Спасибо за ваш ответ.

Абсолютно, хотя ее стоит отметить, что в то время как канонические кодировки, как DER известны и определены, практически ничего не навязывает их. Bitcoin, с первого дня, использовал каноническое кодирование (МЭД) - к сожалению, основная реализация в OpenSSL было документирован поведение, где он также не принят недопустимый DER, пока пару месяцев назад. (То же самое, (все?) Другие подобные библиотеки, такие как Надувной замок вели себя likewise-- это не был бы спасся, не используя OpenSSL). Я потратил некоторое количество времени в поисках точной реализации DER и реализации BER для эталонных тестовых точек в libsecp256k1 и не смог найти _любой_ программное обеспечение с открытым исходным кодом, который точно не реализован (не более принято или отвергнуто, чем указано) их. Даже недавнее исправление OpenSSL для их поведения не исправить их синтаксический анализатор, но вместо того, чтобы пытаться спускоподъемной кодировку, которая не является гарантией. (Ты можешь видеть этот список для некоторых из сумасшедших вещей, синтаксического анализатора OpenSSL, в качестве примера, будет принимать.).

(И FWIW, вся сеть Bitcoin просочилась эти кодировки везде в течение нескольких лет, несмотря на то, что требуется довольно некоторые бумажники (например, Оружейный и MTGOX) изменить свое поведение).

Но это дело с сериализацией, я знаю нет доказательств того, что кто-то наблюдало алгебраические податливости ECDSA ранее нам, и нет доказательств того, что кто-либо принимало какие-либо действия против него (сейчас или ранее).

Что касается ухода сериализации компоновать элементы протоколов, большое внимание должно быть принято там, как там было много уязвимостей, созданных оставив вещи. Например, оригинальные PGP отпечатки хэшируются модуль и экспоненту (но не их потенциально неканонической сериализации), но и в результате не было размежевание так кто-то может переместить некоторые байты вашего модуля в экспоненте, пока они не нашли ключ, то они могли фактор, и тогда они имеют слабый ключ с теми же отпечатками пальцев, как вы.

Подписи покрываются под идентифицирующих хешей повсеместно, например, сертификат x509 цепи работают так же, как Bitcoin в этом отношении; и это плохо взаимодействует с CERT в черный список из-за податливости.

В любом случае, я не хочу, чтобы колотить это, но вы были очень суровыми и критически, где я думаю, что реальность почти 180 градусов по: Bitcoin страдал от незарегистрированного поведения в коде третьей стороны; внешний мир в то время как несколько знают о проблемах с не-canonicality в значительной степени не действует на it-- Bitcoin Ядра является лидером в области и ответственного обращения с этим, и наши усилия привели к открытию дополнительной формы, которая, как представляется, не были известно / обсуждалось ранее), который появляется наша экосистема (из всех пользователей ECDSA в мире), чтобы быть единственными на всех защищаемых против.

Я действительно не все равно много, что кресло jockies на форумах (конкретно не обращаясь к вам) думает, и поэтому я обычно не трачу много ресурсов бахвальства ... но кто-то действительно суровое по вопросу, где я думаю, что наш ответ показал значительные инновации и лидерство, по крайней мере, немного, немного расстраивает!

Пока неясно, что вы имеете в виду "не будет значительным", Но дело в значительной степени orthogonal-- 6979 или нет, реализация, которые не прислушиваются поведением минимумов конкретно будет производить не-минимумы подписей на половину времени за подпись, что приводит к большей части своих операций блокируются. Нет кошелек, который я знаю, когда-либо предоставил "в отставку" Кнопка, которая может сломаться through-- и когда бумажники действительно создают новые сделки они обычно используют новый случайный выбор монет, так что 6979 будет также производить новую подпись. Даже если они обеспечивают "в отставку" и используется случайная подпись, как только ваша сделка имеет более чем пару входов вероятности того, что он будет проходить тест минимумов становится очень и очень низким.

RFC6979 не очень близко скрытого канала либо, увы, невозможно определить, если устройство использует 6979 без доступа к его ключей и злонамеренным устройство может использовать 6979 99,99% времени, а затем иногда меняют на kleptographic метод (возможно, запускается само сообщение). RFC действительно устранить сильную потребность в хороший ГСЧ во время подписания - общий problem-- реализации и сделать обзор / аудит несколько проще.


К сожалению, если устройство имеет свободный выбор его одноразовый номер (который, имеющий контроль низкий / высокий) S подразумевает, то он имеет высокую пропускную способность скрытый канал. Например. производят как временное значение Н (ECDH (attacker_pubkey, Публичный) || message_to_be_signed). Более сложные версии этого позволяют встраивание дополнительных данных, за только утечку тока закрытого ключа. Даже если что-то ограничивает выбор нонса, злонамеренное устройство может сделать отказ выборкой, чтобы включить получить N битых скрытого канала из одноразового номера, выполнив 2 ^ п computation-- низким по сравнению с высоким не отличается, за исключением будучи вычислительно дешевле использовать , Таким образом, я не уверен, что я смогу продать его с точки зрения скрытого подавления канала, но это стоит попробовать. Спасибо за предложение.