Hasty Briefsbeta

双语

Web-based cryptography is always snake oil

8 days ago
  • #cryptography
  • #web security
  • #legal loopholes
  • 基于网页的'端到端'加密本质上存在缺陷,因为服务器运营者——本应是加密防范的对象——分发客户端代码,并可能推送恶意更新。
  • 这类加密系统自相矛盾,因为它们未能将防范对象与提供实施方案的实体分离,本质上等于内置了后门。
  • 公司采用'蛇油'加密主要是作为一种法律策略,以规避授权和传票义务,而非提供真正的安全性。
  • 法律上依赖这种模式风险很高,拉瓦比特案和苹果与FBI案等政府行动表明,当局能够且确实会要求妥协。
  • 网络平台的限制性本质使客户端代码分发与服务绑定,若不进行范式转变,就无法构建真正有意义的加密系统。
  • 诸如利用服务工作者配合子资源完整性等潜在修复方案存在局限,例如首次使用信任问题以及用户验证挑战。