这是关于下一代 SecureDrop 举报系统研究的系列博客文章的一部分。介绍了未来版本 SecureDrop 服务器的端到端加密协议，包括其核心属性（无账户、无消息流元数据等）、简单 API（send、fetch、download）、使用的加密原语（libsodium）及相关证明概念的 GitHub 仓库和初步审计等。

• 协议概述：具有无账户、无消息流元数据等核心属性，使用成熟加密原语实现端到端加密和单向前向保密，服务器仅访问最小元数据，有简单 API 且响应独特以避免信息泄露，此为概念验证代码暂不用于生产。
• 讨论：阐述了协议四个属性的背景和意义，如第一个属性源于对消息源的可否认性需求，第二个属性的实现较复杂，第三个属性避免低流量系统的元数据泄露，第四个属性防止“先收集后解密”攻击。还对比了多种消息协议，如试验解密、Signal 协议、Oblivious Message Detection/Retrieval 和 SecureDrop 协议等。
• SecureDrop 协议细节：需要基本的经典 Diffie-Hellman 密钥协商知识，通过多党异步 Diffie-Hellman 实现接收者与服务器共享密钥，避免服务器了解接收者状态，利用其交换的message_id实现消息的隐匿传输，此方案是实现请求间不可链接性的不常见应用。
• SecureDrop 协议加密属性：在消息检索对称性方面，记者和消息源使用相同机制但密钥设置不同，影响加密属性；前向保密性虽要求临时密钥但存在局限性，只实现了源到记者的单向前向保密；参与者认证是未解决的问题，与可否认性相关；消息源的可否认性有多层需求，SecureDrop 协议在持续对话场景下不能提供对话级可否认性，这是持续研究的领域；最后说明了消息检索和加密的简化示例及完整协议图。
• 加密原语：概念验证使用libsodium进行密钥协商和对称加密，目前 DH 交换由 X25519 驱动，认证对称加密由 XSalsa20 和 Poly1305 MAC 驱动，尚未找到量子安全的消息检索机制，此协议需进行量子安全评估后才会进入生产准备阶段，欢迎量子抗性密码学方面的专家参与合作。
• 初步审计：2023 年 11 月聘请密码研究员 Michele Orrù 对协议及部分声称的安全属性进行初步审计，报告可在特定链接查看，初步讨论可在 GitHub 上找到。
• 下一步计划：即将讨论客户端部分，今年晚些时候将有关于正式建模 SecureDrop 协议、证明其安全属性及最终确定审计规范的工作结果，欢迎安全和密码学社区提供反馈，尤其欢迎量子抗性密码学专家参与。
• 致谢：研究由自由新闻基金会资助，SecureDrop 团队成员 Giulio B 领导，Shielder SpA 的 Davide TheZero 和 smaury 参与研究，审计由 Michele Orrù 进行，感谢 Michael Z 的核心贡献及 Filecoin 基金会等的支持。
• 附录：提供了额外资源和链接，如 Lua 服务器、幻灯片演示、审计报告、原始概念验证仓库等，还列出了相关时间线。