本文批判了几种常见的密码学误用，即所谓的“YOLO”构造，包括 YoloMultiHash、YoloMAC 和 YoloPBKDF。

本文是针对密码学领域中一些常见但可能令人困惑的技术的专家问答，涵盖了SNARKs中的 commitment schemes、哈希函数的构造、椭圆曲线密码学(ECC)的攻击方式、后量子密码系统、Fiat-Shamir heuristic、PLONK 证明系统的改进、zkEVMs的设计决策、zkEVMs的性能改进、Shamir 密钥共享方案以及 folding schemes的技术细节。

文章讨论了后量子密码（PQ）的必要性和优势，即使量子计算机没有实际出现，新的PQ标准也比传统的密码算法更安全、更有弹性且更灵活。当前广泛使用的公钥密码术存在风险，而后量子密码通过基于多种数学难题构建算法、采用现代设计和提供使用案例灵活性来解决这些问题，从而实现密码多样化和现代化。

本文介绍了Fiat-Shamir变换在零知识证明（ZKPs）和多方计算（MPC）中的重要性，并强调了正确实现该变换的挑战。为了帮助开发者避免常见错误，Trail of Bits发布了一个名为Decree的Rust库，该库旨在简化Fiat-Shamir transcript的规范和强制执行，并通过Inscribe trait确保包含上下文信息。

Trail of Bits 的工程师参加了 Real World Crypto 2024 大会，会议重点关注后量子密码学（PQC）的标准化和应用，端到端加密（E2EE）和密钥透明度的发展，以及全同态加密（FHE）的进展。

本文介绍了 Homebrew 项目与 Alpha-Omega 和 OpenSSF 合作，为 homebrew-core 增加构建溯源（build provenance）功能。通过密码学方式证明 Homebrew CI 构建的所有瓶子（bottles）的真实性，从而提高软件供应链的透明度和安全性，降低恶意内部人员攻击的威胁。目前该功能处于公开测试阶段，建议高级用户尝试。

本文探讨了形式化验证和模糊测试在智能合约安全审计中的应用。文章指出，形式化验证虽然理论上可以证明代码中不存在漏洞，但在实际复杂代码库中难以实现，并且模糊测试可以发现形式化验证所能发现的相同漏洞。文章建议在采用形式化验证之前，应优先使用模糊测试，并强调编写高质量不变量的重要性。

Trail of Bits 对 Ockam 的安全通信协议设计进行了密码学设计审查，Ockam 旨在实现跨异构网络的安全通信。审查肯定了 Ockam 设计的优点，并提出了加强系统安全性的建议，包括改进文档、明确安全保证以及进行形式化验证，使用 Verifpal 和 CryptoVerif 等工具来验证 Ockam Identities 的安全性。

本文介绍了Open Source Technology Improvement Fund (OSTIF) 与 Trail of Bits 合作进行的一系列开源项目的安全审计和威胁建模工作，包括Linux kernel release signing、CloudEvents、curl、KEDA、Eclipse Mosquitto、Eclipse Jetty、Eclipse JKube、Flux 和 Dragonfly。

本文介绍了Homebrew与Alpha-Omega和OpenSSF合作的一个新项目，旨在提高Homebrew的透明度和安全性，通过为homebrew-core引入密码学上可验证的构建来源，使Homebrew的软件包符合SLSA Build L2标准，从而增强Homebrew的软件供应链安全，抵御潜在的供应链攻击。