Shawn C 写道: Intel CSME（企业安全管理引擎）可以说是当前最复杂的带外平台之一，然而厂商对此并未提供足够的透明度。Mark Ermolov撰写的这篇出色文章深入揭示了其技术细节，这些细节源于多年的研究、调试和逆向工程。对于x86平台的系统安全防护而言，若不将Intel CSME或AMD PSP等原厂带外系统纳入威胁模型的构建，得出的结论必然会存在偏颇。CSME是“通过模糊性实现安全”的极端案例。自2015年以来，CSME本身提供了众多安全特性，但其内部机制却不透明，攻击者和安全研究人员只能依赖逆向工程和调试来进行研究。这种情况对研究人员而言充满挑战与乐趣，但对企业和个人的安全而言，却是教科书式的灾难。CSME的复杂性即使对大多数安全从业人员来说也依然难以捉摸，更不用说非安全领域的从业人员和普通用户。
换个角度来看，如果带外系统能够有开源实现，将极大减少信息不对称的风险。尽管开源本身带来的透明度并不一定直接转化为安全收益，但它无疑为安全研究提供了更为广阔的视野和更高的参与度。

从周五 1500GMT 开始，苹果英国用户打开 iCloud 后会收到一条错误信息，称苹果不再为新用户提供 Advanced Data Protection aka 端对端加密。现有用户的端对端加密功能将在稍后禁用。端对端加密意味着苹果也不知道用户在其云存储服务中储存了什么内容。本月早些时候有报道称英国政府要求苹果创建加密后门，英国内政部对这一报道拒绝证实或否认。关闭端对端加密意味着无需后门英国政府就能搜索 iCloud 中的内容。苹果在一份声明中表示它从未为产品创建后门，以后也永远不会。

日本游戏开发商 Square Enix（SE）以无法修复的 bug 为由从苹果应用商店下架了 iOS 版本的《最终幻想水晶编年史重制版》。SE 表示如果客户在 2024 年 1 月或之后有过游戏内购，则有资格联系苹果客服要求退款。SE 没有从 Android、PS 和 Nintendo Switch 上下架该游戏，因此问题被怀疑与苹果平台内购有关联。SE 声称问题始于今年 1 月 24 日，那么这天发生了什么？有用户指出这天游戏使用的 SHA-1 证书过期了。2020 年发布的《最终幻想水晶编年史》依赖于设备验证游戏内购，在苹果设备上，游戏依靠 App Store 提供的购买凭据解锁内购物品，购买凭据在 2023 年前使用了 SHA-1 证书签名，之后迁移到 SHA-256 证书，在今年 1 月前两种证书都可用，但 1 月 24 日 SHA-1 证书过期了，SE 需要更新游戏以支持 SHA-256 证书。但 SE 选择了不更新游戏，可能认为代价过高。

Let's Encrypt 宣布将于 2025 年 8 月 6 日停止支持 Online Certificate Status Protocol(OCSP)：从 2025 年 1 月 30 日起，包含 OCSP Must Staple 扩展的签发请求将失败，除非此前签发的证书包含 OCSP Must Staple 扩展；从5 月 7 日起，所有包含 OCSP Must Staple 扩展的签发请求都将失败。Let's Encrypt 是出于隐私考虑决定停止支持 OCSP。OCSP 设计作为 Certificate Revocation Lists (CRLs)的轻量级替代，不需要下载完整 CRL 列表就可以检查证书是否有效。但它存在隐私方面的问题，当用户通过 OCSP 检查证书有效性时，运营 OCSP 响应器的 CA 机构会知道用户通过哪个 IP 访问了哪个网站。Let's Encrypt 认为，CA 机构可能会因为法律要求强制收集此类信息，而 CRL 不存在该问题。所有现代浏览器都支持 CRL，因此停止支持 OCSP 不会对终端用户有任何影响。

中国黑客组织 Salt Typhoon 被指入侵了美国的电信基础设施，利用美国执法机构在电信基础设施中设置的后门去监听电话和阅读短信，但他们无法监听加密消息应用。由于目前无法将黑客从其网络中完全清除掉，美国官员建议使用加密消息应用。网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency）官员 Jeff Greene 说，“我们的建议，也是我们内部告诉同事的，并不新鲜：加密是你的朋友，无论是短信还是加密语音通信。即使对手能拦截数据，如果数据经过加密，也会让监听变得不可能。”黑客通过电信基础设施主要针对三类信息：华盛顿特区周边的通话记录或元数据；对特定目标的实时电话监听；以及执法和情报机构使用 CALEA（Communications Assistance for Law Enforcement Act）系统（aka 后门）对通信的跟踪。

加拿大多伦多大学公民实验室分析了腾讯微信的加密协议。微信早期使用了被称为“业务层加密”的自制协议，后来在业务层加密之上又加入了一层 MMTLS 加密，今天的微信同时使用了业务层加密和 MMTLS。MMTLS 是基于 TLS 1.3，微信开发者修改了 TLS 1.3 的密码学机制，在部分修改当中引入了弱点。研究人员指出，中国的应用广泛地使用自制加密法。一般状况下，选择不使用业界标竿的 TLS，并且发展自制非标准加密法，与业界公认安全的最佳做法背道而驰。MMTLS 的情况与之类似，研究人员对此表达担忧。

上海大学的研究人员在《计算机学报》上发表论文《基于 D-Wave Advantage 的量子退火公钥密码攻击算法研究》，称加拿大 D-Wave 公司的量子退火机器能被用于攻击公钥加密。研究人员调查了两类基于量子退火的 RSA 公钥密码攻击算法，一是将密码攻击数学方法转为组合优化问题或指数级空间搜索问题，二是基于量子退火算法融合密码攻击数学方法优化密码部件的攻击。结果显示，量子退火大幅度超过其它各类量子计算，退火机能分解的数字比通用机大几十个量级。与一些量子算法比，量子退火有相当高的稳定性。研究人员首次在 D-Wave Advantage 上实现了 50 比特 RSA 整数分解.

微软更新了核心加密库 SymCrypt，加入了设计抵御量子计算机攻击的加密算法。SymCrypt 是用于处理 Windows 和 Linux 加密功能的核心加密库，支持对称和非对称加密算法。微软加入了两种后量子加密算法，其中之一是 ML-KEM，旧称 CRYSTALS-Kyber，是 NIST 上月制定的三种后量子加密标准之一。另一种是 eXtended Merkle Signature Scheme aka XMSS。微软计划未来几个月再添加两种后量子加密算法，其中之一 ML-DSA aka Dilithium；SLH-DSA aka SPHINCS+，这两种算法都成为了 NIST 的后量子加密标准。

2022 年美国国家标准技术局（NIST）宣布了后量子加密和签名算法竞赛的四位获胜者。现在它正式发布了三种后量子加密标准：基于 CRYSTALS-Kyber 的 ML-KEM 用于通用加密，ML-DSA（旧称 CRYSTALS-Dilithium）和 SLH-DSA（旧称 Sphincs+）用于数字签名，第四种 FN-DSA（旧称 FALCON）预计将在今年晚些时候完成，也将用于数字签名。四种后量子加密算法中 ML-KEM、ML-DSA 都是基于格(lattice)的算法，寻找格上的最短向量被认为是计算机领域最困难的问题之一，至今没有经典或量子算法能在多项式时间内解决该问题。NIST 还在评估两种使用不同数学方法的加密算法，万一基于格的算法被发现容易被量子计算机破解，候选算法可作为替代。

Let's Encrypt 宣布，出于隐私考虑它计划尽可能快的停止支持 Online Certificate Status Protocol(OCSP)。OCSP 设计作为 Certificate Revocation Lists (CRLs)的轻量级替代，不需要下载完整 CRL 列表就可以检查证书是否有效。但它存在隐私方面的问题，当用户通过 OCSP 检查证书有效性时，运营 OCSP 响应器的 CA 机构会知道用户通过哪个 IP 访问了哪个网站。Let's Encrypt 认为，CA 机构可能会因为法律要求强制收集此类信息，而 CRL 不存在该问题。所有现代浏览器都支持 CRL，因此停止支持 OCSP 不会对终端用户有任何影响。

硬件黑客 Joe Grand 在 2022 年帮助破解了价值 200 万美元的硬件钱包，现在两年后他又成功破解了价值 300 万美元的比特币软件钱包。Grand 是一名电气工程师，10 岁就开始尝试破解计算机硬件，2008 年共同主持了探索频道的 Prototype This 秀，2022 年他利用了复杂的硬件技术破解了储存有 Theta 代币的 Trezor One 硬件钱包。之后有很多人联络他去破解钱包，但他都拒绝了。其中之一是不愿意透露姓名的 Michael，11 年前他将 43.6 BTC 储存在密码保护的数字钱包中，使用 RoboForm 密码管理器生成密码，但密码没有用密码管理器管理，而是储存在 TrueCrypt 加密的文件中，但该文件后来损坏了，他也就无法再访问今天价值 300 万美元的比特币。Grand 第一次接到邀请时拒绝了 Michael 的请求。去年 6 月 Michael 再次提出请求，这一次 Grand 同意了，他与德国朋友 Bruno 共同尝试破解钱包。他们对 Michael 在 2013 年使用的 RoboForm 程序进行逆向工程，发现用于生成密码的伪随机数生成器存在重大缺陷，使得生成的随机数不那么随机。RoboForm 程序将随机数与用户计算机上的日期和时间捆绑在一起，确定了日期和时间就能预测生成的密码。但问题是 Michael 不记得他什么时候生成的密码。根据其软件钱包日志，他是在 2013 年 4 月 14 日首次将比特币转入钱包，但密码是在这个日期之前还是之后生成他不记得。Grand 和 Bruno 让 RoboForm 在 2013 年 3 月 1 日-4 月 20 日间生成 20 个字符密码，但都不正确。他们最后还是找到了正确密码——密码是在 2013 年 5 月 15 日 GMT 时间 下午 4:10:40 生成的，没有使用特殊字符。

清华大学助理教授、上海期智研究院的陈一镭更新了他的预印本论文《Quantum Algorithms for Lattice Problems》，承认论文描述的量子算法存在一个他无法修正的 bug，因此特殊格问题的多项式时间量子算法并不成立。该 bug 是由 Hongxun Wu 和 Thomas Vidick 独立发现的。这意味着目前基于格的后量子加密算法是安全的。

美国国家标准技术局（NIST）在 2022 年宣布了后量子加密和签名算法竞赛的首批获胜者，一共四种，其中三种是基于格的算法，还有一种是基于哈希的算法，其中基于格的算法包括了 Kyber 和 CRYSTALS-Dilithium。后量子加密流行基于格的算法是因为寻找格上的最短向量被认为是计算机领域最困难的问题之一，至今没有经典或量子算法能在多项式时间内解决该问题。清华大学助理教授、上海期智研究院的陈一镭于 4 月 10 日发表的一篇尚未通过同行评议的预印本《Quantum Algorithms for Lattice Problems》在加密学社区引发了热议，论文提出了一种多项式时间量子算法，能有效解决有特定参数的格的“最短独立向量问题”。如果成立，将降低量子计算机破解特殊格问题的难度。陈的算法并不立刻适用于 Kyber 和 Dilithium 等 NIST 标准化的格算法，其确切复杂性也不清楚，可能未必能在量子计算机上运行。但如果得以改进，那么后量子加密可能将要淘汰基于格的方案，需要重新研究新的算法去抵御量子计算机。

PuTTY 客户端的一个高危漏洞 CVE-2024-31497 允许攻击者在获得约 60 个有效签名和公钥之后推断出私钥然后伪造签名。漏洞影响版本 v0.68-0.80，已在 v0.81 中修复。漏洞只影响密钥类型 521 位 ECDSA。问题与 ECDSA 随机数有关，前 9 个随机数被发现都是零，因此攻击者在获取约 60 个相同密钥下生成的有效 ECDSA 签名后可以恢复密钥。

欧洲人权法院 (ECHR) 裁定，削弱端到端加密会带来破坏人权的巨大风险。这一裁决可能会影响到欧盟拟议中的弱加密或后门计划，该计划要求电邮和消息服务提供商创建加密后门，允许执法部门容易解密用户的加密消息。欧洲人权法院称，通信保密是尊重私人生活和通信的权利的一大基本元素，而创建后门削弱加密会在技术上对个人电子通信执行例行的、普遍的和不加区别的监视成为可能。后门也能被犯罪网络利用，危及到所有用户电子通信的安全。

英国通讯总部（GCHQ）公布了在二战期间用于破译纳粹密码的计算机 Colossus 的新照片，以庆祝它诞生 80 周年。Colossus 不是一台计算机，而是英国科学家在 1943-1945 年之间开发的一系列计算机，其设计师是 Tommy Flowers。它在破译德国最高级将领的通信上发挥了重要作用。它的存在直到 60 年后的 2000 年代初才解密。英国政府在战后销毁了大部分 Colossus 机器，让 Flowers 交出所有文件。GCHQ 称 Colossus 非常有效，其功能直到 1960 年初仍在使用。Colossus 机器高度超过 2 米，被认为是历史上第一台计算机。诞生于 1945 年的 ENIAC 被认为是第一台通用计算机。Colossus 是专门用于破译密码的计算机。

Meta 周四宣布开始在 Facebook Messenger 和 Instagram 应用中启用端对端加密。端对端加密是基于 Signal 协议和 Meta 自己的 Labyrinth 协议。Facebook Messenger 从 2016 年起就支持可选de 消息加密，原计划 2022 年默认启用，但因为担心无法监测平台上的儿童滥用行为而推迟。让 Messenger 的逾 10 亿用户全部启用端对端加密将需要数个月时间。执法部门和儿童保护组织反对平台启用端对端加密，认为会被滥用。

Signal 协议是事实上的端对端加密协议标准，被 WhatsApp、Google Messages 等流行消息应用采用。现在 Signal 基金会披露了 Signal 消息应用以及相关开发的运营成本。Signal 基金会是非盈利组织，它的资金主要来自于捐款，它不会永久储存用户数据，但临时储存也是要花一大笔钱的，用户注册使用的第三方短信验证等服务也是要花钱。Signal 称每年的运营费用逾千万美元，预计到 2025 年运营费用将达到 5000 万美元。截至 11 月的 2023 年基础设施费用为 1400 万美元，其中储存 130 万美元，服务器 290 万美元，注册费 600 万美元，带宽 280 万美元，其它服务 70 万美元。

比特翻转（Bitflips）是指储存在电子设备上的个别比特发生翻转的事件，比如从 0 变为 1 或反之亦然。导致比特翻转的自然因素主要包括宇宙射线、功率波动和温度等。自然导致的比特翻转发生概率极低，可能几百万次才会出现一次。但研究人员报告，如果在 SSH 加密连接建立期间发生了此类错误，连接使用的私钥会被暴露。最新的攻击只影响使用 RSA 算法的密钥。研究人员检查了过去七年扫描互联网收集的约 32 亿 SSH 签名，其中大约 10 亿个签名使用了 RSA 算法。在这 10 亿个 RSA 签名中，有百万分之一的主机私钥会被暴露。虽然几率非常低，但仍然值得注意。

伊利诺大学芝加哥分校的 Daniel Bernstein 警告 NSA 可能在削弱后量子加密算法（PQC）。他称美国国家标准技术研究院 (NIST) 有意掩盖了 NSA 在开发 PQC 新加密标准上的参与度。NIST 否认了这一指控。Bernstein 声称，NSA 正在积极的在新加密标准中加入秘密弱点，知道弱点的人将能更容易破解 PQC 密码。Bernstein 指出，PQC 候选算法之一的 Kyber512 存在问题，NIST 在评估时有误，使其看起来比实际的更安全。NIST 的 Dustin Moody 回应称，他们尊重他的意见但不同意他的说法。Moody 称在 Snowden 事件之后 NIST 加强了指导方针，确保透明度和安全性，重建信任。