fancy-cryptography/fancy-cryptography
GitHub: fancy-cryptography/fancy-cryptography
一份精选的高级密码学实际部署列表,收录主流产品中使用的非常规密码学方案,并标注各方案的后量子安全状态。
Stars: 252 | Forks: 16
# 实际应用中的高级密码学 🎩
精选的*高级*密码学部署列表。
如果密码学使用了超越对称密码、(EC)DH 密钥协商、数字签名、公钥加密(如 RSA-OAEP)或 KEM 的原语,或者以不寻常的方式使用这些原语,特别是依赖于 IND-CCA2 之外的安全属性,则被视为高级密码学。
本列表的次要目标是为密码学家提供一份仍需升级到后量子密码学的方案列表。
## 大规模主流部署
* **Android Nearby Share/Quick Share。**
PAKE 以及各种奇特的技术
阅读:待定。
未完全抗量子 😔。
* **Apple Homekit 设备注册**
aPAKE (SRP / SPAKE2+ (Matter))
阅读:[文档](https://support.apple.com/nl-nl/guide/security/sec3a881ccb1/web)。
未完全抗量子 😔。
* **Apple Keychain 密钥托管**
aPAKE (SRP),门限密码学?(“多数 HSM 达成一致”)。
阅读:[文档](https://support.apple.com/nl-nl/guide/security/sec3e341e75d/web)。
未完全抗量子 😔。
* **Apple Carkey**
aPAKE (SPAKE2+)。
阅读:[文档](https://support.apple.com/nl-nl/guide/security/secf64471c16/web)。
未完全抗量子 😔。
* **Apple Private Relay。**
用于匿名 token 的盲签名。
阅读:[概述](https://www.apple.com/icloud/docs/iCloud_Private_Relay_Overview_Dec2021.pdf)。
未完全抗量子 😔。
* **Apple Private Cloud Compute。**
用于匿名 token 的盲签名。
阅读:[博客](https://security.apple.com/blog/private-cloud-compute/)。
未完全抗量子 😔。
* **Apple/Google Exposure Notifications。**
定制协议。
阅读:[概述 (archive.org)](https://web.archive.org/web/20240709100147/https://www.google.com/covid19/exposurenotifications/)。
完全抗量子 😊(部分签名除外,这些签名可以轻松更改为 ML-DSA)。
* **Apple Live Caller ID 查找。**
使用 FHE 的 PIR。
阅读:[博客](https://www.swift.org/blog/announcing-swift-homomorphic-encryption/)
完全抗量子 😊(用于限流的匿名 token 除外)
* **Chrome 泄露密码检查。**
隐私集合求交(Private Set Intersection)。
阅读:[博客](https://security.googleblog.com/2019/12/better-password-protections-in-chrome.html)。
未完全抗量子 😔。
* **Cloudflare Geo Key Manager。**
属性/基于身份的加密。
阅读:[博客](https://blog.cloudflare.com/inside-geo-key-manager-v2/)。
未完全抗量子 😔。
* **1Password 用户身份验证。**
aPAKE (SRP)
阅读:[博客](https://blog.1password.com/developers-how-we-use-srp-and-you-can-too/)。
未完全抗量子 😔。
* **Mozilla Firefox 遥测。**
Oblivious HTTP,Prio 隐私保护统计。
阅读:[博客](https://blog.mozilla.org/en/products/firefox/partnership-ohttp-prio/),
[prio 论文](https://www.usenix.org/conference/nsdi17/technical-sessions/presentation/corrigan-gibbs),
[OHTTP 规范](https://datatracker.ietf.org/doc/html/rfc9458),
[分布式聚合协议规范](https://datatracker.ietf.org/doc/draft-ietf-ppm-dap/)。
未完全抗量子 😔(如果使用了 TLS 和 HPKE 的抗量子配置)。
* **Matter 设备注册**
aPAKE (SPAKE2+)
阅读:[文档](https://docs.silabs.com/matter/2.2.0/matter-fundamentals-security/)
未完全抗量子 😔。
* **护照芯片访问控制**
PAKE (PACE)
阅读:[概述](https://www.icao.int/icao-pkd/epassport-basics), [规范](https://www.icao.int/icao-pkd/epassport-validation)。
未完全抗量子 😔。
* **Facebook Messenger 聊天记录共享**
PAKE (CPace)
阅读:[Labyrinth](https://engineering.fb.com/wp-content/uploads/2023/12/TheLabyrinthEncryptedMessageStorageProtocol_12-6-2023.pdf) (p35)
未完全抗量子 😔。
* **Signal 私有群组系统。**
密钥验证匿名凭证。
阅读:[博客](https://signal.org/blog/signal-private-group-system/)。
未完全抗量子 😔。
* **Signal 群组发送背书。**
类似于 Privacy Pass 的匿名背书 token,具有盲化批量签发和同态组合。
阅读:[源代码](https://github.com/signalapp/libsignal/tree/main/rust/zkcredential/src/endorsements.rs)。
未完全抗量子 😔。
* **WhatsApp 加密备份。**
aPAKE (OPAQUE) 用于从 PIN 码中获取备份密钥。
阅读:[演示文稿](https://iacr.org/submit/files/slides/2023/rwc/rwc2023/IT_2/slides.pdf),
[Meta 白皮书](https://www.whatsapp.com/security/WhatsApp_Security_Encrypted_Backups_Whitepaper.pdf),
[学术论文](https://eprint.iacr.org/2023/843),
[审计报告](https://research.nccgroup.com/wp-content/uploads/2021/10/NCC_Group_WhatsApp_E001000M_Report_2021-10-27_v1.2.pdf)。
未完全抗量子 😔。
* **Signal Secure Value Recovery。**
基于 OPRF 的限流密钥派生,用于从用户选择的 PIN 码或密码中恢复账户设置。
阅读:[学术论文](TODO),
[客户端代码](https://github.com/signalapp/libsignal/blob/main/rust/svrb/src/lib.rs) (HNDL secure),
[服务端代码](https://github.com/signalapp/SecureValueRecovery2) (HNDL secure)。
未完全抗量子 😔。
* **league of entropy (drand)。**
使用门限签名和分布式密钥生成的、可公开验证的去中心化随机数。
阅读:[网站](https://docs.drand.love/about/community/), [文档](https://docs.drand.love/about/)
未完全抗量子 😔。
* **Proton 用户身份验证**
aPAKE (SRP)
阅读:[博客](https://proton.me/blog/encrypted-email-authentication)。
未完全抗量子 😔。
* (...)
## Web3 / 区块链
* **Zcash 屏蔽交易。**
zk-SNARKs、同态 Pedersen 承诺、可重随机化的签名密钥、密钥私有的公钥加密(更多详情请参阅下文的 Post-Quantum Zcash 演示)。
阅读:[安全分析(包含抗量子说明)](https://github.com/daira/zcash-security),
[电路声明](https://zips.z.cash/protocol/protocol.pdf#snarkstatements),
[Groth16 (trusted setup)](https://eprint.iacr.org/2016/260),
[Halo2 (trustless)](https://zcash.github.io/halo2/design/protocol.html),
[承诺规范](https://zips.z.cash/protocol/protocol.pdf#concretehomomorphiccommit),
[RedDSA](https://zips.z.cash/protocol/protocol.pdf#concretereddsa)。
未完全抗量子 😔。当对手不知道接收者地址时具有抗量子隐私;但不具备抗量子正确性。
未来提案: * Post-Quantum Zcash 演示:[幻灯片](https://docs.google.com/presentation/d/1BHBiSOEO5zt40KWBbRXVMGIIuAcT2hfPWZQ3pT_8tm8/edit)、[视频](https://www.youtube.com/watch?v=T2B5f297d-Y)
* [“抗量子弹性”提案(草案)](https://hackmd.io/fF6D7THmRDamvyAAsJN5yw?view):“此 ZIP 提议对 Orchard 注释的构造进行更改,旨在支持更平滑地过渡到旨在抵御离散对数破解对手(包括使用量子计算机的对手)的未来版本的 Zcash。” * **Nillion 的去中心化数据库 (nilDB)** 去中心化存储、Shamir 秘密共享、XOR 秘密共享、加法秘密共享、Paillier。 阅读:[博客](https://docs.nillion.com/learn/blind-modules#nildb)、[文档](https://docs.nillion.com/build/private-storage/overview)、[代码](https://github.com/NillionNetwork/nildb) 完全抗量子 😊,但 Paillier 模式除外。 * **Taproot (BIP 342)** Bitcoin 中的公钥,可以像承诺一样被打开。承诺是抗量子的,但公钥不是。 阅读:[学术论文](https://eprint.iacr.org/2025/1307) 未完全抗量子 😔。承诺是抗量子的,但公钥不是。 * (...) ## 概念验证 / 发展中 / 小众 * **Bitcoin PIPEs v2** 见证加密,以实现 Covenants 和来自签名的 ZKP 阅读:[论文](https://eprint.iacr.org/2026/186) 抗量子?待定 ⏳。 * **Facebook 安全更新传播。** 同态哈希(又称增量哈希) 阅读:[博客](https://engineering.fb.com/2019/03/01/security/homomorphic-hashing/)、[代码](https://github.com/facebook/folly/blob/main/folly/crypto/LtHash.cpp)。 部分抗量子 🤨,如果使用抗量子签名方案对同态哈希进行签名则可能实现 * **Facebook 广告归因。** 隐私匹配与计算 阅读:[博客 1](https://engineering.fb.com/2020/07/10/open-source/private-matching/)、[博客 2](https://research.facebook.com/blog/2023/1/delegated-multi-key-private-matching-for-compute-improving-match-rates-and-enabling-adoption/)、[代码](https://github.com/facebookresearch/Private-ID)。 未完全抗量子 😔。 * **Google 广告归因。** 隐私连接与计算 阅读:[博客](https://security.googleblog.com/2019/06/helping-organizations-do-more-without-collecting-more-data.html)、[代码](https://github.com/google/private-join-and-compute)。 未完全抗量子 😔。 * **Google 广告归因。** 使用 Paillier 的部分同态加密实现隐私集合求交 阅读:[博客](https://bristolcrypto.blogspot.com/2017/01/rwc-2017-secure-mpc-at-google.html)、[媒体报道](https://www.theverge.com/2018/8/30/17801880/google-mastercard-data-online-ads-offline-purchase-history-privacy)、[专利](https://research.google/pubs/private-intersection-sum-protocols-with-applications-to-attributing-aggregate-ad-conversions/)。 未完全抗量子 😔。Paillier 不具备后量子安全性。 * **IACR 投票** Mixnets 阅读:[Helios](https://www.usenix.org/legacy/events/sec08/tech/full_papers/adida/adida.pdf)。 抗量子?待定 ⏳。 * **Proton E2EE 邮件转发** OpenPGP 中用于 ECDH (X25519) 的代理重加密 阅读:[博客](https://proton.me/blog/email-forwarding)、[论文](https://arxiv.org/abs/2211.06992)、[规范 rfc 草案](https://datatracker.ietf.org/doc/draft-wussler-openpgp-forwarding/)。 未完全抗量子 😔。 * (...) ## 另请参阅 * [MPC 部署](https://mpc.cs.berkeley.edu/) * [IETF PQUIP 工作组的“协议与 PQC 现状”](https://github.com/ietf-wg-pquip/state-of-protocols-and-pqc) * [英国国家网络安全中心“高级密码学”白皮书](https://www.ncsc.gov.uk/whitepaper/advanced-cryptography)
未完全抗量子 😔。当对手不知道接收者地址时具有抗量子隐私;但不具备抗量子正确性。
未来提案: * Post-Quantum Zcash 演示:[幻灯片](https://docs.google.com/presentation/d/1BHBiSOEO5zt40KWBbRXVMGIIuAcT2hfPWZQ3pT_8tm8/edit)、[视频](https://www.youtube.com/watch?v=T2B5f297d-Y)
* [“抗量子弹性”提案(草案)](https://hackmd.io/fF6D7THmRDamvyAAsJN5yw?view):“此 ZIP 提议对 Orchard 注释的构造进行更改,旨在支持更平滑地过渡到旨在抵御离散对数破解对手(包括使用量子计算机的对手)的未来版本的 Zcash。” * **Nillion 的去中心化数据库 (nilDB)** 去中心化存储、Shamir 秘密共享、XOR 秘密共享、加法秘密共享、Paillier。 阅读:[博客](https://docs.nillion.com/learn/blind-modules#nildb)、[文档](https://docs.nillion.com/build/private-storage/overview)、[代码](https://github.com/NillionNetwork/nildb) 完全抗量子 😊,但 Paillier 模式除外。 * **Taproot (BIP 342)** Bitcoin 中的公钥,可以像承诺一样被打开。承诺是抗量子的,但公钥不是。 阅读:[学术论文](https://eprint.iacr.org/2025/1307) 未完全抗量子 😔。承诺是抗量子的,但公钥不是。 * (...) ## 概念验证 / 发展中 / 小众 * **Bitcoin PIPEs v2** 见证加密,以实现 Covenants 和来自签名的 ZKP 阅读:[论文](https://eprint.iacr.org/2026/186) 抗量子?待定 ⏳。 * **Facebook 安全更新传播。** 同态哈希(又称增量哈希) 阅读:[博客](https://engineering.fb.com/2019/03/01/security/homomorphic-hashing/)、[代码](https://github.com/facebook/folly/blob/main/folly/crypto/LtHash.cpp)。 部分抗量子 🤨,如果使用抗量子签名方案对同态哈希进行签名则可能实现 * **Facebook 广告归因。** 隐私匹配与计算 阅读:[博客 1](https://engineering.fb.com/2020/07/10/open-source/private-matching/)、[博客 2](https://research.facebook.com/blog/2023/1/delegated-multi-key-private-matching-for-compute-improving-match-rates-and-enabling-adoption/)、[代码](https://github.com/facebookresearch/Private-ID)。 未完全抗量子 😔。 * **Google 广告归因。** 隐私连接与计算 阅读:[博客](https://security.googleblog.com/2019/06/helping-organizations-do-more-without-collecting-more-data.html)、[代码](https://github.com/google/private-join-and-compute)。 未完全抗量子 😔。 * **Google 广告归因。** 使用 Paillier 的部分同态加密实现隐私集合求交 阅读:[博客](https://bristolcrypto.blogspot.com/2017/01/rwc-2017-secure-mpc-at-google.html)、[媒体报道](https://www.theverge.com/2018/8/30/17801880/google-mastercard-data-online-ads-offline-purchase-history-privacy)、[专利](https://research.google/pubs/private-intersection-sum-protocols-with-applications-to-attributing-aggregate-ad-conversions/)。 未完全抗量子 😔。Paillier 不具备后量子安全性。 * **IACR 投票** Mixnets 阅读:[Helios](https://www.usenix.org/legacy/events/sec08/tech/full_papers/adida/adida.pdf)。 抗量子?待定 ⏳。 * **Proton E2EE 邮件转发** OpenPGP 中用于 ECDH (X25519) 的代理重加密 阅读:[博客](https://proton.me/blog/email-forwarding)、[论文](https://arxiv.org/abs/2211.06992)、[规范 rfc 草案](https://datatracker.ietf.org/doc/draft-wussler-openpgp-forwarding/)。 未完全抗量子 😔。 * (...) ## 另请参阅 * [MPC 部署](https://mpc.cs.berkeley.edu/) * [IETF PQUIP 工作组的“协议与 PQC 现状”](https://github.com/ietf-wg-pquip/state-of-protocols-and-pqc) * [英国国家网络安全中心“高级密码学”白皮书](https://www.ncsc.gov.uk/whitepaper/advanced-cryptography)
标签:匿名凭证, 同态加密, 后量子密码学, 学习资源, 密码学, 手动系统调用, 机密计算