Signal 群消息的未來保密性如何失敗？

在論文More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema中，摘要聲稱

我們還表明，強大的安全屬性，例如作為 Signal 協議中一對一通信的核心部分的 Future Secrecy，不適用於其組通信。

未來保密失敗對 Whatsapp 和 Threema 來說是有意義的，因為 Threema 使用靜態密鑰，而 Whatsapp 使用單個對稱密鑰棘輪進行群組消息傳遞，兩者都容易受到會話狀態洩露的影響。然而，該論文指出，Signal 使用正常的雙棘輪方案進行群組消息傳遞，使得群組消息與成對消息無法區分。

當密鑰被棘輪時刷新會話狀態時，未來的群消息保密如何失敗？

注意：似乎未來的保密性會失敗，因為僅通過知道其 GroupID 就可以加入一個組。假設群組更新消息已正確驗證，Signal 的群組消息的未來保密性是否仍然失敗？

注意：似乎未來的保密性會失敗，因為僅通過知道其 GroupID 就可以加入一個組。

正確，這似乎是問題所在。由於攻擊者可以通過適配一些會話狀態來加入組，然後由於是組的一部分而破壞所有消息，因此組協議缺乏未來保密性。

來自論文（pdf 的第 8 頁）：“將自己添加到組後，未來純文字消息的機密性受到損害。”

假設群組更新消息已正確驗證，Signal 的群組消息的未來保密性是否仍然失敗？

由於使用了雙棘輪，如果知道會話狀態不允許加入組，它將保留該屬性。但細節對實現這一目標很重要。僅對組更新進行身份驗證是不夠的，因為我們正在討論一方的密鑰被洩露的情況。

但是，您是對的，似乎只有組管理需要修復。

引用自：https://crypto.stackexchange.com/questions/61950