Android开发经验谈区块链研习社IT技术篇

双棘轮算法:端对端加密安全协议,原理以及流程详解

2019-12-05  本文已影响0人  招财二师兄

我们继续讲解signal的核心技术:双棘轮

在上一篇,我们先讲了:X3DH,FS(前向安全),PCS(后向安全),然后简单提了密码学中的DH,HMAC, KDF, HKDF。这一篇,我们将详细讲解双棘轮这个核心技术。

如果你要跟某个人进行安全通信,你会如何设计

假设你要做个系统,可以和某个人安全通信,站在安全性的角度,技术上应该如何设计?

思考时间......
思考时间......
思考时间......

  1. 首先,你可能会想到,如何与对方进行密钥协商,这就涉及到DH。
  2. 其次,出于极致的安全性要求,你会考虑FS(前向安全),PCS(后向安全)。如何保证在某次通信中,被破解出来的密钥,不能破解出之前的消息,而且在一定周期内,这个破解出来的密钥将不会再起作用。

下面,我们来看看双棘轮是如何做的

棘轮

我们先来感性认识一下棘轮:

pic2.1_mark.jpg

从感观上,棘轮就是一种特殊的齿轮,他只能往一个方向转下去,而不能往回转。

在技术上,做到"只能往一个方向转下去,而不能往回转",是达到FS(前向安全)的关键。比如KDF,导出的KDF链只能往后面派生,而不能计算出前向的密钥,这就保证了,如果某一轮的密钥被破解出来,但前面的密钥是无法计算出来的,也就是前面的消息无法被解密。

双棘轮

双棘轮,就是说,signal用了两个棘轮来保证其安全性。这里先不展开,我们到最后再看,可能会更加清楚。

我们以一个真实场景来讲解signal的通信技术

我们还是以Alice与Bob通信为例,讲解这个核心技术。

Alice主动给Bob发第一条消息

X3DH

Alice要主动与Bob联系,首先要进行密钥协商。由于Bob可能不在线,所以Alice可以借助Bob存放在Server的公钥进行。

Signal用的是X3DH,即Alice会去Server拿到Bob的长期公钥IdentityKey,以及中期的公钥SignedPreKey,以及临时的公钥PreKey。然后做X3DH,导出一个密钥。

X3DH的具体做法可以看我的上一篇文章。

发送链与接收链

在signal中,Alice与Bob都分别有自己的发送链(chain)以及接收链。如下图所示:

pic2.2_mark.jpg

这两种链分别计算发送密钥以及接收密钥。

第一条消息

总体流程如下图(为了能更简单清晰地解释,下面的图已经是简化过后的图):

pic2.3_mark.jpg

Alice要给Bob第一条消息,需要初始化发送链:

  1. DH棘轮:Alice首先使用双棘轮中的第一个棘轮:DH棘轮,进行DH计算,具体流程是:
    a) Alice生成一对临时的key pair(公私钥对)
    b) 用这个临时的key pair的私钥与Bob SignedPreKey的公钥进行DH计算。

  2. KDF棘轮:Alice再使用双棘轮中的第二个棘轮:KDF棘轮,导出三个密钥KeyA1、Key1以及Key2。其中,KeyA1用于下一次发送链的Root Key(即salt),Key1用于加密消息,Key2用于派生下一轮的密钥。

  3. 发送链密码派生:如果Bob一直不给Alice发送消息,则Alice则一直使用此发送链发送消息,如上图所示,第二轮使用Key2加盐进行派生,第三轮使用Key4。

(PS:Signal实际的实现要比上述的复杂,但原理上一致的)

Bob接收到消息

Bob接收到消息后,会做两件事情,第一件是初始化接收链,第二件是初始化发送链

初始化接收链

如下图所示:

pic2.4 bob received_mark.jpg

与Alice的发送链对应,Bob使用相同的规则初始化接收链。

由于Bob进行X3DH,以及DH之后的值,是一样的,所以可以产生相同的Key1,Key3进行解密。

初始化发送链

Bob在收到Alice的消息后,就可以初始化发送链了:

pic2.5 init send_mark.jpg

与Alice一样:

  1. DH棘轮:Bob生成一个临时的key pair,与Alice进行DH
  2. KDF棘轮:与Alice一样,用上述的DH做Salt,导出三个密钥
  3. 发送链密码派生:与Alice一样,第二轮使用Key2加盐进行派生,第三轮使用Key4

在初始化发送链后,Bob就可以发送消息了。

Bob给Alice回消息

如下图所示:

pic2.6 init received alice.jpg

Bob用自己发送链的密钥加密消息后,给Alice发送消息。Alice在接收消息后,会做两件事情,一个是初始化自己的接收链,第二个是重置自己的发送链

初始化自己的接收链如上图所示,重置自己的发送链要重点讲讲。

Alice在收到Bob的消息后,会重置发送链

如下图所示:

pic2.7 reinit sending_mark.jpg

Alice在收到Bob的消息后,会重置自己的发送链,可以想像为棘轮往后移了一格,这样,KDF将重新计算,如果之前某轮的密钥泄密了,从此刻开始,之前的密钥将无法解密到消息,这满足了PCS(后向安全)的特性。

具体做法是:

  1. Alice生成新的临时key pair,与Bob的SigndPreKey做DH
  2. 将上一轮Key Chain导出的KeyA1做Salt,与上述的DH做KDF,导出KeyA2, Key1, Key2,同样,KeyA2为下一轮发送链的salt, Key1用于此轮加密消息,Key2用于KDF。

Ping Pong

如上图所示,Bob在收到Alice的消息后,也会重置发送链。

其实就是Ping Pong,Alice收到Bob消息会重复发送链,Bob也一样。

从Alice的角度总结

从Alice的角度上看,发送链如下变化:

pic2.8 finish_mark.jpg

总结

本文详细讲解了signal中的核心技术:双棘轮,包括了DH棘轮以及KDF棘轮。KDF棘轮保证了FS,而DH棘轮保证了PCS。

如果有什么问题,欢迎留言。

上一篇 下一篇

猜你喜欢

热点阅读