ProPublica 发表了一篇文章，研究了 WhatsApp 平台的隐私声明。WhatsApp 以端到端加密机制著称，大多数用户认为其母公司 Facebook 既无法读取消息内容、也无法将其转发给执法部门。但这种认知明显与一个简单的事实相矛盾—— Facebook 雇用了约 1000 名 WhatsApp 内容审核人员，他们的工作内容就是审查被标记的 WhatsApp 信息。WhatsApp 端到端加密机制中的漏洞很简单：任何 WhatsApp 消息接收者都可以对内容进行标记。标记之后，消息内容会被复制到收件人的设备上，再以独立消息的形式被发送到 Facebook 手中以供审核。与 Faecbook 平台的标准一样，WhatsApp 上的内容同样需要根据反欺诈、垃圾邮件、儿童色情及其他非法活动的标准接受审查。当消息接收者将 WhatsApp 信息做出标记时，当前内容将与同一线程中的最近四条先前消息一同接受处理，再以工单附件的形式被发送至审核系统。尽管还没有任何迹象表明 Facebook 会在未经收件人手动标记的情况下收集用户消息，但需要强调的是，这里面其实并没有什么技术障碍。“端到端加密”的安全性取决于端点本身——对于移动消息应用，也就是应用程序及其用户。例如，“端到端”加密消息传递平台可以选择对设备上的全部消息执行基于 AI 的自动内容扫描，之后将自动标记的消息转发至云端以采取进一步处理。如此一来，用户的隐私保障仍然只能由政策条款和对平台的信任来保证。

NSA 表示“不确定量子计算机何时、或者是否能够破解公钥加密技术。”在被问及是否需要担心攻击方使用量子算力开展入侵时，NSA 表示“不清楚量子计算机何时、或者能否拥有破解公钥密码术的能力。”在 FAQ 中，NSA 描述了 Cryptographically Relevant Quantum Computer(CRQC) （CRQC）这一概念，即能够实际攻击现实加密系统的量子计算机。但目前来看，这一概念能否实现还不确定。虽然 NSA 也认同此类计算机会对数字安全基础设施造成“破坏”，但也强调他们并不太相信这样的 CRQC 能被实际制造出来。但面对越来越多的量子计算研究成果，NSA 也不得不抢先一步、支持后量子 时代下的密码标准开发工作，希望最终过渡到此类更为安全的加密新时代。

生长在纽约的我一直有个间谍梦。1968 年 1 月从大学毕业时，冷战与越南战争的肃杀氛围正在全美蔓延，间谍职业风险很高。所以我选择成为一名电气工程师，为美国国防承包商开发实时频谱分析仪。1976 年在参观华沙的波兰陆军博物馆时，我看到一台二战时期德国著名的 Enigma 密码机。它的精妙设计让我着迷，于是几年之后，我有幸参观位于瑞士施泰因豪森的密码机公司 Crypto AG（CAG）总部，并在此结识了一位高级密码学家。这位朋友还给了我一份由公司创始人 Boris Hagelin 撰写的公司发展史，其中提到了 1963 年诞生的密码机 HX-63。

与 Enigma 一样，HX-63 也是一种机电密码系统，即转子密码机。它是 CAG 有史以来制造的唯一一款机电转子密码机，甚至比著名的 Enigma 还更先进、也更安全。事实上，它可以说是人类历史上最安全的转子密码机。我真的很想上手把玩一番，但总是找不到机会。

快进到 2010 年，当时我在法国军事通信基地一处肮脏的负三层地下室里。在一位两星中将及通讯官的陪同下，我进入一个堆满了古老军用无线电和密码机的安全室。看看！这有一台 CAG HX-63，几十年来无人问津、被摆在尘土飞扬的架子上面。

我小心翼翼地抬起这台 16 公斤重的机器，右侧的手摇曲柄使它能在不插电的情况下正常运行。在小心转动之后，我在机械键盘上输入的每个字符都通过九个转子的转换，最终由压印轮打印在纸带上。我当场就决定，要立刻找一台能够恢复至完美工作状态的 HX-63。

很多人可能从来没听说过 HX-63，没关系——因为大多数密码学家也没听说过。但它确实非常安全，甚至让有史以来最伟大的密码分析专家之一、曾在上世纪五十年代初担任 NSA 第一位首席密码学家的 William Friedman 感到震惊。在阅读了 1957 年由 Hagelin 申报的专利之后，Friedman 意识到这台正在开发的 HX-63 要比 NSA 自己的 KL-7 更安全——而 KL-7 已经被认为是一台牢不可破的加密设备。冷战期间，NSA 从 1952 年到 1968 年制造了数千台 KL-7，被美国各个军事、外交与情报机构广泛使用。

众多新加密技术寻求抵御未来量子计算机强大算力带来的攻击压力，但这些技术自身往往也需要耗费巨大的处理能力。如今德国科学家开发出一种微芯片能高效实现此类技术、大大降低算力需求，推动“后量子密码学时代”快速走进现实。 在理论上量子计算机能快速为经典计算机可能需要数亿年才能解决的问题找出答案。例如，现代密码学的大部分解决方案，都依赖于经典计算机在处理极大数等数学问题时的天然缺陷，而量子计算机能轻松运行在短时间内快速解决这些问题的算法。 为了在这场安全攻防战中保持领先，世界各地的研究人员正在设计后量子密码算法，希望提出量子计算机与经典计算机都难以解决的全新数学问题。慕尼黑工业大学电气工程师 Georg Sigl 解释道，这些算法大多数依赖于以多点阵或向量为基础的点阵加密方法。 简而言之，点阵加密算法通常会在点阵当中选定保密消息所需要的目标点。在此之后，算法会添加随机噪声，因此该点会接近、但又不完全存在于某个其他点阵上。Sigl 称，无论是经典计算机还是量子计算机，都很难在不清楚具体添加了什么噪声的前提下找到原始目标点和与之对应的保密信息。点阵的规模越大，破解的难度就越高。 然而，在涉及到生成随机性与多项式相乘等运算时，基于点阵的密码算法往往需要可观的处理能力。现在，Sigl 和他的同事们开发出一种带有定制加速器的微芯片，能高效完成这些运算步骤。 这款新芯片基于 RISC-V 标准。Sigl解释道，其硬件组件与控制软件能够相互补充，从而有效生成随机性并降低多项式乘法的复杂度。这项工作的工业合作伙伴包括西门子、英飞凌以及 Giesecke + Devrient 等德企。Sigl 最后总结道，与完全基于软件的解决方案相比，这款全新芯片在执行 Kyber（目前最具前途的后量子点阵密码算法之一）加密时的速度可提升至约十倍，而且电力消耗也可缩减至八分之一左右。

1990 年代的加密算法受制于出口管制规定，强加密算法被限制出口，因此很多当时广泛使用的加密算法是所谓的“弱加密”，也就是可能含有有意加入的后门，使得加密后的数据容易破解。现在，德国波鸿鲁尔大学的研究人员与法国和挪威的同事合作发表了一篇论文，发现 1990 年代实现的移动手机加密算法 GEA-1 含有后门。GEA-1 仍然包含在最近几年发售的 Android 和 iOS 手机中，它本应该早在 2013 年就需要被淘汰了。这个后门对情报机构可能没什么价值了，因为任何人都可以利用该漏洞。研究人员分析了两种加密 2G 数据的算法 GEA-1 和 GEA-2，它们都是弱加密算法，其中 GEA-1 密钥非常容易破解，因此被认为包含有意加入的后门。

Android Messages 消息应用开始向每一位用户提供端对端加密功能。但目前端对端加密只支持用户个人之间的聊天，不支持群聊。聊天双方都需要启用 Rich Communication Services (RCS)聊天功能，如果你看到发送按钮上有锁的图标，那么你发送的消息将是加密的。Beta 测试用户从去年 11 月开始就可以使用端对端加密，本周开始 Google 将该功能推送给所有用户。

Google 宣布在 Apache License 2.0 许可证下开源首个全同态加密（FHE）的通用转译器，源代码托管在 GitHub 上。全同态加密允许对密文进行特定的代数运算得到仍然是加密的结果，与对明文进行同样的运算再将结果加密一样。这项技术可以在加密的数据中进行检索、比较等操作，整个处理过程中无需对数据进行解密。同态加密技术从根本上解决将数据及其操作委托给第三方时的保密问题。今天的文件通常是在传输和存储时加密，使用时解密，存在安全弱点，FHE 可解决该问题。FHE 也可以私密的方式使用敏感数据训练机器学习模型。

6 月 6 日是 PGP 1.0 发布三十周年。PGP 作者 Philip Zimmermann 回忆说，当年他将 Pretty Good Privacy 上传到了互联网上，开启了结束美国对强加密软件出口管制的十年之路。PGP 1.0 发布之后，很多志愿者帮助改进了软件，1992 年 9 月发布了支持 10 种语言和多个平台的 PGP 2.0。因为允许 PGP 扩散到世界各地违反美国的武器出口管制法他成为了刑事调查的对象。但这反而推动了 PGP 的流行。美国政府在 1996 年初放弃了调查，相关的政策争论仍然在激烈进行，最终在 2000 年结束了美国对强加密软件的出口管制。PGP 点燃了十年的加密战争，最终导致所有西方民主国家放弃了对使用强加密软件的限制。Philip Zimmermann 说他希望 PGP 用于人权应用，传播到世界各地，尤其是那些人民需要保护自己抵御政府的地方。

加密消息应用 Signal 宣布它收到了加州中区检察官办公室的传票，索要 Signal 用户数据，但在其它应用中很容易提取的用户信息在 Signal 服务器上是基本上不存在的。传票要求获得用户的地址、通信和账号相关的姓名。但 Signal 默认启用了端对端加密，不访问用户信息、好友列表、群组、通讯录、贴纸、用户档案名称等，它能向检方提供的信息只有用户账号创建的 Unix 时间戳和账号上一次连接服务器的时间。

美国国防部高级研究计划署（DARPA）与芯片巨人签署了协议，开发实用的全同态加密。全同态加密（Fully homomorphic encryption，简写 FHE）允许对密文进行特定的代数运算得到仍然是加密的结果，与对明文进行同样的运算再将结果加密一样。这项技术可以在加密的数据中进行检索、比较等操作，整个处理过程中无需对数据进行解密。同态加密技术从根本上解决将数据及其操作委托给第三方时的保密问题。由于 FHE 会带来巨大的性能开销，因此其普及相对比较缓慢。英特尔声称，相比现有的 CPU 驱动的 FHE，它开发的专用加速芯片能将处理时间降低五个量级。

2014 年前，我们很多人并不知道许多关键基础组件虽然人人用但却无人维护。Heartbleed 漏洞的披露让人们意识到 OpenSSL 就是这样一个组件。这促使 Linux 基金会发起了 Core Infrastructure Initiative 倡议，资助关键基础组件的开发和维护。OpenBSD 项目则采用了另一种方法：创建 OpenSSL 分支 LibreSSL。该分支之后被 OpenBSD 发行版使用并活跃开发至今。自 2018 年底发布的 2.9.0 起，LibreSSL 项目合并了 36 名开发者的 1,554 个补丁。但在同一时间内，OpenSSL 合并了 276 名开发者的 5000 多个补丁。绝大部分工作是由使用 OpenSSL 的组织完成的，包括了 Oracle、Siemens、Akamai、Red Hat、IBM、VMware、Intel 和 Arm，以及 OpenSSL 软件基金会。如此程度的支持让 OpenSSL 项目解决了它的许多长期问题，它更安全也更稳定了。结果是很少有 Linux 发行版迁移到 LibreSSL。Alpine Linux 和 Gentoo 发行版尝试提供 LibreSSL，其中 Alpine Linux 很快就返回到了 OpenSSL，而 Gentoo 对 LibreSSL 的支持将在今年 2 月结束。Gentoo 开发者指出，LibreSSL 相比 OpenSSL 并没有提供多少好处，反而增加了更多成本。

一个密码破解团队破译了十二宫杀手（Zodiac killer）留下的一段 340 字符长的密码。但破译结果对于破解十二宫杀手身份之谜并无帮助。十二宫杀手是一名于 1960 年代晚期在加州北部犯下多起凶案的连环杀手。直至 1974 年为止，他寄送了许多封以挑衅为主的信件给媒体，并在其中署名。信件中包含了四道密码。David Oranchak、Sam Blake 和 Jarl Van Eycke 成功破译了密码 Z340——1969 年 11 月 8 日寄给《旧金山纪事报》的密码。这一结果已获得 FBI 确认。破译后的明文并没有多少意义，仍然只是在挑衅。

IBM 透露它成功完成了全同态加密的实地测试。全同态加密（FHE）允许对密文进行特定的代数运算得到仍然是加密的结果，与对明文进行同样的运算再将结果加密一样。这项技术可以在加密的数据中进行检索、比较等操作，整个处理过程中无需对数据进行解密。同态加密技术从根本上解决将数据及其操作委托给第三方时的保密问题。今天的文件通常是在传输和存储时加密，使用时解密，存在安全漏洞，FHE 可解决该问题。当然 FHE 也有它的问题，那就是开销巨大。相比未加密，FHE 加密的机器学习模型需要 40-50 倍的计算能力，10-20 倍的内存占用。IBM 为一家美国大型银行和一家欧洲大型银行执行了全同态加密的实地测试，美国的研究已经在 2019 年发表，欧洲的研究则仍然保密。

在法国警方破解犯罪组织使用的加密通讯网络植入间谍程序监视其通讯之后，欧洲警方通力协作逮捕了数百人，扣押了大量的毒品、枪支和现金，如英国扣押了 5400 万英镑现金，荷兰扣押了 8000 公斤海洛因和 1200 公斤冰毒以及 2000 万欧元现金。本案的规模前所未见。犯罪分子使用的加密网络是名叫 Encrochat 的加密 Android 手机。Encrochat 自称是一个端对端的安全解决方案，其部分型号是基于西班牙公司的 BQ Aquaris X2 手机，手机可以切换运行两个系统，一个是未加密的标准 Android 系统，另一个则是加密版本，安装了 Encrochat 加密消息应用，所有消息都路由经过其服务器，手机还移除了 GPS、摄像头和麦克风功能。Encrochat 以订阅的模式出售手机，一部手机一年的订阅费用多达数千美元。Encrochat 自称是一家合法的公司，但没人知道公司所有者和位置。它的很多客户被认为都是犯罪分子，法国当局称超过九成的法国 Encrochat 客户从事犯罪活动。Encrochat 手机有一项功能，在需要的时候可以输入 Pin 码清空手机。正是这项功能的失效让 Encrochat 注意到它成为了政府机构的目标。今年 5 月 Encrochat 用户报告清空手机的功能失效了。在调查之后 Encrochat 发现手机功能失效的原因是手机被安装了恶意程序。恶意程序能在消息加密发送前读取和将其储存，恶意程序是专门为 X2 型号手机定制的。Encrochat 随后推送了更新恢复了功能，但恶意程序也紧跟着更新并变得更强大。Encrochat 还意识到它的 SIM 卡供应商 KPN 可能正在与当局合作。它决定立即关闭 SIM 和其网络。它向所有客户发去通知，警告设备已经不再安全，建议立即关机并将其抛弃。但为时已晚，欧洲各国警方发起了大规模行动，逮捕了数以百计的毒贩和武器交易商。

Zoom 正在开发端对端加密技术，公司 CEO 袁征本月初表示，该公司正在为企业级客户开发端对端加密，但免费的用户不会享受到这种程度的隐私，因为端对端加密将让第三方不可能解密通信。袁征说，为防止用户将 Zoom 用于恶意目的，配合 FBI 和当地执法机构，免费用户不会获得端对端加密服务。他的说法遭到了广泛的批评。现在，Zoom 改变了主意，宣布将为所有用户提供端对端加密。虽然 Zoom 总部位于加州，但公司的主要技术团队都位于中国。

以色列本古里安大学的安全研究人员找到了一种方法利用悬挂着的白炽灯监听 25 米外的对话。他们的监听设备是一台配备了电光传感器的望远镜，需要视线清晰没有障碍物，监听质量依赖于人与灯泡之间的距离和对话声音的响度。其背后的原理是对话或音乐的声音会在挂灯表面产生气压变化，导致其发生细微的振动。研究人员开发了名为 Lamphone 的算法去将灯泡振动的光学测量信息还原为声音。这种监听可以被动完成，不需要待在同一个房间。

IBM 发布了完全同态加密（fully homomorphic encryption，FHE）工具集，源代码发布在 GitHub 上，采用 MIT 许可证。目前 FHE 工具集只支持 MacOS 和 iOS，未来几周会发布支持 Linux 和 Android 的版本。同态加密允许对密文进行特定的代数运算得到仍然是加密的结果，与对明文进行同样的运算再将结果加密一样。这项技术可以在加密的数据中进行检索、比较等操作，整个处理过程中无需对数据进行解密。同态加密技术从根本上解决将数据及其操作委托给第三方时的保密问题。今天的文件通常是在传输和存储时加密，使用时解密，存在安全漏洞，FHE 可解决该问题。

在新冠疫情期间，因远程办公的需要，远程视频会议应用 Zoom 变成了一种基础性服务，其日活用户数从一千万增长到了  3 亿。随着企业复工，今天 Zoom 的日活用户数比 3 亿低了一点，但该公司预计未来会不断超越这一里程碑。因 Zoom 的流行，它的隐私和安全也日益引发关注。公司 CEO 袁征表示，该公司正在为企业级客户开发端对端加密，但免费的用户不会享受到这种程度的隐私，因为端对端加密将让第三方不可能解密通信。袁征说，为防止用户将 Zoom 用于恶意目的，配合 FBI 和当地执法机构，免费用户不会获得端对端加密服务。

今年 2 月，《华盛顿邮报》和德国 ZDF 披露瑞士加密设备公司 Crypto AG 在冷战的大部分时间里被 CIA 和西德的情报机构秘密控制，情报机构纂改了加密设备使他们能更容易的破解加密信息。现在，又一篇学术论文披露了类似五眼的欧洲情报联盟 Maximator。Maximator 成立于 1976 年，成员包括丹麦、法国、德国、瑞典和荷兰。荷兰间谍机构 TIVC 是 Maximator 的关键成员，在 1982 年的英国和阿根廷之间的马岛战争中扮演了重要角色。TIVC 向英国情报机构 GCHQ 详细解释了阿根廷使用的 HC500 Crypto AG 设备，并提供了密码破解方案。

Matrix 项目宣布，其私聊功能将默认启用端对端加密。Matrix 是一个端对端加密、去中心化的实时通讯系统，它没有中心服务器，通过网桥与其它平台互通，它在去年六月发布了 1.0 版本。Matrix 开发者表示，自它首次宣布端对端加密和开始在 Riot 客户端中测试已过去了三年，在大量的打磨和改善用户体验之后，它现在宣布结束测试，在 Riot 中默认对所有新私聊启用端对端加密。 Riot 是最常用的 Matrix 客户端，这意味着 Matrix 作为一个整体默认启用了端对端加密。