的 nuanced take © 2025 Trail of Bits. 用Hugo和Mainroad主题生成。