-----НАЧАТЬ PGP MESSAGE ----- ПОДПИСАЛИ
Hash: SHA256

Я думаю, что это какое-то технический вопрос, так что я положил его в этот подфорум.

Как большинство из вас должен знать, (регулярные) Bitcoin операции проходят проверку подлинности с помощью подписей ECDSA. Подпись ECDSA пара «(г, s)» из двух чисел, где первый один «г» является полностью независимым от подписанного сообщения и (государственных или частных) ключей пользователя, подписавшего в. Это зависит исключительно от случайного числа «к» выбранной в момент формирования подписи, а на основной эллиптической кривой и ее генератора (secp256k1 в случае Bitcoin).

Из-за того, как работает ECDSA, это значение «к» должно оставаться в секрете, потому что знание «к» для одной подписи уже позволяет взломщику вычислить закрытый ключ. Различные вопросы безопасности вызывают тот факт, что этот секрет «к» должен быть выбран во время создания подписи. Бедные реализации бумажника выбраны «к» предсказуемым образом и позволили злоумышленникам украсть монеты. Другим известным возникает слабость, если такое же количество «к» используется в двух различных сигнатур. Если это произойдет, злоумышленник может вычислить закрытый ключ, а также, даже если значение «К» не известно ему. Обратите внимание, что можно легко обнаружить ли «K» был использован дважды, потому что это приводит к двум подписям с тем же значением «г».

Я хочу обратить ваше внимание на еще одно нападение, что (насколько мне известно) не обсуждались в контексте Bitcoin еще, что также прибывает из того, что реализация бумажника свободно выбирает «к»:
а) можно просочиться секретной информацией о закрытых ключах.
б) Это может быть сделано таким образом, что невозможно обнаружить никем, кроме самого нападающего.
в) две подписи из того же секретного ключа достаточно, чтобы просочиться полный ключ.

Это позволяет злую реализации бумажника Bitcoin просачиваться закрытыми ключами, даже в автономном режиме настройки, который фактически гарантирует, что никакой информации, кроме совместимых сделок не оставить бумажник.

Обратите внимание, что эта атака не только влияет закрытый код бумажники с потенциально вредоносными функциями. Каждая реализация ECDSA, которые не могут быть проверены пользователем потенциальный риск. Это включает в себя огромные библиотеки, такие как OpenSSL, потому что ее чисто громадность, а также любой реализация оптимизированной для повышения производительности или времени атаки сопротивления. Можно утверждать, что это было бы лучше для форума бумажники использовать совершенно простую реализацию ECDSA. Благодаря своей автономной природе, временные приступы не имеют никакого отношения, и производительность не так важно, как вам не нужны миллионы подписей в секунду в протоколе Bitcoin.

Я записал подробности этого нападения в документе, который вы можете найти здесь:
https://www2.informatik.hu-berlin.de/~verbuech/klepto-ecdsa/

Комментарии очень приветствуются, я с нетерпением жду интересное обсуждение этой атаки.

-----НАЧАТЬ PGP SIGNATURE -----
Версия: GnuPG v2.0.22 (GNU / Linux)

iF4EAREIAAYFAlSBvPIACgkQzNQUeKMPfH9fTAD + IOxTzXlP + j6UsKYMCH4AP + ер
qXxHKdcn5By67EY8cg8A / 3G62zp55OMVXzsLFzNCcA5PfvKpYu2KgM / 1XRkPV5Gq
= bKDi
-----END PGP SIGNATURE -----