Инструмент с открытым исходным кодом определяет слабые подписи Bitcoin кошельков

ОБНОВЛЕНИЕ (17 октября 15:00 BST):В предыдущей версии этой статьи говорилось, что Валсорда «возложил вину за уязвимость на разработчиков», однако с тех пор он это отрицает.

Разработчик программы, проверяющей уязвимость Heartbleed, Филиппо Вальсорда, создал новый инструмент, который, по его словам, отслеживает плохо защищенные транзакции Bitcoin .

Небезопасные транзакции могут привести к утечке закрытых ключей, что повышает риск кражи Bitcoin пользователей, а инструмент Blockchainr от Valsorda предназначен для их устранения.

Согласно исследованию Valsorda, в некоторых реализациях обнаружены известные недостаткиАлгоритм цифровой подписи на основе эллиптической кривой (ECDSA), обеспечивающая криптографическую защиту транзакций Bitcoin , делает некоторые кошельки и транзакции уязвимыми для атак.

Хотя риск для средств, хранящихся в кошельках, очень низок, Валсорда утверждает, что некоторые известные Bitcoin клиенты могут быть слабее других из-за способа генерации случайных чисел.

«Я применил известную атаку к реальному миру и показал, как можно использовать ECDSA безопасным способом, T требующим случайных чисел, чтобы сканирование цепочки блоков не давало сбоев», — рассказал Валсорда Vulture South.Регистр.

Его исследованиявыводыбыли представлены наВзлом в коробке 2014 событие в Малайзии вчера.

Слабое место транзакции

Валсорда утверждает, что при плохой реализации ECDSA может привести к слабым подписям, лишенным случайности. Если злоумышленник сможет найти такие транзакции в цепочке блоков, эта слабость может быть использована для раскрытия закрытых ключей, задействованных в транзакции.

Плохой генератор случайных чисел (ГСЧ) может создавать одно и то же «случайное» число («k» в формуле выше) более ONE раза. Когда транзакция хэшируется, это число умножается на ту же точку генератора (т. е. на то же самое случайное число), что и открытый ключ.

Поскольку из уравнения удалено ONE неизвестное, закрытый ключ можно раскрыть, фактически обратив хеш с помощью дополнительных математических операций.

Вероятность того, что даже плохой ГСЧ дважды выдаст одинаковое число, очень мала, но все же это представляет небольшой риск.

Валсорда полагает, что при исследовании уязвимости он обнаружил доказательства краж Bitcoin с использованием этой уязвимости, датированные еще 2013 годом.

В соответствии с РегистрВалсорда заявил, что идентифицировал ONE злоумышленника, укравшего 59 BTC в августе 2013 года.

Он добавил:

«Я обнаружил два действительно крупных Мероприятия , когда кто-то, вероятно, допустил ошибку при написании своего клиента, что привело к появлению сотен и сотен уязвимых транзакций».

Кошельки проверены

Валсорда разработал свой инструмент Blockchainr для сканирования цепочки блоков на предмет уязвимых транзакций.

Хотя некоторые могут опасаться, что такая информация может быть использована не по назначению, Валсорда не смог найти ни одного кошелька, который можно было бы взломать. Однако, по его словам, это может быть связано с тем, что на них уже совершались набеги.

Помимо тестирования старых транзакций, Валсорда также проверил реализацию ECDSA в ряде популярных кошельков.

Он утверждает, что некоторые провайдеры, такие как Electrun, MultiBit/Bitcoinj, Bitrated/Bitcoinjs-lib и Trezor, использовали более безопасную, детерминированную модель генерации подписей. Bitcoin CORE, Blockchain и Armory оказались менее безопасными.

Использование ГСЧ в браузере в некоторых случаях было связано с уменьшением безопасности транзакций. Вероятность создания дубликатов подписей даже на тех кошельках, которые считаются менее безопасными, по-прежнему составляет менее 1%, сказал Валсорда.

Заключение подверглось критике

Однако не все согласны с выводами. Генеральный директор и основатель Armory Алан С. Райнер сказал CoinDesk:

«Valsorda критикует глобально стандартизированное использование ECDSA, которое реализовано и применяется должным образом в нашем программном обеспечении. С момента создания ECDSA для него всегда требовался генератор случайных чисел, и все программное обеспечение, которое его реализует, должно использовать генератор случайных чисел. Это часть его спецификации».

«Тот факт, что люди переходят на «детерминированную подпись», на самом деле является улучшением, чтобы защититься от слабых генераторов случайных чисел», — сказал он. «Но Armory T работает ни на одной платформе со слабыми ГСЧ, поэтому наш рейтинг «небезопасности» должен быть 0%».

Райнер далее сказал, что Armory следует спецификации ECDSA, одобренной NIST, которая действует уже 10 лет, «точно так же, как она используется в других защищенных системах по всему Интернету».

Проблема со старым браузером

CoinDesk также поговорил с Blockchain о заявлениях Valsorda. Представитель сказал:

«Эта проблема впервые привлекла внимание нашей инженерной группы в августе 2013 года. Тогда мы предприняли шаги для устранения уязвимости, созданной небольшим меньшинством пользователей, которые использовали устаревшие версии веб-браузеров.











Инструмент My-Wallet от Blockchain использует не ONE, а три источника энтропии для генерации ключей подписи ECDSA: RNG на основе браузера, движение мыши и взаимодействие с клавиатурой, а также RNG на стороне сервера. Это защищает пользователей от устаревших браузеров со слабыми RNG, сохраняя при этом возможность запускать полностью клиентский, некастодиальный кошелек, который легко использовать на вашем настольном компьютере и мобильных устройствах».

Компания Blockchain, по ее словам, по-прежнему внимательно следит за потенциальными проблемами безопасности и продолжает активно отслеживать потенциальные векторы угроз, создаваемые распространённым программным обеспечением, таким как веб-браузеры.

Blockchain призвал всех пользователей убедиться, что они используют самое современное программное обеспечение, чтобы обеспечить лучшую безопасность.

Валсорда сделал свой код доступным для других разработчиков, разместив его наGitHub и призвал коллег-разработчиков заняться решением этой проблемы, проявив осторожность при выборе генераторов случайных чисел.