Trail of Bits 的文章

TA的文章 TA购买的 TA喜欢的 TA收藏的

评估各个 AI 编程助手在 Solidity 语言上的表现

Solidity AI

发布于 2024-11-24 18:25 阅读(1355) 点赞(0) ( 10 )

PyPI 引入了新的安全特性，即 Index-Hosted Digital Attestations，通过 Sigstore 将 Trusted Publishing 和软件包分发联系起来，利用密钥签名将分发包的身份（名称和摘要）与其来源（生成它的 GitHub 仓库或其他来源）进行加密绑定。

PyPI 数字签名 Sigstore Trusted Publishing PEP 740 供应链安全

发布于 2024-11-15 10:46 阅读(97) 点赞(0)

“YOLO”不是一种有效的哈希构造

本文批判了几种常见的密码学误用，即所谓的“YOLO”构造，包括 YoloMultiHash、YoloMAC 和 YoloPBKDF。

密码学哈希函数消息认证码密钥派生函数 YOLO构造安全漏洞

发布于 2024-08-22 15:41 阅读(104) 点赞(0)

我们的密码学专家解答 10 个关键问题

本文是针对密码学领域中一些常见但可能令人困惑的技术的专家问答，涵盖了SNARKs中的 commitment schemes、哈希函数的构造、椭圆曲线密码学(ECC)的攻击方式、后量子密码系统、Fiat-Shamir heuristic、PLONK 证明系统的改进、zkEVMs的设计决策、zkEVMs的性能改进、Shamir 密钥共享方案以及 folding schemes的技术细节。

SNARKs commitment schemes 哈希函数椭圆曲线密码学后量子密码学 Fiat-Shamir heuristic PLONK zkEVM Shamir 密钥共享 Folding schemes

发布于 2024-07-26 15:23 阅读(74) 点赞(0)

量子对于后量子并不重要

文章讨论了后量子密码（PQ）的必要性和优势，即使量子计算机没有实际出现，新的PQ标准也比传统的密码算法更安全、更有弹性且更灵活。当前广泛使用的公钥密码术存在风险，而后量子密码通过基于多种数学难题构建算法、采用现代设计和提供使用案例灵活性来解决这些问题，从而实现密码多样化和现代化。

后量子密码量子计算机密码学 NIST CRYSTALS-KYBER SPHINCS+

发布于 2024-07-02 11:47 阅读(59) 点赞(0)

解除 Fiat-Shamir 陷阱

本文介绍了Fiat-Shamir变换在零知识证明（ZKPs）和多方计算（MPC）中的重要性，并强调了正确实现该变换的挑战。为了帮助开发者避免常见错误，Trail of Bits发布了一个名为Decree的Rust库，该库旨在简化Fiat-Shamir transcript的规范和强制执行，并通过Inscribe trait确保包含上下文信息。

Fiat-Shamir变换零知识证明多方计算 Decree 密码学 transcript

发布于 2024-06-25 17:45 阅读(77) 点赞(0)

2024年真实世界密码学大会的主题

Trail of Bits 的工程师参加了 Real World Crypto 2024 大会，会议重点关注后量子密码学（PQC）的标准化和应用，端到端加密（E2EE）和密钥透明度的发展，以及全同态加密（FHE）的进展。

后量子密码学端到端加密密钥透明度全同态加密格密码零知识证明

发布于 2024-06-19 17:10 阅读(76) 点赞(0)

Ockam 的密码学设计审查

Trail of Bits 对 Ockam 的安全通信协议设计进行了密码学设计审查，Ockam 旨在实现跨异构网络的安全通信。审查肯定了 Ockam 设计的优点，并提出了加强系统安全性的建议，包括改进文档、明确安全保证以及进行形式化验证，使用 Verifpal 和 CryptoVerif 等工具来验证 Ockam Identities 的安全性。

密码学安全协议形式化验证 Noise 协议 Ockam Identities 安全通信

发布于 2024-03-06 11:57 阅读(84) 点赞(0)

使用OSTIF保护开源基础设施

本文介绍了Open Source Technology Improvement Fund (OSTIF) 与 Trail of Bits 合作进行的一系列开源项目的安全审计和威胁建模工作，包括Linux kernel release signing、CloudEvents、curl、KEDA、Eclipse Mosquitto、Eclipse Jetty、Eclipse JKube、Flux 和 Dragonfly。

安全审计威胁建模开源软件漏洞安全评估 fuzzing

发布于 2024-01-10 12:40 阅读(89) 点赞(0)

你是否能通过 Rekt 测试？

Rekt Test 是由 Web3 安全专家创建的，旨在帮助区块链开发者客观评估其安全状况和衡量进展的简单测试，该测试通过12个问题，涵盖了角色权限文档、外部依赖文档、事件响应计划、攻击方式记录、身份验证、安全负责人、硬件密钥、密钥管理、不变量测试、自动化工具、外部审计与漏洞披露、用户滥用防范等方面。旨在促进区块链社区对安全问题的有意义的讨论。

区块链安全安全测试 Rekt Test 漏洞威胁建模密钥管理

发布于 2023-08-15 15:41 阅读(419) 点赞(0)