solidot新版网站常见问题,请点击这里查看。

lurch/OMEMO密码工程协议审计

安全
WinterIsComing (31822)发表于 2021年12月31日 12时12分 星期五
来自图书馆员与黄金锅
HardenedVault 写道 "vault1317是一款为高级威胁防护背景下设计的密码工程通信协议,在OTRv3/v4和Signal协议基础上加强了通信节点的元数据保护,即保护机器的隐私。在此基础上提供加密通信过程的可抵赖性,以保证在通信节点任意一方进行背叛行为(向第三方披露通信内容)和长寿命密钥泄漏的情况下也无法留下加密证据。vault1317的目标并非保护人类隐私,而是通信节点(机器)的隐私。当赛博堡垒设计vault1317第二阶段邦联化特性过程中收到了密码朋克社区的诸多建议,从威胁模型的角度,数字军火商不会放弃任意高度依赖密码工程的领域,更重要的是,邦联化作为去中心化特性的关键要素必须进行架构级审计,vault1317协议的当前邦联化是通过XMPP,经过技术评估赛博堡垒最终选择了基于lurch,lurch是一个实现了XEP 0384(OMEMO)加密协议修订版pidgin插件。OMEMO是一个基于axolotl协议的实现,在lurch中 axolotl的实现基于libsignal-protocol-c,axc则是基于libsignal-protocol-c进行了高阶封装的实现。由于lurch上下游的依赖,审计目标除了lurch本身也包括两个支持库axc和libomemo,审计过程中发现的缺陷已经修复。"