Un outil open source identifie les signatures de portefeuille Bitcoin faibles

MISE À JOUR (17 octobre 15h00 BST) :Une version précédente de cet article indiquait que Valsorda « imputait la responsabilité de la vulnérabilité aux développeurs », mais il a depuis nié cela.

Le développeur derrière un programme qui vérifie la vulnérabilité Heartbleed, Filippo Valsorda, a créé un nouvel outil qui, selon lui, traque les transactions Bitcoin mal sécurisées.

Les transactions non sécurisées peuvent divulguer des clés privées, augmentant ainsi le risque que le Bitcoin d'un utilisateur soit volé, et l'outil Blockchainr de Valsorda est conçu pour les éliminer.

Selon une étude de Valsorda, des défauts connus ont été trouvés dans certaines implémentations duAlgorithme de signature numérique à courbe elliptique (ECDSA), qui fournit une protection cryptographique pour les transactions Bitcoin , rend certains portefeuilles et transactions vulnérables aux attaques.

Bien que le risque pour les fonds détenus dans les portefeuilles soit très faible, Valsorda affirme que certains clients Bitcoin bien connus peuvent être plus faibles que d'autres en raison de la manière dont les nombres aléatoires sont générés.

« J'ai appliqué une attaque connue au monde réel et j'ai montré comment vous pourriez utiliser ECDSA d'une manière sûre qui ne nécessite T de nombres aléatoires afin qu'il n'échoue pas lors de l'analyse de la chaîne de blocs », a déclaré Valsorda à Vulture South àLe registre.

Ses recherchesrésultatsont été présentés à laHack In The Box 2014événement en Malaisie hier.

Point faible de la transaction

Valsorda soutient que, si elle est mal mise en œuvre, l'ECDSA peut entraîner des signatures faibles manquant de caractère aléatoire. Si un attaquant peut trouver de telles transactions dans la chaîne de blocs, la faiblesse peut être exploitée pour révéler les clés privées impliquées dans la transaction.

Un générateur de nombres aléatoires (GNA) de mauvaise qualité peut générer le même nombre aléatoire (« k » dans la formule ci-dessus) à ONE reprises. Lors du hachage de la transaction, ce nombre est multiplié par le même point de génération (c'est-à-dire le même nombre aléatoire) que la clé publique.

Étant donné ONE inconnue a été supprimée de l’équation, la clé privée peut être révélée en inversant efficacement le hachage via des opérations mathématiques supplémentaires.

La probabilité qu’un mauvais RNG produise deux fois un nombre identique est très faible, mais cela représente toujours un faible risque.

En recherchant la vulnérabilité, Valsorda pense avoir trouvé des preuves de vols de Bitcoin exploitant la vulnérabilité remontant à 2013.

Selon Le registreValsorda a déclaré avoir identifié un attaquant qui a volé 59 BTC en août 2013.

Il a ajouté :

« J'ai découvert deux Événements vraiment importants où quelqu'un a probablement commis une erreur lors de l'écriture de son client, ce qui a généré des centaines et des centaines de transactions vulnérables. »

Portefeuilles examinés

Valsorda a conçu son outil Blockchainr pour analyser la chaîne de blocs à la recherche de transactions vulnérables.

Bien que certains puissent craindre que ces informations puissent être utilisées à mauvais escient, Valsorda n'a pas réussi à trouver de portefeuilles susceptibles d'être piratés. Cependant, a-t-il déclaré, cela peut être dû au fait qu'ils ont déjà été piratés.

En plus de tester d'anciennes transactions, Valsorda a également examiné l'implémentation ECDSA dans un certain nombre de portefeuilles populaires.

Il affirme que certains fournisseurs comme Electrun, MultiBit/Bitcoinj, Bitrated/Bitcoinjs-lib et Trezor utilisaient un modèle de génération de signatures plus sûr et déterministe. Bitcoin CORE, Blockchain et Armory se sont révélés moins sûrs.

L'utilisation d'un RNG dans le navigateur a été, dans certains cas, liée à une sécurité réduite des transactions. Le risque de génération de signatures en double, même sur les portefeuilles considérés comme moins sûrs, est toujours inférieur à 1 %, a déclaré Valsorda.

Conclusion critiquée

Cependant, ces conclusions ne font pas l'unanimité. Alan C. Reiner, PDG et fondateur d'Armory, a déclaré à CoinDesk:

« Valsorda critique l'utilisation standardisée à l'échelle mondiale de l'ECDSA, qui est implémentée et appliquée correctement dans notre logiciel. Depuis la création de l'ECDSA, il a toujours nécessité un générateur de nombres aléatoires et tous les logiciels qui l'implémentent devraient utiliser un générateur de nombres aléatoires. Cela fait partie de sa spécification. »

« Le fait que les gens adoptent la signature déterministe constitue une réelle amélioration pour se protéger contre les générateurs de nombres aléatoires faibles », a-t-il déclaré. « Mais Armory T fonctionne sur aucune plateforme dotée de générateurs de nombres aléatoires faibles, notre indice de sécurité devrait donc être de 0 %. »

Reiner a également déclaré qu'Armory suit la spécification approuvée par le NIST pour l'ECDSA, qui est en place depuis 10 ans, « de la même manière qu'elle est utilisée dans d'autres systèmes sécurisés sur Internet ».

Problème d'ancien navigateur

CoinDesk a également contacté Blockchain au sujet des affirmations de Valsorda. Un porte-parole a déclaré :

« Ce problème a été porté à l'attention de notre équipe d'ingénieurs pour la première fois en août 2013. Nous avons alors pris des mesures pour corriger la vulnérabilité créée par une petite minorité d'utilisateurs s'appuyant sur d'anciennes versions obsolètes de navigateurs Web.











L'outil My-Wallet de Blockchain s'appuie non pas sur une, mais sur trois sources d'entropie pour générer les clés de signature ECDSA : le générateur de nombres aléatoires basé sur le navigateur, les mouvements de la souris et l'interaction avec le clavier, et un générateur de nombres aléatoires côté serveur. Cela protège les utilisateurs des navigateurs obsolètes dont les générateurs de nombres aléatoires sont faibles, tout en préservant la possibilité d'exécuter un portefeuille entièrement côté client, non dépositaire, facile à utiliser sur ordinateur et appareils mobiles.

La société a déclaré que la blockchain reste vigilante quant aux problèmes de sécurité potentiels et continue de surveiller activement les vecteurs de menaces potentiels générés par des logiciels courants tels que les navigateurs Web.

La blockchain encourage tous les utilisateurs à s'assurer qu'ils utilisent le logiciel le plus récent pour garantir une meilleure sécurité.

Valsorda a rendu son code librement accessible aux autres développeurs en le publiant surGitHubet a appelé ses collègues développeurs à s'attaquer au problème, en faisant attention à leur choix de générateurs de nombres aléatoires.