Facebook 发布开源的群聊信息加密工具
翻译:360代码卫士团队
Facebook 昨天在 GitHub 上开源了一款群聊信息加密工具。
目前很多政府都在批评科技公司设置的加密技术并要求这些公司为执法部门留下后门。FBI 局长 Christopher Wray 昨天就在一次国际信息安全大会上表示,美国联邦政府竟然无法访问所没收的近8000部手机,这种结果“很荒谬”。英国首相 Theresa May 也呼吁在通讯服务和社交网络中留下后门,停止向极端分子提供“安全空间”。
开源工具 ART 旨在保护群聊信息安全
Facebook 昨天在 GitHub 上发布开源工具 ART(Asynchronous Ratcheting Tree,异步棘轮树),旨在保护群聊信息的安全,是由Facebook 公司的 Jon Millican 和牛津大学的 Katriel Cohn-Gordon、Cas Cremers、Luke Garratt 和 Kevin Milner 创建的。
研究团队在去年12月份发布的相关论文中指出,现有的聊天解决方案在保护个人之间的信息安全方面做得很好,但是在保护群聊信息方面不尽如人意。论文指出,在群聊方面,WhatsApp、Facebook Messenger 和 Signal app 使用了更简单的密钥传输机制(“发送者密钥”),并没有实现“攻陷后的安全性”目的:如果 Alice 意识到某个对话被攻陷,那么系统就会触发一种重建安全通信的机制。
这些 app 中存在的以上缺点意味着,如果有人黑掉群组中的某个人,那么他们就能“无限地并被动读取以后的群聊信息。在实践中,这意味着在这些 app 中,如果第三方被加入本来是双方通信的群组中,那么通信的安全性就被降低,而用户对此毫不知情。”
为了保护群聊信息的安全,ART “为多个代理衍生了一个群密钥”,即使一些群成员不在线也是安全的,而且“甚至在被完全攻陷后,代理也能参与到一个安全的群密钥交换中”。
ART 计划通过论文中提到的“非对称前置密钥(Moxie Marlinspike 为 TextSecure 创建的模型)”和一次性非对称设定密钥建立会话。Diffie-Hellman 设定密钥由创建群聊的群主生成且只用于会话创建过程,这样群主就能为离线的其他群成员创建秘密的“叶密钥”。
为加入攻陷后的安全性,Alice 需要找到一种方法替代自己被攻陷的叶密钥,而其他成员需要能够获得新密钥。为了拿到新的叶密钥,Alice“计算出从自己的叶子到树根路径中所有节点中的新公钥,并且在群内同时广播自己的公共叶密钥和找到的这些公钥。”
该协议随后能让其他群成员计算出更新后的群密钥“而且还是不要求任何两名群成员同时在线。”
Facebook 发布的这个开源工具遵守的是创作共用许可证。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.theregister.co.uk/2018/01/10/facebook_opensources_encrypted_group_chat_tools/