29歲青年成為武大最年輕正教授，希望打破國際標準壟斷，制定中國自主的應用密碼學方案

近日，武漢大學宣佈 29 歲的“95 後”青年學者趙莽，以正教授身份加盟該校國家網路安全學院，成為武大歷史上最年輕的正教授，而這距離趙莽博士畢業只有一年左右。

“8 個博士生指標、60 萬年薪、30 萬雷軍教育基金支援，以及 200 萬的安家費”，武漢大學給趙莽帶來了一份優厚待遇。

圖 | 趙莽（來源：武漢大學）

希望打破國際標準壟斷，制定中國自主的應用密碼學方案

據介紹，趙莽此前在德國薩爾大學獲得博士學位。讀博期間，他師從通訊安全領域奠基人、自動化安全性分析工具 Tamarin Prover 創始人之一、前英國牛津大學終身教授卡斯·克雷默斯（Cas Cremers）教授。

在克雷默斯的指導下，趙莽參與了多個國際前沿專案，研究方向涵蓋無密碼認證協議、多方即時通訊協議等。在趙莽此前主導的課題中，最引人注目的是對 FIDO2 協議（WebAuthn 2 與 CTAP 2.1）的安全性分析。這一協議旨在替代傳統密碼系統，但趙莽發現其抵禦量子計算攻擊的能力存在隱患。為此，他提出了全球首個後量子例項化擴充套件方案，從而為網路安全提供了關鍵保障，並獲得了微軟安全響應中心的資助支援。此外，他對 Ed25519 數字簽名演算法的安全性分析成果被全球資訊網聯盟認可為權威研究成果，透過這一成果他揭示了不同演算法版本在安全性上的顯著差異。

2023 年，趙莽來到武漢大學作報告，這次交流促成了雙方對於彼此的認可。未來，趙莽將入職武漢大學國家網路安全學院王騫院長團隊。資料顯示，王騫團隊長期從事網路空間安全領域研究，致力於推動人工智慧系統安全、移動智慧終端安全與隱私保護、應用密碼學創新發展與應用落地。

入職之後，趙莽計劃從三方面發力：一是培養密碼學人才，透過高質量教學與團隊建設夯實學科基礎；二是與國內外學者合作，推動可信計算、抗量子密碼等領域的突破；三是打破國際標準壟斷，制定中國自主的應用密碼學方案。他在武漢大學官方報道中表示：“儘管目前國際社會上的許多密碼協議標準是由國外專家主導制定，但我相信有朝一日我們定能推動更多專案落地，制定出更多中國自主產權的應用密碼學標準方案，並在國際上發揮引領作用。”

密碼學是網路安全的核心領域，尤其在數字經濟時代更是需求迫切。趙莽的研究方向（如自動化協議分析、後量子安全）具有高度戰略意義，契合國家需求，這為其快速晉升提供了客觀條件。

趙莽在密碼學頂級會議（如 IEEE S&P、Usenix Security）發表多篇論文，其中一篇獲最佳論文獎（Top 1.11%）。此外，他還擔任 ACM CCS 等頂級會議的程式委員及期刊審稿人，進一步鞏固了其學術影響力。下文將為大家詳細介紹幾篇趙莽的代表論文。

曾在資訊安全領域頂會發表多篇論文

趙莽目前的代表性成果之一是一篇題為《Ed25519 的可證明安全性：理論與實踐》（The Provable Security of Ed25519：Theory and Practice）的論文，論文發表於 2021 年 IEEE 安全與隱私學術會議（IEEE S&P，IEEE Symposium on Security and Privacy）上。

圖 | 相關論文（來源：IEEE S&P，IEEE Symposium on Security and Privacy）

在密碼安全領域，EdDSA（Edwards-curve Digital Signature Algorithm）是一種基於橢圓曲線的數字簽名演算法，旨在提供高安全性和高效率的數字簽名方案。EdDSA 利用了扭曲愛德華茲曲線（Twisted Edwards curves）的數學特性，這些曲線在橢圓曲線密碼學中因其良好的效能和安全性而受到青睞。

Ed25519 則是 EdDSA 演算法的一個具體實現，它是 EdDSA 家族中最著名和最廣泛使用的例項之一，因其高效性、安全性和簡潔性而備受青睞。

簽名方案的一個標準要求是：它在選擇性訊息攻擊下應該具有不可偽造性，同時還應具備其他重要特性例如具備強不可偽造性，以及針對金鑰替換攻擊具備抵抗能力。

Ed25519 的不同例項被廣泛應用於多種協議中，例如 TLS 1.3、SSH、Tor、ZCash 以及 WhatsApp/Signal 等。值得注意的是，此前尚未有人為 Ed25519 例項的安全屬性提供詳細的證明。

而上述例項之間的差異非常微妙，並且僅僅透過非正式的論證來支援，許多研究假設其結果可以直接從 Schnorr 簽名中遷移過來。（注：Schnorr 簽名是一種基於離散對數問題的數字簽名方案。）

同樣地，一些協議安全性的證明也僅僅假設 Ed25519 能夠滿足諸如“選擇訊息攻擊下的存在不可偽造性”或“選擇訊息攻擊下的強不可偽造性”等屬性。

在這項工作中，趙莽等人首次針對 Ed25519 簽名方案進行了詳細分析和安全證明。

在密碼安全領域，Fiat-Shamir 正規化是現代密碼學中廣泛使用的一種技術，它是一種將互動式零知識證明、轉換為非互動式零知識證明或數字簽名方案的通用方法。

儘管此前一些方案的設計遵循了成熟的 Fiat-Shamir 正規化，理論上應能保證存在不可偽造性，但許多罕見情況和編碼細節使得證明變得複雜，並且所有其他安全性屬性都需要獨立證明。

而趙莽的這篇論文為在多種 Ed25519 變體之間進行選擇並理解其特性提供了科學依據，填補了現代協議證明中使用這些簽名時亟需的證明空白，併為進一步的標準化工作提供了支援。

趙莽目前的代表性成果之二是一篇題為《FIDO2、CTAP 2.1 和 WebAuthn 2：可證明的安全性和後量子實現》（FIDO2, CTAP 2.1, and WebAuthn 2：Provable Security and Post-Quantum Instantiation）的論文，論文發表於 2023 年 IEEE 安全與隱私學術會議（IEEE S&P，IEEE Symposium on Security and Privacy）上。

圖 | 相關論文（來源：IEEE Symposium on Security and Privacy）

在密碼安全領域，FIDO2 協議（Fast Identity Online 2）是一種開放的身份驗證標準，旨在提供更安全、更便捷的無密碼登入體驗。它由位於美國加州的 FIDO 聯盟開發，結合了 WebAuthn 和 CTAP 兩個核心元件，已被廣泛用於現代身份驗證場景中。

FIDO2 協議也是一種全球通用的無密碼認證標準，它建立在線上認證領域主要參與者之間的聯盟基礎之上。雖然已經廣泛部署，但該標準此前仍在開發中。自從其 CTAP 子協議的 2.1 版本以來，FIDO2 已經可以使用後量子安全的原語進行例項化。

在這篇論文中，趙莽等人首次針對結合 CTAP 2.1 子協議和 WebAuthn 2 子協議的 FIDO2 進行了安全性分析。在研究中，基於前人結合 CTAP 2.0 和 WebAuthn 1 的 FIDO2 分析工作，趙莽等人提出了一款安全模型，並在多個方面進行了擴充套件。

具體來說：

首先，趙莽等人打造了一個更細粒度的安全模型，使其能夠證明更多相關的協議屬性，例如有關令牌繫結協議、無證明模式和使用者驗證的保證。

其次，在特定條件和小規模協議擴充套件下，趙莽等人證明了 FIDO2 的後量子安全性。最後，趙莽等人表明在某些威脅模型下，FIDO2 的降級抵禦能力可以得到改進，並展示瞭如何透過簡單的修改來實現這一點。

趙莽目前的代表性成果之三是一篇題為《使用認證加密的協議的自動化分析：細微的 AEAD 差異如何影響協議安全性》（Automated Analysis of Protocols that use Authenticated Encryption：How Subtle AEAD Differences can impact Protocol Security）的論文，論文發表於第 32 屆 USENIX Security Symposium 會議上。

圖 | 相關論文（來源：32 屆 USENIX Security Symposium 會議）

在這篇論文中，趙莽為使用 AEAD（帶關聯資料的認證加密，Authenticated Encryption with Associated Data）的協議提供了第一種自動分析方法。

AEAD 是一種同時提供機密性、完整性和真實性保障的加密模式。它結合了對稱加密和訊息認證碼的功能，能夠對資料進行加密並驗證其完整性和來源的真實性。

AEAD 可以系統地發現利用所使用的特定型別 AEAD 的薄弱之處的攻擊。基於此，能夠用於分析具有固定 AEAD 選擇的特定協議，或者提供指導說明哪些 AEAD 可能足以使協議設計安全。

在這篇論文之中，趙莽等人開發了通用符號 AEAD 模型，併為 Tamarin 校準器進行了例項化。本次方法可以自動有效地發現以前只能使用手動檢查才能發現的協議攻擊，例如 Facebook 訊息戳上的 Salamander 攻擊以及 SFrame 和 YubiHSM 上的攻擊。此外，其還揭示了基於 AEAD 細節的其他幾種協議的不良行為。

趙莽目前的代表性成果之四是一篇題為《安全訊息傳遞具有強大的妥協彈性、時態隱私和即時解密》（Secure Messaging with Strong Compromise Resilience, Temporal Privacy, and Immediate Decryption）的論文，發表於 2024 年 IEEE 安全與隱私學術會議（IEEE S&P，IEEE Symposium on Security and Privacy）上。