lurch/OMEMO密碼工程協議審計

HardenedVault 寫道 "vault1317是一款為高級威脅防護背景下設計的密碼工程通信協議，在OTRv3/v4和Signal協議基礎上加強了通信節點的元數據保護，即保護機器的隱私。在此基礎上提供加密通信過程的可抵賴性，以保證在通信節點任意一方進行背叛行為（向第三方披露通信內容）和長壽命密鑰泄漏的情況下也無法留下加密證據。vault1317的目標并非保護人類隱私，而是通信節點（機器）的隱私。當賽博堡壘設計vault1317第二階段邦聯化特性過程中收到了密碼朋克社區的諸多建議，從威脅模型的角度，數字軍火商不會放棄任意高度依賴密碼工程的領域，更重要的是，邦聯化作為去中心化特性的關鍵要素必須進行架構級審計，vault1317協議的當前邦聯化是通過XMPP，經過技術評估賽博堡壘最終選擇了基于lurch，lurch是一個實現了XEP 0384（OMEMO）加密協議修訂版 的pidgin插件。OMEMO是一個基于axolotl協議的實現，在lurch中 axolotl的實現基于libsignal-protocol-c，axc則是基于libsignal-protocol-c進行了高階封裝的實現。由于lurch上下游的依賴，審計目標除了lurch本身也包括兩個支持庫axc和libomemo，審計過程中發現的缺陷已經修復。"