[论文解读] Post-Compromise Security in Self-Encryption
本研究通过主动扫描、被动监控和安卓应用遥测,调查了互联网范围内 TLS 1.3 的部署与使用情况。研究发现,由于 Cloudflare、Google 和 Facebook 等主要提供商的集中控制,TLS 1.3 的采用率异常高,这些提供商通过其托管服务和客户端生态系统推动了快速部署,尽管在更广泛的域名和区域之间,采用情况仍不均衡。
In self-encryption, a device encrypts some piece of information for itself to decrypt in the future. We are interested in security of self-encryption when the state occasionally leaks. Applications that use self-encryption include cloud storage, when a client encrypts files to be stored, and in 0-RTT session resumptions, when a server encrypts a resumption key to be kept by the client. Previous works focused on forward security and resistance to replay attacks. In our work, we study post-compromise security (PCS). PCS was achieved in ratcheted instant messaging schemes, at the price of having an inflating state size. An open question was whether state inflation was necessary. In our results, we prove that post-compromise security implies a super-linear state size in terms of the number of active ciphertexts which can still be decrypted. We apply our result to self-encryption for cloud storage, 0-RTT session resumption, and secure messaging. We further show how to construct a secure scheme matching our bound on the state size up to a constant factor.
研究动机与目标
- 测量 IETF 标准化后不久,TLS 1.3 在真实互联网环境中的部署与使用情况。
- 调查托管提供商和 CDN 在加速 TLS 1.3 采用中的作用。
- 通过 Lumen 隐私应用收集的数据,分析移动网络和移动浏览器中的 TLS 1.3 使用模式。
- 评估协议层面集中化对安全、性能和隐私的影响。
- 评估移动应用中非标准化 TLS 1.3 变体的广泛程度及其向最终标准的过渡情况。
提出的方法
- 对 2.75 亿个域名(包括 com/net/org、54 个 ccTLD 和 1,100 多个 gTLD)进行大规模主动扫描,以测量 TLS 1.3 支持情况。
- 在两个全球网络节点进行被动监控,以观察实际的 TLS 1.3 握手行为和功能使用情况。
- 收集并分析广泛部署的 Lumen 隐私应用在安卓设备上收集的 TLS 握手数据。
- 将 DNS 和 IP 数据与已知云提供商范围(如 Cloudflare、AWS、Azure)相关联,以识别托管对 TLS 1.3 部署的影响。
- 利用版本协商数据检测移动应用中非标准 TLS 1.3 草案的存在,特别是 Facebook 和 Google 的应用。
- 整合多种数据源,以评估协议采用情况、性能特性及隐私改进。
实验结果
研究问题
- RQ1TLS 1.3 在不同 DNS 区域(包括 ccTLD 和 gTLD)中的部署程度如何?哪些因素导致了这种差异?
- RQ2Cloudflare、Google 和 Facebook 等托管提供商和 CDN 如何影响 TLS 1.3 采用的速度与规模?
- RQ3TLS 1.3 的性能增强功能(如 0-RTT、早期加密)在真实流量中的实际使用情况如何?
- RQ4移动应用,特别是安卓平台上的应用,如何实现并过渡到标准化的 TLS 1.3 协议?
- RQ5在移动应用中,专有或草案版本的 TLS 1.3 仍有多广泛存在?它们对标准化和互操作性产生了何种影响?
主要发现
- TLS 1.3 采用率极高——超过 90% 的 Alexa 域名支持该协议,主要由 Cloudflare 推动,其在主动扫描中占 TLS 1.3 支持域名的 60%。
- Cloudflare 是主导的前端提供商,在早期部署阶段负责了绝大多数 TLS 1.3 握手。
- Facebook 和 Google 是被动监控中 TLS 1.3 使用的主要推动者,其服务器处理了大部分实际连接。
- 安卓平台上的移动应用,特别是 Facebook 和 Google 的应用,是最早试验非标准 TLS 1.3 草案(如 Facebook 的草案 23 和 26)的应用,这些草案后来被最终标准取代。
- 尽管支持广泛,但在许多 ccTLD 中(如 de 和 fr),采用率仍较低,表明部署存在显著的区域差异。
- 主要移动应用从草案版本向最终 TLS 1.3 标准的过渡非常迅速,表明一旦标准发布,这些应用便迅速与之对齐。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。