双棘轮算法：端对端加密安全协议，原理以及流程详解

我们继续讲解signal的核心技术：双棘轮。

在上一篇，我们先讲了：X3DH，FS(前向安全)，PCS(后向安全)，然后简单提了密码学中的DH，HMAC, KDF, HKDF。这一篇，我们将详细讲解双棘轮这个核心技术。

如果你要跟某个人进行安全通信，你会如何设计

假设你要做个系统，可以和某个人安全通信，站在安全性的角度，技术上应该如何设计？

思考时间......
思考时间......
思考时间......

1. 首先，你可能会想到，如何与对方进行密钥协商，这就涉及到DH。
2. 其次，出于极致的安全性要求，你会考虑FS(前向安全)，PCS(后向安全)。如何保证在某次通信中，被破解出来的密钥，不能破解出之前的消息，而且在一定周期内，这个破解出来的密钥将不会再起作用。

下面，我们来看看双棘轮是如何做的

棘轮

我们先来感性认识一下棘轮：

pic2.1_mark.jpg

从感观上，棘轮就是一种特殊的齿轮，他只能往一个方向转下去，而不能往回转。

在技术上，做到"只能往一个方向转下去，而不能往回转"，是达到FS(前向安全)的关键。比如KDF，导出的KDF链只能往后面派生，而不能计算出前向的密钥，这就保证了，如果某一轮的密钥被破解出来，但前面的密钥是无法计算出来的，也就是前面的消息无法被解密。

双棘轮

双棘轮，就是说，signal用了两个棘轮来保证其安全性。这里先不展开，我们到最后再看，可能会更加清楚。

我们以一个真实场景来讲解signal的通信技术

我们还是以Alice与Bob通信为例，讲解这个核心技术。

Alice主动给Bob发第一条消息

X3DH

Alice要主动与Bob联系，首先要进行密钥协商。由于Bob可能不在线，所以Alice可以借助Bob存放在Server的公钥进行。

Signal用的是X3DH，即Alice会去Server拿到Bob的长期公钥IdentityKey，以及中期的公钥SignedPreKey，以及临时的公钥PreKey。然后做X3DH，导出一个密钥。

X3DH的具体做法可以看我的上一篇文章。

发送链与接收链

在signal中，Alice与Bob都分别有自己的发送链(chain)以及接收链。如下图所示：

pic2.2_mark.jpg

这两种链分别计算发送密钥以及接收密钥。

第一条消息

总体流程如下图（为了能更简单清晰地解释，下面的图已经是简化过后的图）：

pic2.3_mark.jpg

Alice要给Bob第一条消息，需要初始化发送链：

1. DH棘轮：Alice首先使用双棘轮中的第一个棘轮：DH棘轮，进行DH计算，具体流程是：
   a) Alice生成一对临时的key pair(公私钥对)
   b) 用这个临时的key pair的私钥与Bob SignedPreKey的公钥进行DH计算。

2. KDF棘轮：Alice再使用双棘轮中的第二个棘轮：KDF棘轮，导出三个密钥KeyA1、Key1以及Key2。其中，KeyA1用于下一次发送链的Root Key（即salt），Key1用于加密消息，Key2用于派生下一轮的密钥。

3. 发送链密码派生：如果Bob一直不给Alice发送消息，则Alice则一直使用此发送链发送消息，如上图所示，第二轮使用Key2加盐进行派生，第三轮使用Key4。

(PS:Signal实际的实现要比上述的复杂，但原理上一致的)

Bob接收到消息

Bob接收到消息后，会做两件事情，第一件是初始化接收链，第二件是初始化发送链。

初始化接收链

如下图所示：

pic2.4 bob received_mark.jpg

与Alice的发送链对应，Bob使用相同的规则初始化接收链。

由于Bob进行X3DH，以及DH之后的值，是一样的，所以可以产生相同的Key1，Key3进行解密。

初始化发送链

Bob在收到Alice的消息后，就可以初始化发送链了：

pic2.5 init send_mark.jpg

与Alice一样：

1. DH棘轮：Bob生成一个临时的key pair，与Alice进行DH
2. KDF棘轮：与Alice一样，用上述的DH做Salt，导出三个密钥
3. 发送链密码派生：与Alice一样，第二轮使用Key2加盐进行派生，第三轮使用Key4

在初始化发送链后，Bob就可以发送消息了。

Bob给Alice回消息

如下图所示：

pic2.6 init received alice.jpg

Bob用自己发送链的密钥加密消息后，给Alice发送消息。Alice在接收消息后，会做两件事情，一个是初始化自己的接收链，第二个是重置自己的发送链。

初始化自己的接收链如上图所示，重置自己的发送链要重点讲讲。

Alice在收到Bob的消息后，会重置发送链

如下图所示：

pic2.7 reinit sending_mark.jpg

Alice在收到Bob的消息后，会重置自己的发送链，可以想像为棘轮往后移了一格，这样，KDF将重新计算，如果之前某轮的密钥泄密了，从此刻开始，之前的密钥将无法解密到消息，这满足了PCS(后向安全)的特性。

具体做法是：

1. Alice生成新的临时key pair，与Bob的SigndPreKey做DH
2. 将上一轮Key Chain导出的KeyA1做Salt，与上述的DH做KDF，导出KeyA2, Key1, Key2，同样，KeyA2为下一轮发送链的salt， Key1用于此轮加密消息，Key2用于KDF。

Ping Pong

如上图所示，Bob在收到Alice的消息后，也会重置发送链。

其实就是Ping Pong，Alice收到Bob消息会重复发送链，Bob也一样。

从Alice的角度总结

从Alice的角度上看，发送链如下变化：

pic2.8 finish_mark.jpg

总结

本文详细讲解了signal中的核心技术：双棘轮，包括了DH棘轮以及KDF棘轮。KDF棘轮保证了FS，而DH棘轮保证了PCS。

如果有什么问题，欢迎留言。