<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>S&amp;P2019 on Lutong's Homepage</title><link>https://www.elliot98.top/tags/sp2019/</link><description>Recent content in S&amp;P2019 on Lutong's Homepage</description><generator>Hugo</generator><language>zh-cn</language><lastBuildDate>Mon, 15 Jul 2019 00:00:00 +0000</lastBuildDate><atom:link href="https://www.elliot98.top/tags/sp2019/index.xml" rel="self" type="application/rss+xml"/><item><title>论文笔记| Proof-of-Stake Sidechains</title><link>https://www.elliot98.top/post/lab/ps2019-6/</link><pubDate>Mon, 15 Jul 2019 00:00:00 +0000</pubDate><guid>https://www.elliot98.top/post/lab/ps2019-6/</guid><description>&lt;h1 id="brief"&gt;Brief&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;Authors: Peter Gazˇi,Aggelos Kiayias and Dionysis Zindros&lt;/li&gt;
&lt;li&gt;conference: S&amp;amp;P2019&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;系统定义区块链中的 side 链的概率，1️以提高区块链的伸缩性和冗余。证明其非常适合使用POS作为共识机制。并将其实现和推广到多个区块链系统中去。&lt;/p&gt;
&lt;p&gt;使用 sidechain 可以解决数据拷贝、扩容、升级区块链协议等。&lt;/p&gt;
&lt;p&gt;形式化定义了什么是sidechain。以及如何将一个账单中的信息转换成另一个账单。定义了其安全性。&lt;/p&gt;
&lt;p&gt;&lt;img src="https://www.elliot98.top/images/sp2019201.png" alt="/images/sp2019201.png"&gt;&lt;/p&gt;
&lt;p&gt;其中用到了一个聚合签名算法 ATMS AD-HOC THRESHOLD MULTISIGNATURES 是一种基于门限的聚合签名算法。&lt;/p&gt;</description></item><item><title>论文笔记| Redactable Blockchain in the Permissionless Setting</title><link>https://www.elliot98.top/post/lab/ps2019-5/</link><pubDate>Wed, 10 Jul 2019 00:00:00 +0000</pubDate><guid>https://www.elliot98.top/post/lab/ps2019-5/</guid><description>&lt;h1 id="brief"&gt;Brief&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;Author：Dominic Deuber, Bernardo Magri and Sri Aravinda Krishnan Thyagarajan&lt;/li&gt;
&lt;li&gt;IEEE S&amp;amp;P 2019&lt;/li&gt;
&lt;/ul&gt;
&lt;h1 id="introductoin"&gt;Introductoin&lt;/h1&gt;
&lt;p&gt;一种基于共识机制的协议，用于解决区块链中非法信息进行预警和和可审计的操作，要求可以很好的兼容当前的 bitcoin。&lt;/p&gt;
&lt;p&gt;由于区块类的写入是不可撤回的、在写入前又无法审计，所以对于没有访问控制的区块链来说很难做到过滤和预警。&lt;/p&gt;
&lt;p&gt;通过投票，多数同意来实现一个 editable 的区块。&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;感觉就是有协议的硬分叉。读完 intro 后个人感觉可能有诸多问题&lt;/p&gt;
&lt;/blockquote&gt;
&lt;h1 id="大致协议"&gt;大致协议&lt;/h1&gt;
&lt;p&gt;对要修改的区块，通过某一个策略函数 P 来决定是否通过，有 accept reject 和vote 三种结果。如果最终接受修改，则由全体成员执行修改的过程。如果投票，则经过多轮投票过程后决定结果&lt;/p&gt;
&lt;p&gt;如果要对之前某一个区块修改，则保留其原始数据，并对对其进行修改。此时需要对于验证区块和区块链的算法进行一定修改。&lt;/p&gt;
&lt;h1 id="实现和评估"&gt;实现和评估&lt;/h1&gt;
&lt;p&gt;最后在bitcoin 上加以实现，而后对安全性和性能进行了评估和分析。&lt;/p&gt;</description></item><item><title>论文笔记| Towards Practical Differentially Private Convex Optimization</title><link>https://www.elliot98.top/post/lab/ps2019-4/</link><pubDate>Wed, 10 Jul 2019 00:00:00 +0000</pubDate><guid>https://www.elliot98.top/post/lab/ps2019-4/</guid><description>&lt;h1 id="brief"&gt;Brief&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;Roger Iyengar Carnegie Mellon University&lt;/li&gt;
&lt;li&gt;Om Thakkar Boston University&lt;/li&gt;
&lt;li&gt;Joseph P. Near University of California, Berkeley&lt;/li&gt;
&lt;li&gt;Abhradeep Thakurta University of California, Santa Cruz&lt;/li&gt;
&lt;li&gt;Dawn Song University of California, Berkeley&lt;/li&gt;
&lt;li&gt;Lun Wang Peking University&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;将差分隐私用于凸优化问题中，并处理实际数据集合。文中给出了一个新的训练算法。&lt;/p&gt;</description></item><item><title>论文笔记| True2F: Backdoor-resistant authentication tokens</title><link>https://www.elliot98.top/post/lab/ps2019-3/</link><pubDate>Tue, 09 Jul 2019 00:00:00 +0000</pubDate><guid>https://www.elliot98.top/post/lab/ps2019-3/</guid><description>&lt;h1 id="brief"&gt;Brief&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;author: Emma Dauterman, Henry Corrigan-Gibbs, David Mazières, Dan Boneh, Dominic Rizzo&lt;/li&gt;
&lt;li&gt;From: Stanford and Google&lt;/li&gt;
&lt;/ul&gt;
&lt;h1 id="introduction"&gt;Introduction&lt;/h1&gt;
&lt;p&gt;双因子认证是目前对抗弱密码等恶意攻击的有效手段。其中一种是使用 U2F 硬件认证。但是使用硬件也可能给系统带来新的安全隐患（后门等）。&lt;/p&gt;
&lt;p&gt;由于 U2F 在分发过程中需要在服务器中记录 seed，一旦攻击装获取seed就可以恢复公私钥，进而破坏系统安全性。&lt;/p&gt;
&lt;p&gt;使用主秘钥和会话秘钥分离也可能发生cache和 swap 攻击等。&lt;/p&gt;
&lt;h1 id="u2f-认证过程"&gt;U2F 认证过程&lt;/h1&gt;
&lt;p&gt;U2F 双因子认证设计三个对象：U2F 硬件、浏览器和可靠服务器。&lt;/p&gt;
&lt;h1 id="协议要求"&gt;协议要求&lt;/h1&gt;
&lt;ol&gt;
&lt;li&gt;防止恶意的token&lt;/li&gt;
&lt;li&gt;防止 compromised browser&lt;/li&gt;
&lt;li&gt;Protect against token fingerprinting.&lt;/li&gt;
&lt;li&gt;对服务器端透明&lt;/li&gt;
&lt;li&gt;不改变硬件条件&lt;/li&gt;
&lt;/ol&gt;
&lt;h1 id="密码学技术"&gt;密码学技术&lt;/h1&gt;
&lt;h2 id="1-数字签名"&gt;1. 数字签名&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;Sig.KeyGen() → (sk, pk). Output a secret signing key sk and a public verification key pk.&lt;/li&gt;
&lt;li&gt;Sig.Sign(sk, m) → σ. Output a signature σ on the message m ∈ M using the secret key sk.&lt;/li&gt;
&lt;li&gt;Sig.Verify(pk, m, σ) → {0, 1}. Output “1” iff σ is a valid signature on message m under public key pk.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="2-verifiable-random-function-vrf"&gt;2. Verifiable random function (VRF)&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;VRF.KeyGen() → (skVRF, pkVRF). Output a secret key and a public key.&lt;/li&gt;
&lt;li&gt;VRF.Eval(skVRF, id) → (y, π). Take as input the secret key skVRF, and an input id ∈ I, and output a value y ∈ Z∗q along with a proof π.&lt;/li&gt;
&lt;li&gt;VRF.Verify(pkVRF, id, y, π) → {0, 1}. Take as input the public ∗
keypkVRF,apurportedinput-outputpair(id,y)∈I×Zq,and a proof π. Return “1” iff π is a valid proof that (id, y) is an input-output pair.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="3-new-tool-verifiable-identity-families-vifs"&gt;3. New tool: Verifiable identity families (VIFs)&lt;/h2&gt;
&lt;p&gt;作者在 VRF 的基础上加以修改，成为 VIFs&lt;/p&gt;</description></item><item><title>论文笔记| Why Does Your Data Leak? Uncovering the Data Leakage in Cloud from Mobile Apps</title><link>https://www.elliot98.top/post/lab/ps2019-2/</link><pubDate>Tue, 09 Jul 2019 00:00:00 +0000</pubDate><guid>https://www.elliot98.top/post/lab/ps2019-2/</guid><description>&lt;h1 id="brief"&gt;Brief&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;author: Chaoshun Zuo, Zhiqiang Lin, Yinqian Zhang&lt;/li&gt;
&lt;li&gt;IEEE S&amp;amp;P 2019&lt;/li&gt;
&lt;/ul&gt;
&lt;h1 id="introduction"&gt;Introduction&lt;/h1&gt;
&lt;ol&gt;
&lt;li&gt;系统评估移动终端使用云存储时候的数据泄露&lt;/li&gt;
&lt;li&gt;编写程序自动化完成评估&lt;/li&gt;
&lt;li&gt;对各种软件进行评估，给出风险报告&lt;/li&gt;
&lt;/ol&gt;
&lt;h1 id="background"&gt;Background&lt;/h1&gt;
&lt;blockquote&gt;
&lt;p&gt;为什么要使用 Cloud API？&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;减少成本，无需自己搭建后端或租用服务器，无需考虑鲁棒性和伸缩性。&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;Cloud API 的两种秘钥&lt;/p&gt;
&lt;/blockquote&gt;
&lt;ol&gt;
&lt;li&gt;app key： 有限权限，用于访问公开数据并可以隔离资源，防止在用户app中。&lt;/li&gt;
&lt;li&gt;root key： 完整的访问权限，用于开发和管理&lt;/li&gt;
&lt;/ol&gt;
&lt;h1 id="系统分析"&gt;系统分析&lt;/h1&gt;
&lt;ol&gt;
&lt;li&gt;秘钥误用，将两种秘钥混用&lt;/li&gt;
&lt;li&gt;访问控制配置错误&lt;/li&gt;
&lt;/ol&gt;
&lt;h1 id="自动化分析框架"&gt;自动化分析框架&lt;/h1&gt;
&lt;p&gt;方法：根据 API 的句柄、输入输出参数来判断。&lt;/p&gt;
&lt;p&gt;包括：Cloud API identification、String Value identification 和 Vulnerability Identification。&lt;/p&gt;
&lt;h1 id="评估"&gt;评估&lt;/h1&gt;
&lt;p&gt;对大量程序进行了分析，分析结果略&lt;/p&gt;</description></item><item><title>论文笔记| Resident Evil: Understanding Residential IP Proxy as a Dark Service</title><link>https://www.elliot98.top/post/lab/ps2019-1/</link><pubDate>Mon, 08 Jul 2019 00:00:00 +0000</pubDate><guid>https://www.elliot98.top/post/lab/ps2019-1/</guid><description>&lt;h1 id="brief"&gt;Brief&lt;/h1&gt;
&lt;ul&gt;
&lt;li&gt;Meeting: S&amp;amp;P 2019&lt;/li&gt;
&lt;li&gt;Authors: Xianghang Mi, Xuan Feng, Xiaojing Liao, Baojun Liu,
XiaoFeng Wang, Feng Qian, Zhou Li, Sumayah Alrwais, Limin Sun, Ying Liu&lt;/li&gt;
&lt;/ul&gt;
&lt;h1 id="background"&gt;Background&lt;/h1&gt;
&lt;p&gt;分布式反射拒绝服务攻击体现了一种利用新型的家用IP代理的攻击方式。&lt;/p&gt;
&lt;p&gt;Residential IP Proxy as a Service (RPaaS) 指代了控制了大量家用终端（自愿加入）的提供代理网络的服务。一些公司提供这样的服务。这种服务可以用于 DoS，爬虫，恶意破坏 SEO 等非法攻击。&lt;/p&gt;
&lt;h1 id="conclusions"&gt;Conclusions&lt;/h1&gt;
&lt;ol&gt;
&lt;li&gt;这种网络分布在 238 个国家，52905 个独立IP。其中 95% 是家庭设备。&lt;/li&gt;
&lt;li&gt;发现大量设备并非自愿加入网络。即使是部分设备也是妥协的结果&lt;/li&gt;
&lt;li&gt;正在运行在代理网络之上的有 67 个程序，其中 50 个可能是恶意的程序。&lt;/li&gt;
&lt;li&gt;只有 9.36% 的终端检测到了这种恶意流量，更有部分安全检测主机是 RPaaS 的一员。&lt;/li&gt;
&lt;li&gt;代理商可能使用其他代理商的网络（多级零售），有些代理商没有背景审查并接受比特币。&lt;/li&gt;
&lt;li&gt;鉴别了后台网关。这些网关部分被检测到而已并被屏蔽。&lt;/li&gt;
&lt;/ol&gt;
&lt;h1 id="method-and-dataset"&gt;Method and Dataset&lt;/h1&gt;
&lt;p&gt;这些网络通过 http/https 等方式发起请求。&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;一个实验用的客户端发起某一个域名的请求。这些域名中包括了时间戳，uuid等信息。&lt;/li&gt;
&lt;li&gt;一个dns服务器，用于由网络中的host查询dns时候，记录发送方的ip等信息，并返回接收器的ip&lt;/li&gt;
&lt;li&gt;一个接收器，用于接收最终的请求。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;为了对流量进行伪装。作者使用了多个位于不同地域的服务器。并对流量使用 aes128 加密。&lt;/p&gt;</description></item></channel></rss>