这篇文档属于类型a,即报告了一项原创性研究。以下是针对该研究的学术报告:
本研究由Yevgeniy Dodis(纽约大学)、Bernardo Magri(曼彻斯特大学/Primev)、Noah Stephens-Davidowitz(康奈尔大学)和Yiannis Tselekounis(伦敦大学皇家霍洛威学院)合作完成,发表于CRYPTO 2025(会议论文集《LNCS》第16007卷)。研究得到了美国国家科学基金会(NSF)、Packard基金会和Google的资助。
该研究属于密码学与安全通信领域,聚焦于抗篡改的安全消息传输协议。传统安全消息协议(如Signal协议)依赖对用户硬件和软件的完全信任,但现实中存在算法替换攻击(algorithm substitution attacks, ASAs)的风险——攻击者可能通过篡改加密算法窃取密钥或明文。例如,历史上Dual EC DRBG伪随机数生成器曾被怀疑植入后门。因此,研究团队提出了一种基于反向防火墙(reverse firewall, RF)的新型安全消息协议,旨在抵御此类攻击。
核心挑战:传统Signal协议的CKA(Continuous Key Agreement)要求消息完整性,但反向防火墙需修改消息以防止信息泄露,这可能导致密钥不一致。
解决方案:
- 四阶段交互式密钥协商:基于[31]的被动抗篡改密钥协议(SRKA),通过交错四个独立会话实现连续密钥更新。每轮消息包含:
- 当前CKA密钥的承诺(commitment);
- 对上一承诺的解密(opening);
- 对另一方承诺的响应(response);
- 新SRKA会话的承诺。
- 篡改检测与状态恢复:若攻击者篡改未认证部分导致密钥分歧,协议通过“重传”子流程(resend protocol)在4轮内恢复一致状态。
关键技术:
- 随机化承诺与响应:防火墙通过重随机化(rerandomization)和可延展性(malleability)隐藏原始消息。
- 哈希函数与随机预言机模型:确保密钥的伪随机性。
组件集成:
- 抗篡改CKA:生成动态密钥;
- 前向安全认证加密(FS-AEAD):保证消息机密性与完整性;
- PRF-PRNG(伪随机函数-伪随机数生成器):派生密钥。
抗篡改机制:
- 唯一性加密(unique ciphertexts):防止恶意实现通过加密泄露信息(例如,若加密非预期消息,解密会破坏功能)。
改进点:
- 服务器主动参与:传统X3DH中,服务器仅转发消息;新协议要求服务器贡献随机数r,用于重随机化临时密钥(如g^x变为g^(xαr))。
- 签名唯一性:使用唯一签名方案(如Schnorr签名)防止密钥伪造。
抗篡改CKA协议:
(δ=0, δ̄=4)-安全(即密钥在4轮内恢复)。安全消息协议:
X3DH协议:
此研究为抗篡改密码系统设立了新标准,未来可扩展至后量子密码(如PQ-X3DH)和多方通信场景。