2020年真实世界密码学会议三大核心议题:漏洞、协作与创新

本文深入解析2020年真实世界密码学会议的三大主题:无处不在的密码学漏洞、密码学家协作的重要性,以及多方计算与零知识证明等前沿技术的实际应用,涵盖TLS攻击、硬件安全模块漏洞、苹果Find My协议加密设计等关键技术细节。

2020年真实世界密码学会议主题解析

超过642位顶尖密码学专家齐聚2020年真实世界密码学会议(RWC 2020),这场年度盛会汇聚了密码学研究人员与在实际环境中实施密码技术的开发者。总体而言,RWC 2020是一次令人印象深刻的会议,展示了许多卓越的工作。以下是我们探讨的三大主题:

1. 密码学漏洞无处不在

传统攻击

会议再次展示了Bleichenbacher攻击:《Bleichenbacher的CAT的九条命:TLS实现的新缓存攻击》(这也引出了第四个主题:密码学家仍然喜欢使用 tortured puns 和愚蠢的首字母缩略词)。该攻击利用了Bleichenbacher对RSA密钥交换中PKCS#1 v1.5填充的攻击。具体来说,攻击利用了多家公司在多个服务器间重用证书的事实,因此Bleichenbacher攻击可以并行化,从而在30秒会话超时之前完成。

不幸的是,这种不安全的填充方案仍然被约6%的互联网支持;此外,可以执行中间人降级攻击,因此任何支持易受攻击实现的服务器都可以被100%破解(即使客户端不支持RSA密钥交换,此攻击也有效)。

另一场演讲《SHA-1是一片混乱》讨论了SHA-1上的选择前缀碰撞,并展示现在可以用经济实惠的硬件实际攻击SHA-1。作者利用此漏洞对PGP进行了冒充攻击。该项目是多年工作的 culmination,理论攻击在2000年代初被发现,而第一次实际攻击在2017年的论文《SHAttered》中发现。换句话说,SHA-1绝不应再使用(好吧,想 puns 比看起来更难)。

其他攻击

RWC上展示了两种对安全硬件的不同攻击:一种针对硬件安全模块(HSM),另一种针对可信平台模块(TPM)。第一种攻击针对特定HSM型号,能够(除其他外)执行任意代码并解密所有秘密。尽管攻击本身并不 heavily 密码学,但演讲再次证明我们不能 necessarily 信任我们的密码学秘密在HSM上是安全的。第二次演讲结合了时序侧信道攻击和ECDSA上的 lattice 攻击来恢复私钥签名,证明TPM不幸地不抗侧信道攻击。

同时,《伪随机黑天鹅:CTR DRBG的缓存攻击》证明随机数生成器也易受侧信道攻击。缓存攻击利用了CTR_DRBG的两个问题:密钥轮换不够快,添加更多熵是可选的(并由API调用者选择)。这意味着密钥可能被泄露,如果使用不足的熵,攻击者可以获取所有未来状态。这些攻击不是先前标准威胁模型的一部分;幸运的是,FIPS 140-3更新了此威胁模型。

2. 需要更多密码学家的理由

从所有这些攻击中,教训是在设计系统时 involve 更多密码学家并考虑各种威胁场景(在最后一次演讲的情况下,使用Hash_DRBG)。RWC 2020的几次演讲证实了这一点。例如,我们看到了CRLite,一个可扩展的TLS撤销系统,是如何通过学术和工业合作实现的。另一方面,对电子投票系统的两次不同密码学审查和对WPA3中握手协议的分析显示了太少密码学家的危险。

好的方面

CRLite,TLS撤销系统,最初是学术设计和Firefox扩展 proof of concept;从那里,行业改进了该方案,考虑了超出学术界 alone 手段的基础设施。现在有一个 working prototype,开发正在进行,而学术界继续 refine 协议。

更有希望的消息来自5G安全性的模型检查:我们的工具足够先进,标准化现在可以并且应该伴随正式模型和分析。这个想法由TLS 1.3的符号分析 pioneered,很高兴看到趋势继续。这些类型的分析对协议和标准非常强大,因为它们确保安全目标被 clearly stated 并由协议实现。

在5G的情况下,安全目标在协议的初始构想中没有 clearly stated。RWC 2020的演讲《5G认证的正式分析》更清楚地指定了安全目标,导致发现5G没有实现不可追踪性(也许这毕竟是坏的!)。尽管如此,这项工作 serve 作为一个重要的示范,并应在未来的标准化努力中 replicated。

坏的方面

《Dragonblood:分析WPA3和EAP-pwd的Dragonfly握手》为 involve 密码学家在协议设计中提供了一个相当 compelling 的案例。WPA2易受离线字典攻击,WPA3被提议作为改进。然而,Dragonblood发现WPA3易受侧信道攻击,并且根据论文作者,“WPA3不符合现代安全协议的标准”。更糟的是, countermeasures 成本高,可能不被采用。最糟糕的是,正如作者所述,如果协议设计过程对更多密码学家开放,这些问题本可以避免。

丑陋的方面

电子投票世界中有很多丑陋,正如RWC 2020的演讲所确认。在对莫斯科互联网投票系统的一次分析中,在一个 somewhat constrained 时间框架内发现了加密方案的两个 significant breaks。例如,第一个 break 源于一个不安全的ElGamal变体,称为“Triple ElGamal”,它试图实现768位安全,但实际上实现了三个独立的256位安全实例,可以使用CADO-NFS在10分钟内破解。

两个 breaks 都被修复;然而,对第二个 break 的修复在选举前仅两天发布,技术仍然部署。演讲者的总体印象是投票方案没有实现隐私,非常部分可验证性,没有抗 coercion,没有防止 vote-buying 的保护。尽管俄罗斯政府应该被 commended 开放他们的源代码,但很明显,更多密码学家应该 involved 在整个过程中。

3. 新增长和密码学应用

并非所有都是坏的;我们的密码学能力正在快速增长!RWC 2020展示了一些 fascinating 努力,将密码学应用于现实世界问题。

“Find My”密码学

今年早些时候,苹果在iOS 13中发布了一个新的“Find My”功能,允许定位离线设备,同时保护设备所有者和发现者的隐私。先前,类似“Find My Phone”的功能要求设备在线,这是一个 serious 限制,特别是对于像MacBooks这样通常离线的设备。此功能背后的密码学在RWC 2020上 presented。苹果寻求一个实现以下目标的协议:

  • 只有设备所有者可以跟踪设备并远程访问位置报告
  • 如果设备被 compromised,设备的先前位置受到保护
  • 所有者只从发现者接收匿名信息
  • 发现者的位置从不向他人(包括服务器) revealed

为了实现这一点,协议要求离线设备通过蓝牙广播公钥。活动设备成为“发现者”,当通过蓝牙发现其他离线设备时,发现者使用离线设备的公钥加密其位置并将其发送到云。这样,即使服务器也不知道位置——然而,基于IP的信息确实泄露给服务器,苹果的唯一 promise 是他们不存储此信息的日志。

所有者然后可以在其附近有活动设备时访问其离线设备的时间和位置。(协议有更多 subtleties 以实现剩余安全目标,例如密钥轮换)。总之,苹果指定了 rigorous 安全和隐私目标,并构建了一个 novel 设计以尝试实现它们。

受损凭据的私有检测

《检查受损凭据的协议》 presented 对两个检查受损凭据协议的形式安全分析:HaveIBeenPwned(HIBP)和Google Password Checkup(GPC)。这些协议旨在 alert 用户如果他们的凭据被 breached 并在网络上共享。GPC维护一个用户名和密码对的 active 数据库供用户查询。HIBP,另一方面,只维护密码。

由于这些数据库包含数亿条记录,两个协议都实施了 bucketization 策略,其中对应于记录的哈希值根据其哈希前缀排序到 buckets 中。这允许用户用哈希前缀查询数据库,接收一个哈希值 bucket,并检查他们的凭据是否被 compromised,而不向服务器 reveal 他们的秘密的整个哈希。RWC 2020上 presented 的研究证明每个协议由于他们的 bucketization 策略泄露了 noticeable 关于用户秘密的信息——两个协议由于不同、 subtle 原因泄露信息。幸运的是,研究还产生了两个协议的 mitigation 策略。

超凡的密码学

RWC甚至包括一些超凡的密码学应用。伽利略是一个全球导航卫星系统(如GPS),由欧盟使用。正如RWC所讨论,这些导航系统是我们基础设施的关键部分, spoofing 位置实际上相当容易。幸运的是,到目前为止,这种 spoofing 主要用于玩Pokemon Go;然而,对这些卫星系统的 spoofing 攻击是真实的。为了保护 against 潜在的未来攻击,伽利略将提供公共导航消息认证服务。

合作 banking

RWC的最后一次演讲讨论了使用多方计算来检测洗钱。金融监管机构对允许洗钱活动的银行处以大额罚款,因此这些银行有 incentive 检测非法活动。然而,银行之间的合作是困难的,因为交易数据是私有的。幸运的是,多方计算可以 facilitate 这种合作而不违反隐私。总体而言,这项努力通过应用基于图的方法建模交易和 specialized 用于多方计算的算法以实现 various 银行之间的 efficient、 collaborative 分析,取得了 promising 结果。

结论

RWC 2020清楚地表明, involve 密码学家在您的新协议设计和实施中将节省您的时间和金钱,并使每个人更安全。如果您 involved 在这类工作中,鼓励所有 involved 的人开源您的代码,发布您的协议以供审查,并且,嘿,与Trail of Bits密码学团队交谈!

如果您喜欢这篇文章,分享它: Twitter LinkedIn GitHub Mastodon Hacker News

页面内容

  1. 密码学漏洞无处不在 传统攻击 其他攻击
  2. 需要更多密码学家的理由 好的方面 坏的方面 丑陋的方面
  3. 新增长和密码学应用 “Find My”密码学 受损凭据的私有检测 超凡的密码学 合作 banking 结论 最近帖子 用Deptective调查您的依赖项 系好安全带,Buttercup,AIxCC的评分回合正在进行中! 使您的智能合约成熟 beyond 私钥风险 Go解析器中意想不到的安全 footguns 我们审查首批DKLs之一的经验教训 23个来自Silence Laboratories的库 © 2025 Trail of Bits。 使用Hugo和Mainroad主题生成。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次