量子弹性会话的洋葱路由多回路密钥建立
当前用于会话密钥建立的公钥基元——RSA、Diffie-Hellman和椭圆曲线密码学——均归约为整数分解或离散对数问题,因此一旦出现足够强大的量子计算机,这些基元将面临Shor算法的攻击威胁。“先存储、后解密”(HNDL)威胁模型将这种未来能力转化为当前风险:今天存档的密文,未来一旦出现具备密码学相关能力的量子计算机,便可被回溯解密。该团队提出了一种会话密钥建立方案,该方案在洋葱服务代理与洋葱服务客户端之间,通过多个独立、短暂的Tor电路,将新生成的密钥分发为多个独立加密的片段。重建密钥需要所有片段;每个片段通过经由NEWNYM信号建立的每个捆绑电路独立传输。安全性论证基于洋葱路由的标准端到端关联界限:控制部分Tor中继的敌手必须独立去匿名化每一条新电路,才能关联属于同一会话的各个片段,而每个片段成功关联的概率随片段数量呈乘性衰减。该团队在AWS EC2上以Flask为基础实现了该设计原型,将代理和客户端均部署为Tor洋葱服务,并测量了端到端的密钥建立延迟。实现的原型平均在13–20秒内完成一次密钥建立(包含尾部延迟时为7–50秒),其中约88%的延迟归因于Tor相关开销——该团队在隐私与响应速度权衡的背景下讨论
