本文研究视频会议应用（如Zoom）中的端到端加密安全性问题。尽管Zoom声称提供端到端加密，但其安全模型假设服务器是可信的，能够正确识别和认证所有与会者。然而，恶意服务器仍可能窃听或冒充与会者。作者提出一种改进方法，通过重新设计密码（passcode）的使用方式，并集成密码认证密钥交换（PAKE）协议，来增强对恶意服务器的安全性。为了形式化证明，作者定义了一类适用于此场景的密码协议，并提出了基本安全概念——假设服务器被信任以正确授权成员，在此概念下证明了Zoom的安全性。接着，作者提出了更强的安全概念，要求即使在服务器恶意的情况下也能保证安全，并给出了一种转换方法，可将现有协议提升至该安全等级。该转换适用于Zoom，且无需引入新的安全元素（如额外的密钥或硬件）。实验证明，该方案能够在现有Zoom架构基础上实现更强的恶意服务器防护。

本研究聚焦于用户对端到端加密（E2EE）的心智模型常常存在误解，导致安全行为偏差。作者提出一种“工作流内消息”干预方法，即在用户执行加密操作（如发送加密消息或文件）的过程中，插入简短、情境化的解释性消息，旨在不打断用户任务的前提下，逐步构建其正确的E2EE概念模型。论文设计了三类消息（基本概念、威胁模型、操作反馈），通过在线实验（N=450）对比了仅提供消息、消息+交互式问答以及对照组的效果。结果显示，工作流内消息显著提升了用户对E2EE核心属性（如密钥独立性、加密范围）的理解，且交互式问答组在长期记忆保持上表现更优。研究贡献包括：提出了适用于即时通信工具的场景化教育框架，提供了实证证据支持工作流内干预的有效性，并为安全可用性设计提供了新思路。

该论文对五大主流端到端加密云存储服务（Sync、pCloud、Icedrive、Seafile、Tresorit）进行了深入的密码学安全性分析，这些服务累计拥有超过2200万用户。研究者在恶意服务器模型下，通过设计多种攻击方法，揭示了其中四家服务存在严重的密码学漏洞。攻击可以破坏这些服务宣称的安全保证，具体包括：恶意服务器能够向用户加密存储中注入文件、篡改文件数据，甚至直接获取文件内容。值得注意的是，许多攻击以相同方式影响多个提供商，暴露了不同厂商在独立设计密码学方案时反复出现的共性错误模式。论文最后讨论了这些模式对于整个云存储生态安全的启示意义，而不仅仅局限于被分析的具体服务商。