Forscher haben kürzlich Schwachstellen in kryptografischen Signaturen für Bitcoin, Ethereum und Ripple identifiziert, die es Angreifern ermöglichten, private Schlüssel zu berechnen und folglich jede Krypto in dieser Brieftasche zu stehlen. Insgesamt berechneten die Forscher mit dieser einzigartigen Form des kryptoanalytischen Angriffs Hunderte von privaten Bitcoin-Schlüsseln und Dutzende von privaten Ethereum-, Ripple-, SSH- und HTTPS-Schlüsseln.

In der Zeitung Voreingenommener Nonce-Sinn: Gitterangriffe gegen schwache ECDSA-Signaturen in Kryptowährungen, Forscher verwenden eine Methode zur Berechnung privater Schlüssel durch Analyse von Bitcoin-Signaturen. Die Forscher konnten diese Techniken auch auf Ethereum und Ripple anwenden.

Diese Sicherheitsanfälligkeiten treten jedoch nur in Randfällen auf, in denen Code von Entwicklern nicht ordnungsgemäß implementiert wurde oder wahrscheinlich aufgrund fehlerhafter Hardware mit mehreren Signaturen aufgetreten ist. Die Forschung betont die Ausfallsicherheit der von Kryptowährungen verwendeten kryptografischen Schemata sowie die Bedeutung einer ordnungsgemäßen Implementierung.

Hintergrund zur Forschung

Wenn Krypto-Inhaber eine Transaktion durchführen, müssen sie eine kryptografische Signatur mithilfe eines digitalen Signaturalgorithmus mit elliptischer Kurve (ECDSA) erstellen. In diesem Algorithmus gibt die Software eine beliebige Nummer aus, die nur einmal für die Kommunikation verwendet wird. Diese Nummer wird als Nonce bezeichnet.

Es ist wichtig, dass die Software jede Transaktion mit einer anderen Nonce signiert. Andernfalls können Hacker den privaten Schlüssel der Signierer (ziemlich einfach) finden und berechnen. Es gibt sogar Hinweise darauf, dass Hacker die Blockchain kontinuierlich auf diese Art von wiederholten Nonces überwachen und Geld aus kompromittierten Schlüsseln extrahieren.

Weniger bekannt ist, dass Angreifer Schlüssel aus Signaturen berechnen können, die unterschiedliche, aber ähnliche Nonces verwenden. Wenn Nonces beispielsweise Zeichen haben, die am Anfang der Signatur ähnlich sind, oder wenn das Nonce Zeichen hat, die am Ende einer Signatur ähnlich sind, passiert etwas Großes, Schreckliches.

Was die Forscher sagen

CryptoSlate kontaktierte beide Autoren des Papiers: Dr. Nadia Heninger ist Associate Professor für Informatik an der University of California. Joachim Breitner ist Senior Researcher bei DFINITY. Laut Dr. Heninger wurde die Sicherheitsanfälligkeit wie folgt beschrieben:

„Der Algorithmus für digitale ECDSA-Signaturen erfordert die Generierung einer Zufallszahl für jede Signatur, die häufig als„ Nonce “bezeichnet wird (dies unterscheidet sich von den Nonces, die beim Cryptocurrency Mining verwendet werden). Wenn diese in den Signaturen verwendeten Zufallswerte nicht ordnungsgemäß generiert werden, kann ein Angreifer in einigen Fällen die privaten Signaturschlüssel berechnen. Die Arten von Nonce-Schwachstellen, die wir ausgenutzt haben, waren Implementierungen, die Werte generierten, die viel kürzer waren als sie hätten sein sollen, oder Werte, die die meisten oder niedrigstwertigen Bits gemeinsam hatten. “

Und mithilfe einer fortgeschrittenen Mathematik, die als Gitter bezeichnet wird, konnten die beiden einige dieser Brieftaschenadressen knacken und die privaten Schlüssel finden:

„Für die Nerds im Publikum ermöglichen Gitteralgorithmen, kleine Lösungen für unterbeschränkte lineare Gleichungssysteme zu finden. Es gibt eine Reihe von krypotanalytischen Techniken, die Gitteralgorithmen als Baustein verwenden. “

Wie in dem Papier angegeben, kann jede Ungleichmäßigkeit bei der Erzeugung dieser Signatur-Nonces Informationen über private Schlüssel enthüllen. Bei einer ausreichenden Anzahl von Signaturen können Hacker private Schlüssel berechnen, auf die Brieftasche eines Benutzers zugreifen und dessen Geld abfließen lassen.

Müssen sich Crypto-Benutzer Sorgen machen??

Laut Dr. Heninger und Breitner muss sich die überwiegende Mehrheit der Kryptowährungsbenutzer keine Sorgen machen:

“Der einzige Grund, warum dies passieren würde, ist, wenn der digitale Signaturcode einen Fehler enthält.”

Solange Entwickler die richtigen Techniken und dokumentierten Methoden verwenden, um die Benutzersicherheit zu gewährleisten, gilt das Signaturschema als sicher:

„Soweit wir wissen, ist ECDSA bei korrekter Implementierung ein sicherer Algorithmus für digitale Signaturen. Wir kamen zu dem Schluss, dass dies keine gängigen Implementierungen waren, da wir nur wenige tausend anfällige Signaturen aus fast einer Milliarde von uns untersuchten Bitcoin-Signaturen gefunden haben. “

Darüber hinaus sind diese Sicherheitsanfälligkeiten nur für bestimmte Implementierungen spezifisch. Darüber hinaus spekulieren die Autoren, dass die fehlerhafte Implementierung möglicherweise auf einige Multifaktor-Sicherheitsgeräte zurückzuführen sein könnte:

„Die Erwähnung der Multifaktorsicherheit ist spezifisch für den Fall der Signaturen, die wir mit 64-Bit-Nonces in der Bitcoin-Blockchain gefunden haben. Fast alle von ihnen waren Teil von Multisig-Adressen, was in der Blockchain nicht der übliche Fall ist, daher unsere Vermutung der Quelle. Es hat seitdem einige gegeben weitere Spekulationen über die spezifische Implementierung. “

Jetzt sind da Wege Entwickler können ECDSA auch für Hardwaregeräte ohne die im Dokument beschriebenen Sicherheitslücken implementieren. Laut Breitner:

„Die offiziellen Blockchain-Clients machen ihre Krypto richtig… seit 2016 verwendet der Bitcoin-Client deterministische Signaturen (RFC6979), wodurch die Notwendigkeit einer Zufälligkeit im Prozess vollständig beseitigt wird [wodurch die Möglichkeit eines von den Forschern angewandten Angriffs ausgeschlossen wird]. Wenn Sie nicht standardmäßige Bibliotheken verwenden oder Ihre eigenen Kryptoroutinen schreiben, sollten Sie sicherstellen, dass diese RFC6979 verwenden. Dies ist umso wichtiger bei eingebetteten Geräten oder Hardware-Token, bei denen es schwierig sein kann, eine gute Zufallsquelle zu finden. “

Profitabel für Angreifer?

Letztendlich sind diese Arten von Angriffen angesichts des Zeit-, Strom- und Rechenaufwands, der für ihre Durchführung erforderlich ist, nicht kosteneffektiv – selbst wenn dieses neue Tool zu ihrem Arsenal hinzugefügt wird:

„Angesichts der Tatsache, dass Angreifer bereits andere kryptografische Sicherheitslücken ausnutzen, um Brieftaschen zu gefährden, ist es wahrscheinlich, dass dies zu ihrem Arsenal hinzugefügt wird. Wenn man jedoch für die Rechenzeit bezahlen muss, um die Berechnung durchzuführen, ist dies angesichts der Salden, die wir mit anfälligen Schlüsseln in Verbindung gebracht haben, wahrscheinlich kein kostengünstiger Angriff. “

Letztendlich versichert die Untersuchung den Benutzern von Kryptowährungen, dass die Kryptografie, die Bitcoin und andere digitale Währungen unterstreicht, solide ist. Angesichts der Tatsache, dass Zehntausende den zugrunde liegenden Code für diese Systeme überprüfen, ist dies ein Zeugnis dafür, dass die Kernsicherheitsschemata bei ordnungsgemäßer Verwendung den Benutzer immer noch angemessen schützen.zur Zeit.