Greg Maxwell:CSW再次伪造中本聪签名

转载 巴比特资讯  2018-11-19 17:30  阅读 118 次

在BCH算力战争的第二天,一些密码货币爱好者发现了一条消息,它似乎拥有着比特币第9个区块的“有效签名”,这条消息警告称比特币区块链上的隔离见证(Segwit )协议存在一些问题。此外,Coingeek的所有者Calvin Ayre随后在推特上发文称“中本聪活了!”,Ayre还转发了来自Twitter账号@Satoshi的消息。

真的是来自中本聪本人吗?很快比特币技术大神Greg Maxwell解释称,这其实只是Craig Wright第二次伪造的签名:

“如果有人想要发布一堆神秘的ECDSA签名,使得公众认为这些签名是来自比特币的创造者,以此破坏比特币市场,从人们那里榨取钱财,或以其他方式说服人们听取他的意见,他们要怎样才能实现呢?”

Maxwell自答道:

“不幸的是,鉴于公众对密码学的理解有限,这显然是一件容易造成欺诈的事情。他们的关键技巧在于,非技术人员倾向于相信那些看起来很麻烦的东西,而技术人员往往认为他们比实际知道的要多得多,所以他们很容易误入杂草堆当中。

在密码系统当中,细节比你想象地要更重要,因此,你所要做的,就是一个制作一个稍有修改的密码系统伪造品。然后很多自认为理解ECDSA工作原理的人,便会急于宣称其结果成立。

你能想到的大多数修改,足以使该方案不安全。

因此,例如几年前,Craig Wright通过简单地从区块链中复制一些预先存在的签名,并在验证它们时发布了一些混淆的指令来证明自己就是中本聪。然而,很快这件事就被揭穿了,但这个方法仍然愚弄了很多人,这些人陷入了困境,想当然地认为事实就是这样的。在这种情况下的“修改”,是诈骗者声称要签名的消息,与实际签名的消息没有任何关系。

最近,他似乎再次尝试了,但这次的“签名”并非来自区块链...导致一些BCH客户端的开发者向RedHat的一名工程师进行了“验证”。但事实证明,这个签名还是伪造的,人们对密码学的理解不够深入,这导致他们再次被骗了。

正如比特币开发者Pieter Wuille所说,“ECDSA签名消息并非是一个哈希,而由‘签名者’所选择的是不安全的。”

这一次,诈骗者发布了'hash',r,s元组。ECDSA的哈希部分是算法不可获取的部分。如果验证者本身没有运行哈希,则ECDSA的安全属性不会成立,则伪造会变得微不足道

[同样的漏洞也被带到了BCH中的原始OP_DSV操作码中,它最初没有对输入数据进行哈希处理,而是将其留给了用户。但我上报了它,并且在部署之前,开发者们似乎已修复了它。]

如果验证者自己不执行哈希,但仅接受签名者给出的值,则给定公钥P,选择随机非零值a和b。计算R=aG+bP。现在, (R.x, R.x/b)是密钥P对“消息哈希” (R.x*a/b)的有效签名。

这不会危及真实ECDSA的安全性,因为你无法找到哈希至所选(R.x * a / b)值的消息。

人们应该警惕那些模糊或过于技术性的“证明”(那些看起来像“安全系统”的东西,但出于某种原因,人们会使用原始数字或代码来验证它)。而精心被设计的加密软件,因做了大量的工作,而可避免让用户被这样的特技给愚弄。这些东西很棘手,如果他们确信自己有效地实施定制的密码系统,任何人都可能会陷入困惑,以至于接受这种虚假证明。一个系统是不安全的,这仅仅是因为,你自己对它还不够了解。

这里有一个示例Sage脚本来生成伪造签名,这些脚本会欺骗那些接受ECDSA“签名”的人,而无需自己哈希消息。它适用于任何EC密钥,包括伪造者之前没有看到过的签名。


F = FiniteField (0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F)
C = EllipticCurve ([F (0), F (7)])
G = C.lift_x(0x79BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798)
N = FiniteField (C.order())
P = P=-C.lift_x(0x11db93e1dcdb8a016b49840f8c53bc1eb68a382e97b1482ecad7b148a6909a5c) # block 9 coinbase payout key.
def forge(c, a=-1):  # Create a forged 'ECDSA'  (hashless) signature
  # set a to something other than -1 to be less obvious
  a = N(a)
  R = c*G + int(a)*P
  s = N(int(R.xy()[0]))/a
  m = N(c)*N(int(R.xy()[0]))/a
  print 'hash1 = %d'%m
  print 'r1 = %d'%(int(R.xy()[0]))
  print 's1 = %d'%s 
for c in range(1,10):
  forge(c)

这段代码,就生成了最近欺骗人们的伪造签名:


hash1 = 25292222169426362969760742810503101183086560848420849767135309758511048414376
r1 = 61518691557461623794232686914770715342344584505217074682876722883231084339701
s1 = 54273397679854571629338298093917192510492979773857829699728440258287077154636

你怎么看?

本文地址:http://www.lianchaguan.com/archives/5217
温馨提示:文章内容系作者个人观点,不代表链茶馆对观点赞同或支持。
版权声明:本文为转载文章,来源于 巴比特资讯 ,版权归原作者所有,欢迎分享本文,转载请保留出处!

发表评论


表情