Інструмент із відкритим вихідним кодом визначає слабкі сигнатури Bitcoin гаманця

ОНОВЛЕННЯ (17 жовтня, 15:00 BST): У попередній версії цієї статті стверджувалося, що Вальсорда «поклав провину за вразливість на розробників», однак згодом він заперечував це.

Філіппо Валсорда, розробник програми, яка перевіряє вразливість Heartbleed, створив новий інструмент, який, за його словами, відстежує погано захищені транзакції Bitcoin .

Незахищені транзакції можуть призвести до витоку закритих ключів, збільшуючи ризик того, що Bitcoin користувачів можуть бути вкрадені, і інструмент Blockchainr від Valsorda розроблений, щоб відсіяти їх.

Згідно з дослідженням Valsorda, відомі недоліки, виявлені в деяких реалізаціях Алгоритм цифрового підпису еліптичної кривої (ECDSA), який забезпечує криптографічний захист для транзакцій Bitcoin , робить певні гаманці та транзакції вразливими до атак.

Хоча ризик для коштів, які зберігаються в гаманцях, дуже низький, Валсорда стверджує, що деякі відомі Bitcoin клієнти можуть бути слабкішими за інших через спосіб генерації випадкових чисел.

«Я застосував відому атаку до реального світу та показав, як ви можете безпечно використовувати ECDSA, T потребуючи випадкових чисел, щоб сканувати ланцюжок блоків не вийшло з ладу», — сказав Вальсорда в Vulture South на сайті Vulture South.Реєстр.

Його дослідження висновки були представлені на Hack In The Box 2014 подія в Малайзії вчора.

Слабке місце транзакції

Вальсорда стверджує, що якщо ECDSA буде погано реалізований, це може призвести до слабких підписів без випадковості. Якщо зловмисник може знайти такі транзакції в ланцюжку блоків, слабкість може бути використана для виявлення приватних ключів, залучених до транзакції.

Поганий генератор випадкових чисел (ГВЧ) може створювати те саме «випадкове» число («k» у формулі вище) більше ONE разу. Коли транзакція хешується, це число множиться на ту саму точку генератора (тобто: те саме випадкове число), що й відкритий ключ.

Оскільки ONE невідоме було вилучено з рівняння, приватний ключ можна виявити, ефективно перевернувши хеш за допомогою додаткових математичних операцій.

Імовірність того, що навіть поганий ГСЧ двічі видасть ідентичний номер, дуже низька, але це все одно становить невеликий ризик.

Досліджуючи вразливість, Валсорда вважає, що він знайшов докази крадіжок Bitcoin з використанням уразливості, починаючи з 2013 року.

Відповідно до Реєстр, Валсорда сказав, що ідентифікував ONE зловмисника, який викрав 59 BTC у серпні 2013 року.

Він додав:

«Я знайшов дві справді великі Заходи , коли хтось, ймовірно, зробив помилку під час написання свого клієнта, яка породила сотні й сотні вразливих транзакцій».

Перевірені гаманці

Valsorda розробив свій інструмент Blockchainr для сканування ланцюжка блоків на наявність вразливих транзакцій.

Хоча дехто може побоюватися, що така інформація може бути використана неналежним чином, Valsorda не вдалося знайти жодного гаманця, який можна було б атакувати. Однак, за його словами, це може бути пов’язано з тим, що на них вже проводилися рейди.

На додаток до тестування старих транзакцій, Valsorda також перевірив реалізацію ECDSA в ряді популярних гаманців.

Він стверджує, що деякі провайдери, такі як Electrun, MultiBit/Bitcoinj, Bitrated/Bitcoinjs-lib і Trezor, використовували безпечнішу детерміновану модель генерації підпису. Bitcoin CORE, Blockchain і Armory виявилися менш безпечними.

Використання RNG у веб-переглядачі в деяких випадках було пов’язане зі зниженням безпеки транзакцій. Імовірність генерації дублікатів підписів навіть на тих гаманцях, які вважаються менш безпечними, все ще становить менше 1%, сказав Валсорда.

Висновок піддав критиці

Однак не всі згодні з висновками. Генеральний директор і засновник Armory Алан Сі Райнер сказав CoinDesk:

«Valsorda критикує глобально стандартизоване використання ECDSA, яке правильно реалізовано та застосовано в нашому програмному забезпеченні. З моменту створення ECDSA він завжди вимагав генератор випадкових чисел, і все програмне забезпечення, яке його реалізує, має використовувати генератор випадкових чисел. Це частина його специфікації».

«Той факт, що люди переходять на «детермінований підпис», дійсно є покращенням для захисту від слабких генераторів випадкових чисел», — сказав він. «Але Armory T працює на будь-якій платформі зі слабкими RNG, тому наш «небезпечний» рейтинг має бути 0%».

Далі Райнер сказав, що Armory дотримується затвердженої NIST специфікації для ECDSA, яка діє протягом 10 років, «так само, як вона використовується в інших безпечних системах в Інтернеті».

Проблема старого браузера

CoinDesk також поговорив з Blockchain про претензії Valsorda. Речник сказав:

«Ця проблема вперше привернула увагу нашої команди інженерів у серпні 2013 року. Тоді ми вжили заходів, щоб виправити вразливість, створену невеликою меншістю користувачів, які покладалися на старі застарілі версії веб-браузера.











Інструмент My-Wallet від Blockchain покладається не на ONE, а на три джерела ентропії для створення ключів підпису ECDSA: RNG на основі браузера, рух миші та взаємодія з клавіатурою та RNG на стороні сервера. Це захищає користувачів від застарілих веб-переглядачів зі слабкими RNG, зберігаючи при цьому можливість запускати повністю клієнтський гаманець без опіки, яким легко користуватися на комп’ютері та мобільних пристроях».

За словами фірми, Blockchain залишається пильним щодо потенційних проблем безпеки та продовжує активно відстежувати потенційні вектори загроз, створювані звичайним програмним забезпеченням, таким як веб-браузери.

Blockchain закликає всіх користувачів переконатися, що вони використовують найновіше програмне забезпечення для забезпечення кращої безпеки.

Valsorda зробив свій код вільно доступним для інших розробників, опублікувавши його на GitHub і закликав інших розробників вирішити цю проблему, ретельно вибираючи генератори випадкових чисел.