Signal Protocol और Post-Quantum Ratchet

 (signal.org)
1 पॉइंट द्वारा GN⁺ 2025-10-03 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Signal ने Sparse Post Quantum Ratchet(SPQR, sparse post-quantum ratchet) पेश किया है, जो Signal Protocol की सुरक्षा को काफ़ी मज़बूत बनाता है, भविष्य के quantum computing खतरों के खिलाफ़ resilience बढ़ाता है, और साथ ही मौजूदा Forward Secrecy(FS) तथा Post-Compromise Security(PCS) गारंटी को बनाए रखता है
  • Signal Protocol दुनिया भर में अरबों लोगों द्वारा रोज़ इस्तेमाल किए जाने वाले निजी संचार के लिए end-to-end encryption प्रदान करने वाली cryptographic specifications का एक सेट है, और 2013 में इसकी घोषणा के बाद से इसे सिर्फ Signal app ही नहीं बल्कि अन्य बड़े messaging products ने भी अपनाया है
  • पहले घोषित किए गए PQXDH ने chat session सेटअप के समय quantum-resistant cryptographic secrets को शामिल करके harvest-now-decrypt-later हमलों से सुरक्षा दी थी, लेकिन SPQR बातचीत जारी रहने के दौरान compromise को कम करने और उससे recovery करने वाली FS और PCS गारंटी को quantum-safe तरीके से हासिल करता है
  • SPQR, Signal के मौजूदा Double Ratchet के साथ मिलकर काम करता है और Triple Ratchet नाम का संयोजन बनाता है; user experience में कोई बदलाव नहीं होता, सभी conversations अपने-आप नए protocol में migrate हो जाती हैं, और यह वर्तमान तथा भविष्य दोनों तरह के संचार की सुरक्षा करता है
  • academic research(Eurocrypt 25, USENIX 25 papers), erasure code आधारित chunking, और formal verification(ProVerif, hax/F*) के ज़रिए protocol की correctness और security properties को machine-checked तरीके से verify किया जाता है, और CI pipeline में हर बदलाव पर दोबारा verify करके इसे development process का dynamic हिस्सा बनाए रखा जाता है

अवलोकन

  • Signal ने Sparse Post Quantum Ratchet(SPQR) की शुरुआत के साथ Signal Protocol की सुरक्षा को एक स्तर ऊपर उठाया है
  • SPQR मौजूदा मज़बूत सुरक्षा नींव पर आगे बढ़ते हुए, भविष्य के quantum computing खतरों का सामना करता है और Forward Secrecy(FS) तथा Post-Compromise Security(PCS) गारंटी की संरचना को और मज़बूत करता है
  • यह पूरे सिस्टम में इतना सहज रूप से लागू होता है कि उपयोगकर्ताओं को बदलाव महसूस भी नहीं होता, और ऐसी स्थिति सुनिश्चित होती है जिसमें बातचीत की सामग्री quantum computers के वास्तविक होने पर भी सुरक्षित रहे

मौजूदा Signal Protocol की स्थिति

  • Signal Protocol रोज़मर्रा में इस्तेमाल होने वाला end-to-end encrypted messaging standard है
  • मौजूदा protocol में double ratchet संरचना hash function(quantum-safe) के ज़रिए forward secrecy और elliptic-curve Diffie-Hellman(ECDH) के ज़रिए post-compromise security लागू करती रही है
  • ECDH अभी बहुत सुरक्षित है, लेकिन भविष्य में quantum computers के कारण इसके कमज़ोर पड़ने का जोखिम है
  • ratchet वह तकनीक है जिसमें बातचीत के दौरान लगातार नई secret keys बनाई जाती हैं, ताकि पिछले या आगे के messages की सामग्री उजागर न हो
  • Alice और Bob समय-समय पर नए ECDH secret material पर सहमति बनाकर session को refresh करते हैं

quantum security तत्वों के मिश्रण की ज़रूरत

  • quantum computers, ECDH जैसी मौजूदा asymmetric cryptography schemes को निष्प्रभावी कर सकते हैं
  • इसकी तैयारी के लिए PQXDH नामक शुरुआती तरीके में session शुरू होने पर quantum-safe secret material को मिलाया गया था
  • बातचीत के दौरान लगातार quantum-safe algorithm आधारित Key Encapsulation Mechanism(KEM) से key exchange की ज़रूरत उभरकर आई
  • KEM, Diffie-Hellman की तरह shared secret बनाता है, लेकिन इसमें ordered asymmetric messages का आदान-प्रदान ज़रूरी होता है
  • ML-KEM जैसे standardized KEM का उपयोग करके session के दौरान लगातार quantum-safe secrets बनाए जाते हैं

state machine और bandwidth optimization

  • KEM तरीके में key exchange data का आकार बड़ा होता है(लगभग 1000 bytes), इसलिए communication bandwidth optimization एक महत्वपूर्ण मुद्दा है
  • state machine logic का इस्तेमाल करके Alice और Bob यह manage करते हैं कि कौन-सा data(Encapsulation Key, Ciphertext आदि) किस समय एक-दूसरे को भेजना है
  • data chunking और erasure codes के उपयोग से बड़े data को छोटे टुकड़ों में बाँटा जाता है, ताकि message loss होने पर recovery आसान बनी रहे
  • इसे इस तरह डिज़ाइन किया गया है कि attacker चुनिंदा तौर पर केवल key exchange chunks drop करके protocol disruption पैदा न कर सके
  • इससे message loss, reordering, delay जैसी वास्तविक mobile environment स्थितियों को प्रभावी ढंग से संभाला जा सकता है

efficiency-security trade-off और optimization

  • अगर shared secret generation की गति को बिना शर्त बहुत तेज़ कर दिया जाए, तो उल्टा किसी विशेष समय पर मौजूद सभी secret material के attack में उजागर होने का जोखिम बढ़ सकता है
  • Signal ने कई state machine simulations चलाकर parallel और serial transmission के बीच सुरक्षा और efficiency का संतुलन खोजा
  • ML-KEM की विस्तृत प्रक्रिया के विश्लेषण और chunks को बाँटकर एक साथ भेजने जैसी तकनीकों से bandwidth utilization को अधिकतम किया गया
  • Signal ने इस प्रक्रिया को ML-KEM Braid नाम दिया और इसे अपने protocol के एक module के रूप में इस्तेमाल किया

Triple Ratchet संरचना

  • Double Ratchet(मौजूदा) और SPQR(नया, quantum-safe) को साथ चलाकर, keys को मिलाकर hybrid encryption keys बनाई जाती हैं
  • Triple Ratchet तरीके में message exposure का जोखिम तभी होता है जब दोनों algorithms टूट जाएँ, इसलिए सुरक्षा में बड़ा सुधार होता है
  • वास्तविक implementation में double ratchet और SPQR, दोनों से cryptographic keys लेकर उन्हें key derivation function से एक बार फिर जोड़ा जाता है
  • Triple Ratchet संरचना अतीत और भविष्य, दोनों के messages के लिए quantum और पारंपरिक दोनों तरह की सुरक्षा गारंटी देती है

विषम चरणबद्ध rollout और compatibility handling

  • क्योंकि upgrade चरणबद्ध रूप से लागू होगा, इसलिए SPQR न इस्तेमाल करने वाले users के साथ compatibility issues आ सकते हैं
  • शुरुआती message negotiation के दौरान अस्थायी downgrade की अनुमति देकर इसे इस तरह डिज़ाइन किया गया है कि दोनों users compatible तरीके से communicate कर सकें
  • messages में SPQR data attach होने पर उसे authentication code से protect किया जाता है, ताकि attacker द्वारा forced downgrade रोका जा सके
  • एक बार दोनों पक्ष compatibility negotiation पूरी कर लें, तो उसके बाद पूरे session में SPQR उपयोग का निर्णय स्थिर हो जाता है
  • जब सभी users SPQR-supporting version पर upgrade हो जाएँगे, तब पुराने sessions archive या terminate किए जाएँगे और नए sessions से पूरी तरह SPQR लागू किया जाएगा

protocol की सुरक्षा जाँच और verification tools

  • protocol design चरण से ही academic researchers, PQShield, AIST, NYU आदि के साथ सक्रिय सहयोग किया गया
  • Eurocrypt 25, USENIX 25 जैसे conference papers के माध्यम से यह सिद्ध किया गया कि protocol सैद्धांतिक रूप से quantum safety और मौजूदा guarantee requirements दोनों को पूरा करता है
  • प्रस्तावित 6 post-quantum ratchet protocols में से SPQR और Katana(KEM उपयोग करने वाला नया protocol) टिके रहे
  • formal verification को Cryspen, ProVerif, hax, F* जैसे tools और CI pipeline में लगातार automated तरीके से manage किया जाता है
  • Rust implementation और verification model के synchronization से design और actual code के बीच सामंजस्य सुनिश्चित किया जाता है
  • implementation प्रक्रिया के दौरान invariants(assertions) को भी code में सक्रिय रूप से शामिल किया गया है, ताकि error होने पर app रुक जाए और संभावित vulnerabilities पहले ही रोकी जा सकें

verification और निरंतर development साथ-साथ

  • formal verification प्रक्रिया एक बार का काम नहीं है; codebase में हर बदलाव पर इसे अपने-आप दोबारा चलाया जाता है
  • नया code merge करते समय verification fail हो जाए, तो build भी नहीं हो सकता
  • वास्तविक अनुभव के अनुसार, boundary-value errors और pre/post-conditions को स्पष्ट रूप से manage किया जाए तो maintenance आसान रहती है और protocol की परिपक्वता भी अधिकतम हो सकती है

संक्षिप्त निष्कर्ष

  • Signal ने भरोसेमंद Triple Ratchet(Double Ratchet + SPQR) संरचना अपनाकर सभी messages के लिए quantum-resilient security देने का लक्ष्य रखा है
  • protocol transition चरणबद्ध तरीके से होगा, बिना service interruption या user inconvenience के
  • अतिरिक्त data transmission बहुत कम है, इसलिए mobile environments में लागत का बोझ लगभग नहीं के बराबर है
  • protocol इस तरह बनाया गया है कि attacker को छेड़छाड़ करने पर denial-of-service स्थिति पैदा करनी पड़े, इसलिए यह man-in-the-middle(MITM) attacks के खिलाफ़ भी मज़बूत है
  • code और design को व्यवस्थित रूप से formal verification के तहत रखा गया है, और आगे भी सुरक्षा बनाए रखी जाएगी
  • Signal users के लिए इसका मतलब यह है कि protocol परिवर्तन या quantum computing खतरे बिना दिखाई दिए ही सुरक्षा प्रदान करते रहेंगे

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-10-03
Hacker News राय

  • Signal वाकई शानदार एन्क्रिप्शन पेपर लगातार प्रकाशित करता है, लेकिन प्रोडक्ट के नज़रिए से यह ऐसा लगता है कि उसे खुद भी नहीं पता कि क्या सफल होगा, इसलिए वह तरह-तरह की चीज़ें आज़मा रहा है। Post-quantum handshake, Stories, money transfer जैसी नई कोशिशें हो रही हैं, लेकिन अब भी SDK, API और bot support नहीं है। आधिकारिक लाइब्रेरी भी अधूरी है और documentation भी नहीं है। कई फीचर अब भी क्लाइंट के भीतर छिपे हुए हैं। प्रोटोकॉल स्पेसिफिकेशन सार्वजनिक कर देना, और फिर कहना कि उसी के आधार पर खुद लाइब्रेरी बना लो, यह असली प्रोडक्ट ऑपरेशन से पूरी तरह कटा हुआ और गैर-जिम्मेदार रवैया है। लाखों लोगों द्वारा इस्तेमाल किए जाने वाले प्लेटफ़ॉर्म में इतनी बुनियादी चीज़ें भी ठीक से नहीं हैं। WhatsApp और iMessage जैसे ऐप डेवलपर्स के लिए कुछ न कुछ खोलते हैं, लेकिन Signal में डेवलपर-संबंधित चीज़ों को पूरी तरह बाहर रखने का माहौल है। ऐसा लगता है मानो कोई प्रोडक्ट ओनर ही नहीं है, क्योंकि कोई साफ़ रणनीति दिखती नहीं। लंबे समय से Signal इस्तेमाल करने वाले और उसे सक्रिय रूप से प्रमोट करने वाले व्यक्ति के रूप में, Signal मुझे अब ऐसा मैसेंजर लगता है जो गरमागरम क्रिप्टोग्राफी टेक्नोलॉजी ऊपर-ऊपर चिपकाता जा रहा है, और डेवलपर्स के लिए Apple ecosystem से भी ज़्यादा बंद है। फिर भी, इसे बनाने वालों का आभारी हूँ

    • सहमत हूँ। ख़ासकर "Stories" फीचर से सचमुच ऐसा लगा कि बस देख लेते हैं क्या बनता है। मुझे लगता है Signal एक anarchism-उन्मुख non-profit से निकला है, इसलिए उसके लक्ष्य सामान्य कंपनियों से अलग हैं। ऐप अपने मूल मिशन पर काफ़ी ईमानदार है, यह अच्छी बात है, लेकिन SDK होता तो सच में बहुत अच्छा होता

    • मुझे यह जानने की उत्सुकता है कि API या business bots जैसी चीज़ें सच में कितनी ज़रूरी हैं। WhatsApp और iMessage में business API हैं, लेकिन एक सामान्य यूज़र के रूप में मैंने शायद ही कभी उनका उपयोग करके किसी बिज़नेस से इंटरैक्ट किया हो। उल्टा, कभी-कभी bots की वजह से झुंझलाहट ही हुई है। Signal की असली समस्या यह है कि अगर ऐप चुपचाप पुराना हो जाए या अपडेट रुक जाए, तो वह चेतावनी नहीं देता और संदेश पूरी तरह छूट जाते हैं। मैसेंजर का यही तो मुख्य मिशन है, और वही ठीक से नहीं हो रहा

    • बल्कि मेरे लिए API और bots का न होना ही एक फ़ायदा है

    • मैं चाहूँगा कि वे ऐसी चीज़ों के बिना अभी की तरह सुरक्षित और काम का मैसेंजर बनाने पर ही ध्यान दें

    • Signal में जो बात मुझे सच में बेहद परेशान करती है, वह यह है कि कॉल करने वाले को ring tone सुनाई देती रहती है, भले ही सामने वाले के फ़ोन पर वास्तव में घंटी बजी ही न हो। इसे वे पहले से जानबूझकर ऐसा रखते आए हैं, और यह उनकी आधिकारिक नीति भी रही है। पुरानी submarine sound हटाने के बाद से यह लगातार ऐसा ही है

  • Signal प्रोटोकॉल का नाम SPQR देखकर मैं चौंक गया। SPQR लैटिन में "Senatus Populusque Romanus" का संक्षेप है Wikipedia देखें। बहुत शानदार है

    • भविष्यवादी प्रोटोकॉल के लिए SPQR नाम इस्तेमाल करना कुछ Ozymandias जैसा एहसास देता है

    • बहुत ही चतुर नामकरण है। BBC मिनीसीरीज़ "Rome" में इसे रोमन सैनिकों के टैटू के रूप में अक्सर देखा था, इसलिए नाम परिचित लगा Rome Wikipedia

    • Strength and Honor(दृढ़ता और सम्मान)

    • मुझे लगता है ऐसा हास्य सिर्फ Hacker News पर ही देखने को मिलता है। मुझे वह पुराना कॉमिक याद आ गया, "गणितज्ञ अपना लॉकर नंबर कैसे याद रखते हैं"। ("1975? अरे वह तो 3,900,625 का square root है!")

    • क्या ऐसा हो सकता है कि "SPQR" बस "Speaker" जैसा सुनाई देता हो, इसलिए चैट ऐप के लिए नाम रख दिया गया हो? हर चीज़ को रोम से जोड़ना ज़रूरी नहीं है

  • Signal की सबसे बड़ी कमज़ोरी यह है कि वह पहचान के लिए फ़ोन नंबर पर निर्भर करता है। सिर्फ हैकर्स ही नहीं, authoritarian सरकारें भी किसी भी समय फ़ोन नंबर पर कब्ज़ा कर सकती हैं। भविष्य के ख़तरों पर सोचना ज़रूरी है, लेकिन प्राथमिकताएँ बदली जानी चाहिए

    • अगर किसी को अब तक पता न हो तो साझा कर रहा हूँ: Signal में username के ज़रिए फ़ोन नंबर छिपाने की सुविधा का परिचय (फ़रवरी 2024)

    • बहुत से secure messengers बिना फ़ोन नंबर के भी चलते हैं, और metadata मिटाकर सेवा देने की कोशिश भी करते हैं। जिन देशों में फ़ोन नंबर और SIM कार्ड किसी व्यक्ति से बँधे होते हैं, वहाँ Signal का यह तरीका एक बड़ा entry barrier है

    • फ़ोन नंबर की शर्त spam रोकने के लिहाज़ से आसान और भरोसेमंद तरीका है

    • मुझे यह नहीं लगता कि फ़ोन नंबर से पहचान सत्यापित करना अपने-आप में घातक समस्या है। authoritarian सरकार फ़ोन नंबर हथिया भी ले, तो इसका मतलब यह नहीं कि उसे संदेशों का इतिहास भी मिल जाएगा। जिसे सिग्नल मिलेगा, उसे पहले ही चेतावनी मिल जाती है। Signal में समस्याएँ नहीं हैं ऐसा नहीं है, और उस पर आलोचना व मानक तय करना ज़रूरी है, लेकिन फिर भी आम लोगों के इस्तेमाल लायक पूरी तरह end-to-end encrypted और metadata-protecting मैसेंजर के रूप में यह लगभग अकेला है। इससे भी अधिक secure या privacy-केंद्रित सेवाएँ हैं, लेकिन मेरी दादी भी इसे इस्तेमाल कर सकती हैं, यही सबसे महत्वपूर्ण बात है। Signal ने security का आधार काफ़ी मज़बूत कर लिया है, अब अगर वह privacy पर और ध्यान दे तो अच्छा होगा। आलोचना करने के बावजूद मैं अब भी इसे मज़बूती से recommend करता हूँ और अपने दोस्तों को सक्रिय रूप से इस्तेमाल करने को कहता हूँ। मैंने कई बार donation भी दिया है Signal transparency report देखें

    • Signal में "registration lock" नाम का फीचर है, जो password सेट करने पर SIM hijacking से अकाउंट takeover रोक सकता है

  • Signal ने इस बार SPQR(quantum-resistant ratchet) लागू किया है, तो iMessage के PQ3 के मुकाबले यह कहाँ खड़ा होता है, यह जानना दिलचस्प होगा। Cyph और Simplex के पुराने quantum-resistant messaging प्रयासों पर भी विचार सुनना चाहूँगा। iMessage PQ3 परिचय / Cyph - Post-Quantum Castle / Simplex - quantum-resistant फीचर

    • Signal का SPQR, PQ3 की तरह ML-KEM-आधारित ratchet संरचना है, लेकिन key transport का तरीका अलग है। ML-KEM key लंबी होती है, इसलिए PQ3 उन्हें कभी-कभार periodic रूप से भेजता है, जबकि Signal उन्हें संदेशों के साथ बाँटकर भेजता है। hidden bandwidth और security के लिहाज़ से यह chunking ज़्यादा सुरक्षित और कुशल मानी गई है। error correction coding की वजह से कुल bandwidth बढ़ सकती है, लेकिन हर संदेश का आकार स्थिर रहता है। Apple के पास नेटवर्क पर ज़्यादा नियंत्रण है, इसलिए aggressive rekeying defenses लागू करना उसके लिए आसान होगा

    • मुझे नहीं पता कि iMessage मौजूदा माहौल में कितना मायने रखता है। क्योंकि ज़्यादातर iPhone उपयोगकर्ता iCloud backup बिना E2E के इस्तेमाल करते हैं, और fully encrypted backup एक वैकल्पिक विकल्प है। यानी law enforcement का अनुरोध आए तो Apple डेटा खोल सकता है, इसलिए quantum computer आने से पहले ही यह पर्याप्त रूप से कमज़ोर है

  • SPQR(Sparse Post-Quantum Ratchet) नाम देखकर लगता है कि Signal टीम में कोई रोमन इतिहास का शौकीन है

    • आप लोग रोमन साम्राज्य के बारे में कितनी बार सोचते हैं?

    • शायद यह चैट ऐप के लिए आदर्श शब्द "Speaker" का कोई रूपांतर भी हो सकता है

  • Signal की सबसे बड़ी कमज़ोरी फ़ोन नंबर आधारित identity verification है। सिर्फ़ हैकर्स ही नहीं, authoritarian सरकारें भी कभी भी नंबर के स्वामित्व पर कब्ज़ा कर सकती हैं। भविष्य के ख़तरे अपनी जगह, लेकिन प्राथमिकताएँ बदलनी चाहिए

    • बहुत से secure messengers बिना फ़ोन नंबर के अच्छी तरह चलते हैं। ऐसी सेवाएँ metadata protection में भी बेहतर हैं। कई देशों में SIM कार्ड वास्तविक पहचान से जुड़े होते हैं, इसलिए Signal का तरीका व्यवहारिक रूप से बड़ा entry barrier बन जाता है

  • मैं चाहता हूँ कि Signal message transport layer, यानी एक तरह का 'transport bus' बने। उदाहरण के लिए, अगर मैं किसी खास संपर्क (जैसे पत्नी) से सुरक्षित रूप से location information माँग और भेज सकूँ, तो Google पर निर्भर रहने की ज़रूरत नहीं होगी। identity verification का काम Signal पहले ही हल कर चुका है, इसलिए अब उसे Signal के ऊपर apps बनाने के लिए प्रोत्साहित करना चाहिए। 2FA भी अगर Signal से हो, तो SMS से ज़्यादा सुरक्षित होगा

    • मुझे लगता है Signal पर third-party apps लगभग न होने की एक वजह AGPL 3 license भी हो सकती है

  • आधुनिक Signal प्रोटोकॉल की Matrix, MLS जैसी चीज़ों से तुलना भी ज़रूर देखना चाहूँगा। यह सब इतनी तेज़ी से बदल रहा है कि साथ बने रहना मुश्किल है, इसलिए मौजूदा समय में इनके रिश्ते को समझना दिलचस्प होगा

    • संक्षेप में कहें तो, Signal Protocol उन क्रिप्टोग्राफ़िक प्रोटोकॉलों के परिवार का सामूहिक नाम है जिन्हें Signal समय के साथ लगातार विकसित करता आया है। इसकी शुरुआत Double Ratchet से हुई, फिर PQXDH(प्रारंभिक key exchange में Kyber512 का उपयोग), और अब SPQR ratchet(सेशन रिफ्रेश एन्क्रिप्शन तक PQ लागू) तक पहुँच गया है। Signal की ताकत metadata protection है(ग्रुप संरचना उजागर नहीं होती, sealed sender आदि), और इसका संचालन पूरी तरह केंद्रीकृत है, साथ ही मूल implementation के अलावा third-party implementations पर रोक है(AGPL+CLA)।
      Matrix एक open standard है, जो Olm+Megolm(Double Ratchet + group key ratchet) संयोजन का उपयोग करता है, और उसका metadata सर्वर के सामने खुला रहता है(ग्रुप संरचना सर्वर को दिखती है, attribute values plaintext में स्टोर होती हैं आदि; सुधार कार्य जारी है: Element ब्लॉग - room metadata encryption plan)। इसकी संरचना distributed है, इसलिए कोई भी सर्वर चला सकता है।
      अंत में MLS(RFC 9420) एक group membership और key exchange protocol है, जो Double Ratchet का विकल्प बन सकता है, और हाल में इसमें PQ लागू करने के प्रस्ताव भी आए हैं। इसका performance प्रति समूह O(log N) के हिसाब से कुशल है। यह अभी पूरी तरह परिपक्व नहीं है और Double Ratchet की तुलना में अधिक जटिल है। इसका प्रसार धीमा है, लेकिन IETF standard होने के कारण Google इसे RCS, Discord/Webex VoIP आदि में अपना रहा है। यह metadata hiding या cryptographic deniability प्रदान नहीं करता

  • यह लेख मेरे द्वारा पढ़े गए एन्क्रिप्शन-संबंधी लेखों में सबसे बेहतरीन लिखावट वाला है। मुझे लगता है कि इस क्षेत्र की कुछ बुनियादी समझ है, लेकिन इसी तरह के दूसरे लेख पढ़ते हुए बीच में सचमुच आँखें थक जाती थीं। इस बार, विषय बिल्कुल नया होने के बावजूद, मैं पूरा प्रवाह आसानी से समझ पाया

  • क्या कोई quantum cryptography threat को अच्छी तरह जानने वाला व्यक्ति आसान भाषा में समझा सकता है कि Signal का नया प्रोटोकॉल अब कैसे ज़्यादा सुरक्षित हुआ है? पढ़ने के बाद भी मुझे साफ़ समझ नहीं आया कि सुरक्षा कहाँ बढ़ी है। यह भी जानना है कि क्या इससे वास्तविक उपयोग में कोई noticeable speed impact पड़ता है

    • सरल शब्दों में कहें तो मानक threat model यह है कि विरोधी अभी ciphertext को decrypt नहीं कर सकता, लेकिन भविष्य में जब quantum computer संभव हो जाएँ, तब आज जमा किए गए encrypted data को एक साथ decrypt कर सके। इसे "Harvest and decrypt" मॉडल कहते हैं। अगर Signal में आज साझा किए जा रहे secrets को लंबे समय तक गुप्त रखना है, तो आज से ही PQ key agreement चाहिए। यही वजह है कि PQXDH जैसे नए प्रोटोकॉल ज़रूरी हैं।
      PQ ratchet इसलिए महत्वपूर्ण है क्योंकि बहुत यथार्थवादी खतरा यह भी है कि हमला करने वाला सिर्फ़ लंबे समय तक ciphertext जमा नहीं करेगा, बल्कि किसी समय device hack या implementation flaw के कारण keys भी लीक हो सकती हैं। इसलिए forward secrecy और post-compromise security, दोनों तरह की सुरक्षा चाहिए। अगर keys लगातार बदलती रहें, तो किसी एक समय समझौता हो जाने पर भी न पुराने संदेश और न भविष्य के संदेश पूरी तरह जोखिम में आते हैं। लेकिन quantum माहौल में यह सुरक्षा तभी ठीक से काम करेगी, जब पूरी ratchet संरचना भी PQ हो। वरना हमलावर ratchet के उसी हिस्से को निशाना बनाएगा, और पूरी सुरक्षा टूट जाएगी

    • Signal के पुराने quantum-resistant crypto implementation में PCS(post-compromise security) नहीं थी। इस बार है। अब जाकर PCS का मतलब ठीक से समझ आया, अच्छा लगा। यह नया विचार लग रहा था, लेकिन थोड़ा अफ़सोस हुआ कि OTR(Off-the-Record) protocol में भी इस तरह का तरीका पहले से इस्तेमाल होता था। यह key exchange बहुत बार नहीं होता, इसलिए वास्तविक performance impact लगभग नहीं के बराबर है

    • आधिकारिक ब्लॉग का सार:

      1. उपयोगकर्ता के नज़रिए से ऐप इस्तेमाल करने का अनुभव नहीं बदलेगा
      2. यह प्रोटोकॉल बदलाव अपने-आप होगा, किसी अलग कार्रवाई की ज़रूरत नहीं
      3. इससे भविष्य के quantum computer threat तक से सुरक्षा मिलती है, जबकि मौजूदा security principles(forward/post-compromise security) भी बरकरार रहते हैं

  • Sono pazzi, questi Romani(ये रोमन सचमुच पागल हैं)

    • Die spinnen, die Römer!(ये रोमन सनकी हैं)