网络安全学术顶会——CCS '22 议题清单、摘要与总结(下)

注意:本文由GPT4与Claude联合生成。

d5a66d858f1dda5c53106e6704478562.png

161、Secure Auctions in the Presence of Rational Adversaries

密封竞标拍卖用于在一组感兴趣的参与者之间分配资源。传统上,拍卖需要一个受信任的拍卖师在场,竞标者向其提供他们的私人出价。然而,实际上很难实现这样一个受信任的第三方。通用的安全计算协议可以用来去除受信任的第三方。然而,通用技术会导致效率低下的协议,通常不能提供公平性——即,一个腐败的当事方可以了解到输出结果,并中止协议,从而阻止其他当事方了解输出结果。在 CRYPTO 2009 上,Miltersen、Nielsen 和 Triandopoulos(~\citeC:MilNieTri09) 提出了构建针对理性竞标者的安全拍卖的问题。这样的参与者被建模为更关心提高自身效用,而不是了解其他代理商出价信息的自私代理商。为了实现这一目标,他们提出了一种新颖的信息效用概念,并引入了一个博弈论框架,帮助在分析协议时同时考虑信息效用和货币效用。不幸的是,他们的构造使用了一个通用的多方计算协议,因此,作者没有分析他们的协议的具体效率。在这项工作中,我们构建了第一个具体高效且可证明安全的理性设置下的第一价格拍卖协议。我们的协议保证了隐私、公开可验证性和公平性。受到~\citeC:MilNieTri09的启发,我们提出了一种我们称之为“隐私增强计算弱占优策略均衡”的解决方案概念,该概念涵盖了当事方在博弈论背景下的隐私和货币关注,并证明了我们的协议实现了这一点。我们相信这个概念具有独立的兴趣。我们的协议专门为拍卖的使用场景设计,简单易用,采用现成的加密组件。在具有30个竞标者、出价长度为10的商品硬件上执行我们的拍卖协议,我们的协议能在0.429秒内完成,并且总通信量为82KB。

论文链接:https://doi.org/10.1145/3548606.3560706

2f548fb8f11cd5f4cd9cdeeb1d215def.png

162、Secure Parallel Computation on Privately Partitioned Data and Applications

并行计算是多方计算的一个重要方面,不仅在于提高效率,还在于为基于私有数据的条件分支计算提供隐私保护。如果将输入数据的分区公开地划分为几个集合,那么在多个输入数据集合上并行应用多方计算是简单的,但是当这种分区是私有的时候,问题就变得更加具有挑战性。这种设置与一大类安全计算相关,特别是在底层数据(图或数据库)是私有的安全图和数据库分析中。在本文中,我们考虑了一类可通过二元关联操作的迭代评估来表示的函数,并提出了在私有分区输入数据上并行评估这些函数的高效协议。我们的协议在所需的基本二元操作评估次数方面是最优的(即总输入大小N的N-1次评估),同时实现了一个仅与输入数据总大小成对数关系的轮次复杂度(即O(log N))。

  将我们的协议应用于特定函数,与之前工作中的专用协议相比,取得了具体的改进。例如,我们改进了之前已知的最佳协议,用于简单功能,如(分组)求和和(分组)最大值,以及Nayak等人的安全图分析协议(S&P'15),这些协议都需要O(N log N)次评估,以实现O(log N)的轮次复杂度。虽然我们的协议在渐近性能上与Anagreh等人的最短路径算法(Cryptography'21)相同,但我们实现了更好的具体性能。最后,通过Bellman-Ford算法考虑加权图上的最短路径计算,我们将通信复杂度相对于Araki等人在数千个节点和边的大规模图上的最近结果(CCS'21)减少了2.4~5.4倍。此外,我们实现了以前未考虑过的功能的高效协议,如ArgMax、first/last投影和列表连接。

论文链接:https://doi.org/10.1145/3548606.3560695

820a17047dfd030e07feaa39c27174d3.png

163、Securing Reset Operations in NISQ Quantum Computers

安全重置操作可以作为一种支持技术,允许不同用户或同一用户的不同量子程序共享量子计算机。如今,擦除量子比特状态的主要方法是全系统擦除,它可以同时重置所有量子比特。例如,在当今的 IBM 超导量子比特机器中,全系统擦除需要长达 1000 μs 的时间,并且会彻底擦除系统中的所有信息。然而,全系统擦除无法实现只清除少数量子比特并将其分配给新用户或程序;必须同时擦除所有内容。安全重置操作可以允许只重置一部分量子比特,并可以建立在现有(不安全)的 IBM 超导量子比特机器提供的重置操作基础上。目前已有(不安全)的重置操作,可用于将量子比特状态在 10 μs 到 1 μs 的时间内重置。因此,重置操作比全系统擦除快得多。但是,正如本文所示,通过(不安全的)重置操作可能会泄露一些信息,因为它并未在相继使用相同量子比特的两个用户或程序之间完美重置量子比特状态。此外,还观察到类似串扰的效应,其中一个量子比特的重置行为可以从相邻的量子比特中推断出来。本文分析了现有(不安全)的重置操作,以了解如何在其基础上构建安全重置操作。然后,本文描述了所提议的安全重置操作的设计、实现和评估,该操作可以在不泄露信息的情况下重置量子比特,并保持相对于全系统擦除提速 300 倍的优势。

论文链接:https://doi.org/10.1145/3548606.3559380

e4338a6d0f89a3cc1234a5f9272b54df.png

164、Selective MPC: Distributed Computation of Differentially Private Key-Value Statistics

键值数据是一种自然产生的数据类型,在本地信任模型中尚未得到充分研究。现有的用于计算键值数据统计信息的本地差分隐私(LDP)解决方案受到每个用户添加各自噪声的固有准确性限制。多方计算(MPC)的准确性优于 LDP,同样也不需要可信的中心方。然而,将 MPC 直接应用于键值数据会导致难以承受的计算成本。在本文中,我们提出了一种选择性多方计算方法,这是一种利用 DP 泄漏来有效且准确地计算键值数据统计信息的分布式计算方法。通过为每个参与方提供数据随机子集的视图,我们可以捕获减性噪声。我们证明了我们的协议满足纯 DP,并在组合 DP/MPC 模型中可以被证明是安全的。我们的实证评估表明,我们可以在 20 秒内计算 10,000 个键的统计信息,并且可以扩展到 30 个服务器,同时在一秒钟内获得单个键的结果。

论文链接:https://doi.org/10.1145/3548606.3560559

621edb033fdc6ba7d5cad8be826a07f1.png

165、Server-Aided Continuous Group Key Agreement

连续群组密钥协议(CGKA)-- 或群组扳机机制 -- 是新一代可扩展端到端安全(E2E)密码多方应用的核心。最重要(且首次部署)的 CGKAs 之一是 ITK,它是 IETF 即将推出的端到端安全群组消息传递标准的基石。为了扩展到早期 E2E 协议可支持的群组规模以外,CGKA 协议设计的核心目标是最小化带宽需求(即通信复杂性)。在这项工作中,我们推进了 CGKA 的理论和设计,达到了极高的带宽效率。为此,我们首先通过引入服务器辅助 CGKA(saCGKA)来推广标准的 CGKA 通信模型,该模型推广了 CGKA,并更准确地描述了现实中大多数 E2E 协议的部署方式。接下来,我们介绍了 SAIK 协议;这是 ITK 的一个修改版,专为实际应用设计,利用 saCGKA 提供的新功能大幅降低其通信(和计算)复杂性。此外,我们还为 saCGKA 引入了一种直观而精确的安全模型。它在多个方面改进了现有的 CGKA 安全模型。它更直接地捕捉了 CGKA 的直观安全目标。然而,从形式上看,它也放宽了某些要求,使我们能够充分利用 saCGKA 通信模型。最后,它的简化程度更高,使得与之合作更易于管理,也更容易建立直观认识。因此,SAIK 的安全性证明也更简单且模块化。最后,我们提供了用于比较 SAIK 与最先进 CGKAs 的(有时戏剧性地改进的)复杂性概况的实证数据。例如,在一个拥有 10000 名成员的新建群组中,要更改群组状态(例如添加/删除参与方),ITK 需要每个群组成员下载 1.38MB。然而,使用 SAIK,成员最多只需下载 2.7KB。

论文链接:https://doi.org/10.1145/3548606.3560632

4ace1ebc9cab7f74e70eb43b24723bf9.png

166、Sharp: Short Relaxed Range Proofs

我们提供了基于平方分解的离散对数和隐藏阶数群中的优化范围证明,称为Sharp。在前者的设置中,我们基于Couteau等人(Eurocrypt '21)的范例,并以多种方式优化他们的范围证明(从现在开始,简称CKLR):(1)我们通过向量承诺和适应的∑;-协议引入批处理。 (2)我们引入了一种新的群切换策略以减少通信量。 (3)由于需要重复实例化CKLR在标准群中,我们提供了一种新颖的批量短语测试,可以实现更便宜的重复。我们测试的分析非常繁琐,是我们工作的核心技术贡献。例如,对于λ = 128比特安全性和B = 64比特范围的N = 1(分别为N = 8)证明,我们将任意群的证明大小减少了34%(分别为75%),并将256位阶数的群证明大小减少了66%(分别为88%),与CKLR相比。由于Sharp和CKLR证明满足一种“放宽”的安全性概念,我们展示了如何使用一个额外的隐藏阶数群元素来增强它们的安全性。在RSA群中,这将现有技术范围证明(Couteau等人,Eurocrypt '17)的大小减少了77%(λ = 128、B = 64、N = 1)。最后,我们实现了我们最优化的范围证明。与现有技术的Bulletproofs(Bünz等人,S&P 2018)相比,我们的基准测试显示了非常显著的运行时间改进。最后,我们简要描述了我们新范围证明的一些应用。

论文链接:https://doi.org/10.1145/3548606.3560628

4d1141cc105cdd7f9444effae47b855c.png

167、Shifted Inverse: A General Mechanism for Monotonic Functions under User Differential Privacy

尽管大部分关于差分隐私的研究都集中在保护元组的隐私上,但人们已经意识到这种简单模型无法捕捉许多现实世界应用中复杂的用户-元组关系。因此,用户差分隐私(user-DP)最近受到了更多关注,其中包括作为特殊情况的图数据的节点差分隐私(node-DP)。现有的大部分关于用户差分隐私的研究仅针对求和估计问题进行了研究。在这项工作中,我们设计了一个通用的差分隐私机制,用于在用户差分隐私下具有强优化保证的任何单调函数。虽然我们的通用机制可能在超多项式时间内运行,但我们展示了如何在一些常见单调函数上实例化一个多项式时间的近似版本,包括求和、k-选择、最大频率和不同计数。最后,我们对所有这些函数进行了实验,结果表明,我们的框架在许多情况下更加通用,且获得了更好的结果。

论文链接:https://doi.org/10.1145/3548606.3560567

9ad1971f2196ecb0dcb2b7e602c4cb1e.png

168、Sigstore: Software Signing for Everybody

软件供应链威胁日益增加。从XCodeGhost到SolarWinds的影响,黑客们已经认识到,通过攻击供应链中的薄弱环节,可以侵入诸如美国政府机构和谷歌、微软等企业目标的高价值目标。尽管软件签名是应对这些攻击的有力手段,但在开源和企业生态系统中,其采用仍然有限。在本文中,我们提出了Sigstore,一个提供广泛软件签名功能的系统。为此,我们设计了这个系统,使其提供基线的构件签名能力,尽量降低开发者的采用障碍。为实现这一目标,Sigstore采用了三种不同的机制:首先,它使用类似于ACME的协议通过OIDC对开发者进行身份验证,将签名与现有且广泛使用的身份绑定。其次,它允许开发者使用临时密钥对其构件进行签名,减少密钥管理的不便和风险。最后,Sigstore通过构件和身份日志实现用户身份验证,为软件签名带来透明度。Sigstore正迅速成为互联网基础设施的关键部分,已有超过220万个关键软件(如Kubernetes和Distroless)的签名。

论文链接:https://doi.org/10.1145/3548606.3560596

196a9f3f91cf4677fdd997775b7ebd8c.png

169、Sleepy Channels: Bi-directional Payment Channels without Watchtowers

支付通道(PC)是解决加密货币可扩展性问题的一种有前景的解决方案,允许用户在链下执行大部分交易,而无需将所有内容发布到区块链上。然而,许多支付通道提议存在一个严重的限制:双方都需要不断监控区块链,以确保对方没有发布过时的交易。如果发生这种情况,诚实的一方需要迅速做出反应并参与惩罚程序。这意味着恶意用户可能会利用较长时间的缺席期(例如,停电)。作为缓解措施,社区引入了守望塔,这是一种代表离线用户监控区块链的第三方。不幸的是,守望塔要么是可信的,从安全角度来看这是关键的,要么它们必须为每个监控的支付通道锁定一定数量的硬币,称为抵押,以便追究责任,对于大型网络来说,这在财务上是不可行的。我们提出了Sleepy Channels,这是第一个不需要守望塔(或任何其他第三方)的双向支付通道协议,支持无限数量的支付,且不需要参与方持续在线。关键思想是将支付通道更新可以在链上验证的时间限制在一个短的、预定的时间窗口内,这是支付通道参与方必须在线的时候。通过让参与方在支付通道中锁定抵押品来激励这种行为,这些抵押品可以根据他们之间的相互信任进行调整,如果他们在此时间窗口内在线,他们可以更早地拿回抵押品。我们的协议与任何能够验证数字签名的区块链(例如比特币)兼容,如我们的概念证明所示。此外,我们的实验结果表明,Sleepy Channels的通信和计算开销与最先进的支付通道协议相似,同时消除了守望塔的抵押和监测服务费用。

论文链接:https://doi.org/10.1145/3548606.3559370

0cfe027bda89a013d05de7517087de9f.png

170、SortingHat: Efficient Private Decision Tree Evaluation via Homomorphic Encryption and Transciphering

机器学习作为一种服务场景通常要求客户端信任服务器并以明文形式提供敏感数据。然而,随着全同态加密(FHE)方案的近期改进,许多此类应用可以以保护隐私的方式设计。在这项工作中,我们关注这样一个问题,即私有决策树评估(PDTE)——服务器拥有一个决策树分类模型,客户端希望使用该模型对其私有数据进行分类,而不向服务器泄露数据或分类结果。我们基于 FHE 技术提出了一种高效的非交互式 PDTE 设计,称为 SortingHat。作为我们设计的一部分,我们解决了与 FHE 相关的多个密码学问题:(1)我们提出了一种快速的同态比较函数,其中一个输入可以是明文格式;(2)我们在 FHE 设置中设计了一种高效的二进制决策树评估技术,称为同态遍历,并将其与我们的同态比较应用于评估私有决策树分类器,获得比现有技术快几个数量级的运行时间;(3)我们通过将同态比较应用于 FiLIP 流密码,提高了转密的通信成本和时间复杂度。通过原型实现,我们证明了我们改进的转密解决方案比以前的工作快约 400 倍。最后,我们在 PDTE 设计方面提供了一个选择:我们提出了一个不需要转密的 SortingHat 版本,与之前的工作相比,在计算成本方面实现了显著改进;另一个版本 t-SortingHat 使用转密,通信成本小约 2 万倍,但运行时间相当。

论文链接:https://doi.org/10.1145/3548606.3560702

efea9832998ad038c854a76060577a50.png

171、SpecDoctor: Differential Fuzz Testing to Find Transient Execution Vulnerabilities

瞬态执行漏洞对软件系统具有严重的安全影响,因为它们破坏了 CPU 保证的基本安全假设。在 RTL 开发阶段检测这些关键漏洞尤为重要,因为它为在进入芯片制造阶段之前修复漏洞提供了机会。本文提出了一种自动化 RTL 模糊测试工具 SpecDoctor,用于发现 CPU 中的瞬态执行漏洞。具体来说,SpecDoctor 设计了一个模糊测试模板,使其能够使用单个模板测试所有不同场景的瞬态执行漏洞(例如,Meltdown,Spectre,ForeShadow 等)。然后,SpecDoctor 执行多阶段模糊测试,每个阶段专用于解决 RTL 上下文中的单个漏洞约束,从而有效地找到漏洞。我们在两个乱序 RISC-V CPU(Boom 和 NutShell-Argo)上实现并评估了 SpecDoctor。在评估过程中,SpecDoctor 发现了与先前工作共享类似攻击向量的瞬态执行漏洞。此外,SpecDoctor 发现了两个有趣的变种,它们利用了独特的攻击向量:Boombard 和 Birgus。Boombard 利用 RISC-V Boom 中的一个未知实现错误,将其恶化为关键瞬态执行漏洞。Birgus 通过 NutShell CPU 中的端口争用侧信道发起一种 Spectre 类型的攻击,该侧信道是使用指令的独特组合构建的。我们报告了这些漏洞,并得到了开发者的确认,这表明了 SpecDoctor 的强烈实际影响。

论文链接:https://doi.org/10.1145/3548606.3560578

35e7fa2c0ccac7f6c19c9934751b0112.png

172、Squirrel: Efficient Synchronized Multi-Signatures from Lattices

本研究的重点是同步环境中的多签名方案。多签名方案允许对同一消息的多个独立签名者的签名进行压缩,形成一个简短的聚合签名,从而可以同时验证所有签名。在同步设置中,签名算法将当前时间步作为附加输入。假设没有签名者在每个时间步中签名多个消息,我们的目标是聚合相同消息和相同时间步的签名。这种设置在区块链的背景下尤为有用,因为验证者通过他们签名的区块自然实现了同步。我们提出了Squirrel,一种具体高效的基于格的多签名方案,适用于同步环境,可在有限的 2τ 时间步内工作,并允许在每个步骤中聚合多达 ρ 个签名。其中τ和ρ都是影响我们方案效率的公共参数。Squirrel允许对独立签名进行非交互式聚合,并在随机预言模型中证明了其在恶意密钥攻击下的安全性,前提是在多项式环中的短整数解问题具有困难性。我们对所有参数进行了仔细分析,并表明Squirrel可以具有良好的具体效率。对于τ = 24 和 ρ = 4096,签名者每10秒就可以在5年内不间断地签名新消息。假设签名者有112 MB的缓存,签名需要68ms,验证一个聚合签名需要36ms。公钥的大小是1 KB,单个签名的大小是52 KB,而聚合签名的大小是771 KB。

论文链接:https://doi.org/10.1145/3548606.3560655

f1c444fe597114f26d8f9c0bf75693d6.png

173、StolenEncoder: Stealing Pre-trained Encoders in Self-supervised Learning

预训练编码器是通用特征提取器,可用于许多下游任务。最近在自监督学习方面的进展可以使用大量无标签数据预训练高效的编码器,从而导致了编码器作为服务(EaaS)的兴起。预训练编码器可能被认为是机密的,因为其训练通常需要大量的数据和计算资源,同时其公开发布可能促使AI的滥用,例如用于生成Deepfake。在本文中,我们提出了第一个名为StolenEncoder的攻击,用于窃取预训练的图像编码器。我们评估了StolenEncoder在多个我们自己预训练的目标编码器以及三个实际目标编码器上的效果,包括由谷歌预训练的ImageNet编码器、由OpenAI预训练的CLIP编码器和作为付费EaaS部署的Clarifai的通用嵌入式编码器。我们的结果表明,StolenEncoder窃取的编码器与目标编码器具有相似的功能。特别是,建立在目标编码器和被盗编码器基础上的下游分类器具有相似的准确性。此外,使用StolenEncoder窃取目标编码器所需的数据和计算资源远少于从头开始预训练它。我们还探讨了三种扰动目标编码器产生的特征向量的防御方法。我们的评估表明,这些防御措施不足以减轻StolenEncoder的影响。

论文链接:https://doi.org/10.1145/3548606.3560586

d3efd0c3343c65d0e879f4a3ff70616e.png

174、Strengthening Order Preserving Encryption with Differential Privacy

顺序保持加密(OPE)方案的密文保留了相应明文的顺序。然而,OPE容易受到利用这种保留顺序的推理攻击。差分隐私(DP)已成为数据隐私的事实标准。DP最吸引人的特性之一是,在DP算法的含噪输出上进行的任何后处理计算(如推理攻击)都不会降低其隐私保证。在这项工作中,我们提出了一种新颖的具有差分隐私特性的顺序保持加密方案,OP ε。在OP ε下,密文中顺序泄漏具有差分隐私性。因此,至少在面对推理攻击时,OP ε可以确保一种形式化的保证(一种放宽的DP保证)。据我们所知,这是第一个将DP与OPE相结合的工作。OP ε基于一种新颖的差分隐私顺序保持编码方案,OPεc,它在本地DP设置中可能具有独立的兴趣。我们通过对四个真实世界数据集的实证评估来展示OP ε在回答范围查询中的实用性。例如,在一个大小约为732K,属性域大小约为18K,且ε= 1的数据集上,OP ε平均每10K个正确记录仅错过约4个。

论文链接:https://doi.org/10.1145/3548606.3560610

96845902bb264c7d27f3106fdb4183a7.png

175、StrongBox: A GPU TEE on Arm Endpoints

许多Arm端点利用集成和独立GPU加速计算,例如图像处理和数值处理应用。然而,尽管这些重要的用例,Arm GPU安全尚未受到社区的关注。通过利用内核中的漏洞,攻击者可以直接访问在GPU计算过程中使用的敏感数据,例如计算机视觉任务中的个人身份识别图像数据。现有的工作使用可信执行环境(TEEs)解决基于Intel平台的GPU安全问题,而在部署Arm GPU的TEEs方面存在许多架构差异,导致了新的技术挑战。此外,现有的基于Arm的GPU防御措施主要用于安全机器学习,并且缺乏通用性。需要具有通用性和高效性的基于Arm的GPU安全机制。为解决这些问题,我们提出了StrongBox,这是第一个用于Arm端点上安全通用计算的GPU TEE。在Arm GPU上进行机密计算时,StrongBox通过确保对GPU的独占访问来提供隔离的执行环境。我们的方法部分基于动态的、细粒度的内存保护策略,因为基于Arm的GPU通常与CPU共享统一的内存,与基于Intel的平台形成鲜明对比。此外,通过将GPU缓冲区划分为安全和非安全,StrongBox减少了冗余的安全内省操作以控制对GPU使用的敏感数据的访问,从而最终降低了运行时开销。我们的设计利用了广泛部署的Arm TrustZone和通用Arm功能,无需硬件修改或架构更改。我们使用现有的Arm Mali GPU原型实现StrongBox,并进行了广泛的评估。我们的结果表明,StrongBox成功确保了GPU计算安全性,在几个指示性基准测试中,运行时开销仅为4.70% - 15.26%。

论文链接:https://doi.org/10.1145/3548606.3560627

343c0e9fc7dab79f1592d9feafd8a6de.png

176、Succinct Zero Knowledge for Floating Point Computations

我们研究了构建简洁零知识证明系统以处理浮点计算的问题。处理浮点计算的标准方法需要将其转换为二进制电路,遵循 IEEE-754 浮点标准。这种方法导致具有 w 位精度的计算在证明者效率上产生多项式 (w) 开销,导致非常高的证明者运行时间 -- 这已经是简洁论证设计中的关键瓶颈。我们做出以下贡献:

- 我们提出了一种新的验证浮点计算的模型,该模型可以保证相对于相对误差界限的近似正确性。这个模型受数值分析的启发,对于诸如机器学习和科学计算等应用非常有意义。

- 使用这个模型,我们提出了一种从现有公共硬币“提交和证明”系统构建浮点计算简洁零知识证明的通用方法。对于具有 w 位精度的计算,我们的方法在证明者运行时间上仅产生 log(w) 的开销。我们的编译器几乎保留了底层协议的通信复杂性(最多相差2倍),并且需要次线性验证时间。生成的证明可以在随机预言机模型中变为非交互式。具体而言,我们的方案比遵循 IEEE 标准的方法 [35] 在32位浮点计算中快约57倍。我们主要结果的核心,并具有独立兴趣的,是一种不依赖位分解的标准素数顺序群中的新批量范围证明系统。

论文链接:https://doi.org/10.1145/3548606.3560653

deb4dcd9e03a5a513c5884c5fd3c35a7.png

177、Succinct Zero-Knowledge Batch Proofs for Set Accumulators

加密累加器是证明大型集合 S 信息的常见解决方案。它们允许计算出 S 的简短摘要和某些基本属性的简短证书,特别是一个元素的成员资格。累加器还允许跟踪集合更新:通过插入/删除给定元素获得新的累加器。在这项工作中,我们考虑为一批元素生成成员资格和更新证明的问题,以便我们能够简洁地证明元素的额外属性(即,证明的大小与批处理大小无关),并且我们可以保护隐私。解决这个问题将允许获得具有更好的隐私和可扩展性的区块链系统。

实现这个目标的最先进方法是将累加器(通常是 Merkle 树)与 zkSNARKs 结合起来。然而,这种解决方案对证明者来说代价昂贵,且不适用于大批量元素。特别是,当我们需要零知识(隐私保护协议的标准定义)时,没有可扩展的批量成员证明解决方案。

在这项工作中,我们提出了新的技术,可以在 RSA 累加器中高效地使用 zkSNARKs。我们设计并实现了两个主要方案:1)\harisa,它在零知识中证明批量成员资格;2)\insarisa,它证明批量更新。对于批量成员资格,\harisa 中的证明者比基于 Merkle 树的现有方法快了几个数量级(取决于哈希函数)。对于批量更新,我们与基于 Merkle 树的方法相比节省了类似的成本;我们还改进了 Ozdemir 等人 [USENIX'20] 的最近解决方案。

论文链接:https://doi.org/10.1145/3548606.3560677

7bdd1bf5a98fc7ba585b2b2452237a55.png

178、SymLM: Predicting Function Names in Stripped Binaries via Context-Sensitive Execution-Aware Code Embeddings

预测去符号化二进制文件中的函数名是一项非常有用但具有挑战性的任务,因为它需要用人类语言总结函数的执行行为和语义。最近,机器学习在这个方向上取得了重大进展。然而,现有的方法无法对函数行为进行详尽建模,从而在应对未见过的二进制文件时泛化能力较差。为了推进这一领域的研究,我们提出了一个函数符号名预测和二进制语言建模(SymLM)框架,该框架采用一种新型神经结构,通过共同建模调用上下文和指令的执行行为,借助一种新颖的融合编码器来学习全面的函数语义。我们使用1,431,169个来自27个热门开源项目的二进制函数对SymLM进行了评估,这些二进制函数使用4种优化(O0-O3)针对4种不同的架构(即x64,x86,ARM和MIPS)进行编译,并进行了4种混淆处理。在精度、召回率和F1分数方面,SymLM比现有最先进的函数名预测工具提高了15.4%、59.6%和35.0%,具有明显更好的泛化能力和抗混淆性。消融研究还表明,我们的设计选择(如融合调用上下文和执行行为的组件)大大提高了函数名预测的性能。最后,我们的案例研究进一步展示了SymLM在分析固件映像中的实际应用场景。

论文链接:https://doi.org/10.1145/3548606.3560612

cdfc6bb596d482c8011082a54f121af4.png

179、TChecker: Precise Static Inter-Procedural Analysis for Detecting Taint-Style Vulnerabilities in PHP Applications

PHP 应用程序为 Web 端用户提供了各种交互界面。因此,它们容易受到污点风格漏洞(如 SQL 注入和跨站脚本)的影响。由于其高效性,静态污点分析在应用程序部署前被广泛采用以检测污点风格漏洞。不幸的是,由于 PHP 语言的高复杂性,实现精确的静态污点分析变得困难。现有的污点分析解决方案在综合程序间分析和各种实现问题方面都存在较高的误报率和漏报率。在这项工作中,我们提出了 TChecker,一种基于上下文敏感的程序间静态污点分析工具,用于检测 PHP 应用程序中的污点风格漏洞。我们发现支持对象和类型系统对于静态分析动态语言 PHP 编写的程序至关重要。我们首先在 TChecker 中仔细建模 PHP 对象及其相关的面向对象编程特性。然后,它迭代地对 PHP 对象执行程序间数据流分析以优化对象类型,从而可以精确地识别调用目标。我们还为支持 PHP 的其他动态特性(如动态包含)付出了大量努力。我们在一组多样化的现代 PHP 应用程序上全面评估了 TChecker,并展示了它在漏洞检测方面的高效性。具体来说,TChecker 成功检测到了这些 PHP 应用程序中之前未知的 18 个漏洞。我们将 TChecker 与相关的静态分析工具进行了比较,发现它在检测更多漏洞方面表现明显优于它们。TChecker 还可以在具有相对较好精度的情况下找到现有工具检测到的所有漏洞。我们发布了我们的原型实现的源代码,以促进未来的研究。

论文链接:https://doi.org/10.1145/3548606.3559391

e1afd3b0bfd1f9a5ad8e6518cebbcaba.png

180、TRACER: Signature-based Static Analysis for Detecting Recurring Vulnerabilities

类似的软件漏洞反复出现,因为开发者重复使用已有的易受攻击的代码,或在实现相同逻辑时犯类似的错误。最近,已经提出了各种分析技术,通过代码重用找到语法上反复出现的漏洞。然而,对于在不同代码结构中具有相同脆弱行为的语义上反复出现的漏洞,人们关注较少。在本文中,我们提出了一种通用分析框架,称为 TRACER,用于检测这类反复出现的漏洞。TRACER 基于一种污点分析,可以检测到各种类型的漏洞。对于给定的已知漏洞集合,污点分析提取易受攻击的追踪,并建立它们的签名数据库。当分析一个新的未知程序时,TRACER 将分析报告中的所有可能的易受攻击追踪与已知的漏洞签名进行比较。然后,TRACER 根据相似性得分对潜在漏洞进行排名并报告。我们在 C/C++ 的 273 个 Debian 软件包上评估 TRACER。实验结果表明,TRACER 能够找到 281 个以前未知的漏洞,并分配了 6 个 CVE 标识符。

论文链接:https://doi.org/10.1145/3548606.3560664

0b6b12440eab570f5592dbd67632eabc.png

181、The Closer You Look, The More You Learn: A Grey-box Approach to Protocol State Machine Learning

我们提出了一种新方法,用于从协议实现中推断状态机模型。我们的新工具StateInspector通过使用新颖的程序分析将运行时内存和I/O的观察结果相结合,从而学习协议状态。它不需要访问源代码,只需要对待测实现进行轻量级的执行监控。我们在大量TLS和WPA/2实现中演示并评估了StateInspector的有效性。在此过程中,我们展示了StateInspector相比现有方法能够实现更深入的状态发现、提高学习效率以及获得更多洞察力。我们的方法使我们发现了IWD和WolfSSL中的一些令人担忧的偏离标准和漏洞,这些漏洞都被分配了CVEs。

论文链接:https://doi.org/10.1145/3548606.3559365

1ecdfd613013ff74cbfed089aad27a3e.png

182、The Generals' Scuttlebutt: Byzantine-Resilient Gossip Protocols

点对点通信网络最成功的应用之一是在区块链协议的背景下,在中本聪自己的话来说,依赖于“信息易于传播,难以遏制的特性”。在过去的十年里,人们为分析这些协议的安全性投入了大量努力,而最长链中本聪式共识的安全论证几乎都是基于这个原则的理想化。不幸的是,区块链协议使用的现实世界中的点对点八卦式网络实现依赖于许多临时性的攻击缓解策略,这使得区块链的正式安全论证中所假设的理想化通信层与现实世界之间存在巨大的差距,而在现实世界中,已经展示了各种攻击方式。

在这项工作中,我们通过提出一种适用于区块链协议的拜占庭容错网络层来弥合这一差距。我们首次在区块链安全模型的背景下量化网络层攻击问题,并开发出一种能够抵抗资源受限对手的设计。值得注意的是,我们关注权益证明设置,因为它容易受到拒绝服务(DoS)攻击的影响,这源于众所周知的相对于工作量证明设置的缺陷,即没有什么可押注的问题。

我们提出了一个拜占庭容错的八卦协议,并在通用组合框架中对其进行分析。为了证明安全性,我们展示了关于随机图扩展器属性的新颖结果。重要的是,我们的八卦协议可以基于任何给定的双边功能,该功能确定了网络层中两个“相邻”对等方之间的期望互动,并展示了如何使用应用层信息使网络层能够抵抗攻击。尽管看似循环,我们展示了如何在给定我们的八卦网络功能的情况下证明中本聪式最长链协议的安全性,因此,我们通过构造性地展示了如何在协议层面上获得可证明的安全性,只需基本的点对点网络、诚实股权的多数和可验证的随机函数。

论文链接:https://doi.org/10.1145/3548606.3560638

42c18af725f6259aea9845eb8cfab83d.png

183、The Multi-User Security of Triple Encryption, Revisited: Exact Security, Strengthening, and Application to TDES

我们研究了在多用户环境下的三重加密安全性,以及其在三重DES(TDES)中的应用。尽管TDES的贬值是全球趋势,但考虑到行业迄今为止投资的数十亿TDES硬件,迁移将需要下一个十年。多用户安全性捕捉了具有多个用户的实际系统的现实,对安全性产生重大影响,并已在诸如TLS 1.3之类的实际协议中得到考虑。TDES的最佳多用户下限是43-(3/2) \cdot log_2 u位,其中u是用户数,这在一台标准PC上是易处理的,但安全性低得令人无法接受。我们设计了一个新的证明来改进多用户安全性,并通过给出一个具体的攻击来展示其紧密性。新的边界与TDES参数为79-(1/2) \cdot log_2 u位。我们还提出了TEFX,它通过FX构造加强了三重加密,同时保留了与遗留硬件的兼容性。TDES与TEFX实现了114-(1/2) \cdot log_2 q位的多用户安全性,其中q是TEFX调用次数:对于每个用户具有2^40个用户和2^21个TEFX调用,其安全性达到84.5位,与AES(128-40=88位)相当。

论文链接:https://doi.org/10.1145/3548606.3560674

5356c0c64e33faf11928c8161a81d138.png

184、Themis: An On-Site Voting System with Systematic Cast-as-intended Verification and Partial Accountability

我们提出了一种现场投票系统Themis,旨在在当地政府不完全值得信任时提高安全性。投票者使用投票表和智能卡进行投票,智能卡产生加密的选票。电子选票将在不影响隐私的情况下进行系统性审计。此外,该系统还包括一种精确的争端解决程序,在大多数情况下可识别不当行为的各方。我们使用ProVerif对Themis进行了完整的形式化分析,并采用了一种新颖的方法来涵盖我们协议中所需的模数运算。为了评估我们的系统的可用性,我们在一个(小)选民群体中组织了一次投票实验。

论文链接:https://doi.org/10.1145/3548606.3560563

408ece5ee3f780c7b71403b91b67ddfe.png

185、Thora: Atomic and Privacy-Preserving Multi-Channel Updates

大多数基于区块链的加密货币都存在严重有限的交易吞吐量问题,这成为了它们广泛应用的障碍。支付通道网络(PCNs)是解决这个问题的有前景的方案之一。PCNs通过在链下处理大量支付,减轻了链上交易的负担,提高了吞吐量。实际上,任何通过支付通道路径(即两个通道端点之间的联合地址)连接的两个用户都可以进行支付,而当用户之间存在争议时,才需要使用底层区块链。不幸的是,PCNs中的支付只能沿着路径安全地进行,这限制了许多有趣应用的设计。此外,最广泛使用的实现——比特币中的闪电网络,存在路径长度线性增长的抵押品锁定时间问题,受到安全问题的影响,并依赖于名为哈希时间锁合约的特定脚本功能,这限制了底层协议在其他区块链中的适用性。在这项工作中,我们提出了Thora,这是第一个与比特币兼容的链下协议,它可以原子性地更新任意通道(即,不一定形成路径)。这使得可以设计许多新的链下应用,例如在使用相同区块链的不同PCNs之间进行支付、安全且无需信任的众筹以及通道平衡。我们的构造只需要数字签名和时间锁这样的特定脚本功能,因此适用于更广泛的区块链。我们在通用可组合性框架内正式定义了安全性和隐私,并证明了我们的加密协议是其实现。在我们的性能评估中,我们表明我们的构造只需要与通道数量无关的恒定抵押品,并且链下通信和计算开销适中。

论文链接:https://doi.org/10.1145/3548606.3560556

142c13734bbbce94c3cb140eba2d850a.png

186、Threshold Cryptography as a Service (in the Multiserver and YOSO Models)

我们考虑在传统多服务器设置和更大规模的区块链环境中部署大量阈值加密服务。我们提出了一套技术,以提高性能并满足具有大量服务器和高阈值操作速率的设置的需求。更根本地说,我们的技术使阈值加密应用能够在更具挑战性的去中心化无许可系统中运行,例如现代区块链。特别地,我们为最近引入的YOSO(You Only Speak Once,你只说一次)模型设计并实现了一种新颖的阈值解决方案。该模型构建在不断变化、不可预测的委员会基础之上,这些委员会以一种能够规避攻击者定向攻击并实现非常大型网络中几乎无限可扩展性的方式执行临时角色。我们的解决方案允许维护系统范围的密钥,可以根据需要生成、使用和主动保护。具体的技术基于针对多密钥多发行者可验证秘密共享的优化协议及其在YOSO模型中的适应。我们通过报告YOSO模型中一个端到端的主动重新共享协议实现来证明我们的解决方案的实用性,并展示了多达500个节点的委员会的基准测试结果。

对于传统多服务器设置,我们在处理者同时处理多个秘密(例如,同时生成或主动保护多个密钥)的设置中获得了显著的加速,例如,我们展示了相对于经典的Pedersen VSS,对于15个服务器和50个秘密,我们的优化可以提高5倍效率;对于500个服务器和1000个秘密,我们的优化可以提高48倍效率。

论文链接:https://doi.org/10.1145/3548606.3559397

74fbde7d381cb386b20318752f21ae6a.png

187、TickTock: Detecting Microphone Status in Laptops Leveraging Electromagnetic Leakage of Clock Signals

我们目睹了远程侵犯笔记本电脑隐私的攻击高度激增。这些攻击经常利用恶意软件远程获取摄像头和麦克风的访问权限,以便监视受害用户。尽管广泛使用的商业摄像头隐私遮盖可以在某种程度上防御摄像头攻击,但不幸的是,尽管最近业界的努力,仍然没有足够的解决方案来阻止对麦克风的攻击。为了应对这种对笔记本电脑麦克风的攻击,我们首次提出了TickTock,一种新颖的麦克风开/关状态检测系统。为了实现这一目标,TickTock对来自连接器和携带麦克风时钟信号的笔记本电路的电缆的电磁(EM)辐射进行外部探测。这是因为麦克风时钟信号仅在麦克风录音状态下输入,从而产生相应的辐射。我们设计并实现了一个概念验证系统,以展示TickTock的可行性。此外,我们在执行各种应用程序的30台热门笔记本电脑上全面评估了TickTock,成功地在27台笔记本电脑上检测到麦克风状态。在这些电脑中,TickTock始终能够以高真阳性率和真阴性率识别麦克风录音。

论文链接:https://doi.org/10.1145/3548606.3560698

6f39cc43845a7d1fd85454e6aa190d83.png

188、Tidy: Symbolic Verification of Timed Cryptographic Protocols

时序密码学是指为满足短时间(多项式)安全目标而设计的密码原语。流行的示例包括定时承诺和可验证延迟函数。这类原语通常用于确保多方协议的公平性(“所有参与方都能获得协议的输出”),而无需依赖任何可信方。尽管近年来时序密码协议的受欢迎程度有所上升,但它们仍不在当前符号验证工具的覆盖范围内,这些工具将密码原语理想化为代数运算,因此不考虑时间的细粒度概念。在本文中,我们开发、实现并评估了一种用于推理构建自时序密码原语的协议的符号方法。首先,我们引入一个应用π演算的时序扩展,这是一种常用的指定密码协议的形式主义。接着,我们为时序超属性开发一种逻辑,捕捉许多感兴趣的属性,如时效性或时限不可区分性。我们通过建模各种密码协议,如分布式随机数生成、密封式拍卖和合同签署,来展示我们方法的实用性。我们还研究了时序安全性质的可判定性。在理论方面,我们将用我们的逻辑表示的超属性的决策简化为约束求解的一种形式,概括了协议分析中的标准概念,并通过复杂性下界展示了与类似成熟逻辑相比问题的更高复杂性。在自动化方面,我们依赖于 Tamarin 工具作为后端,这是一种流行的符号协议分析器,借此实现时序安全性质的机械化证明,并通过我们的方法验证了几个示例。

论文链接:https://doi.org/10.1145/3548606.3559343

f3bd7bfd65fd8a90775b4c4676e026b6.png

189、Towards Automated Safety Vetting of Smart Contracts in Decentralized Applications

我们提出了一种名为 VetSC 的新颖用户界面驱动、程序分析引导的模型检查技术,它可以自动提取 DApps 中的合约语义,以实现有针对性的安全审查。为了便于模型检查,我们从合约代码中提取业务模型图,捕捉其固有的业务和安全逻辑。为了自动确定要检查哪些安全规范,我们从 DApp 用户界面中获取文本语义。为了排除不受信任的 UI 文本,我们还验证 UI-逻辑一致性,并检测出任何差异。我们已经实现了 VetSC,并将其应用于 34 个现实世界的 DApps。实验证明,VetSC 可以准确解释智能合约代码,实现自主安全审查,并发现现实世界 Dapps 中的安全风险。使用我们的工具,我们已经成功地发现了野生环境中的 19 个新安全风险,例如过期的彩票和双重投票。

论文链接:https://doi.org/10.1145/3548606.3559384

5286c727b2fb85336189e7adc632a34b.png

190、Truth Serum: Poisoning Machine Learning Models to Reveal Their Secrets

我们介绍了一种针对机器学习模型的新型攻击类别。我们表明,一个可以对训练数据集进行投毒的对手,可以导致在这个数据集上训练的模型泄露其他方训练数据点的重要私密细节。我们的主动推理攻击将针对机器学习训练数据的完整性和隐私的两个独立研究方向联系在一起。我们的攻击在成员推理、属性推理和数据提取方面都非常有效。例如,我们的定向攻击可以通过投毒训练数据集的<0.1%,将推理攻击的性能提高1到2个数量级。此外,一个控制了大量训练数据(例如,50%)的对手可以发起无目标攻击,使得对所有其他用户的原本私密数据点进行更精确的推理的能力提高8倍。我们的研究结果对于多方计算协议中机器学习的加密隐私保证的相关性提出了质疑,如果各方可以任意选择他们的训练数据份额。

论文链接:https://doi.org/10.1145/3548606.3560554

4fb38b560be590a81dfd819bac652f5c.png

191、TurboPack: Honest Majority MPC with Constant Online Communication

我们提出了一种新颖的方法,用于预处理模型中具有信息理论安全性的诚实多数安全多方计算,实现了最佳在线通信复杂性。我们的协议在线阶段每个乘法门需要总共12个元素(具有电路相关预处理),或者总共20个元素(具有电路无关预处理)。先前的工作在n(参与方数量)中实现了线性在线通信复杂性,现有最佳解决方案每个乘法门涉及 1.5n 个元素。只有一项最近的打包工作[28]实现了常数在线通信复杂性,但常数较大(被动安全性为108个元素,主动安全性为两倍)。尽管如此,我们的协议为任意数量的参与方提供了非常高效的信息理论在线阶段。预处理阶段的总端到端通信成本为n的线性,即10n + 44,大于最先进协议的4n复杂性。当在线阶段必须优先进行优化并且涉及相当大数量的参与方时,差距并不显著。与基于打包秘密共享的先前工作不同,我们通过避免使用复杂且昂贵的网络路由或排列工具进一步减少通信。此外,我们还允许最大诚实多数敌手,而大多数先前的工作要求诚实参与方的集合严格大于多数。我们的协议简单且具有实际效率。为了说明这一点,我们提供了一个完整的实现以及实验结果,显示在线阶段运行时间的改进在某些设置(例如45个参与方,局域网,具有100万门的深度10电路)上达到5倍。

论文链接:https://doi.org/10.1145/3548606.3560633

5da57183aa026db33f34787f653744d3.png

192、Two-Client Inner-Product Functional Encryption with an Application to Money-Laundering Detection

在本文中,我们将内积功能加密(IPFE)扩展到两个客户端的密文。更具体地说,我们的双客户端功能加密方案中有两个数据提供者,他们可以独立地为数据消费者加密向量 x 和 y,而数据消费者可以从与向量 α 关联的功能解密密钥中计算 ∑αi xiyi = x ⋅ Diag(α) ⋅ yT。密文在向量的维度上是线性的,而功能解密密钥的大小是常数。我们研究了两个有趣的特殊情况:

1. 2-方内积功能加密,其中 α = (1,…,1)。有一个唯一的功能解密密钥,它允许第三方计算 x ⋅ xT,其中 x 和 y 分别由两个独立的客户端提供。

2. 内积功能加密选择器,其中 x = x0 II x1 和 y = bn II bn ∈{1n || 0n, 0n II 1n},对于某一比特 b,以及公共系数 α = α0 II α1 在功能解密密钥中,从而得到 xb ⋅ αbT,其中 x 和 b 由两个独立的客户端提供。

这个结果基于基本的乘积保持引理,具有独立的兴趣。它利用了双重配对向量空间(DPVS),在 SXDH 假设下进行安全证明。我们为选择器后的 IPFE 提供了两个实际应用:医疗诊断和前者 2-方 IPFE 的洗钱检测,这两者都具有强大的隐私特性,适应性安全性和使用标签授予多客户端功能加密(MCFE)方案的安全性,从而使其能够在实际情况中使用。

论文链接:https://doi.org/10.1145/3548606.3559374

8b5fe80d3c4dc08c2be3183dd9e37699.png

193、Uncovering Intent based Leak of Sensitive Data in Android Framework

为了防止未经授权的应用程序获取敏感数据,Android框架实施了基于权限的访问控制。然而,众所周知,为了绕过访问控制,未经授权的应用程序可以拦截由授权应用程序发送并携带检索到的敏感数据的Intent对象。我们发现,Android框架中存在一个新的(以前未知的)攻击面,可被未经授权的应用程序利用来破坏访问控制。具体来说,我们发现Android框架发送的部分携带敏感数据的Intent对象可以被未经授权的应用程序接收,从而导致敏感数据泄露。在本文中,我们对Android框架中基于Intent的敏感数据泄露的新攻击面进行了首次系统性研究。为了自动发现Android框架中这类漏洞,我们设计并开发了一个名为LeakDetector的新工具,用于查找由Android框架发送的可以被未经授权的应用程序接收并携带敏感数据的Intent对象。将LeakDetector应用于10个商业Android系统,我们发现它可以有效地揭示Android框架中基于Intent的敏感数据泄露。具体来说,我们发现了36个可利用的数据泄露案例,未经授权的应用程序可以滥用这些案例来窃取敏感数据,违反访问控制。在撰写本文时,谷歌、三星和小米已确认其中16个,并向我们提供了来自这些手机厂商的漏洞赏金奖励。

论文链接:https://doi.org/10.1145/3548606.3560601

a24ee1218a60d4a17b1a18ce89236a8a.png

194、Understanding IoT Security from a Market-Scale Perspective

消费者物联网(IoT)产品和服务无处不在;然而,如果没有了解市场上的 IoT 产品,即市场规模的观点,对消费者 IoT 安全性的适当表征是不可行的。本文试图通过开发 IoTSpotter 框架来填补这一空白,该框架自动构建移动物联网应用的市场规模快照,即用作物联网设备伴侣或自动化提供者的移动应用。IoTSpotter 还提取了允许我们在 IoT 上下文中检查此快照安全性的工件(例如,应用支持的设备、特定于 IoT 的库)。使用 IoTSpotter,我们从 Google Play 中识别出了 37,783 个移动物联网应用,这是迄今为止最大的移动物联网应用集,并在此过程中揭示了 7 个关键结果(ℛ1-ℛ7)。我们利用这个数据集进行三个关键安全分析,得出了 10 个有影响力的安全发现(F1-F10),展示了当前移动物联网应用的状况。我们的分析揭示了 94.11%(863/917)具有超过 100 万安装量的移动物联网应用存在严重的加密违规,65个受到79个独特CVE影响的易受攻击的物联网特定库,以及40个受欢迎的应用程序使用,以及7,887个受到 Janus 漏洞影响的应用程序。最后,通过对18个热门移动物联网应用的案例研究,揭示了它们中的漏洞对重要物联网工件和功能的关键影响,激发了在物联网背景下开发移动安全分析的动力。

论文链接:https://doi.org/10.1145/3548606.3560640

d700f0652d8205062cde29c556f2941c.png

195、Understanding Real-world Threats to Deep Learning Models in Android Apps

深度学习(DL)以其卓越的性能而著称,已经在许多应用中广泛使用,同时也引来了针对模型的各种威胁。主要的威胁之一来自对抗性攻击。研究人员已经对这种威胁进行了多年的深入研究,并提出了数十种生成对抗性样本(AEs)的方法。但是,大多数方法仅在有限的模型和数据集(例如,MNIST,CIFAR-10)上进行评估。因此,攻击现实世界DL模型的有效性尚不十分明确。在本文中,我们进行了第一个针对现实世界DNN模型的对抗性攻击的系统性研究,并提供了一个名为RWM的现实世界模型数据集。特别地,我们设计了一套方法来调整当前AE生成算法以适应不同的现实世界DL模型,包括从Android应用程序中自动提取DL模型,捕获应用程序中DL模型的输入和输出,生成AE并通过观察应用程序的执行来验证它们。对于黑箱DL模型,我们设计了一种基于语义的方法来构建合适的数据集,并在执行基于转移的攻击时使用它们来训练替代模型。在分析了来自62,583个现实世界应用程序的245个DL模型之后,我们有了一个独特的机会来了解现实世界DL模型与当代AE生成算法之间的差距。令我们惊讶的是,当前的AE生成算法只能直接攻击6.53%的模型。受益于我们的方法,成功率提高到47.35%。

论文链接:https://doi.org/10.1145/3548606.3559388

dc3ee5d54b09f799f108de5873089251.png

196、Understanding Security Issues in the NFT Ecosystem

非同质化代币(NFT)已经成为一种收藏数字艺术以及投资工具的方式。尽管它们最近才开始流行,但在过去的一年里,NFT市场已经见证了几笔高调(且高价值)的资产销售和交易量的极大增长。遗憾的是,这些市场尚未受到太多安全审查。相反,大多数学术研究都集中在针对去中心化金融(DeFi)协议的攻击和检测智能合约漏洞的自动化技术上。据我们所知,我们是首个研究价值数十亿美元的NFT生态系统的市场动态和安全问题的团队。在本文中,我们首先系统地概述了NFT生态系统的运作方式,并确定了三个主要参与者:市场、外部实体和用户。接下来,我们对交易量排名前8的市场进行了深入分析,发现了许多可能导致巨大财务损失的潜在问题。我们还收集了大量与所研究市场中交易的NFT相关的资产和事件数据。我们自动分析这些数据,以了解区块链外部的实体如何能够干预NFT市场,导致严重后果,并量化用户在匿名掩护下进行的恶意交易行为。

论文链接:https://doi.org/10.1145/3548606.3559342

a698f95ac736dba4b2d71a80e25e782b.png

197、Understanding and Mitigating Remote Code Execution Vulnerabilities in Cross-platform Ecosystem

JavaScript 跨平台框架正变得越来越受欢迎。它们帮助开发者轻松便捷地构建跨平台应用程序,只需一个JavaScript代码库。最近的安全报告显示,一些知名的跨平台应用(如Slack、Microsoft Teams 和 Github Atom)遭受了注入问题,这些问题通常是由跨站脚本(XSS)或嵌入的不受信任的远程内容(如广告)引入的。这些注入为远程网络攻击者打开了安全漏洞,并导致了严重的安全风险,例如允许注入的恶意代码在受害者设备上运行任意本地可执行文件(称为XRCE攻击)。然而,直到现在,XRCE攻击向量、行为和根本原因很少被研究和理解。尽管跨平台框架开发者和社区迅速地提供了多种安全功能和建议,但这些缓解措施的有效性仍然未知。在本文中,我们对跨平台生态系统中的XRCE漏洞类进行了首次系统研究。我们首先为不同的跨平台应用程序构建一个通用模型,以减少它们之间的语义和行为差距。我们利用这个模型来(1)通过全面定义其攻击场景、表面和行为,研究XRCE;(2)研究和探讨最先进的防御措施,并验证它们在抵御XRCE攻击方面的弱点。我们对640个实际跨平台应用程序的研究表明,尽管现有的防御措施可以使用,XRCE广泛影响跨平台生态系统。75% 的应用程序可能受到XRCE的影响,包括Microsoft Teams。(3)最后,我们提出了一种名为XGuard的新型防御技术,可以自动缓解由我们总结的XRCE行为衍生的所有XRCE变种。

论文链接:https://doi.org/10.1145/3548606.3559340

72c3b02960a4d6bd56c08c8d41b0d7eb.png

198、Understanding the How and the Why: Exploring Secure Development Practices through a Course Competition

本文展示了对14个团队在一场为期三周的本科课程中的安全编码竞赛期间的开发过程进行深入研究的结果。比赛参与者需要首先根据规范构建代码,强调正确性、性能和安全性,然后在修复自己代码中发现的漏洞的同时,找出其他团队代码中的漏洞。我们的研究旨在了解为什么开发者会引入不同的漏洞,他们评估漏洞程序的方式,以及为什么不同的漏洞会(或不会)被发现和(或不会)被修复。我们使用迭代式开放编码法系统地分析了比赛数据,包括代码、提交信息和团队设计文档。我们的研究结果表明,现有的安全开发最佳实践、安全工具的使用以及开发团队的组织对于安全编码具有重要意义。

论文链接:https://doi.org/10.1145/3548606.3560569

376ccca225e8626076cea157de650f9c.png

199、Updatable Public Key Encryption from DCR: Efficient Constructions With Stronger Security

前向安全加密(FS-PKE)是一种关键演进的公钥范式,它在密钥暴露的情况下保护过去加密的机密性。可更新公钥加密(UPKE)是FS-PKE的自然放宽,由Jost等人(Eurocrypt'19)引入,其动机来自于应用于安全消息传递。在UPKE中,任何愿意强制实施其加密消息的前向保密的发送方都可以通过特殊的更新密文触发密钥更新。到目前为止,唯一真正有效的UPKE候选方案(依赖于随机预言机理想化)只提供了相当弱的针对被动攻击者的安全保证,因为它们是易变的。此外,它们对恶意发送者的保护不足,这些发送者愿意阻碍诚实用户的解密能力。Dodis等人(TCC'21)的一项最近研究描述了在标准模型中的UPKE系统,这些系统在选定密文设置(攻击者配备解密预言机)中对抗恶意生成的更新消息。尽管这些构造在可行性方面取得了重要成果,但在效率方面仍落后于随机预言机候选方案。

在本文中,我们首先使用Paillier的复合剩余类(DCR)假设在标准模型中提供一个效率大大提高的UPKE实现。在随机预言机模型中,我们接着扩展我们的初始方案,以实现选定密文安全性,即使在考虑恶意生成的更新密文的模型中。在DCR和强RSA假设下,我们因此获得了第一个实用的UPKE系统,满足了Dodis等人提出的最强安全概念。

论文链接:https://doi.org/10.1145/3548606.3559376

ca83a9fac9a22241fac987452e6fd01c.png

200、VOProof: Efficient zkSNARKs from Vector Oracle Compilers

零知识简洁非交互式证明(zkSNARKs)的设计日益复杂,需要熟悉大量密码学和代数工具。这种复杂性也增加了zkSNARK实现、分析和优化的难度。为了解决这个问题,我们开发了一种新的用于设计和实现zkSNARK的工作流程,称为VOProof。在VOProof中,设计者只需要构建一个直观且易于设计的向量预言机(VO)协议,然后将该协议输入到我们的VO编译器中,将其转换为一个功能齐全的zkSNARK。这种新的工作流程将大部分代数和密码学操作隐藏在编译器内部,设计者不再需要理解这些繁琐且容易出错的过程。此外,我们的编译器可以进行微调,将一个VO协议编译为具有不同权衡的多个zkSNARK。我们将VOProof应用于构建针对算术电路三种流行表示的三种通用zkSNARK:秩-1约束系统(R1CS)、哈达玛积关系(HPR)和PLONK电路。与之前的工作相比,这些zkSNARK具有更短、更直观的描述,因此更容易实现和优化。

    为了评估它们的性能,我们实现了一个用于描述VO协议并将其编译为有效Rust代码的zkSNARKs的Python框架。我们的评估表明,基于VOProof的zkSNARK在性能方面具有竞争力,尤其是在证明尺寸和验证时间方面,例如,与Marlin(Chiesa等人,EUROCRYPT 2020)相比,这两个指标都减少了约50%。这些改进使得基于VOProof的zkSNARK在区块链场景中更具优势,因为证明大小和验证时间至关重要。

论文链接:https://doi.org/10.1145/3548606.3559387

341553792d56d122f5eed52361ef0492.png

201、VRust: Automated Vulnerability Detection for Solana Smart Contracts

Solana是一个快速增长的高性能区块链,由Proof of History(PoH)共识机制和一种将代码与数据解耦的新型无状态编程模型驱动。通过在PoH Sealevel运行时上进行并行执行(而非PoW),它在每秒交易数量方面实现了比以太坊高出100倍至1000倍的速度提升。借助新的编程模型,必须仔细验证新的约束(所有者、签名者、密钥、bump seeds)和漏洞(缺失检查、溢出、类型混淆等),以确保Solana智能合约的安全性。本文提出了VRust,这是第一个用于Solana的自动化智能合约漏洞检测框架。关键技术创新之一是一组用于验证Solana编程模型中独特的不可信输入帐户的静态分析规则。我们开发了总共八种不同的漏洞类型,VRust可以通过将源代码转换为基于Rust MIR的推理规则(无需任何代码注释)来全自动检查所有这些漏洞。在超过一百个Solana项目上进行评估后,VRust揭示了12个以前未知的漏洞,包括3个已被核心开发者确认的Solana官方编程库中的关键漏洞。

论文链接:https://doi.org/10.1145/3548606.3560552

ee96ebe2ceedb257dbe6e6707d8c8f21.png

202、VeRSA: Verifiable Registries with Efficient Client Audits from RSA Authenticated Dictionaries

可验证的注册表允许客户端安全地访问由不受信任的服务器维护的键值映射。必须对注册表进行审核以确保全局不变量得以保留,从而使得条目的所有者能够有效地监控各个注册表条目。为此,现有的提案要么假设存在可信的第三方审核者,要么依赖于通过昂贵的递归 SNARKs 实现的可递增验证计算(IVC)来使注册表可供客户端审核。在这项工作中,我们提供了新的客户端可审核的可验证注册表,其吞吐量比基线 IVC 解决方案高达 100 倍。我们的方法依赖于基于 RSA 累加器的认证字典,为此我们开发了一种新的恒定大小的不变量证明。我们将其用作替代 Merkle 树以优化基线 IVC 方法,但还提供了一种完全摒弃 SNARKs 的新颖构造。后者采用了一种新的检查点方法来确保客户端视图的一致性。

论文链接:https://doi.org/10.1145/3548606.3560605

c0ad11424d36a6fc055b5550c1d278d8.png

203、Victory by KO: Attacking OpenPGP Using Key Overwriting

我们提出了一组针对 OpenPGP 规范及其实现的攻击,这些攻击导致用户私钥被完全恢复。攻击利用了加密私钥数据包内不同字段之间缺乏加密绑定,这些字段包括密钥算法标识符、明文公共参数和加密私有参数。这允许能够覆盖 OpenPGP 密钥数据包中某些字段的攻击者进行跨算法攻击,导致用户的软件将 ECC 私钥误认为是 DSA 密钥。它还允许攻击者用敌对方选择的参数替换合法的公共参数,例如允许他们选择 DSA 群组。我们将这类攻击称为密钥覆盖(KO)攻击。我们提供了对不同 OpenPGP 库在 KO 攻击面前的脆弱性的详细分析,特别是在某些情况下,应该阻止攻击的库执行的额外密钥验证步骤实际上允许变体攻击。我们还评估了 KO 攻击在反映不同威胁模型的特定基于 OpenPGP 的应用程序上下文中的适用性。最后,我们解释了如何通过将现有的使用 AEAD 方案保护密钥数据包的建议扩展到将所有安全相关的公共字段包含为关联数据,从而在 OpenPGP 规范层面完全防止 KO 攻击(并使密钥验证过时)。

论文链接:https://doi.org/10.1145/3548606.3559363

1b1bdb4addce52366ef470e3b6d0b390.png

204、Vizard: A Metadata-hiding Data Analytic System with End-to-End Policy Controls

拥有者为中心的控制是一种广泛采用的方法,用于缓解数据所有者对数据滥用的担忧,并激励他们共享数据以获取集体知识。然而,尽管已经提出了许多控制执行技术,但现有工作中大多忽略了由此产生的元数据泄露所导致的隐私威胁。不幸的是,一个精明的攻击者可以根据数据所有者的控制策略或他们的分析任务参与历史(如参与精神疾病或癌症研究可能暴露他们的健康状况)推断出非常敏感的信息。为了解决这个问题,我们引入了Vizard,一种隐藏元数据的分析系统,使数据所有者能够实现隐私加固和可强制执行的控制。Vizard利用一套量身定制的轻量级加密工具和设计构建,帮助我们有效地处理实时传入的加密数据流(如心率)上的分析查询。我们提出扩展设计,进一步实现高级的以所有者为中心的控制(使用AND、OR、NOT运算符),并为所有者提供发布控制,以便在交付前额外规定结果应如何受到保护。我们开发了一个与Apache Kafka交互的Vizard原型,并且评估结果证明了Vizard在大规模和隐藏元数据的数据流分析方面的实用性。

论文链接:https://doi.org/10.1145/3548606.3559349

23057109d0249ca38daff96bc0ce3fc4.png

205、WINK: Wireless Inference of Numerical Keystrokes via Zero-Training Spatiotemporal Analysis

敏感数字在识别和认证中扮演着无与伦比的角色。最近的研究揭示了许多通过侧信道攻击来推断击键的方法,这些方法需要一个训练阶段或一个字典来建立观察到的信号干扰与击键之间的关系。然而,基于训练的方法是不切实际的,因为很难获得受害者的训练数据;而基于字典的方法无法推断出那些不按照语言规则组合的数字。我们观察到,输入一个数字不仅会在空间上产生一定数量的观察到的干扰(每个干扰对应一个数字),还会产生每个干扰之间的一系列时间间隔。基于现有利用击键间隔时间推断击键的工作,我们构建了一种名为 WINK 的新技术,将空间和时间域信息结合成一个空时特征,用于处理击键干扰无线信号。有了这个空时特征,WINK 可以在不需要任何训练的情况下推断出输入的数字。基于软件定义无线电平台的实验结果表明,WINK 可以大大减少破解某些 6 位 PIN 所需的猜测次数,从 100 万次降低到最低 16 次,并且在不到 100 次尝试的情况下,可以推断出超过 52% 的用户选择的 6 位 PIN。

论文链接:https://doi.org/10.1145/3548606.3559339

c3b8089a83653f4f914f907743e20d46.png

206、Watch Out for Race Condition Attacks When Using Android External Storage

目前,在Android系统中,应用程序(简称apps)在提供服务时严重依赖外部存储。不当的文件操作会引入竞态条件。通过竞态条件,恶意应用可以操控文件内容,并诱使受害应用执行意外操作,我们将其称为竞态条件攻击。竞态条件攻击可能导致一系列安全问题,先前的工作已经实施了其中的一部分。从Android 10开始,谷歌引入了作用域存储(scoped storage)来防御基于外部存储的攻击。然而,考虑到不同Android版本在市场上的份额,想要在每台设备上部署作用域存储仍有很长的路要走。为了保护当前用户免受这种攻击的影响,提高应用开发者的安全意识至关重要。因此,我们对竞态条件攻击进行了全面调查,了解其在Android应用程序中的现状。我们提出了一个名为RECAST的分析引擎,该引擎收集外部存储上的文件操作事件,并推断出相关的文件操作过程。借助RECAST,我们收集了5,359,339个文件操作事件,涉及105,963个文件。从分析结果来看,有限种类的事件构成了大量独特的文件操作模式(1,977种)。在这些文件操作模式中,时间窗口非常普遍,可以用来发动一系列攻击(94.26%的测试文件容易受到这个问题的影响)。因此,对于在Android外部存储上使用应用程序的开发者来说,竞态条件攻击已成为一个不容忽视的问题。

论文链接:https://doi.org/10.1145/3548606.3560666

2694597fae2770944e622937763ace55.png

207、Watch Your Back: Identifying Cybercrime Financial Relationships in Bitcoin through Back-and-Forth Exploration

网络犯罪分子通常利用比特币进行非法活动。在这项工作中,我们提出了一种名为往返探测的全新自动化比特币交易跟踪技术,用以识别网络犯罪的金融关系。给定属于网络犯罪活动的种子地址,它会输出一个交易图,并识别出与正在研究的活动、外部服务和其他网络犯罪活动之间关系的路径。往返探测提供了两个关键贡献。首先,它不仅向前探测,还向后探测,而不像之前的研究只向前探测,这使得可以发现只通过向前探测无法找到的关系(例如,来自混币器客户的存款)。其次,它通过将标签数据库与用于识别交易所地址的机器学习分类器相结合,防止了图形爆炸。我们对30个恶意软件家族进行了往返探测评估。我们为4个使用比特币进行C&C的家族构建标准,并用它们证明往返探测识别了之前研究遗漏的13个C&C信号地址,其中8个是向前探测无法发现的。我们的方法揭示了恶意软件使用的大量服务,包括44个交易所、11个赌博网站、5个支付服务提供商、4个地下市场、4个挖矿池和2个混币器。在4个家族中,关系包括向前探测遗漏的新归因点。它还识别出恶意软件家族与其他网络犯罪活动之间的关系,突显了一些恶意软件操作者参与多种网络犯罪活动的事实。

论文链接:https://doi.org/10.1145/3548606.3560587

1f240281789a0d9fb9847a2b1e11657b.png

208、What Your Firmware Tells You Is Not How You Should Emulate It: A Specification-Guided Approach for Firmware Emulation

模拟微控制器的固件是具有挑战性的,因为缺乏外围模型。现有的工作通过分析目标固件来找出如何响应外围读操作。这是有问题的,因为固件有时不包含足够的线索来支持模拟,甚至包含误导性信息(例如,有缺陷的固件)。在这项工作中,我们提出了一种新的方法,从外围规范中构建外围模型。使用NLP,我们将人类语言中的外围行为(记录在芯片手册中)翻译成一组结构化的条件-动作规则。通过在运行时检查、执行和连接它们,我们可以为每个固件执行动态生成一个外围模型。提取的条件-动作规则可能不完整甚至错误。因此,我们建议结合符号执行来快速定位根本原因。这有助于我们手动纠正有问题的规则。我们已经为五个流行的MCU板实现了我们的想法,涵盖了三个不同的芯片供应商。使用一种新的基于编辑距离的算法来计算跟踪差异,我们对大型固件语料库的评估证实,与现有的最先进解决方案相比,我们的原型实现了更高的保真度。受益于精确的模拟,我们的模拟器有效地避免了现有模糊测试工作中观察到的误报。我们还设计了一种新的动态分析方法,根据规范执行驱动程序代码的合规性检查。我们发现了一些不合规的情况,后来证实这是由竞态条件引起的错误。

论文链接:https://doi.org/10.1145/3548606.3559386

9a8d4a145db23ee87fb170c198dcfcb5.png

209、When Evil Calls: Targeted Adversarial Voice over IP Network

随着COVID-19大流行从根本上重塑了远程生活和工作方式,语音IP(VoIP)电话和视频会议已成为联系社区的主要方式。然而,在通过这种通信渠道传输敌对语音样本的可行性和局限性方面,几乎没有进行过研究。在本文中,我们提出了TAINT - 针对性的敌对语音IP网络,这是针对商业语音识别平台在VoIP上的第一个针对性、查询高效、硬标签黑盒敌对攻击。VoIP的独特通道特性带来了诸如信号衰减、随机信道噪声、频率选择性等重要挑战。为解决这些挑战,我们通过逆向工程对VoIP的结构和信道特性进行了系统分析。然后开发了一种抗噪声高效梯度估计方法,以确保敌对样本生成过程的稳定和快速收敛。

我们在四个商业自动语音识别(ASR)系统上,通过五个最受欢迎的VoIP会议软件(VCS)展示了我们在空中和线上设置中的攻击。我们证明TAINT在VoIP通道增加的情况下,其性能可以与现有方法相媲美。即使在最具挑战性的场景下,比如Zoom中有活跃发言者的情况下,TAINT仍然可以在10次尝试内成功,同时不会成为视频会议的焦点。

论文链接:https://doi.org/10.1145/3548606.3560671

768ca780eaee4de7f8a18eff0edd6c3a.png

210、When Frodo Flips: End-to-End Key Recovery on FrodoKEM via Rowhammer

在这项工作中,我们通过Rowhammer辅助攻击手段恢复了提交给NIST后量子密码学(PQC)标准化过程的FrodoKEM密钥交换机制的私钥材料。这个新机制允许我们通过Rowhammer攻击手段破坏FrodoKEM密钥生成(KeyGen)过程。Rowhammer侧信道是一种基于硬件的安全漏洞,通过对某个目标受害者内存位置相邻的内存行进行重复的内存访问,从而实现在DRAM中翻转位。使用Rowhammer,我们引导FrodoKEM软件输出一个更高误差的公钥(PK),(\matA, \matB = \matA \matS +\vec\widetildeE),其中误差\widetilde\vecE被Rowhammer修改。接着,我们使用大量可公开访问的超级计算资源执行解密失败攻击,运行时间仅为20万核心小时。我们精细地调节解密失败率,以确保攻击者的攻击实际上能够成功,但诚实的用户不能轻易检测到这种操纵。

实现这种公钥“中毒”需要极大的工程努力,因为FrodoKEM的KeyGen运行时间在8毫秒的数量级。(先前的Rowhammer辅助攻击加密技术需要长达8小时的持续访问。)为了应对这种实际的时间条件,我们需要大量之前的和全新的低级工程技术,包括例如内存调整算法——即“风水”——以及针对可扩展输出函数SHAKE的精确定向性能降级攻击。我们探讨了我们的技术应用于NIST PQC第三轮候选池中其他基于格的KEMs,如Kyber、Saber等,以及在各种环境中出现的困难。最后,我们讨论了各种简单的对策,以保护实现免受这种以及类似的攻击。

论文链接:https://doi.org/10.1145/3548606.3560673

831b4232cd8000d75139026a8dfdf9cd.png

211、When Good Becomes Evil: Tracking Bluetooth Low Energy Devices via Allowlist-based Side Channel and Its Countermeasure

如今,蓝牙低功耗 (BLE) 已经无处不在。为了防止BLE设备(如智能手机)被未知设备连接,它使用允许列表只允许来自已识别设备的连接。然而,我们发现这个允许列表特性实际上引入了一种设备跟踪的侧信道,因为即使使用了随机化的MAC地址,拥有允许列表的设备的行为仍然有所不同。更糟糕的是,我们还发现当前蓝牙协议中规定的MAC地址随机化方案存在缺陷,容易受到重放攻击,攻击者可以重放一个嗅探到的MAC地址,根据目标设备的允许列表判断设备是否会响应。我们通过43个BLE外围设备、11个中心设备和4个开发板验证了我们基于允许列表的侧信道攻击,发现一旦配置了允许列表,这些设备都无法抵抗所提出的攻击。我们提倡使用一个难以预测的间隔、中心和外围同步的随机MAC地址随机化方案来消除被动设备跟踪(为中心设备引入1%的功耗开销,为外围设备引入6.75%的功耗开销,为中心设备引入88.49微秒的性能开销,为外围设备引入94.46微秒的性能开销),并使用时间戳生成随机MAC地址,以便攻击者无法再重放它们来消除主动设备跟踪(为外围设备引入3.04%的开销,为中心设备和外围设备引入63.58微秒和20.54微秒的性能开销)。我们已于2020年10月披露了我们的发现给蓝牙SIG和许多其他利益相关者。蓝牙SIG为此分配了CVE-2020-35473以跟踪这个逻辑级协议漏洞。谷歌将我们的发现归类为高严重性设计缺陷,并给予我们漏洞奖励。

论文链接:https://doi.org/10.1145/3548606.3559372

386ca261991bd6526a97e5280d4bcced.png

212、Why So Toxic?: Measuring and Triggering Toxic Behavior in Open-Domain Chatbots

聊天机器人在许多应用中被广泛使用,如自动代理、智能家居助手、在线游戏中的互动角色等。因此,确保它们不以不良方式行事至关重要,避免向用户提供冒犯或有毒的回应。这并非易事,因为当前最先进的聊天机器人模型是在从互联网公开收集的大型公共数据集上进行训练的。本文提出了一种首次尝试的、大规模测量聊天机器人毒性的方法。我们发现公开可用的聊天机器人在接收有毒查询时容易产生有毒回应。更令人担忧的是,一些非有毒查询也可能触发有毒回应。然后,我们设计并实验了一种名为ToxicBuddy的攻击方法,该方法依赖于微调GPT-2来生成非有毒查询,使聊天机器人以有毒方式回应。我们广泛的实验评估表明,我们的攻击方法对公共聊天机器人模型有效,且优于先前工作中提出的手工制作的恶意查询。我们还评估了针对ToxicBuddy的三种防御机制,结果显示它们要么在降低攻击性能的同时影响聊天机器人的实用性,要么只能减轻攻击的一部分。这突显了计算机安全和在线安全社区需要进行更多研究,以确保聊天机器人模型不会伤害到用户。总体来说,我们相信ToxicBuddy可以作为一种审计工具,我们的工作将为设计更有效的聊天机器人安全防御铺平道路。

论文链接:https://doi.org/10.1145/3548606.3560599

13acd00d6ac20138242f0d99a31ebe27.png

213、Widespread Underestimation of Sensitivity in Differentially Private Libraries and How to Fix It

我们发现了一类新的差分隐私实现中的漏洞。具体来说,它们是在计算基本统计量(如求和)时产生的,这要归因于有限数据类型(即整数或浮点数)下实现的算术与理想整数或实数算术之间的差异。这些差异导致实现的统计量敏感度(即个体数据对结果的影响程度)比我们预期的敏感度要大得多。因此,几乎所有的差分隐私库都无法引入足够的噪声来隐藏个体级信息,这是差分隐私所要求的。我们还展示了如何在差分隐私查询系统中利用这一漏洞进行现实攻击。除了介绍这些漏洞之外,我们还提供了一些解决方案,通过修改或约束求和的实现方式,以恢复理想化或接近理想化的敏感度边界。

论文链接:https://doi.org/10.1145/3548606.3560708

a8024a1a21e28f8cbc9a5ed2f3f5a10a.png

214、Zapper: Smart Contracts with Data and Identity Privacy

隐私问题阻碍了智能合约在与共享账本公共属性不兼容的敏感领域的应用。我们提出了Zapper,一种以隐私为中心的智能合约系统,允许开发者在直观的前端中表达合约。Zapper不仅隐藏了用户的身份,还隐藏了他们访问的对象——后者对防止去匿名攻击至关重要。具体来说,Zapper将合约编译成一种由非交互式零知识处理器执行的汇编语言,并通过一种不知道Merkle树结构来隐藏访问的对象。我们在一个理想化的账本上实现了Zapper,并在现实应用中对其进行了评估,结果表明它允许在22秒内生成新交易,并在0.03秒内验证它们(不包括达成共识所需的时间)。这一性能与智能合约系统ZEXE(Bowe等,2020)相当,后者提供了类似的数据和身份隐私保证,但存在多个影响安全性和可用性的缺陷。

论文链接:https://doi.org/10.1145/3548606.3560622

47f2bddc91893a39fa0f507c7812b35b.png

215、i-TiRE: Incremental Timed-Release Encryption or How to use Timed-Release Encryption on Blockchains?

定时解密加密可以将信息加密到某个未来时间,以便在那个时间之后才能解密。潜在的应用包括封闭式拍卖、预定的保密交易和数字时间胶囊。为了实现这些去中心化智能合约的应用,我们探讨了如何在区块链上使用定时解密加密。文献中的实际构造依赖于一个可信的服务器(或在阈值设置中的多个服务器),该服务器定期基于长期秘密发布特定于时代的解密密钥。他们的主要思想是将时间段或时代视为基于身份的加密方案中的身份。然而,这些方案存在一个致命的缺陷:一个时代的密钥不能让我们解密锁定在之前时代的密文。Paterson 和 Quaglia[SCN'10]通过在加密时指定允许解密的时代范围来解决了这个问题。然而,我们面临着效率问题:在每个时代,服务器必须通过智能合约交易发布一个与生命周期(总时代数)对数相关的解密密钥。例如,在以太坊上,对于一个涵盖2年、每个时代长度为1分钟的适度生命周期,服务器每分钟必须花费超过 6 美元的燃气费;这个成本会随着阈值设置中的服务器数量而成倍增加。我们提出了一种新颖的定时解密加密方案,其中解密密钥的大小与生命周期对数相关,可以进行增量更新,其中一个短的更新密钥(单个群元素)就足以计算后续解密密钥;我们的解密密钥允许客户端解密锁定在任何先前时代的密文。这导致了显著的燃气费用降低,例如,在上述设置中仅为0.30美元。此外,密文也是紧凑的(与总生命周期对数相关),加密和解密的时间都在几毫秒的数量级。此外,我们将信任分散在多个服务器之间,以容忍多达阈值数量的恶意破坏。

我们的构造基于双线性配对,借鉴了 Canetti 等人的二叉树加密 [Eurocypt 2003] 和 Naor 等人的分布式伪随机函数 [Eurocrypt 1999]的思想。

论文链接:https://doi.org/10.1145/3548606.3560704

72d5daa0c43ae94367e3105f6a467a67.png

216、pMPL: A Robust Multi-Party Learning Framework with a Privileged Party

为了在多方之间进行机器学习,同时保护原始数据的隐私,基于安全多方计算的隐私保护机器学习(简称MPL)近年来已成为一个热点。MPL的配置通常遵循点对点架构,其中每个参与方都有相同的机会揭示输出结果。然而,典型的商业场景通常遵循分层架构,其中一个强大的,通常具有特权的参与方,引领机器学习任务。只有特权方可以揭示最终模型,即使其他辅助方相互勾结。甚至需要避免部分辅助方退出时机器学习的中止,以确保按计划完成任务和/或节省计算资源。

受上述场景的启发,我们提出了\pmpl,一个带有特权方的强大MPL框架。\pmpl支持在半诚实设置中进行三方(MPL框架中的典型参与方数量)培训。通过为特权方设置交替份额,\pmpl可以在训练过程中容忍剩余两方中的一方退出。基于上述设置,我们设计了一系列基于向量空间秘密共享的\pmpl高效协议,以弥补向量空间秘密共享和机器学习之间的差距。最后,实验结果表明,与现有技术水平的MPL框架相比,\pmpl的性能令人满意。特别是在局域网设置中,\pmpl在线性回归和逻辑回归方面分别比\textttTF-encrypted(以\textttABY3为后端框架)快16倍和5倍。此外,线性回归、逻辑回归和BP神经网络在MNIST数据集上训练的模型准确率分别可达到约97%、99%和96%。

论文链接:https://doi.org/10.1145/3548606.3560697

bfb087d2bcc36b601335fb07544713a8.png

217、zkBridge: Trustless Cross-chain Bridges Made Practical

区块链在加密货币市值超过1万亿美元,主要机构投资者表现出兴趣,以及对政府、企业和个人产生全球影响的情况下,越来越受到关注。生态系统的异质性也在显著增长,各种各样的区块链共存。在这个多链生态系统中,跨链桥梁是一个必要的构建模块。然而,现有的解决方案要么存在性能问题,要么依赖于对委员会诚实假设的安全性大幅降低。针对桥梁的持续攻击已经使用户损失超过15亿美元。在本文中,我们介绍了zkBridge,一种高效的跨链桥梁,无需额外的信任假设即可保证强大的安全性。借助简洁的证明,zkBridge不仅保证了正确性,而且大大降低了链上验证成本。我们提出了一种新颖的简洁证明协议,其速度比现有解决方案快几个数量级,适用于zkBridge中的工作负载。通过模块化设计,zkBridge实现了一些有用的功能,包括消息传递、代币转移以及对来自不同链的状态变化进行其他计算逻辑操作。我们在Cosmos和Ethereum之间完全实现了zkBridge,并评估了端到端性能。实验表明,zkBridge具有实用性能:它可以在2分钟内生成区块头证明,而链上验证证明的成本不到220K gas(与Groth16相同)。从Cosmos到Ethereum的交易中继成本为210K gas。

论文链接:https://doi.org/10.1145/3548606.3560652

网络安全学术顶会——CCS '22 议题清单、摘要与总结(下)_第1张图片

你可能感兴趣的:(web安全,安全)