2024年真实世界密码学大会的主题

3月份，Trail of Bits 的工程师前往充满活力（且略带寒意）的多伦多市参加了 Real World Crypto 2024，这是一个为期三天的活动，汇集了密码学领域的数百位杰出人才。我们还参加了三个相关活动：Real World Post-Quantum Cryptography (RWPQC) workshop、Fully Homomorphic Encryption (FHE) workshop 和 Open Source Cryptography Workshop (OSCW)。回顾本次活动中的演讲和专家讨论，我们发现了一些突出的主题：

1. 各国政府、标准化组织和行业在推进后量子密码学 (PQC) 的标准化和采用方面取得了实质性进展。
2. 除了 PQC 标准之外，我们还看到了使用基于格的结构进行更高级 PQC 的创新。
3. 对端到端加密 (E2EE) 和密钥透明度的投资正在各个组织中获得动力。

我们还有一些值得一提的内容：

1. 全同态加密 (FHE) 是一个活跃的研究领域，并且越来越实用。
2. 带有相关数据的认证加密方案 (AEAD) 也是一个活跃的研究领域，正在进行许多改进。

请继续阅读以了解我们的完整想法！

行业和政府如何采用 PQC

社区正在为自 25 年前开始的用椭圆曲线密码学取代 RSA 和 DSA 的（持续）努力以来，最大规模的密码学迁移做准备。在专门的 PQ RWPQC workshop 和主要的 RWC 活动中，讨论的重点是标准化努力和大规模的实际部署。Google、Amazon 和 Meta 报告了内部部署的初步成功。

演讲的核心要点包括：

• 全球社区已经广泛接受 NIST 后量子算法作为标准。像 Signal 这样的更高级别的协议正忙于整合新的算法。
• 存储-现在-稍后解密攻击需要尽快转向后量子密钥交换协议。对于遵循良好密钥轮换实践的应用程序来说，后量子身份验证（签名方案）的重要性较低。
• 后量子安全性只是密码学敏捷性的一个方面。良好的密码学清单和密钥轮换实践使 PQ 迁移更加顺畅。

RWPQC 以四个标准机构的演讲为特色。这些演讲表明，采用 PQC 的工作正在顺利进行中。Dustin Moody (NIST) 强调，美国政府和美国行业的目标是在 2035 年之前做好量子准备，而 Matthew Campagna (ETSI) 讨论了 60 多个国家/地区的 850 多个组织之间的协调工作。Stephanie Reinhardt (BSI) 警告说，具有密码学意义的量子计算机可能会在 2030 年代初上线，并分享了 BSI 的密码机制技术指南。Reinhardt 还警告不要依赖量子密钥分发，理由是已发表的对 QKD 实施的攻击近 200 次。NCSC 提倡 ML-KEM 和 ML-DSA 的独立使用，这与更常见和谨慎的混合方法形成对比。

虽然所有标准机构都支持 FIPS 算法，但 BSI 还支持使用 NIST 竞赛的决赛入围者 FrodoKEM 和 McEliece。

代表 IETF 中多个工作组的 Deidre Connelly 谈到了她一直在从事的 KEM 组合器指南文档，以及围绕 KEM 绑定属性（来自 CFRG 工作组）正在进行的讨论。她还提到了 TLS 工作组的进展：PQC 将仅在 TLS v1.3 中，并且主要重点是获得各种密钥协商规范的正确性。LAMPS 工作组正在努力将 PQC 算法纳入密码消息语法和 Internet X.509 PKI 中。最后，PQUIP 正在努力从操作和工程方面将 PQC 纳入更多协议中，而 MLS 工作组正在努力将 PQC 纳入 MLS 中。

行业的观点同样具有洞察力，来自主要技术公司的代表分享了一些关键见解：

• Signal： Rolfe Schmidt 对 Signal 整合后量子密码学的工作进行了幕后观察，例如他们最近在开发其后量子密钥协商协议 PQXDH 方面所做的工作。他们未来的重点领域包括提供前向量子攻击者的前向保密和事后入侵安全性，实现完全后量子安全的 Signal 协议，以及匿名凭证。
• Meta/Facebook： Meta 通过宣布他们将加入 PQC 联盟来展示了他们对 PQC 的承诺。他们的代表 Rafael Misoczki 还讨论了成功进行 PQC 迁移的先决条件：密码学库和应用程序必须支持轻松使用 PQ 算法，明确劝阻创建新的量子不安全密钥，并提供针对已知量子攻击的保护。此外，迁移必须具有高性能和成本效益。
• Google： Google 的 Sophie Schmieg 阐述了他们管理密钥轮换和密码学敏捷性的方法，强调后量子迁移实际上是一个密钥轮换问题。如果你有一个好的密钥轮换机制，并且你正确地将密钥指定为密码学配置和原始密钥字节，而不仅仅是原始字节，那么你已经完成了迁移到后量子的大部分工作。
• Amazon/Amazon Web Services (AWS)： Matthew Campagna 通过介绍 AWS 在保护其密码学免受量子对手攻击方面取得的进展，总结了行业的最新进展。像大多数其他人一样，他们主要担心的是“现在存储，以后解密”的攻击。

更多 PQC：高级格技术

除了政府和行业团体都致力于采用最新的 PQC NIST 标准之外，今年的 RWC 还展示了在 PQC 其他领域完成的大量工作。特别是，我们参加了两个关于使用格构建的新密码原语的有趣演讲：

• LaZer： LaZer 是一个有趣的库，它使用格来促进高效的零知识证明 (ZKP)。对于某些指标，该证明系统实现了比当前某些最先进的证明系统更好的性能。但是，由于 LaZer 使用格，因此它的算术化与现有的 R1CS 和 Plonkish 证明系统完全不同。这意味着它无法直接与现有的电路编译器一起使用，因此将其推进到现实世界的系统中还需要付出额外的努力。
• Swoosh： 另一个讨论的重点是 Swoosh，这是一种为高效的基于格的非交互式密钥交换而设计的协议。在我们必须依赖后量子密钥封装机制 (KEM) 而不是基于后量子 Diffie-Hellman 的方案的时代，开发具有后量子特性的强大密钥交换协议是向前迈出的有力一步，也是一个有希望的研究领域。

端到端加密和密钥透明度

端到端 (E2E) 加密和密钥透明度是本次会议的一个重要主题。以下是一些亮点：

• 普遍的密钥透明度： Melissa Chase 就密钥透明度的未解决问题和最新进展发表了精彩的概述性演讲。密钥透明度在端到端加密中起着至关重要的作用，它允许用户检测中间人攻击，而无需依赖带外通信。
• 保护 Zoom 中的 E2EE： 研究员 Mang Zhao 分享了他们改进 Zoom 的 E2EE 安全性的方法，特别是防止恶意服务器的窃听或冒充攻击。他们的策略在很大程度上依赖于密码验证密钥交换 (PAKE) 和带有相关数据的认证加密 (AEAD)，从而为用户提供更安全的通信层。然后，他们使用形式化方法来证明他们的方法实现了其目标。
• Meta 中 E2EE 的采用： Meta/Facebook 加紧记录了他们在 Messenger 上推出 E2EE 的过程。用户在升级到 E2EE 时会遇到很大的阻力，因为他们突然需要采取行动以确保在丢失设备时可以恢复其数据。在某些情况下，例如贴纸搜索，Meta 决定在隐私的同时优先考虑功能，因为在客户端存储整个贴纸库将是令人望而却步的。

荣誉提名

AEAD： 在对称密码学中，带有相关数据的认证加密方案 (AEAD) 是今年讨论的中心。围绕 Poly1305 和 AES-GCM 的深入讨论说明了人们对改进这些密码学工具的持续投入。我们正在准备一篇关于这些令人兴奋的进展的专门文章，敬请关注！

FHE： 全同态加密 (FHE) 分会展示了全同态加密的持续进展。研究人员介绍了创新的理论进展，例如一种基于环学习舍入的新型同态方案，该方案在某些指标下显示出比当前方案更好的性能。另一个突破性的演讲介绍了 HEIR 编译器，这是一个加速 FHE 研究的工具链，有可能简化从理论到实际、现实世界实现的过渡。

2024 年 Levchin 奖获得者

每年 RWC 都会向两个团队颁发 Levchin 奖，以表彰他们对密码学及其实际应用做出的重大贡献。

Al Cutter、Emilia Käsper、Adam Langley 和 Ben Laurie 因大规模创建和部署证书透明度而获得 Levchin 奖。证书透明度建立在相对简单的密码学操作之上，但对互联网安全和隐私产生了巨大的积极影响。

Anna Lysyanskaya 和 Jan Camenisch 因开发高效的匿名凭证而获得了 2024 年的另一个 Levchin 奖。他们 20 年前的开创性工作变得越来越重要，因为越来越多的应用程序使用它们。

前进

Real World Crypto 2024 会议以及 FHE、RWPQC 和 OSCW 活动，为密码学的最新技术和未来方向提供了丰富的见解。随着该领域不断发展，各国政府、标准机构和行业参与者共同努力，进一步发展我们密码学世界的细微之处，我们期待 PQC、E2EE、FHE 和许多其他令人兴奋的领域取得持续进展。这些发展反映了我们确保安全未来的共同使命，并加强了密码学社区中持续研究、协作和参与的重要性。

• 原文链接： blog.trailofbits.com/202...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～