近日,武汉大学宣布 29 岁的“95 后”青年学者赵莽,以正教授身份加盟该校国家网络安全学院,成为武大历史上最年轻的正教授,而这距离赵莽博士毕业只有一年左右。
“8 个博士生指标、60 万年薪、30 万雷军教育基金支持,以及 200 万的安家费”,武汉大学给赵莽带来了一份优厚待遇。
图 | 赵莽(来源:武汉大学)
希望打破国际标准垄断,制定中国自主的应用密码学方案
据介绍,赵莽此前在德国萨尔大学获得博士学位。读博期间,他师从通信安全领域奠基人、自动化安全性分析工具 Tamarin Prover 创始人之一、前英国牛津大学终身教授卡斯·克雷默斯(Cas Cremers)教授。
在克雷默斯的指导下,赵莽参与了多个国际前沿项目,研究方向涵盖无密码认证协议、多方实时通信协议等。在赵莽此前主导的课题中,最引人注目的是对 FIDO2 协议(WebAuthn 2 与 CTAP 2.1)的安全性分析。这一协议旨在替代传统密码系统,但赵莽发现其抵御量子计算攻击的能力存在隐患。为此,他提出了全球首个后量子实例化扩展方案,从而为网络安全提供了关键保障,并获得了微软安全响应中心的资助支持。此外,他对 Ed25519 数字签名算法的安全性分析成果被万维网联盟认可为权威研究成果,通过这一成果他揭示了不同算法版本在安全性上的显著差异。
2023 年,赵莽来到武汉大学作报告,这次交流促成了双方对于彼此的认可。未来,赵莽将入职武汉大学国家网络安全学院王骞院长团队。资料显示,王骞团队长期从事网络空间安全领域研究,致力于推动人工智能系统安全、移动智能终端安全与隐私保护、应用密码学创新发展与应用落地。
入职之后,赵莽计划从三方面发力:一是培养密码学人才,通过高质量教学与团队建设夯实学科基础;二是与国内外学者合作,推动可信计算、抗量子密码等领域的突破;三是打破国际标准垄断,制定中国自主的应用密码学方案。他在武汉大学官方报道中表示:“尽管目前国际社会上的许多密码协议标准是由国外专家主导制定,但我相信有朝一日我们定能推动更多项目落地,制定出更多中国自主产权的应用密码学标准方案,并在国际上发挥引领作用。”
密码学是网络安全的核心领域,尤其在数字经济时代更是需求迫切。赵莽的研究方向(如自动化协议分析、后量子安全)具有高度战略意义,契合国家需求,这为其快速晋升提供了客观条件。
赵莽在密码学顶级会议(如 IEEE S&P、Usenix Security)发表多篇论文,其中一篇获最佳论文奖(Top 1.11%)。此外,他还担任 ACM CCS 等顶级会议的程序委员及期刊审稿人,进一步巩固了其学术影响力。下文将为大家详细介绍几篇赵莽的代表论文。
曾在信息安全领域顶会发表多篇论文
赵莽目前的代表性成果之一是一篇题为《Ed25519 的可证明安全性:理论与实践》(The Provable Security of Ed25519:Theory and Practice)的论文,论文发表于 2021 年 IEEE 安全与隐私学术会议(IEEE S&P,IEEE Symposium on Security and Privacy)上。
(来源:IEEE S&P,IEEE Symposium on Security and Privacy)
在密码安全领域,EdDSA(Edwards-curve Digital Signature Algorithm)是一种基于椭圆曲线的数字签名算法,旨在提供高安全性和高效率的数字签名方案。EdDSA 利用了扭曲爱德华兹曲线(Twisted Edwards curves)的数学特性,这些曲线在椭圆曲线密码学中因其良好的性能和安全性而受到青睐。
Ed25519 则是 EdDSA 算法的一个具体实现,它是 EdDSA 家族中最著名和最广泛使用的实例之一,因其高效性、安全性和简洁性而备受青睐。
签名方案的一个标准要求是:它在选择性消息攻击下应该具有不可伪造性,同时还应具备其他重要特性例如具备强不可伪造性,以及针对密钥替换攻击具备抵抗能力。
Ed25519 的不同实例被广泛应用于多种协议中,例如 TLS 1.3、SSH、Tor、ZCash 以及 WhatsApp/Signal 等。值得注意的是,此前尚未有人为 Ed25519 实例的安全属性提供详细的证明。
而上述实例之间的差异非常微妙,并且仅仅通过非正式的论证来支持,许多研究假设其结果可以直接从 Schnorr 签名中迁移过来。(注:Schnorr 签名是一种基于离散对数问题的数字签名方案。)
同样地,一些协议安全性的证明也仅仅假设 Ed25519 能够满足诸如“选择消息攻击下的存在不可伪造性”或“选择消息攻击下的强不可伪造性”等属性。
在这项工作中,赵莽等人首次针对 Ed25519 签名方案进行了详细分析和安全证明。
在密码安全领域,Fiat-Shamir 范式是现代密码学中广泛使用的一种技术,它是一种将交互式零知识证明、转换为非交互式零知识证明或数字签名方案的通用方法。
尽管此前一些方案的设计遵循了成熟的 Fiat-Shamir 范式,理论上应能保证存在不可伪造性,但许多罕见情况和编码细节使得证明变得复杂,并且所有其他安全性属性都需要独立证明。
而赵莽的这篇论文为在多种 Ed25519 变体之间进行选择并理解其特性提供了科学依据,填补了现代协议证明中使用这些签名时亟需的证明空白,并为进一步的标准化工作提供了支持。
赵莽目前的代表性成果之二是一篇题为《FIDO2、CTAP 2.1 和 WebAuthn 2:可证明的安全性和后量子实现》(FIDO2, CTAP 2.1, and WebAuthn 2:Provable Security and Post-Quantum Instantiation)的论文,论文发表于 2023 年 IEEE 安全与隐私学术会议(IEEE S&P,IEEE Symposium on Security and Privacy)上。
(来源:IEEE Symposium on Security and Privacy)
在密码安全领域,FIDO2 协议(Fast Identity Online 2)是一种开放的身份验证标准,旨在提供更安全、更便捷的无密码登录体验。它由位于美国加州的 FIDO 联盟开发,结合了 WebAuthn 和 CTAP 两个核心组件,已被广泛用于现代身份验证场景中。
FIDO2 协议也是一种全球通用的无密码认证标准,它建立在在线认证领域主要参与者之间的联盟基础之上。虽然已经广泛部署,但该标准此前仍在开发中。自从其 CTAP 子协议的 2.1 版本以来,FIDO2 已经可以使用后量子安全的原语进行实例化。
在这篇论文中,赵莽等人首次针对结合 CTAP 2.1 子协议和 WebAuthn 2 子协议的 FIDO2 进行了安全性分析。在研究中,基于前人结合 CTAP 2.0 和 WebAuthn 1 的 FIDO2 分析工作,赵莽等人提出了一款安全模型,并在多个方面进行了扩展。
具体来说:
首先,赵莽等人打造了一个更细粒度的安全模型,使其能够证明更多相关的协议属性,例如有关令牌绑定协议、无证明模式和用户验证的保证。
其次,在特定条件和小规模协议扩展下,赵莽等人证明了 FIDO2 的后量子安全性。最后,赵莽等人表明在某些威胁模型下,FIDO2 的降级抵御能力可以得到改进,并展示了如何通过简单的修改来实现这一点。
赵莽目前的代表性成果之三是一篇题为《使用认证加密的协议的自动化分析:细微的 AEAD 差异如何影响协议安全性》(Automated Analysis of Protocols that use Authenticated Encryption:How Subtle AEAD Differences can impact Protocol Security)的论文,论文发表于第 32 届 USENIX Security Symposium 会议上。
(来源:32 届 USENIX Security Symposium 会议)
在这篇论文中,赵莽为使用 AEAD(带关联数据的认证加密,Authenticated Encryption with Associated Data)的协议提供了第一种自动分析方法。
AEAD 是一种同时提供机密性、完整性和真实性保障的加密模式。它结合了对称加密和消息认证码的功能,能够对数据进行加密并验证其完整性和来源的真实性。
AEAD 可以系统地发现利用所使用的特定类型 AEAD 的薄弱之处的攻击。基于此,能够用于分析具有固定 AEAD 选择的特定协议,或者提供指导说明哪些 AEAD 可能足以使协议设计安全。
在这篇论文之中,赵莽等人开发了通用符号 AEAD 模型,并为 Tamarin 校准器进行了实例化。本次方法可以自动有效地发现以前只能使用手动检查才能发现的协议攻击,例如 Facebook 消息戳上的 Salamander 攻击以及 SFrame 和 YubiHSM 上的攻击。此外,其还揭示了基于 AEAD 细节的其他几种协议的不良行为。
赵莽目前的代表性成果之四是一篇题为《安全消息传递具有强大的妥协弹性、时态隐私和即时解密》(Secure Messaging with Strong Compromise Resilience, Temporal Privacy, and Immediate Decryption)的论文,发表于 2024 年 IEEE 安全与隐私学术会议(IEEE S&P,IEEE Symposium on Security and Privacy)上。
(来源:IEEE Symposium on Security and Privacy)
在这项工作中,赵莽等人设计了第一个可证明安全消息传递的协议,实现了对于细粒度妥协的强弹性,实现了时间隐私,尤其是在后量子设置中实现了具有恒定大小开销的即使解密。同时,他还引入了一个适合场景设置的新型离线可否认性定义,并证明本次协议可以满足这一定义,特别是在与后量子离线可否认初始密钥交换结合时。
在信息安全领域的会议中,IEEE Symposium on Security and Privacy 和 USENIX Security 是该领域三大顶会中的其中两个。赵莽的多篇论文能够发表在这两个顶会,说明了领域内对于其成果的认可。
作为一名新人学者,赵莽的总论文数量目前还不算多、h 指数也仍在增长。但武汉大学给出如此厚待,也说明其对于赵莽寄予厚望。亦有分析指出,这是武汉大学“千金买骨”、不拘一格用人才的用人观的彰显,或许将吸引更多寻找教职的青年科研人员关注到该校。
参考资料:
https://scholar.google.com/citations?hl=zh-CN&user=oZJbK4AAAAAJ
https://mp.weixin.qq.com/s/V3DD2K-epmflXYKDgTIbjw
https://ieeexplore.ieee.org/abstract/document/9519456/
https://ieeexplore.ieee.org/abstract/document/10179454/
https://www.usenix.org/conference/usenixsecurity23/presentation/cremers-protocols
https://ieeexplore.ieee.org/abstract/document/10646742/
运营/排版:何晨龙