马修·加勒特揭露了 X(前推特)新端到端加密消息协议 XChat 的安全漏洞。XChat 使用 Juicebox 协议存储用户私钥,该协议将密钥分散到三个服务器上。然而,这些服务器都由 X 控制,这意味着 X 可以访问所有用户的密钥,从而破坏端到端加密的安全性。文章深入探讨了 Juicebox 的机制和潜在风险,并指出 XChat 的部署方式存在重大缺陷,用户私钥面临被 X 随意访问的风险,建议用户不要使用 XChat。
阅读更多
尽管苹果iMessage自2011年起就宣称端到端加密,但其消息永久存储在设备上,且默认备份到iCloud,这使得用户的私密信息存在安全风险。虽然iMessage拥有强大的加密技术,甚至具备后量子加密能力,但缺乏“阅后即焚”等功能,与其他主流通讯软件相比,在保护用户隐私方面存在明显不足。文章呼吁苹果改进,增加类似“消失的消息”功能,以更好地保护用户隐私。
阅读更多
英国政府秘密要求苹果削弱其iCloud高级数据保护(ADP)系统的端到端加密,引发了巨大的隐私担忧。该系统本应保护用户数据免受未经授权的访问,但英国政府的要求将允许其秘密访问用户数据。此举不仅威胁到英国用户的隐私,也可能为其他国家效仿设置危险的先例,对全球用户数据安全造成潜在影响。文章作者呼吁苹果公司加快推广端到端加密功能,并建议美国政府立法禁止美国公司应外国政府要求安装加密后门。
阅读更多
本文探讨了密码学中一个长期存在的问题:随机预言模型(ROM)。ROM在证明密码学方案安全性时被广泛使用,但其假设在现实世界中无法实现。作者分析了Khovratovich, Rothblum 和 Soukhanov 的一篇论文,该论文揭示了基于Fiat-Shamir的零知识证明系统中可能存在的实际攻击。这些攻击利用了在将ROM替换为实际哈希函数时可能出现的漏洞。作者指出,随着零知识证明等技术的应用日益广泛,特别是其在区块链中的递归应用,这种漏洞可能带来严重的安全性风险,甚至可能导致整个系统崩溃。文章强调了对应用于证明系统的程序进行严格安全审计的重要性,并探讨了可能存在的多种攻击场景,从相对温和的到可能导致系统性安全崩溃的极端情况,引发了对区块链安全性的深入思考。
阅读更多
本文探讨了人工智能(AI)与端到端加密的未来冲突。随着AI助理的普及,越来越多的私人数据将被上传到云端进行处理,这挑战了端到端加密的隐私保护。文章指出,虽然苹果等公司尝试通过“私有云计算”和可信硬件来解决这个问题,但这依然依赖于复杂的软件和硬件安全机制,并非完美的解决方案。更深层次的担忧在于,强大的AI代理一旦部署,其访问权限将成为关键问题,政府或其他机构对这些数据的访问权限可能危及个人隐私。
阅读更多
本文分析了Telegram的加密功能,指出其默认情况下不启用端到端加密,只有手动开启“秘密聊天”才能实现。作者批评了Telegram在明知其加密功能难以开启的情况下,仍将其产品宣传为“安全信使”的行为,并认为这种做法具有误导性。文章还简要分析了Telegram的加密协议MTProto 2.0,指出其存在一些安全隐患。
阅读更多
本文探讨了超越传统公钥加密技术的密码学新进展,重点介绍了身份基加密(IBE)和属性基加密(ABE)。作者首先指出了公钥加密虽然简化了密钥分发,但仍存在密钥交换和验证的挑战。IBE通过将用户的身份作为公钥,并由密钥生成机构生成私钥来解决这些问题,但也引入了密钥托管的风险。ABE则更进一步,通过使用属性和阈值门来实现更精细的访问控制,例如,允许医生或保险理算员解密医疗记录。
阅读更多
此网站提供有关密码学工程和计算机安全的文章,包括密码学、安全工程、系统安全和高级数学。
阅读更多