2020年真实世界密码学会议主题解析

超过642位杰出的密码学专家齐聚2020年真实世界密码学会议（RWC 2020），这是一个年度会议，旨在将密码学研究人员与在实际应用中实施密码技术的开发者聚集在一起。总体而言，RWC 2020是一次令人印象深刻的会议，展示了一些惊人的工作。以下我们探讨会议中出现的三个主要主题：

1. 加密漏洞无处不在

传统攻击

又一次Bleichenbacher攻击被提出：Bleichenbacher的CAT的九条命：TLS实现的新缓存攻击。（这引出了第四个主题：密码学家仍然喜欢使用 tortured puns 和愚蠢的首字母缩略词。）该攻击利用了Bleichenbacher对PKCS#1 v1.5填充用于RSA密钥交换的攻击。具体来说，攻击利用了多家公司在多个服务器上重复使用证书的事实，因此Bleichenbacher攻击可以并行化，从而在30秒会话超时之前完成。

不幸的是，这种不安全的填充方案仍然被约6%的互联网支持；此外，可以执行中间人降级攻击，因此任何支持易受攻击实现的服务器都可以100%被破解（即使客户端不支持RSA密钥交换，这也有效）。

另一场演讲“SHA-1 is a Shambles”讨论了SHA-1上的选择前缀碰撞，并显示SHA-1现在可以用负担得起的硬件进行实际攻击。作者利用此漏洞对PGP进行了冒充攻击。这个项目是多年工作的 culmination，理论攻击在2000年代初被发现，而第一次实际攻击在2017年的论文SHAttered中发现。换句话说，SHA-1绝不应再使用（好吧，想出 puns 比看起来更难）。

其他攻击

RWC上提出了两种对安全硬件的不同攻击：一种针对硬件安全模块（HSM），另一种针对可信平台模块（TPM）。第一种攻击针对特定HSM模型，能够（除其他外）执行任意代码并解密所有秘密。尽管攻击本身并不 heavily cryptographic，但演讲再次表明，我们不能 necessarily 信任我们的加密秘密在HSM上是安全的。第二场演讲结合了时序侧信道攻击和ECDSA上的 lattice 攻击来恢复私签名密钥，表明TPM不幸地不抗侧信道。

同时，“Pseudorandom Black Swans: Cache Attacks on CTR DRBG”表明随机数生成器也易受侧信道攻击。缓存攻击利用了CTR_DRBG的两个问题：密钥旋转不够快，并且添加更多熵是可选的（由API调用者选择）。这意味着密钥可能被泄露，如果使用不足的熵，攻击然后可以获得所有未来状态。这些攻击不是先前标准威胁模型的一部分；幸运的是，FIPS 140-3更新了此威胁模型。

2. 需要更多密码学家的理由

从所有这些攻击中，教训是在设计系统时涉及更多密码学家并考虑各种威胁场景（在最后一场演讲的情况下，使用Hash_DRBG）。RWC 2020的几场演讲确认了这一点。例如，我们看到了CRLite，一个可扩展的TLS撤销系统，如何通过学术和工业合作实现。另一方面，对电子投票系统的两次不同密码学审查和对WPA3中握手协议的分析显示了太少密码学家的危险。

好的方面

CRLite，TLS撤销系统，始于学术设计和Firefox扩展 proof of concept；从那里，行业改进了方案，考虑了超出学术界单独手段的基础设施。现在有一个工作原型，开发正在进行，而学术界继续 refine 协议。

更有希望的消息来自模型检查5G安全：我们的工具足够先进，标准化现在可以并且应该伴随正式模型和分析。这个想法由TLS 1.3的符号分析开创，很高兴看到趋势继续。这些类型的分析对协议和标准非常强大，因为它们确保安全目标被 clearly stated 并由协议实现。

在5G的情况下，安全目标在协议的初始构想中没有 clearly stated。RWC 2020演讲“A Formal Analysis of 5G Authentication”更清楚地指定了安全目标，这导致发现5G没有实现不可追踪性（也许这毕竟是坏的！）。尽管如此，这项工作作为一个重要的示范，并应在未来的标准化努力中复制。

坏的方面

“Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd”为涉及密码学家在协议设计中提供了一个相当 compelling 的案例。WPA2易受离线字典攻击，WPA3被提议作为改进。然而，Dragonblood发现WPA3易受侧信道攻击，并且根据论文作者，“WPA3不符合现代安全协议的标准。”更糟的是，对策成本高，可能不被采用。最糟糕的是，正如作者所述，如果协议设计过程对更多密码学家开放，这些问题本可以避免。

丑陋的方面

电子投票世界中有很多丑陋，如RWC 2020的演讲所确认。在对莫斯科互联网投票系统的一次分析中，在 somewhat constrained 时间框架内发现了加密方案的两个重大 breaks。例如，第一个 break 源于一个不安全的ElGamal变体，称为“Triple ElGamal”，它试图实现768位安全，但实际上实现了三个单独的256位安全实例，可以使用CADO-NFS在10分钟内破解。

引用的两个 breaks 都被修复；然而，对第二个 break 的修复仅在选举前两天发布，并且技术仍然部署。演讲者的总体印象是投票方案没有实现隐私，非常部分可验证性，没有抗 coercion，没有防止 vote-buying。尽管俄罗斯政府应该因开放其源代码而受到赞扬，但很明显，更多密码学家应该参与整个过程。

对瑞士互联网投票系统的类似工作导致发现一些 significant 密码学 bugs。协议使用零知识证明系统来实现隐私和可验证性；然而，由于他们的Fiat-Shamir转换中的 flaw，没有一个零知识证明是 sound 的。此外，参数生成不正确，可能允许修改投票。更糟的是，语句为其零知识证明 malformed，这破坏了他们的安全证明。这个结果不理想。然而，公平地说，很高兴看到密码学家 involved，因为在瑞士部署之前发现了关键问题（并揭示了其他国家非公共系统的类似问题）。

3. 新增长和密码学应用

不全是坏的；我们的密码学能力正在快速增长！RWC 2020展示了一些将密码学应用于现实世界问题的 fascinating 努力。

“Find My”密码学

今年早些时候，Apple在iOS 13中发布了一个新的“Find My”功能，允许定位离线设备，同时保护设备所有者和查找者的隐私。先前，类似“Find My Phone”的功能要求设备在线，这是一个严重限制，特别是对于像MacBooks这样通常离线的设备。此功能背后的密码学在RWC 2020上 presented。Apple寻求一个实现以下目标的协议：

• 只有设备所有者可以跟踪设备并远程访问位置报告
• 如果设备 compromised，设备的先前位置受到保护
• 所有者只从查找者接收匿名信息
• 查找者的位置从不向他人（包括服务器）透露

为了实现这一点，协议要求离线设备通过蓝牙广播公钥。活动设备成为“查找者”，当通过蓝牙发现其他离线设备时，查找者使用离线设备的公钥加密其位置并将其发送到云。这样，即使服务器也不知道位置——然而，基于IP的信息确实泄漏到服务器，Apple的唯一承诺是他们不存储此信息的日志。

所有者然后可以在其附近有活动设备时访问其离线设备的时间和位置。（协议有更多微妙之处以实现剩余安全目标，如密钥旋转）。总之，Apple指定了严格的安全和隐私目标，并构建了一个新颖的设计以尝试实现它们。

受损凭证的私有检测

“Protocols for Checking Compromised Credentials” presented 对两个检查受损凭证协议的形式安全分析：HaveIBeenPwned（HIBP）和Google Password Checkup（GPC）。这些协议旨在 alert 用户如果他们的凭证被 breached 并在网络上共享。GPC维护一个用户名和密码对的 active 数据库供用户查询。HIBP，另一方面，只维护密码。

由于这些数据库包含数亿条记录，两个协议都实施了 bucketization 策略，其中对应于记录的哈希值根据其哈希前缀排序到 buckets 中。这允许用户用哈希前缀查询数据库，接收一桶哈希值，并检查他们的凭证是否被泄露，而不向服务器透露其秘密的整个哈希。RWC 2020上 presented 的研究表明，每个协议由于其 bucketization 策略泄漏 noticeable 关于用户秘密的信息——两个协议由于不同、微妙的原因泄漏信息。幸运的是，研究还为两个协议 produced 缓解策略。

超凡密码学

RWC甚至包括一些超凡的密码学应用。Galileo是一个全球导航卫星系统（如GPS），由欧盟使用。如RWC讨论，这些导航系统是我们基础设施的关键部分，而 spoofing 位置实际上相当容易。幸运的是，到目前为止，这种 spoofing 主要用于玩Pokemon Go；然而，对这些卫星系统的 spoofing 攻击是真实的。为了保护 against 潜在未来攻击，Galileo将提供公共导航消息认证服务。

基于协作的银行业

RWC的最后一场演讲讨论了使用多方计算来检测洗钱。金融监管机构对允许洗钱活动的银行处以大额罚款，因此这些银行有 incentive 检测非法活动。然而，银行之间的协作困难，因为交易数据是私有的。幸运的是，多方计算可以 facilitate 这种协作而不违反隐私。总之，这项努力通过应用基于图的方法建模交易和 specialized 用于多方计算的算法以实现各种银行之间的高效、协作分析，取得了 promising 结果。

结论

RWC 2020清楚地表明，在设计和实现新颖协议时涉及密码学家将节省您的时间和金钱，并使每个人更安全。如果您 involved 这类工作，鼓励所有 involved 开源您的代码，发布您的协议以供审查，并且，嘿，与Trail of Bits密码学团队交谈！

如果您喜欢这篇文章，分享它： Twitter LinkedIn GitHub Mastodon Hacker News

页面内容

1. 加密漏洞无处不在 传统攻击 其他攻击
2. 需要更多密码学家的理由 好的方面 坏的方面 丑陋的方面
3. 新增长和密码学应用 “Find My”密码学 受损凭证的私有检测 超凡密码学 基于协作的银行业 结论 最近帖子 构建安全消息传递很难：对Bitchat安全辩论的 nuanced take 用Deptective调查您的依赖项 系好安全带，Buttercup，AIxCC的 scored round 正在进行中！ 使您的智能合约超越私钥风险成熟 Go解析器中意外的安全 footguns © 2025 Trail of Bits. 用Hugo和Mainroad主题生成。