Forschung: Hacker könnten Backdoor in Bitcoin installieren Cold Storage

Sogar eine Bitcoin-Brieftasche in der kalten Lagerung, weithin gedacht, um die sicherste Weise zu sein, die digitale Währung zu halten, könnte ihre privaten Schlüssel zu einem Angreifer auslaufen, ein Sicherheitsforscher hat gefunden.

Ein Angreifer konnte die privaten Schlüssel einer kompromittierten Brieftasche aus so wenig Information wie eine einzige Transaktion, die von dieser Brieftasche ausgegeben wurde, umkehren.

Der Angriff ist besonders besorgniserregend, weil es auch dann gelingen würde, wenn das Opfer eine Geldbörse auf einer luftgegossenen Maschine ohne Internetanschluss - oder sogar im Weltraum - als Briefträger-Anbieter Xapo versuchte, zu tun - nach dem Papier von Stephan Verbücheln.

Verbücheln, ein Forscher am Institut für Informatik der Humboldt-Universität in Berlin, sagte:

"Der Angreifer muss nur die Blockkette beobachten, bis zwei [kompromittierte] Unterschriften erscheinen ... die betroffenen Unterschriften sind nicht erkennbar von jemand anderem als dem Angreifer. "

Konventionelle Weisheit hat es, dass Münzen in der kalten Lagerung vor Angriffen sicher sind, weil die privaten Schlüssel nie in Kontakt mit dem Internet oder einem anderen Netzwerk kommen.

Im Allgemeinen ist das wahr. Auch wenn das kalte Speichergerät durch Malware beeinträchtigt werden könnte, würden gestohlene private Schlüssel nicht an einen Dieb übertragen, weil er nicht mit dem Internet verbunden ist.

Wie es funktioniert

Verbüchelns Papier, das betitelt wird, Wie Perfekte Offline-Brieftaschen noch Bitcoin Private Keys lecken können, setzt einen Angriff aus, der auf den kryptographischen Algorithmus von bitcoin fokussiert.

Wenn eine Bitcoin-Transaktion stattfindet, enthält sie eine oder mehrere ECDSA-Signaturen. Die Anzahl der Unterschriften in einer Transaktion hängt von der Anzahl der Eingaben ab, die sie enthält und werden verwendet, um zu beweisen, dass die Transaktionen von ihren rechtmäßigen Eigentümern genehmigt wurden. Die Menge an Bitcoin, die in einer Transaktion enthalten ist, besteht aus der Summe ihrer Eingaben.

Der Angreifer muss zuerst eine kompromittierte Version von ECDSA erstellen. Dies wird mit einem kleptographischen "SETUP" oder "Secretly Embedded Trapdoor mit eingebettetem Schutz" erreicht, der erstmals in einer 1997 erschienenen Arbeit von Adam Young und Moti Yung beschrieben wurde. Dieses Papier beschrieb einen ähnlichen Angriff auf den digitalen Signaturalgorithmus, auf dem ECDSA basiert.

Jedes Mal, wenn eine Bitcoin-Transaktion signiert ist, wird die Signatur teilweise aus einer zufälligen Zahl, die als 'k' bekannt ist, erzeugt. Die kompromittierte ECDSA verwendet eine spezifische Formel zur Auswahl von 'k', die wiederum verwendet wird, um einen weiteren Wert 'k2' zu berechnen.

Der Angreifer beobachtet nun die aufeinanderfolgenden Signaturen, die vom kompromittierten ECDSA unterzeichnet wurden.Weil er weiß, wie 'k2' an erster Stelle berechnet wurde, wird er diesen Wert aus zwei aufeinanderfolgenden Signaturen berechnen können. Mit 'k2' in der Hand kann der Angreifer rückwärts arbeiten, um 'k' und den privaten Schlüssel zu dieser Adresse zu berechnen.

"Nachdem der Angreifer" k2 "für eine ECDSA-Signatur kennt, ist es ihm leicht, den privaten Schlüssel zu berechnen", sagte Verbücheln.

Ein Beobachter der Blockkette - und selbst der Angreifer selbst -, der Signaturen aus dieser kompromittierten elliptischen Kurve betrachtet, konnte keine Fehler erkennen. Anders als ein allgemeiner Beobachter würde der Angreifer jedoch seine Extraktionsformel auf jede Unterschrift auf der Blockkette führen, in der Hoffnung, den 'k2'-Wert von Signaturen zu finden, die von seinem bösartigen ECDSA erzeugt wurden.

Schließlich wird der Angreifer auf die von seinem Handwerk unterzeichneten Signaturen treffen, so dass er "k2" entdecken kann und letztlich den privaten Schlüssel der Adressen ableitet.

"Er kann jetzt die extrahierten privaten Schlüssel aufbewahren und die Balance der Adressen beobachten. Er kann sie benutzen, um Geld zu jeder Zeit zu stehlen", sagte Verbücheln.

Die gute Nachricht

Verbücheln sagte, dass seine Zeitung noch nicht zur Veröffentlichung vorgelegt worden ist, obwohl er auf einer Konferenz in Amsterdam nächste Woche ein Vortrag zum Thema hat.

Während das von Verbücheln beschriebene Szenario erschreckend ist - private Schlüssel, die im Wesentlichen auf die Blockkette geweckt wurden - die gute Nachricht ist, dass es ein schwieriger Angriff ist, in großem Maßstab durchzuführen.

Ivan Pustogarov, ein Forscher an der Kryptologieforschungsgruppe der Universität Luxemburg, sagte, dass ein Versuch, den kompromittierten ECDSA-Code in eine populäre Open-Source-Brieftasche zu schmuggeln, zum Beispiel von der Öffentlichkeit entdeckt würde.

"In Open-Source [Software] in großem Maßstab ... Der Code wird zu einem bestimmten Zeitpunkt analysiert und die böswillige Implementierung erkannt", sagte er.

Verbücheln teilt diese Einschätzung weitgehend, obwohl er darauf hinweist, dass einige Stücke von Open-Source-Code so groß und komplex sind, dass selbst eine engagierte Community von Entwicklern eine böswillige Ergänzung nicht erkennen kann.

Beide Verbücheln und Pustogarov sagen, dass der wahrscheinlichste Weg für einen solchen Angriff montiert werden würde durch dedizierte Brieftaschen Dienstleistungen laufen proprietäre Software. Geräte, die speziell für eine sichere Kaltlagerung von Münzen konzipiert wurden, wären zum Beispiel Hauptkandidaten für diese Art von Angriff.

"Auch wenn der Hersteller behauptet, dass es Open-Source-Code läuft, wie erzählst du, ob es eigentlich läuft was du kompiliert hast?" Sagte Verbücheln.

Nach Pustogarov beschreibt das Papier von Verbücheln einen Angriff, der mit dem "wiederholten r-Werte" -Fehler zusammenhängt, den der Weißhut-Hacker 'Johoe' berühmt ausnutzt, um mehr als 500 BTC vom Briefträger-Anbieter Blockchain zu packen.

"Diese beiden Themen beziehen sich auf das [Verbücheln] -Papier beschreibt einen allgemeineren Ansatz, und wiederholte r-Werte sind ein Unterfall", sagte er.

Verbücheln sagte, er weiß nicht, ob der von ihm beschriebene Angriff tatsächlich durchgeführt worden sei. Dennoch ist die Möglichkeit, dass einer der Kernkryptographiealgorithmen, die Bitcoin untermauern, kompliziert werden könnten, so dass ein Dieb die Sperre selbst der sichersten Adressen auswählen kann, ein kühles Szenario darstellt.

"Dieser Angriff ist seit vielen Jahren für verwandte Kryptosysteme bekannt, also kannst du nicht sicher wissen", sagte er.

Der Führer in Blockchain News, CoinDesk ist eine unabhängige Medien-Steckdose, die für die höchsten journalistischen Standards strebt und sich an eine strenge Reihe von redaktionellen Richtlinien. Haben Sie Neuigkeiten oder einen Story-Tipp, um unsere Journalisten zu schicken? Kontaktieren Sie uns unter news @ coindesk. com