Cryptanalysis
Signal 群消息的未來保密性如何失敗?
在論文More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema中,摘要聲稱
我們還表明,強大的安全屬性,例如作為 Signal 協議中一對一通信的核心部分的 Future Secrecy,不適用於其組通信。
未來保密失敗對 Whatsapp 和 Threema 來說是有意義的,因為 Threema 使用靜態密鑰,而 Whatsapp 使用單個對稱密鑰棘輪進行群組消息傳遞,兩者都容易受到會話狀態洩露的影響。然而,該論文指出,Signal 使用正常的雙棘輪方案進行群組消息傳遞,使得群組消息與成對消息無法區分。
當密鑰被棘輪時刷新會話狀態時,未來的群消息保密如何失敗?
注意:似乎未來的保密性會失敗,因為僅通過知道其 GroupID 就可以加入一個組。假設群組更新消息已正確驗證,Signal 的群組消息的未來保密性是否仍然失敗?
注意:似乎未來的保密性會失敗,因為僅通過知道其 GroupID 就可以加入一個組。
正確,這似乎是問題所在。由於攻擊者可以通過適配一些會話狀態來加入組,然後由於是組的一部分而破壞所有消息,因此組協議缺乏未來保密性。
來自論文(pdf 的第 8 頁):“將自己添加到組後,未來純文字消息的機密性受到損害。”
假設群組更新消息已正確驗證,Signal 的群組消息的未來保密性是否仍然失敗?
由於使用了雙棘輪,如果知道會話狀態不允許加入組,它將保留該屬性。但細節對實現這一目標很重要。僅對組更新進行身份驗證是不夠的,因為我們正在討論一方的密鑰被洩露的情況。
但是,您是對的,似乎只有組管理需要修復。