2020年真实世界密码学会议三大主题:漏洞、协作与创新

本文总结了2020年真实世界密码学会议的三大核心主题:无处不在的加密漏洞、密码学家协作的重要性,以及加密技术的创新应用,包括苹果离线设备追踪协议和卫星导航认证等突破性进展。

真实世界密码学2020会议主题 - Trail of Bits博客

Jim Miller
2020年1月23日
会议, 密码学

超过642位杰出的密码学专家齐聚2020年真实世界密码学会议(RWC 2020),这是一场年度盛会,旨在将密码学研究者与在实际应用中实施密码技术的开发者联系起来。总体而言,RWC 2020是一场令人印象深刻的会议,展示了一些惊人的工作。在此,我们探讨会议中出现的三大主题:

加密漏洞无处不在…

无论是TLS上略显不足为奇的Bleichenbacher攻击,还是对(理论上)安全硬件的加密侧信道攻击,都存在大量加密漏洞。这一点在过去一周变得尤为明显。

…因此我们需要更多密码学家参与项目…

在设计、实施和审查加密系统时,参与的密码学家越多越好。RWC 2020以大量实例展示了协作的巨大成效,以及缺乏协作时重要系统可能出现的严重故障。

…但加密能力正在快速增长!

高级密码学正变得越来越实用,例如新的多方计算框架和零知识证明(ZK-proofs)的改进。此外,我们还看到了激动人心的新应用,如苹果的“查找我的”协议用于定位离线设备、卫星消息认证以防止欺骗等。

让我们深入探讨!

1. 加密漏洞无处不在

传统攻击

会议展示了又一次Bleichenbacher攻击:《Bleichenbacher的CAT的九条命:TLS实现的新缓存攻击》(这引出了第四个主题:密码学家仍然喜欢使用 tortured puns 和愚蠢的首字母缩略词)。该攻击利用了Bleichenbacher对RSA密钥交换中PKCS#1 v1.5填充的攻击。具体来说,攻击利用了多家公司在多个服务器间重用证书的事实,因此Bleichenbacher攻击可以并行化,从而在30秒会话超时前完成。

不幸的是,这种不安全的填充方案仍被约6%的互联网支持;此外,可以进行中间人降级攻击,因此任何支持易受攻击实现的服务器都可以被100%攻破(即使客户端不支持RSA密钥交换也有效)。

另一场演讲《SHA-1是一片混乱》讨论了SHA-1上的选择前缀碰撞,并展示现在可以用经济实惠的硬件实际攻击SHA-1。作者利用此漏洞对PGP进行了冒充攻击。该项目是多年工作的 culmination,理论攻击在2000年代初被发现,而第一次实际攻击在2017年的论文《SHAttered》中提出。换句话说,SHA-1绝不应再使用(好吧,想 puns 比看起来难)。

其他攻击

RWC上展示了对安全硬件的两种不同攻击:一种针对硬件安全模块(HSM),另一种针对可信平台模块(TPM)。第一种攻击针对特定HSM型号,能够(除其他外)执行任意代码并解密所有秘密。尽管攻击本身并非 heavily cryptographic,但演讲再次表明我们不能 necessarily 信任加密秘密在HSM上的安全性。第二种演讲结合了时序侧信道攻击和ECDSA上的 lattice 攻击以恢复私钥,表明TPM不幸地不具备侧信道抵抗性。

同时,《伪随机黑天鹅:CTR DRBG的缓存攻击》展示随机数生成器也易受侧信道攻击。缓存攻击利用了CTR_DRBG的两个问题:密钥轮换不够快,且添加更多熵是可选的(由API调用者选择)。这意味着密钥可能被泄露,如果使用不足的熵,攻击者可以获取所有未来状态。这些攻击不在先前标准的威胁模型中;幸运的是,FIPS 140-3更新了此威胁模型。

2. 更多密码学家的理由

从所有这些攻击中,教训是在设计系统时 involve 更多密码学家并考虑各种威胁场景(对于最后一场演讲,使用Hash_DRBG)。RWC 2020的多个演讲证实了这一点。例如,我们看到了CRLite(一个可扩展的TLS撤销系统)如何通过学术和工业协作实现。另一方面,对电子投票系统的两次不同密码学审查以及对WPA3握手协议的分析显示了 too few cryptographic cooks 的危险。

好的方面

CRLite,TLS撤销系统,始于学术设计和Firefox扩展 proof of concept;随后工业界改进了该方案,考虑了超出学术界 alone 能力的基础设施。现在有一个 working prototype,开发正在进行,同时学术界继续 refine 协议。

更多 promising 消息来自5G安全性的模型检查:我们的工具足够先进,标准化现在可以且应该伴随形式化模型和分析。这一想法由TLS 1.3的符号分析开创,很高兴看到这一趋势继续。这些类型的分析对协议和标准非常强大,因为它们确保安全目标被 clearly stated 并由协议实现。

对于5G,安全目标在协议初始构想中未 clearly stated。RWC 2020演讲《5G认证的形式化分析》更 clearly specified 安全目标,导致发现5G未实现不可追踪性(也许这毕竟是坏的!)。尽管如此,这项工作作为重要示范,应在未来标准化努力中复制。

坏的方面

《Dragonblood:分析WPA3和EAP-pwd的Dragonfly握手》为 involve 密码学家在协议设计中提供了相当 compelling 的理由。WPA2易受离线字典攻击,WPA3被提议作为改进。然而,Dragonblood发现WPA3易受侧信道攻击,且据论文作者称,“WPA3不符合现代安全协议的标准。”更糟的是, countermeasures 成本高昂且可能不被采用。最糟的是,如作者所述,如果协议设计过程对更多密码学家开放,这些问题本可避免。

丑陋的方面

电子投票世界中有 plenty of ugliness,如RWC 2020演讲所 confirm。在对莫斯科互联网投票系统的一次分析中,在 somewhat constrained 时间框架内发现了加密方案的两个重大 breaks。例如,第一个 break 源于不安全的ElGamal变体“Triple ElGamal”,它试图实现768位安全性,但实际上实现了三个独立的256位安全性实例,可以使用CADO-NFS在10分钟内破解。

两个 breaks 都被修复;然而,对第二个 break 的修复仅在选举前两天发布,且技术仍被部署。演讲者的总体印象是投票方案未实现隐私、非常部分可验证性、无胁迫抵抗性、无防贿选保护。尽管俄罗斯政府应受 commend 开放源代码,但显然更多密码学家应 involved 整个 process。

3. 新增长和密码学应用

并非所有都是坏的;我们的密码学能力正在快速增长!RWC 2020展示了一些 fascinating 努力,将密码学应用于现实世界问题。

“查找我的”密码学

今年早些时候,苹果在iOS 13中发布了新“查找我的”功能,允许定位离线设备,同时保护设备所有者和发现者的隐私。先前,类似“查找我的手机”功能要求设备在线,这是一个严重限制,尤其对于通常离线的MacBook等设备。此功能背后的密码学在RWC 2020上展示。苹果寻求实现以下目标的协议:

  • 只有设备所有者可以跟踪设备并远程访问位置报告
  • 如果设备被 compromised,先前位置受保护
  • 所有者仅从发现者接收匿名信息
  • 发现者的位置从不向他人(包括服务器)透露

为实现此,协议要求离线设备通过蓝牙广播公钥。活动设备成为“发现者”,当通过蓝牙发现其他离线设备时,发现者使用离线设备的公钥加密其位置并发送到云。这样,即使服务器也不知道位置——然而,基于IP的信息确实泄漏给服务器,苹果 only promise 不存储此信息的日志。

所有者然后可以在其离线设备附近有活动设备时访问时间和位置。(协议有更多 subtleties 以实现剩余安全目标,如密钥轮换)。总之,苹果 specified rigorous 安全和隐私目标,并构建了 novel design 以尝试实现它们。

受损凭证的私有检测

《检查受损凭证的协议》对两种检查受损凭证的协议进行了形式化安全分析:HaveIBeenPwned(HIBP)和Google Password Checkup(GPC)。这些协议旨在警报用户其凭证是否被 breached 并在网络上共享。GPC维护用户名和密码对的 active 数据库供用户查询。HIBP则 only 维护密码。

由于这些数据库包含数亿条记录,两种协议实施 bucketization 策略,其中对应于记录的哈希值根据其哈希前缀排序到桶中。这允许用户用哈希前缀查询数据库,接收一桶哈希值,并检查其凭证是否被 compromised,而不向服务器透露其秘密的整个哈希。RWC 2020上展示的研究表明,每种协议由于其 bucketization 策略泄漏 noticeable 用户秘密信息——两种协议因不同、 subtle 原因泄漏信息。幸运的是,研究还为两种协议 produced mitigation 策略。

超凡密码学

RWC甚至包括一些超凡的密码学应用。伽利略是欧盟使用的全球导航卫星系统(如GPS)。如RWC讨论,这些导航系统是我们基础设施的关键部分,欺骗位置实际上相当容易。幸运的是,到目前为止,这种欺骗 mostly 用于玩Pokemon Go;然而,对这些卫星系统的欺骗攻击是真实的。为防范潜在未来攻击,伽利略将提供公共导航消息认证服务。

协作 banking

RWC的最后一场演讲讨论了使用多方计算检测洗钱。金融监管机构对允许洗钱活动的银行处以大额罚款,因此这些银行有 incentive 检测非法活动。然而,银行间协作困难,因为交易数据是私有的。幸运的是,多方计算可以 facilitate 此协作而不违反隐私。总之,此努力通过应用基于图的方法建模交易和 specialized 多方计算算法以实现各种银行间高效、协作分析,取得了 promising 结果。

结论

RWC 2020 clearly 表明, involve 密码学家在 novel 协议的设计和实施中将节省时间和金钱,并使每个人更安全。如果您 involved 此类工作,鼓励所有 involved 方开源代码、发布协议供审查,并 hey,与Trail of Bits密码学团队交谈!

如果您喜欢此帖子,分享它:
Twitter
LinkedIn
GitHub
Mastodon
Hacker News

页面内容
近期帖子
用Deptective调查您的依赖项
系好安全带,Buttercup,AIxCC的评分回合正在进行中!
使您的智能合约超越私钥风险
Go解析器中意外的安全 footguns
我们从审查首批DKLs中学到的
来自Silence Laboratories的23个库
© 2025 Trail of Bits。
使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次