出的揭示值参与熵混合,生成抽样序列。
这套设计在“时隙被掐”时很强:
你掐路由、掐窗口,都挡不住托管池解锁。
可它有一个隐含假设:
**阈值解密输出唯一。**
也就是:同一个加密揭示包,只要份额满足阈值,解出来的明文应该是同一个。
解锁裂纹的攻击,就是让这个假设失效:
同一密文在不同份额集合或不同容错路径下,可能产生两种可接受的明文。
它们都能通过形式校验(比如长度、结构、哈希域看似匹配),但内容有细微差异。
细微差异足以偏置熵混合结果,从而偏置形变抽样族群。
敌人不需要控制全部份额。
他们只要控制少量份额、再加上对“份额到达顺序”和“容错解码策略”的影响,就可能把“唯一解”变成“两个看起来都像解”。
选择权不是写在规则里,而是写在实现的缝隙里:
**哪个份额先到、哪个被判迟到、哪个被容错剔除、哪个被当作异常舍弃**。
这些都是工程细节——也正是敌人最爱藏刀的地方。
---
### 二、异常为何会以“稀有族群被规避”呈现:偏置不需要很大,只需要稳定
机要监把偏置现象翻译成一个简单的统计:
稀有族群命中率每周期只低了不到一个小数点,看上去像自然波动。
但它连续低、方向一致、且与外压无关。
这意味着:
有人在每个周期都“轻轻拨一下”。
轻轻拨一下,不会触发尖峰;
轻轻拨一下,却足以让对手预演的成本下降:
稀有族群越少,对手需要覆盖的题目空间越小;
题目空间越小,刷题越容易;
刷题越容易,侧门越容易被藏在未出现的稀有族群里。
这是“可预测形变”进化后的精细版:
他们不再抢题目,而是让题目分布倾向可训练的区域。
看起来仍满足熵预算(因为总熵够),但“关键的难题族群”被系统性压低。
江砚看着那条累积曲线,说:
“他们在做偏置,不是做破坏。偏置最难抓,因为它不尖叫,它只哼歌。”
---
### 三、解锁裂纹的第一证据:同一揭示包在影子解锁里出现“双像明文”
机要监没有靠直觉。他启用了“影子解锁器”——这是熵守约协议中为极端情况准备的旁路审计:
当托管解锁发生,系统会在隔离环境里用另一套独立解锁实现进行复验,复验不参与实际熵混合,只用于检测“唯一性”。
原本,这个影子解锁器几乎永远与主解锁一致。
而在偏置出现的周期里,它第一次出现了不该出现的结果:
锚号:ANL-UNIQ-02
要点:
* 同一密文、同一commit哈希、同一揭示包哈希;
* 主解锁输出明文M;影子解锁输出明文M;
* 二者结构都合法,且都能通过旧版“结构校验”;
* 二者仅在某个“非语义域”字段上差异(例如编码标记/尾部填充/可选扩展位);
* 但该差异在熵混合前会被规范化步骤“折叠”进混合输入串,产生可观测偏置。
沈绫的脸色一下子白了:“结构校验通过,但混合输入变了。也就是说——校验覆盖漏了。”
机要监点头:“更糟的是,我们发现这个差异与‘份额集合’强相关。
-->>(第2/7页)(本章未完,请点击下一页继续阅读)