Herramienta de código abierto identifica firmas débiles en billeteras Bitcoin

ACTUALIZACIÓN (17 de octubre, 15:00 BST):Una versión anterior de este artículo afirmaba que Valsorda "culpó a los desarrolladores de la vulnerabilidad", aunque desde entonces lo ha negado.

El desarrollador detrás de un programa que verifica la vulnerabilidad Heartbleed, Filippo Valsorda, ha creado una nueva herramienta que, según él, rastrea transacciones de Bitcoin poco seguras.

Las transacciones inseguras pueden filtrar claves privadas, lo que aumenta el riesgo de que los Bitcoin de un usuario puedan ser robados, y la herramienta Blockchainr de Valsorda está diseñada para eliminarlos.

Según una investigación de Valsorda, se encontraron fallas conocidas en algunas implementaciones delAlgoritmo de firma digital de curva elíptica (ECDSA), que brinda protección criptográfica para las transacciones de Bitcoin , hace que ciertas billeteras y transacciones sean vulnerables a ataques.

Si bien el riesgo para los fondos guardados en billeteras es muy bajo, Valsorda afirma que ciertos clientes de Bitcoin conocidos pueden ser más débiles que otros debido a la forma en que se generan los números aleatorios.

"Apliqué un ataque conocido al mundo real y mostré cómo se puede usar ECDSA de una manera segura que no necesita números aleatorios para que no falle el escaneo de la cadena de bloques", dijo Valsorda a Vulture South enEl Registro.

Su investigaciónrecomendacionesfueron presentados en elHack In The Box 2014Evento ocurrido ayer en Malasia.

Punto débil de las transacciones

Valsorda argumenta que, si se implementa mal, el ECDSA puede resultar en firmas débiles carentes de aleatoriedad. Si un atacante puede encontrar dichas transacciones en la cadena de bloques, la debilidad puede explotarse para revelar las claves privadas involucradas en la transacción.

Un generador de números aleatorios (RNG) deficiente puede generar el mismo número aleatorio («k» en la fórmula anterior) en más de una ocasión. Al aplicar un hash a la transacción, este número se multiplica por el mismo punto del generador (es decir, el mismo número aleatorio) que la clave pública.

Dado que se ha eliminado una incógnita de la ecuación, la clave privada se puede revelar invirtiendo efectivamente el hash mediante operaciones matemáticas adicionales.

La posibilidad de que incluso un generador de números aleatorios defectuoso produzca un número idéntico dos veces es muy baja, pero aun así representa un pequeño riesgo.

Mientras investigaba la vulnerabilidad, Valsorda cree que encontró evidencia de robos de Bitcoin explotando la vulnerabilidad que se remontan a 2013.

De acuerdo a El RegistroValsorda dijo que identificó a un atacante que robó 59 BTC en agosto de 2013.

Añadió:

Encontré dos Eventos muy importantes donde probablemente alguien cometió un error al escribir a su cliente, lo que generó cientos y cientos de transacciones vulnerables.

Carteras examinadas

Valsorda ha diseñado su herramienta Blockchainr para escanear la cadena de bloques en busca de transacciones vulnerables.

Aunque algunos podrían temer que dicha información pudiera ser mal utilizada, Valsorda no logró encontrar ninguna billetera que pudiera ser saqueada. Sin embargo, dijo, esto podría deberse a que ya han sido saqueadas.

Además de probar transacciones antiguas, Valsorda también examinó la implementación de ECDSA en varias billeteras populares.

Afirma que algunos proveedores como Electrun, MultiBit/Bitcoinj, Bitrated/Bitcoinjs-lib y Trezor utilizaron un modelo de generación de firmas determinista y más seguro. Bitcoin CORE, Blockchain y Armory resultaron ser menos seguros.

El uso de un RNG dentro del navegador estuvo, en algunos casos, vinculado a una menor seguridad de las transacciones. La posibilidad de generación de firmas duplicadas incluso en aquellas billeteras consideradas menos seguras sigue siendo inferior al 1%, dijo Valsorda.

Conclusión criticada

Sin embargo, no todos están de acuerdo con las conclusiones. El director ejecutivo y fundador de Armory, Alan C. Reiner, declaró a CoinDesk:

"Valsorda critica el uso estandarizado globalmente de ECDSA, que se implementa y aplica correctamente en nuestro software. Desde que se creó ECDSA, siempre ha requerido un generador de números aleatorios y todo el software que lo implementa debe usar un generador de números aleatorios. Eso es parte de su especificación".

"El hecho de que la gente esté migrando a la 'firma determinista' es realmente una mejora para protegerse contra generadores de números aleatorios débiles", dijo. "Pero Armory no funciona en ninguna plataforma con generadores de números aleatorios débiles, por lo que nuestra calificación de 'inseguro' debería ser del 0%".

Reiner dijo además que Armory sigue la especificación aprobada por el NIST para ECDSA, que ha estado vigente durante 10 años, "de la misma manera que se utiliza en otros sistemas seguros en Internet".

Problema con el navegador antiguo

CoinDesk también habló con Blockchain sobre las afirmaciones de Valsorda. Un portavoz declaró:

Este problema llegó a oídos de nuestro equipo de ingeniería en agosto de 2013. En ese momento, tomamos medidas para corregir la vulnerabilidad creada por una pequeña minoría de usuarios que utilizaban versiones antiguas y desactualizadas de sus navegadores web.











La herramienta My-Wallet de Blockchain se basa en tres fuentes de entropía para generar claves de firma ECDSA: el RNG basado en navegador, la interacción con el ratón y el teclado, y un RNG del lado del servidor. Esto protege a los usuarios de navegadores obsoletos con RNG débiles, a la vez que permite ejecutar una billetera sin custodia completamente del lado del cliente, fácil de usar en computadoras de escritorio y dispositivos móviles.

Blockchain, dijo la firma, sigue vigilante sobre posibles problemas de seguridad y continúa monitoreando activamente los posibles vectores de amenaza generados por software común como los navegadores web.

Blockchain anima a todos los usuarios a asegurarse de utilizar el software más actualizado para garantizar una mayor seguridad.

Valsorda ha puesto su código a disposición de otros desarrolladores de forma gratuita al publicarlo enGitHuby ha pedido a sus compañeros desarrolladores que aborden el problema, teniendo cuidado en su elección de generadores de números aleatorios.