ビットコイン署名におけるランダムリスクのさらなる調査

元のタイトル: 「ビットコイン署名におけるランダムリスクのさらなる調査」

出典: バビット

ご存知のとおり、ビットコインのトランザクションに署名する際には、ランダムな k 値がどれほど重要であるかは誰もが知っているはずです。 k 値のランダム性は秘密鍵のランダム性と同じくらい重要であるとさえ言えます。それでは、このトピックをもう少し詳しく見ていきましょう。

安全でない乱数ジェネレーターは、k 値の繰り返し (そしてもちろん r 値の繰り返し) を引き起こし、秘密鍵の漏洩につながる可能性があります。なので、k 値が重複しないようにすれば大丈夫ですよね？
Filippo 氏は、bitcoin-core/qt は十分に安全ではない (2013 年の Pull-Request の改善がまだトランクにマージされていない) とも述べており、もちろん blockchain.info も含まれます (ブラウザーの乱数ソリューションに依存しているため)。 k 値に関する彼の意見は、「k は秘密かつ一意でなければなりません。必ずしもランダムである必要はありません。」です。 (k 値は必ずしもランダムである必要はなく、秘密かつ一意である必要があります)。

この記述はあまり厳密ではありません。なぜなら、「機密性と一意性」は、実際には可能な限り「真に」ランダムであること、または少なくとも暗号的に安全なランダム性を意味するからです。そうでなければ、「機密性と一意性」についてどのように語ることができるでしょうか? RFC6979 仕様も、特別に設計された、暗号的に安全な乱数生成方法と見なすことができます。ビットコインのセキュリティにとって、ランダム性は依然として最も重要なことです。なぜなら、「同じ秘密鍵で署名された異なるトランザクションで繰り返し k 値を使用する」というリスクだけでなく、秘密鍵が漏洩するその他の潜在的な可能性にも直面するからです。セキュリティエンジニアやビットコイン開発者はこれらの可能性について学ぶ必要があり、ハッカーはコインを盗む機会を見つけるためにブロックチェーンの履歴データを研究し分析するのに忙しいかもしれません。

可能性1:

ユーザー A とユーザー B は同じウォレット ソリューションを使用します。ウォレットが依存する乱数ジェネレーターは十分に安全ではないため、A と B は同じ k 値を使用してトランザクションに署名します。この現象は、ブロックチェーン データでは、2 つの異なる Bitcoin アドレスによって署名されたトランザクションで同じ r 値として確認できます。この場合、第三者の観察者であるハッカーは、これら 2 つのアドレスを使用して何もできない可能性がありますが、理論的には、A が自分の k 値を記録すれば、B の秘密鍵を計算でき、その逆も同様です。もちろん、過去の署名で使用された k 値を記録する人は誰もいませんし、ウォレット ソフトウェアもいません (記録されていた場合、以前に使用した k 値を入手した人があなたの秘密鍵を逆順にしてビットコインを盗むことができるため、さらに問題が深刻になります)。そのため、一般的に、このような r 値の重複のリスクは、同じアドレスによって署名されたトランザクションの r 値が繰り返される場合よりもはるかに小さくなります。しかし、ハッカーがウォレットの乱数脆弱性を分析し、確率空間を狭めて k 値をブルートフォースで解析し、ウォレット ユーザーのビットコイン資産を盗む可能性も否定できません。

可能性2:

ユーザー A とユーザー B は同じウォレット ソリューションを使用します。ウォレットが依存する乱数ジェネレーターのセキュリティが十分でないため、A と B には 2 つの繰り返される k 値 (それ自体で繰り返されるのではなく、お互いで繰り返される) があります。つまり、A は k1 と k2 を使用し、B も k1 と k2 を使用します。この場合、第三者のハッカーは A と B の秘密鍵をリバースエンジニアリングすることができ、両者のビットコイン資産が盗まれます。

可能性3:

特定のウォレット ソリューションが依存する乱数ジェネレーターは十分に安全ではないため、トランザクションに署名するときに使用される k 値は秘密鍵と同じになります (ウォレット ソフトウェアは通常、同じ乱数アルゴリズムを使用して秘密鍵を生成し、k 値を計算します)。心配しないでください。トランザクションがブロードキャストされるとすぐにコインは失われます。ハッカーが運良くプログラムが高速に実行された場合、ブロードキャストされたばかりのトランザクションを二重に使用することさえ可能です。
上記の可能性を見ると、秘密鍵のセキュリティに加えて、k 値のランダム性がビットコインのセキュリティにとっていかに重要であるかがわかるはずです。私たちは皆、ビットコインの秘密鍵が宇宙の 2^256 個の引き出しとみなされることを知っています (実際には、秘密鍵の範囲はこの数よりも小さいです)。秘密鍵を生成することは、ランダムに引き出しを引き出してそこにお金を入れることと同じです。このように、k 値を宇宙の 2^256 個のキーと見なすこともできます。お金を使うたびに、ランダムに鍵を拾い、使用後に捨てなければなりません。両方のプロセスは、他のプロセスによって再現されるのを防ぐためにランダムであることが保証される必要があります。繰り返すと財産の損失につながる可能性があります。これが、Xiao Tai 氏が「ランダム性はビットコインの生命線である」と述べた根本的な理由です。
こうした問題のあるr値は歴史上登場したことがある。単一のアドレスで r 値が繰り返されることでコインの損失に直接つながるケースが数多くあります (この状況はハッカーにとって最も判断しやすいものです)。この記事で言及されている可能性も発生していますが、実際にユーザーがコインを失ったかどうかは不明です。たとえそうであったとしても、ユーザーはその理由を知らないかもしれません。誰がどのようにコインを盗んだのかは誰も知らない。先ほども述べたように、k値の確率空間は2^256です。たとえ地球上のすべての人が毎日朝から晩までビットコインを取引していたとしても、重複は発生しないはずです。ウォレットの数が数百万個、トランザクションが数千万件しかないという事実が、非常に多くの r 値問題を引き起こしており、これは現在のウォレット ソリューションの多くが「あまりにもランダムではない」ことを示すのに十分です。過去のブロック（322925）では、多くのアドレスからの多くのトランザクションのr値が繰り返されました（兄弟、ビットコイントランザクションに署名するときに同じk値を使用しましたが、それを実行するためのループを作成しましたか？）。
ここでもう1点付け加えておきたいと思います。誰もが暗号的に安全で、可能な限り「真実」な乱数ジェネレータを使用して k 値を生成する場合、理論的には、ブロックチェーン全体の r 値もランダムに分散されるはずです。ブロックチェーン上のトランザクション数が増えるにつれて、r値の分布は統計的にますます均一になるはずです。しかし、現実には、ブロックチェーン全体の r 値の分布は非常に集中しています (一部のウォレットが安全でない乱数ソリューションを使用しているためと考えられます)。トランザクションの数が増え続けると、問題のあるアドレスと衝突する可能性がますます高くなります。これはビットコインの将来の発展にとって大きな隠れた危険でもあり、ウォレットソリューションプロバイダーやビットコイン企業から十分な注目を集めるはずです。おそらくハッカーはあなたよりもそれに注意を払っているでしょう!
最後に質問させてください。乱数は安全ですか?

オリジナルリンク: https://www.8btc.com/article/36023