本文提出了一种名为 Jolt 的新型攻击，利用 Rowhammer 故障注入技术恢复 TLS 等安全协议中使用的数字签名方案的私钥。DSA、ECDSA 和 RSA 签名算法广泛应用于 TLS、SSH 和 IPSec 协议中，以保护通信完整性。以往的攻击主要利用侧信道或单比特 nonce 偏差，往往需要多达 2^45 个签名样本。Jolt 通过注入故障产生错误签名，并利用签名验证原语纠正错误签名的同时，逐步推断签名密钥的比特。由于直接针对不随会话变化的签名密钥，攻击效率极大提升：对于 256 位 (EC)DSA，仅需少于 1000 个错误签名即可完成密钥恢复。实验验证了该攻击在 WolfSSL、OpenSSL、Microsoft SymCrypt、LibreSSL 和 Amazon s2n 等主流密码库的 TLS 握手中的可行性。在线阶段可在 2 小时内恢复 256 位 ECDSA 密钥的 192 位，足以实现完整密钥恢复。研究发现，虽然 RSA 签名在部分库中得到保护，但 OpenSSL 仍易受双故障注入攻击；FIPS 硬化版本稍有效率提升但仍易受攻击。而 (EC)DSA 签名在多数库中缺乏针对软件故障的保护，对实际 TLS 部署构成威胁，并可能影响 SSH 和 IPSec 等其他协议。该工作强调了在安全协议实现中加强故障检查的必要性。

本文研究了语言模型API在限制仅输出token排名（即按概率排序的token序列，但不提供具体概率值）时，是否仍然构成能够唯一标识模型的签名。作者发现，对于足够大的k，每个语言模型都有一组唯一的可行top-k排名集合，这可以作为模型的签名。更重要的是，他们证明了这种签名是第一个已知的多项式时间不可伪造签名：找到一个具有相同可行排名集合的模型是NP-hard问题。在安全方面，尽管token排名足以近似窃取模型的最后一层参数（类似于logits的泄露），但通过限制API只返回足够小的k（例如，小于某个阈值），可以防止参数窃取，同时仍然能够提供不可伪造的签名。研究表明，存在一个k值范围，使得API既能展示不可伪造签名（用于模型身份验证），又能防止参数泄露。这项工作为语言模型的安全部署提供了理论依据，尤其是在需要公开模型身份但又要保护模型参数的应用场景中。