清华和浙大等中国研究人员在预印本平台 arxiv 上发表论文，报告破解 2048 位 RSA 密钥所需的量子比特数可以大幅减少，现有的量子计算机就能做到。研究人员称，Peter Shor 早在 1990 年代就发现用量子计算机进行大数的因式分解是很容易的，但所需的量子比特数需要多达数百万，现有技术还制造不出此类规模的量子计算机。今天最先进的量子计算机只有数百个量子比特——如 IBM 的 Osprey 有 433 个量子比特。中国研究人员提出了一种优化方法，将所需的量子比特数减少到 372 个量子比特——这是现有技术能做到的，虽然中国还没有如此先进的量子计算机。知名加密学专家 Bruce Schneier 在其博客上指出，中国研究人员提出的优化方法是基于 Peter Schnorr 最近发表的一篇受争议论文，Schnorr 的算法在较大的系统上崩溃了，所以中国的方法是否成功还是未知，但至少 IBM 的研究人员可以测试下了。

Let's Encrypt 宣布支持 ACME-CAA(Certification Authority Authorization)——它是 DNS CAA 记录的一个扩展，旨在堵上 Domain Validation（域名验证）的漏洞。SSL 证书的一个主要目的是限制中间人攻击。而当你从 CA 如 Let's Encrypt 为一个域名申请证书，Let's Encrypt 必须采取措施确认你是域名的合法所有者。域名验证的方法通常是 CA 生成随机的质询字符串，要求你将其托管在自己的域名上。如果你成功的完成了这一要求，那么意味着你控制着该域名，因此是域名的合法运营者。问题是在执行域名验证时你还没有 SSL 证书，也就是说 CA 验证你的域名是通过 HTTP 而不是 HTTPS，这意味着整个域名验证过程容易遭到中间人攻击。ACME-CAA 就是设计堵上漏洞，要求 CAA 记录指向 Let’s Encrypt 的一个特定帐户名。

Google 周五宣布向部分 Gmail 用户提供端对端加密——Google 称其为 Gmail CSE。一旦启用，邮件主体、附件和内嵌图像都将在传输和储存在网盘前由客户端的浏览器进行加密，Google 服务器将无法获得加密密钥，因此也无法对其进行解密。邮件的标题、时间戳和收件人名单不加密。目前该功能提供给 Google Workspace Enterprise Plus、Education Plus 或 Education Standard 客户，他们都可以申请 Gmail CSE beta。该功能暂时不会提供给普通用户。

美国国家标准与技术研究院（NIST）宣布 SHA-1 算法已经抵达寿命终点，建议使用者尽快迁移到 SHA-2 或 SHA-3。NIST 的安全专家称，今天日益强大的计算机很容易破解 SHA-1 算法，它应在 2030 年 12 月 31 日之前被淘汰。SHA-1 是在 1995 年作为美国联邦资料处理标准（FIPS PUB 180-1 发布的，Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值，当时实现碰撞攻击需要耗费大量计算资源。但到了 2020 年研究人员将攻击成本降至 4.5 万美元，并预测未来成本会越来越低。

Twitter 联合创始人 Jack Dorsey 承诺每年向加密消息应用 Signal 资助百万美元。此举是作为他支持“开放互联网发展”的一部分提供的。Dorsey 称，社交媒体不应该由一家公司或一个集团所拥有，需要能抵抗企业或政府的影响。他说，2020 年他按照其意愿构建 Twitter 的希望因一位激进投资者的进入而告吹，他当时就想要退出，因为自己不再适合这家公司了。Dorsey 承认他所希望建立的原则，在今天和在过去他领导下的 Twitter 并不存在。他强调并不存在如 Twitter Files 所暗示的存在阴谋或恶意隐藏的议程，每个人都是按照当时掌握的信息行事。

苹果宣布从 iOS 16.2、iPadOS 16.2 和 macOS 13.1 开始，用户可选择启用“高级数据保护（Advanced Data Protection）” 功能，iCloud Backup、Photos、Notes 等都将使用端对端加密，这意味着如果你丢失了账号，苹果没有加密密钥帮助你恢复——用户需要通过设备密码、帐户恢复联系人或个人的恢复密钥去恢复账号。用户可以在任何时候关闭高级数据保护功能。这一声明发布在英文版的支持文档上，中文版没有更新，暂时不清楚苹果是否向中国区用户提供该功能。

Google 宣布其 Android 消息应用 Messages 未来几周开始公测群聊端对端加密功能。Messages 是 Android 系统默认的短消息应用，Google 是从 2020 年开始测试端对端加密，用户会在对话泡泡中看到表示加密的锁图标。端对端加密目前只支持个人用户之间的聊天。但在公测结束之后，群聊也将会支持端加密功能。Google 官方博客表示，SMS 短信已有 30 年历史了，是时候转向下一代跨平台消息服务 RCS 了。RCS 代表 Rich Communication Services，Google 正努力推广这一通信标准。

Let’s Encrypt 项目背后的非盈利组织 Internet Security Research Group (ISRG)宣布它在今年签发了逾三十亿证书。Let’s Encrypt 项目旨在让每一个网站都启用 HTTPS 加密，它颁发的免费证书用于加密设备与互联网之间的连接，确保无人能拦截及窃取传输数据。目前全球有数以百万计的网站依赖 Let’s Encrypt 作为安全保障。ISRG 在其 2022 年年度报告中称，截至 2022 年 11 月 1 日，Let’s Encrypt 为逾 3.09 亿个域名提供了 TLS，2022 年增加了逾 3300 万个域名。Let's Encrypt 是在 2017 年 6 月签发了第一亿个证书。三年后的 2020 年 2 月签发了第 10 亿个证书。

印度政府拟议中的法案将授予其拦截加密消息的权力，然而端对端加密是无法拦截的，因此法案还要求提供端对端加密的企业帮助解密或拦截消息。提供端对端加密消息服务的 Signal 明确表示它不会帮助印度。Signal 总裁 Meredith Whittaker 接受采访时表示，如果印度要求强制解密或植入加密后门，Signal 将会退出印度市场。

2021 年款的现代 Ioniq 汽车的车载信息娱乐系统被发现使用了公开的示例密钥去加密系统，这意味着用户有可能在车载计算机硬件上运行定制固件。名叫 greenluigi1 的开发者发现汽车车载信息娱乐系统使用了一个密码加密的 ZIP 压缩档更新固件，系统由现代子公司 Hyundai Mobis 开发，在 Mobis 的网站上这位开发者发现了一个用于解密固件镜像的 AES 密钥，以及一个用于签名的私有 RSA 密钥。这个私钥没有公开。他在网上搜索了 AES 密钥，结果发现它出现在 NIST 文档SP800-38A [PDF]的 AES 128 位 CBC 示例密钥的清单中。进一步搜索发现了 RSA 私钥对应的公钥出现在 RSA Encryption & Decryption Example with OpenSSL in C 文档中。有了公开的公钥，私钥也不难搜索到。这意味着现代汽车使用来自网上教程的公钥私钥对。

美国国家标准技术局（NIST）最近宣布了后量子加密和签名算法竞赛的首批获胜者，一共四种，其中三种是基于格的算法，还有一种是基于哈希的算法。进入第四轮竞赛的一种基于 Isogeny 的抗量子加密候选算法被单核计算机一小时破解还是凸显了下一代加密算法标准化相关的风险。遭到攻击的是名叫 SIKE——代表 Supersingular Isogeny Key Encapsulation——的算法，被鲁汶大学的一个团队破解。研究人员发表论文《An Efficient Key Recovery Attack on SIDH (Preliminary Version)》，描述了对其的攻击。SIKE 的基础协议是 SIDH（Supersingular Isogeny Diffie-Hellman），研究人员利用了数学家 Ernst Kani 开发的 glue-and-split 理论和 Everett W. Howe 等人设计的工具，在一台单核计算机上耗时一个小时获取了 SIKE 使用的加密密钥。SIKE 的联合发明人 David Jao 承认出乎意料。这一攻击是否适用于其它基于 Isogeny 的算法？数学家 Stephen Galbraith 指出这一攻击是专门针对的 SIKE，不适用其它 Isogeny 算法如 CSIDH 或 SQISign。

美国国家标准技术局（NIST）宣布（PDF）后量子加密和签名算法竞赛的首批获胜者。对于加密算法，NIST 建议使用 CRYSTALS-Kyber，考虑选择 NTRU（相关专利已过期），Kyber 和 NTRU 都是基于格(lattice-based)的算法；对于签名算法，NIST 选择 CRYSTALS-Dilithium 作为主算法，以及另外两种 Falcon 和 SPHINCS+，其中 Falcon 和 Dilithium 都是基于格的算法，而 Falcon 是哈希算法。这一算法竞赛针对是即将到来的量子计算时代，量子计算机很容易破解现有的 RSA 或基于椭圆曲线的算法。

云储存服务 Mega 有 2.5 亿注册用户，1200 亿个文件，逾 1000 PB 存储空间。Mega 的一大卖点是文件加密，该公司宣称没有其它云储存公司提供端对端加密，表示只要密码足够强其他人都无法访问用户储存的文件，即使它的基础设施都被扣押。研究人员发布报告指出这一说法并不正确。Mega 用于加密文件的架构充斥着基本的加密学漏洞，只要用户登陆的次数足够多，控制该平台的人很容易执行密钥恢复攻击。恶意者可以破解加密的文件，甚至在用户账号下上传恶意文件。Mega 在 3 月份收到了研究人员的报告，本周释出了一个更新，加大了攻击难度。但研究人员指出这并没有修复他们所发现的密钥复用等诸多问题。

美国政府正在制定新一代的加密标准，设计能抵御量子计算机。量子计算机被认为能容易破解现有经典计算机难以破解的加密算法。NSA 参与了新加密标准制定，它表示自己也无法绕过新标准，NSA 网络安全总监 Rob Joyce 称新标准没有后门。后门允许利用隐蔽的缺陷破解加密算法。此前 NSA 最为熟知的行为是它开发的椭圆曲线伪随机数生成器 Dual EC DRBG 被认为含有后门。Dual EC DRBG 一度使用广泛，在曝光之后被移除。

1868 年，数学家 Charles Dodgson（更为人熟知的名字叫 Lewis Carroll）宣称一种被称为维吉尼亚密码（Vigenère cipher）的加密方案是“无法破解的”。他没有证据，但有令人信服的理由，因为三个多世纪以来，数学家一直在试图破解该密码，可一直也没有成功。只有一个小问题：事实上，一位名叫 Friedrich Kasiski 的德国步兵军官在五年之前就破解了它，记录此事的书在当时几乎没有引起任何注意。

只要人们还在发送加密信息，密码学家就一直在玩这种猫捉老鼠的游戏——创造密码并破解密码。康奈尔科技学院和康奈尔大学的密码学家 Rafael Pass 表示：“几千年来，人们一直想弄清楚，‘我们可以打破这个循环吗？’”五十年前，密码学家朝着这个方向迈进了一大步。他们证明只要有“单向函数”，你就可以创建被证明是安全的密码。单向函数是一种很容易计算的函数，但很难逆运算。从那时起，研究人员设计出各种候选单向函数，从基于乘法的简单运算到更复杂的几何或对数运算都有。

今天负责传输信用卡号和数字签名等任务的互联网协议依赖于这些函数。以色列海法理工学院的密码学家 Yuval Ishai 表示：“现实世界中使用的绝大多数加密都可以基于单向函数。”但这一进步没有终结这场猫捉老鼠的游戏——只是更加突出了它的焦点。现在密码学家不必担心加密方案各个方面的安全性，只要关注其核心的函数即可。但是目前使用的函数中没有一种被明确证明是单向函数——我们甚至不确定真正的单向函数是否真的存在。密码学家证明，如果它们确实不存在，那么安全加密就是不可能的。

在缺乏证据的情况下，密码学家只能希望能在攻击中幸存下来的函数是安全的。Ishai 表示，研究人员没有统一的方法来研究这些函数的安全性，因为每种函数都“来自不同的领域，来自不同的专家组”。长期以来，密码学家们一直想知道是否有一种不那么特别的方法。Pass 问道：“是否存在着某个问题，只有一个主问题，告诉我们密码学是否可行？”

现在他和康奈尔大学的研究 生Yanyi Liu 证明答案是肯定的。他们证明，真正单向函数存在与否取决于计算机科学另一个领域中最古老也最核心的问题之一，这个领域被称为复杂性理论或计算复杂性。这个被称为Kolmogorov 复杂性的问题涉及区分随机数字字符串和包含某些信息的字符串之间的区别有多难。

研究人员周一报告，Rambus 旧软件生成的加密密钥非常弱，用商用硬件可立即破解。这一发现是一项调查的一部分，调查还发现了其他弱加密密钥。Rambus 一位代表表示，该软件源自 SafeZone 加密库的基础版本，由 Inside Secure 公司开发，Rambus 在 2019 年收购 Verimatrix 时 Inside Secure 作为 Verimatrix 一部分归于 Rambus 。该版本在收购之前已被废弃，与该公司现在以 Rambus FIPS 安全工具包品牌销售的 FIPS 认证版本完全不同。

研究员 Hanno Bock 表示，易受攻击的 SafeZone 库没有对其用于生成 RSA 密钥的两个素数实现充分随机。相反 SafeZone 在选择一个素数之后，会再选择一个非常接近的素数作为形成密钥所需的第二个素数。Bock表示：“问题是两个素数太相似了。”“两个素数之间的差异很小。”SafeZone 漏洞跟踪代码为 CVE-2022-26320。密码学家早就知道，用太接近的两个素数生成的 RAS 密钥可以用费马（Fermat）的因式分解法轻松破解。法国数学家费马（Pierre de Fermat）于 1643 年首次描述了这种方法。费马的算法基于任何数都可以表示为两个平方的差。当因子接近数字的平方根时，可以轻松快速地把它们算出来。如果因子是真正随机而且相距甚远的话，这个方法就行不通了。RSA 密钥的安全性取决于将密钥的大合数（通常表示为N）分解成两个因子（通常表示为 P 和 Q）的难度。

到目前为止，Bock 仅在现实中发现了少量易受因式分解攻击的密钥，一些密钥属于最初品牌为富士施乐、现在属于佳能的打印机。打印机用户可以使用这些密钥生成证书签名请求（Certificate Signing Request）。这些密钥的创建日期在2020年或者更晚。弱佳能密钥的跟踪代码为 CVE-2022-26351。Bock 还在 SKS PGP 密钥服务器上发现了四个易受攻击的 PGP 密钥，通常用于加密电子邮件。与这些密钥绑定的用户 ID 暗示它们是为了测试而创建的，所以他不相信它们还在使用。Bock 表示他相信发现的所有密钥都是使用与 SafeZone 库无关的软件或方法生成的。这些密钥是手动生成的也是合理的，“可能是意识到这种攻击的人创建测试数据用的。”

无论设备多安全，用户总是其中最薄弱的一环。在实际中攻击者可简单通过口头威胁或法庭传票要求用户交出秘密。绝大多数安全方案都设计强调数据的保密性，而不是让用户可以否认设备上存在秘密数据。著名黑客黄欣国（Andrew 'bunnie' Huan）宣布了一种让用户可以否认秘密存在的机制 Plausibly Deniable DataBase (PDDB)。PDDB 使用的设备被称为 Precursor，在攻击者能无限制访问设备，能对存储器的数据进行快照，能反复的侵入性检查，PDDB 允许用户否认秘密存在。用户需要在性能和可否认之间做选择，秘密数据占据的比例很小时对性能的影响甚微，如 100 MB 容量占 8 MB。但如果 100 MB 占 80 MB 时性能影响会比较显著。

量子计算机需要比现在大一百万倍，才能破解保护比特币的 SHA-256 算法，破解将使这种加密货币面临黑客风险。破解这种难以攻破的密码传统计算机基本上不可能，但是量子计算机可以利用量子物理学的特性加速计算，从理论上说可以破解它。英国苏塞克斯大学的 Mark Webber 和同事计算出，在 10 分钟的时间窗口内破解比特币的加密需要一台有 19 亿个量子比特的量子计算机，在一小时内破解需要一台有 3.17 亿个量子比特的量子计算机。即使将时间延长到一整天，这个数字也只是下降到 1300 万个量子比特。对于比特币拥有者来说，这是个令人欣慰的消息，因为目前量子计算机的量子比特很少——IBM 破纪录的超导量子计算机只有 127 个量子比特，因此设备需要变大一百万倍才能威胁到加密货币，Webber 表示十年内不太可能出现。

德国新成立的社民党、绿党、自民党政府的联盟协议包含了对加密权、隐私权和公共资金资助开发的代码公开等方面的承诺。现在的问题是如何兑现承诺。联盟协议包含了活动人士数十年来追求的数字权利：在加密权利中，禁止政府对漏洞保密，要求所有政府部门向 Federal Office for Information Security (BSI) 报告所知道的漏洞，并定期对其 IT 系统进行外部审计；保障公共场所和互联网上的匿名权利；未来的软件开发合同都将会公开源代码；将提供真正加密通信选择。

WhatsApp 宣布将允许用户将加密的聊天历史备份上传到云端。WhatsApp 很早就支持端对端加密聊天，但用户如果要将聊天历史的备份储存到云端如 iCloud（iPhone）或 Google Drive（Android）则没有加密可供选择，只能以未加密格式储存。而储存在苹果和 Google 服务器上的未加密备份数据多年来被世界各地的执法机构用于访问嫌疑人的聊天历史。WhatsApp 现在堵上了这一薄弱环节。WhatsApp 将向用户提供两种加密备份的方式，未来几周用户将会看到一个选项生成 64 位的密钥去锁定储存在云端的备份，用户可选择离线储存密钥或保存在密码管理器中，用户可以选择将密钥储存在云端然后加上一层密码保护。没有用户密码储存在云端的密钥是无法访问的，即使 WhatsApp 在没有密码的情况下也无法访问密钥。