该论文针对即时通信应用（如WhatsApp、Signal）中端到端加密的假密钥攻击问题展开研究。这类应用依赖中心化服务器分发公钥，可能被恶意或受攻击的服务器分发伪造密钥，从而实施中间人攻击或身份冒充。虽然现有应用提供了手动密钥验证机制，但用户负担重且实际效果不佳。作者提出了KTACA（密钥透明度与自动客户端审计）方法，实现完全自动化的密钥验证，无需用户干预且易于部署。KTACA融合了两种方法：客户端审计（KTCA）和匿名密钥监控（AKM）。KTCA由客户端记录并审计密钥交换日志，检测密钥变更异常；AKM通过匿名监控公共密钥目录发现伪造密钥分发。单独使用时各有弱点，KTACA结合二者优势，能够自动检测多种假密钥攻击。作者提供了安全性分析，明确每种防御可检测的攻击类型。他们还实现了主动攻击以证明攻击可行性，并开发了所有防御的原型系统，评估了性能与可行性。最后讨论了各防御的优缺点、对客户端和服务器的负载以及部署考虑。该研究提升了自动检测假密钥攻击的能力，对保障用户通信安全有重要意义。