Всем привет,
Я работаю на аппаратной бумажнике для Bitcoin, и я пытаюсь понять, как подсознательные каналы для работы подписей ECDSA и как доказать пользователям, что мы не протекающие свои ключи.
Я не могу сказать, что я понимаю, вся математика участвует, но вот что я собрал (в основном из http://www.emsec.rub.de/media/crypto/attachments/files/2011/03/subliminal_channels.pdf ).
1. Существует широкополосный подсознательный канал, который работает, выбирая неслучайное значение K в алгоритме генерации подписи. Однако, этот метод требует, чтобы получатель знать секретный ключ (и это именно то, что он будет иметь в виду утечки). Так что я думаю, что это один исключается.
2. Есть два других узкополосных каналов (1 бит) - не о чем беспокоиться, так как они бы 256 подписей, чтобы полностью раскрыть секретный ключ.
3. Существует третий узкополосный канал, который может передавать сообщения длиной до 140 бит или так, не требуя от приемника знать секретный ключ, так что можно было бы использовать для утечки закрытого ключа. Однако, если я правильно понимаю, оправившись сообщение потребует значительных усилий на ресивере. Согласно этой статье https://www.google.ro/url?sa=t&RCT = J&д =&ESRC = ы&Источник = веб&CD = 3&вед = 0CDsQFjAC&URL = HTTP% 3A% 2F% 2Fciteseerx.ist.psu.edu% 2Fviewdoc% 2Fdownload% 3Fdoi% 3D10.1.1.11.122% 26rep% 3Drep1% 26type% 3Dpdf&е = _wTBUbaVOM3htQbOzYHoBg&USG = AFQjCNGSNhhwAwY7UULuPYTUUtk7yImtTg , по меньшей мере, 2,71 * 2 ^ х входные значения должны быть испытаны для того, чтобы восстановить х биты данных. Это сделало бы совершенно бесполезным для отправки 256-битного ключа, при условии, что ключ действительно случайным образом. Это было бы похоже на bruteforcing закрытого ключа.
Так может кто-нибудь с лучшим пониманием ECDSA, дайте мне знать, если я что-то не хватает? Если секретный ключ является случайным (и я могу гарантировать, что, позволяя пользователь обеспечить случайный вклад в процесс генерации), должны ли пользователи беспокоиться о реализации протечки своих ключей через любого из вышеуказанных средств?
Спасибо,
Разван
|
|
||||||
19 июня 2013, 1:15:37 AM
|
# 1 |
Сообщения: 191
цитировать ответ |
Re: ECDSA скрытых каналов
Взлом Биткоин адресов.
500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru |
|
|
|
Как заработать Биткоины?
Без вложений. Не майнинг.
|
19 июня 2013, 2:33:52 PM
|
# 2 |
|
Сообщений: 44
цитировать ответ |
Re: ECDSA скрытых каналов
Получил 1806 Биткоинов
Реальная история. По крайней мере, 2,71 * 2 ^ х входные значения должны быть испытаны для того, чтобы восстановить х биты данных. Это сделало бы совершенно бесполезным для отправки 256-битного ключа, при условии, что ключ действительно случайным образом. Это было бы похоже на bruteforcing закрытого ключа. Я думаю, что вы, возможно, не поняли это 2,71 * 2 ^ х являются входные значения, которые вы должны попытаться встроить 256 бит данных в носителе Однако, если вы отправляли 256 сообщений и только отправка 1 бит данных в каждой несущей, то вам нужно будет только попробовать 2,71 * 2 (х = 1) входные значения каждый раз. т.е. это намного проще, чтобы отправить много маленьких сообщений, чем один большой. Это лишь вероятность суммы входных значений вам придется попробовать. Это иллюстрирует сложность кодирования сообщения не декодирования его, которое сделано с заранее определенной функцией отображения. Проблема здесь заключается в том доверять вам ваши пользователи не встроили ничего злонамеренного в бумажнике, чтобы раскрыть свои ключи. Это будет очень интересный способ сделать это, но я мог придумать множество более простых способов. Я считаю, что мое понимание правильно, но пожалуйста, и другие мнения. |
|
|
|
|
19 июня 2013, 4:15:36 PM
|
# 3 |
|
Сообщения: 191
цитировать ответ |
Re: ECDSA скрытых каналов
Пользователи будут неотъемлемо доверять бумажник (по крайней мере, большинство из них - в конце концов, если мы хотим, чтобы тратить свои деньги, которые мы могли бы просто изменить получателя и подписать сделку, и они не будут знать). Они могут также проверить API, мы называем - есть аппаратный ГСЧ на борту, но я предполагаю, что они также могут претендовать ГСЧ прослушивается на самом деле не генерации случайных чисел.
Я просто пытаюсь свести к минимуму трения здесь - дать пользователям власти способности влиять на процесс генерации случайных чисел и т.д. Большинство пользователей просто нажмите "генерировать" и кошелек будет создать новый адрес для них. Затем нажмите "Знак" и заставить его подписать сделку. Это означало бы, что они доверяют нам не посылать свои деньги где-нибудь еще. И, конечно же, мы хотели бы сделать деньги, продавая бумажники, поэтому у нас нет никакого интереса к инцидентам безопасности любого рода. |
|
|
|
|
19 июня 2013, 7:42:41 PM
|
# 4 |
|
Сообщений: 44
цитировать ответ |
Re: ECDSA скрытых каналов
Я не имел в виду, вы не заинтересованы в делать такую вещь, но я думаю, вы поняли, что бумага описывала.
Есть способы использования зашифрованных сообщений в схемах подписи, чтобы отправить дополнительную информацию, которая не обнаруживается. Это относится не только к эллиптическим схемам кривой подписи, но и другим схемам дискретного логарифма, таким как такая Шнорра и EIGamal. Эта статья не совсем то, что вам не придется беспокоиться о том, если вы не пытаетесь отправить себе информацию в тайне от бумажника, что вы могли прочитать из blockchain. Это не какая-либо слабость в схеме подписи. Если вы пытаетесь отправить себе информацию, то вы фактически должны грубой силы шифрования. Подумайте об этом таким образом. Каждый раз, когда я подписываю сообщение с ECDSA я использую случайное число и Ii придумать подписанное сообщение. Теперь, если у меня есть шифр, что я заранее подготовленный, скажем, простая замена шифр так a->До нашей эры->д и т.д. (это наша условная функция отображения) Теперь я хочу, чтобы передать сообщение theeaglehaslanded это становится uiffbhmfibtmboefe. Так что я могу продолжать пробовать различные случайные числа, пока первая часть подписанного сообщения говорит uiffbhmfibtmboefe. Когда подписанное сообщение опубликовано, то любой с заменой шифра может его расшифровать. Теперь, вероятно, потребуется немало попыток со случайными числами, чтобы придумать с этой комбинацией букв. Посмотрите на проблему создания тщеславие адресов и сколько труднее становится, как они получают больше. Таким образом, вы можете разделить сообщение на части и отправить его по кусочкам, чтобы вы резко сократить количество ресурсов для шифрования за счет отправки большего количества сообщений. Кстати, это не должно быть техническое объяснение так что надеюсь, я не буду слишком много критических замечаний от экспертов Википедии. Я уверен, что кто-то на форуме будет публиковать белую бумагу об этом в ближайшее время в любом случае. Так, да, не беспокойтесь об этом. |
|
|
|
Как заработать Биткоины?
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Регистрация для новых участников, на данный момент не доступна. Просим извинения за временные неудобства.