2020年真实世界密码学会议三大核心议题解析

本文深入解析2020年真实世界密码学会议的三大核心主题:普遍存在的密码学漏洞、密码学家参与的重要性,以及密码学技术的创新应用,涵盖TLS攻击、硬件安全模块漏洞、多方计算框架等关键技术内容。

真实世界密码学2020会议主题解析 - Trail of Bits博客

超过642位杰出的密码学专家齐聚2020年真实世界密码学会议(RWC 2020),这是一个年度会议,旨在将密码学研究人员与在实际应用中实施密码技术的开发者聚集在一起。总体而言,RWC 2020是一个令人印象深刻的会议,展示了一些惊人的工作。在此,我们探讨会议中出现的三大主题:

1. 密码漏洞无处不在

传统攻击

会议展示了又一种Bleichenbacher攻击:《Bleichenbacher的CAT的九条命:TLS实现的新缓存攻击》(这也引出了第四个主题:密码学家仍然喜欢使用折磨人的双关语和愚蠢的首字母缩写词)。该攻击利用了Bleichenbacher对RSA密钥交换中PKCS#1 v1.5填充的攻击。具体来说,攻击利用了多家公司在多个服务器间重复使用证书的事实,因此Bleichenbacher攻击可以并行化,从而在30秒会话超时之前完成。

不幸的是,这种不安全的填充方案仍然被约6%的互联网支持;此外,可以进行中间人降级攻击,因此任何支持易受攻击实现的服务器都可以被100%攻破(即使客户端不支持RSA密钥交换,此攻击也有效)。

另一场演讲《SHA-1是一片混乱》讨论了SHA-1上的选择前缀碰撞,并表明现在可以用经济实惠的硬件实际攻击SHA-1。作者利用此漏洞对PGP进行了冒充攻击。该项目是多年工作的 culmination,理论攻击在2000年代初被发现,而第一次实际攻击在2017年的论文《SHAttered》中发现。换句话说,SHA-1绝不应再使用(好吧,想出双关语比看起来更难)。

其他攻击

RWC上展示了两种对安全硬件的不同攻击:一种针对硬件安全模块(HSM),另一种针对可信平台模块(TPM)。第一种攻击针对特定的HSM模型,能够(除其他外)执行任意代码并解密所有秘密。尽管攻击本身并不 heavily 密码学,但演讲再次表明,我们不能 necessarily 信任我们的密码秘密在HSM上的安全性。第二个演讲结合了时序侧信道攻击和ECDSA上的格攻击,以恢复私钥签名,表明TPM不幸地不抗侧信道攻击。

同时,《伪随机黑天鹅:CTR DRBG的缓存攻击》表明随机数生成器也易受侧信道攻击。缓存攻击利用了CTR_DRBG的两个问题:密钥旋转不够快,添加更多熵是可选的(并由API调用者选择)。这意味着密钥可能被泄露,如果使用不足的熵,攻击者可以获取所有未来状态。这些攻击不是先前标准威胁模型的一部分;幸运的是,FIPS 140-3更新了此威胁模型。

2. 需要更多密码学家的理由

从所有这些攻击中,教训是在设计系统时 involve 更多密码学家并考虑各种威胁场景(在最后一场演讲的情况下,使用Hash_DRBG)。RWC 2020的几场演讲证实了这一点。例如,我们看到了CRLite,一个可扩展的TLS撤销系统,是如何通过学术和工业合作实现的。另一方面,对电子投票系统的两次不同密码学审查以及对WPA3中握手协议的分析显示了 too few 密码学厨师的危险。

好的方面

CRLite,TLS撤销系统,最初是一个学术设计和Firefox扩展概念验证;从那里,行业改进了该方案,考虑了超出学术界 alone 能力的基础设施。现在有一个工作原型,开发正在进行中,而学术界继续 refine 协议。

更有希望的消息来自5G安全性的模型检查:我们的工具已经足够先进,标准化现在可以并且应该伴随形式模型和分析。这个想法由TLS 1.3的符号分析开创,很高兴看到这一趋势继续。这些类型的分析对协议和标准非常强大,因为它们确保安全目标被 clearly stated 并由协议实现。

在5G的情况下,安全目标在协议的初始概念中并未 clearly stated。RWC 2020的演讲《5G认证的形式分析》更 clearly specified 安全目标,导致发现5G未实现不可追踪性(也许这毕竟是坏的!)。尽管如此,这项工作 serve 作为一个重要的示范,并应在未来的标准化努力中 replicated。

坏的方面

《Dragonblood:分析WPA3和EAP-pwd的Dragonfly握手》为 involve 密码学家在协议设计中提供了一个相当 compelling 的案例。WPA2易受离线字典攻击,WPA3被提议作为改进。然而,Dragonblood发现WPA3易受侧信道攻击,并且根据论文作者的说法,“WPA3不符合现代安全协议的标准。”更糟糕的是, countermeasures 成本高昂且可能不被 adopted。最糟糕的是,正如作者所述,如果协议设计过程对更多密码学家开放,这些问题本可以避免。

丑陋的方面

电子投票世界中有 plenty of ugliness,正如RWC 2020的演讲所确认。在对莫斯科互联网投票系统的一次分析中,在一个 somewhat constrained 时间框架内发现了加密方案的两个 significant breaks。例如,第一个 break 源于一个不安全的ElGamal变体,称为“Triple ElGamal”,它试图实现768位安全性,但实际上实现了三个独立的256位安全性实例,可以使用CADO-NFS在10分钟内破解。

两个 breaks 都被 fixed;然而,对第二个 break 的修复仅在选举前两天发布,并且技术仍然 deployed。演讲者的 general impression 是投票方案 achieved no privacy, very partial verifiability, no coercion resistance, and no protection against vote-buying。尽管俄罗斯政府应 commended for opening their source code,但 clearly 更多密码学家 should have been involved in this entire process。

3. 新增长和密码学应用

并非所有都是坏的;我们的密码学能力正在快速增长!RWC 2020展示了一些 fascinating 努力,将密码学应用于现实世界问题。

“Find My”密码学

今年早些时候,Apple在iOS 13中发布了一个新的“Find My”功能,允许定位离线设备,同时保护设备所有者和查找者的隐私。先前,类似“Find My Phone”的功能要求设备在线,这是一个 serious limitation,特别是对于像MacBooks这样 typically offline 的设备。此功能背后的密码学在RWC 2020上 presented。Apple寻求一个实现以下目标的协议:

  • 只有设备所有者可以跟踪设备并远程访问位置报告
  • 如果设备被 compromised,设备的先前位置受到保护
  • 所有者只从查找者接收匿名信息
  • 查找者的位置 never revealed to others(包括服务器)

为了实现这一点,协议要求离线设备通过蓝牙广播公钥。活动设备成为“查找者”,当通过蓝牙发现其他离线设备时,查找者使用离线设备的公钥加密其位置并将其发送到云。这样, even the server does not know the location—然而,基于IP的信息确实泄露给服务器,Apple的唯一 promise 是他们不存储此信息的日志。

所有者然后可以在其离线设备附近有活动设备时访问其离线设备的时间和位置。(协议有更多 subtleties 以实现剩余安全目标,例如密钥旋转)。总之,Apple specified rigorous security and privacy goals,并 constructed a novel design in their attempt to achieve them。

受损凭证的私有检测

《检查受损凭证的协议》 presented 对两个检查受损凭证协议的形式安全分析:HaveIBeenPwned(HIBP)和Google Password Checkup(GPC)。这些协议旨在 alert 用户如果他们的凭证被 breached 并在网络上共享。GPC维护一个用户名和密码对的 active database 供用户查询。HIBP,另一方面,只维护密码。

由于这些数据库包含数百 million 记录,两个协议都实施了 bucketization 策略,其中对应于记录的哈希值根据其哈希前缀排序到桶中。这允许用户使用哈希前缀查询数据库,接收一桶哈希值,并检查他们的凭证是否被 compromised,而不向服务器 reveal their entire hash of their secret。RWC 2020上 presented 的研究表明,每个协议由于其 bucketization 策略泄露了 noticeable information about user secrets—两个协议由于不同、 subtle 原因泄露信息。幸运的是,研究 also produced mitigation strategies for both protocols。

超凡脱俗的密码学

RWC甚至包括一些超凡脱俗的密码学应用。Galileo是一个全球导航卫星系统(如GPS),由欧盟使用。正如RWC所讨论,这些导航系统是我们基础设施的关键部分,而欺骗位置实际上相当容易。幸运的是,到目前为止,这种欺骗 mostly used for playing Pokemon Go;然而,对这些卫星系统的欺骗攻击是真实的。为了保护 against potential future attacks,Galileo将提供公共导航消息认证服务。

合作 banking

RWC的最后一场演讲讨论了使用多方计算来检测洗钱。金融监管机构对允许洗钱活动的银行 impose large fines,因此这些银行有 incentive 检测非法活动。然而,银行之间的合作 difficult because transaction data is private。幸运的是,多方计算可以 facilitate this collaboration without violating privacy。总之,这项努力通过应用基于图的方法建模交易和 specialized for multi-party computation 的算法,实现了 promising results,用于 various banks 之间的 efficient, collaborative analysis。

结论

RWC 2020 made it clear that involving cryptographers in the design and implementation of your novel protocols will save you both time and money, as well as keeping everyone safer。如果你 involved in this type of work encourage everyone involved to open-source your code, publish your protocols for review, and hey, talk to the Trail of Bits cryptography team!

如果你 enjoyed this post, share it: Twitter LinkedIn GitHub Mastodon Hacker News

页面内容

  1. 密码漏洞无处不在 传统攻击 其他攻击
  2. 需要更多密码学家的理由 好的方面 坏的方面 丑陋的方面
  3. 新增长和密码学应用 “Find My”密码学 受损凭证的私有检测 超凡脱俗的密码学 合作 banking 结论 近期帖子 Trail of Bits的Buttercup在AIxCC挑战赛中获得第二名 Buttercup现已开源! AIxCC决赛:故事记录 攻击者的提示注入工程:利用GitHub Copilot 作为新员工发现NVIDIA Triton中的内存损坏 © 2025 Trail of Bits。 使用Hugo和Mainroad主题生成。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次