< 返回版块

Mike Tang 发表于 2024-08-20 03:44

tower-surf - 可用在axum等框架中的CSRF库

跨站请求伪造(CSRF)是一种安全漏洞,允许攻击者在未经用户知情或同意的情况下,诱使用户在网络应用程序上执行攻击者想要的操作。此攻击利用了网络应用程序对用户浏览器的信任。

https://github.com/quiet-camp/tower-surf

正式验证的后量子算法

美国国家标准与技术研究院(NIST)发布的后量子密码学(PQC)标准,标志着在量子计算机威胁下保护互联网和全球组织的重大进展。当前使用的经典公钥加密算法在量子计算机面前将失效,因此需要新的加密方法。谷歌一直在推动后量子加密的发展,从2016年开始实验,到2022年为内部通信启用后量子保护,最近更将保护扩展到Chrome桌面浏览器。

谷歌正在与Cryspen合作,生产NIST选定的后量子算法的正式验证实现。这些高性能的开源实现将提供安全性、功能正确性和内存安全性的正式保证,并可供谷歌及其他用户使用。由于这些算法依赖于复杂的数学结构,正式验证是确保新算法代码没有关键实现漏洞的唯一方法。项目完成后,Rust实现的PQC算法将被纳入libcrux开源库,并将经过AVX2优化、在F*中验证并转换为C语言实现。

量子计算机的发展对现有的密码学构成了威胁,尤其是RSA和Diffie-Hellman密钥交换算法。虽然现在的量子计算机还不能破解这些算法,但攻击者可以先储存加密数据,待未来量子计算机成熟后再解密。NIST自2016年开始标准化PQC算法,最近通过了三种方案:ML-KEM、ML-DSA和SL-DSA。这标志着密码学向PQC的过渡正式开始。

正式验证不同于传统测试,它为密码学实现的正确性提供数学证明,即使面对意外和恶意输入,也能确保安全性和可靠性。Cryspen与谷歌的PQC合作首先验证了ML-KEM算法。在验证过程中,Cryspen发现了ML-KEM参考实现中的一个计时侧信道漏洞,这表明传统测试难以发现此类问题。通过正式验证,可以捕捉到这些漏洞,确保代码的安全性和优化性。

未来,谷歌将继续整合最新的ML-KEM和ML-DSA规范更新,并计划发布Rust包及其C代码实现,随后将重点放在NIST的其他规范上,目标是开发生产级的正式验证PQC实现,供任何需要进行PQC过渡的组织使用。

https://bughunters.google.com/blog/6038863069184000/formally-verified-post-quantum-algorithms

一个漂亮的终端日历

可以记事的。

https://github.com/arch-il/rusty_notes

--

From 日报小组 Mike

社区学习交流平台订阅:

评论区

写评论

还没有评论

1 共 0 条评论, 1 页