安全是有分量的

服务器安全防护_ddos防御方法_超高防御

2022-01-12 15:10栏目:创投界

服务器安全防护_ddos防御方法_超高防御

这项工作是与我的同事Sylvain Pelissier一起完成的,我们证明了EdDSA签名方案容易受到单错误攻击,并针对运行在Arduino纳米板上的Ed25519方案发起了这样的攻击。上周,网站防御ddos,我们在台北举行的2017年FDTC上发表了一篇关于这一主题的论文。

ECDSA是众所周知的数字签名算法DSA的椭圆曲线对应物。ECDSA也因PlayStation 3的黑客攻击而闻名,在这种黑客攻击中,由于ECDSA没有正确随机化,ECDSA私钥可以被检索。

ECDSA也被比特币用来签署交易和数据。2013年,超过59枚比特币(2017年8月比特币越过4400美元线时被移动)被盗,原因与PS3的弱点相同:许多Android比特币钱包在签署交易时依赖一个较弱的随机发生器来生成它们的密码。这使得攻击者能够恢复这些钱包的私钥,从而清空那些受损的钱包。

研究人员问自己,如何在不依赖随机生成器的情况下对数据进行签名,从而避免此类随机性故障。有几个答案出来了,最明显的是RFC6979,防御cc虚拟主机,它引入了一个确定性版本的ECDSA来避免这些问题。

这个确定性版本的ECDSA被证明容易受到错误攻击,因为用相同的消息签名两个不同的消息仍然和普通版本一样致命,并且,在确定性生成后的故障可导致用相同的数据签名不同的数据;如前所述,

EdDSA是RFC8032中描述的另一个确定性椭圆曲线签名方案。EdDSA在扭曲的Edwards曲线上工作,它有一些很好的性质。例如,这些曲线有快速完整的加法公式,这意味着一个公式可以用于所有可能的输入对,也可以用于加倍一个点。最常用的扭曲爱德华兹曲线可能是与蒙哥马利曲线"Curve25519"在理论上等价的曲线,因为它是"Ed25519"签名方案的核心。该方案是RFC8032中定义的EdDSA的两个显式变体之一。EdDSA的建立是为了免受大多数常见的攻击困扰ECDSA和其他签名方案,但它们都依赖于使用哈希函数确定生成其参数(对应于ECDSA的参数)。

此外,Ed25519特别有趣,因为它有以下显著特点(引自其主页):

快速单签名验证。签约速度很快。碰撞弹性。哈希函数冲突不会破坏此系统。这增加了一层防御措施,以防止所选哈希函数中可能存在的弱点。万无一失的会话密钥。确定地生成签名;密钥生成会消耗新的随机性,但新的签名不会。这不仅是一个速度特性,也是一个安全特性,与最近索尼PlayStation 3安全系统的崩溃直接相关。小签名。签名可容纳64个字节。小钥匙。公钥只消耗32字节。

所有这些特性使得Ed25519签名方案非常有趣,即使在嵌入式设备上也是如此。

用错误攻击EdDSA

但是如果使用相同的值对两个不同的消息进行签名,EdDSA和Ed25519仍然会受到损害。这在理论上显然是不可能的,因为它是确定地产生的,如下所示:,对于-位秘密字符串的散列,对于M消息,

一旦确定生成,签名将分两步生成:

定义第一部分,即手边椭圆曲线的基点,如上所述;将第二部分定义为的顺序和公钥,其中确定为:

这意味着与ECDSA不同,如果对同一消息签名两次,它将输出相同的值,因为它是确定的。为了更精确地描述该算法,Bernstein等人的论文是最好的起点。

当值被重用以生成另一条消息或不是秘密时,就会出现问题。由于公共价值,第一种情况可以被发现,因为如果重复使用,它将是相同的,我们将在下面讨论如何从重复使用中恢复密钥材料。在第二种情况下,攻击者可以简单地使用该值的知识来计算:并获得秘密值,该秘密值又可用于伪造有效签名,使用以下过程:

定义第一部分,使用她选择的任意随机值;定义第二部分,就像以前一样。

验证者没有办法区分伪造的签名和正确生成的EdDSA签名,除非他知道密钥,并且能够计算正确的值并比较它们是否对应,除了私钥的实际拥有者,没有人能做到这一点。即使在这种情况下,黑客签名者可能会声称他没有在邮件上签名,但不可能证明他没有签名,因为他可能和攻击者一样生成签名,开发防御ddos,使用一个随机值而不是他的私钥第二部分的散列。

所以必须保密。

如果你对同一条消息进行两次签名,会发生什么?如前所述,两次它都会输出相同的签名。除非在签名生成过程中的某个点发生错误。更准确地说,如果在in的计算过程中发生错误,生成a,而不是?

那么我们将有一个不同的、无效的值,而不是,并且生成的签名将是。那么,根据已知消息验证该签名当然会失败。但如果攻击者知道发生的错误类型和正确的签名,她也可能通过计算恢复值,从而能够执行与我们上面描述的完全相同的攻击!

这意味着我们可以在签名计算中用一个小故障恢复足够多的密钥材料来危害系统。

我们的Arduino纳米板,准备遭受电压小故障。