GG18/GG20 协议安全漏洞分析

以 GG18/GG20 为例，该 MPC 协议依赖于 Paillier 同态加密算法的安全性。 Paillier 同态加密算法基于复合剩余类的困难问题设计，是一种广泛使用的且满足加法运算的同态加密算法。此次的漏洞就是针对 Paillier 同态密钥的构造入手，步步递进，攻陷了 $MtA$ 协议和相关零知识证明协议，最终形成了有效的攻击。

（a）在两两运行的 $MTA$ 协议中，比如 $MtA(k,x)$ 和 $MtA(k,\gamma)$ 协议，攻击方基于自身不安全的同态密钥，构造非法的 $k$ 值；

（c）攻击方与被攻击方完成签名，并记录下过程中的 $\mu$。

为了方便介绍攻击方法，这里不妨假设 MPC 钱包由三方 Party A、Party B 和 Party C 共同创建和使用，每一方分别管理各自的私钥分片 $x_A$ 、$x_B$ 和 $x_C$。利用该漏洞，Party A 可以攻击 Party B 和 Party C 以获取对方的私钥分片。本节我们以「Party A 试图攻击 Party B」为例，介绍如何提取 Party B 的私钥分片 $x_B$。(Party A 可以同样的方式提取 Party C 的私钥分片 $x_C$，此处不再赘述。)

随机选择安全素数 $p, q \in \{0,1\}^{1024}$

$N_A = p * q$

$\lambda_A = (p-1)*(q-1)$

随机选择素数 $(p_1, p_2, ..., p_{16}, q)$，其中 $p_i$ 是互不相同的小素数，而 $q$ 是大素数

$N_A = \Pi_i{p_i} * q$，$N_A$ 的长度为 2048 bit

$\lambda_A = \Pi_i(p_i-1)*(q-1)$

我们可以发现，攻击方 Party A 构造的 Paillier 公钥 $N_A$ 包含大量的小因子，那么攻击方 Party A 构造的非法 Paillier 密钥能骗过 Party B 吗？毕竟这里需要构造零知识证明供 Party B 验证。

仔细观察上图所示的 GG18/GG20 中的 $KeyGen$ 协议可以发现，这里只要求提供 $Square-Free$ 零知识证明。由于攻击者构造的 Paillier 同态公钥 $N_A$只包含了互不相同的素因子，因此，该构造方法显然能通过 $Square-Free$ 零知识证明。

在 Sign 子协议中，前几轮需要运行 $MtA$ 协议，参考 GG18 4.2节。

$MtA(k_A, \gamma_B) : \alpha_A + \beta_B \leftarrow k_A * \gamma_B$

$MtA(k_A, x_B) : \mu_A + \nu_B \leftarrow k_A * x_B$

随机选择 $k_A \in Zq$

计算 $Enc(k_A)$

执行 $MtA$ 协议

$MtA(k_A, \gamma_B) : \alpha_A + \beta_B \leftarrow k_A * \gamma_B$

$MtA(k_A, x_B) : \mu_A + \nu_B \leftarrow k_A * x_B$

生成关于随机数 $k_A$ 的密文 $Enc(k_A)$ 的零知识证明。参考 GG18 A.1 节 Range Proof

构造特殊的 $k_A$ 值

使用特殊构造的 $k_A$ 值，正常执行 $MtA$ 协议

构造特殊 $k_A$ 值

攻击者不使用随机值，而是在第 $i$ 次 MPC Sign 子协议中，采用如下方式构造 $k_A$。

​ $k_A = N_A / p_i$

注意，该特殊构造的 $k_A \gg q^3$，正常情况下已经无法通过预期零知识证明。其中 $q$ 为椭圆曲线的阶。

GG18 协议要求攻击者在 $MtA$ 运行阶段提供有效的零知识证明，参考 GG18 A.1节 Range Proof。该零知识证明能证明:

Statement： $Enc_{N_A}(k_A)$ 对 $k_A'$ 的加密密文，且满足 $k_A \in (-q^3, q^3)$

$Enc_{N_A}(k_A)$ 不是 $k_A'=0$ 的加密密文

$k_A \gg q^3$

那么，攻击方 Party A 如何突破阻碍呢？这时就需要利用攻击方 Party A 在 KeyGen 协议阶段构造的不安全的 Paillier 密钥 $N_A$ 了。因为有了不安全的 Paillier 密钥，所以才能有机会构造恶意的零知识证明。

$u = \Gamma^s s^N c^{-e} \pmod {N^2}$

攻击技巧是构造合理的挑战值 $e = Hash(..., w, )$，满足：$e \pmod {p_i} = 0$

由于 $c = (1+N_A)^k_A * \rho^N_A \mod (N_A^2)$, $k_A = N_A/p_i$

这里将 $c$ 「变换」成了 $k_A'=0$ 的密文，从而成功构造了零知识证明。

注意，这里可以通过在构造过程中暴力迭代 $\gamma$ ，不断加 1，并更新 $w$，从而满足$e \pmod {p_i} = 0$ 。由于模数 $p_i$ 为小素数，因此完全可以暴力迭代成功。

计算 Party B 私钥分片的模 $p_i$ 剩余

攻击方与被攻击者完成 Sign 子协议，并额外记录下 $MtA$ 协议中的 $\mu_A$ 值。

$\mu_A = k_A * x_B + \nu_B \pmod {N_A}$

考虑最新版的 $GG18$ 论文，已知 $u_B \le q^5$，

$\mu_A = Dec_{N_A}(Enc_{N_A}(k_A * x_B + v_B))$

$x_B \pmod {p_i} = (\mu_A - (\mu_A \mod (N_A/p_i)))/(N_A/p_i)$

记 $a_i = (\mu_A - (\mu_A \mod (N_A/p_i)))/(N_A/p_i)$

注意到等式右边全都是攻击方已知的参数，因此攻击方可以计算出 $a_i$

从而得到：$x_B = a_i \pmod {p_i}$

$x_B = a_1 \pmod {p_1}$

$x_B = a_2 \pmod {p_2}$

$...$

$x_B = a_{16} \pmod {p_{16}}$

由于 $p_1 * p_2 *... * p_{16} > q$，根据中国剩余定理，攻击方 Party A 可以计算出 Party B 的私钥分片 $x_B$。攻击成功。

修正版论文中 $MtA$ 协议使用的 $\beta_B < q^5$（对应前文的 $u_B$），采用上述攻击方法，需要 16 次签名，攻击方就可以解析出被攻击方的私钥分片。

老版论文中 $MtA$ 协议使用的 $\beta_B < N_A$（对应前文的 $u_B$），需要采用上述攻击方法的变型来实施攻击，此处不做额外说明。因为需要大量的猜测运行，需要进行大量的签名，至少需要进行 10^6 量级的签名尝试，攻击方才可能解析出被攻击方的私钥分片。更准确的说，为了以概率 $\tau^l$成功提取对方私钥分片所需签名次数是： $\sum_{i=1}^nf_\tau(p_i)$ 次。

其中，$f_{\tau} (p) = log(1-\tau) / log(1-1/p^2)$。Fireblocks 的论文中相应的公式有个书写错误，在此进行了修正。

（1）模拟 App 创建钱包，在创建钱包时（对应 KeyGen 子协议），构造本地 Party A MPC 协议中不安全的同态密钥，然后使用该同态密钥完成钱包创建，同时获取本地 Party A 私钥分片 $x_A$

（2）模拟 App 使用该钱包正常发起交易签名 16 次（对应 Sign 子协议），并且每次构造 MPC 协议中恶意的 $k_A$ 和恶意的零知识证明，完成 16 次签名并收集每次签名中的 $\mu$

完成上述操作后，攻击者就可以获取所创建钱包对应的云端 Party B 的私钥分片 $x_B$。因为签名门限为 2/2，攻击者从本地获取了私钥分片 $x_A$，同时又攻击协议获得了云端私钥分片 $x_B$，至此攻击者可以通过 $x_A$ 和 $x_B$ 得到钱包对应的真实私钥 $x$。

通观整个攻击过程，我们发现所有的攻击都起源于攻击准备阶段，在该阶段攻击方 Party A 构造了不安全的同态密钥 $N_A$，其中包含了大量的小因子，这些都促成了后续的攻击达成 。

漏洞修复也正是针对这一点， 在 GG18/GG20 协议中，添加额外的零知识证明，避免同态公钥 $N_A$ 中小因子的出现，从根源上阻止了攻击。从整个 GG18/GG20 协议来说，打完该补丁以后，安全假设就不存在安全问题了，因此协议仍然是安全的。

第一个零知识证明是 Paillier 的 Blum 模数证明，它保证了同态公钥 $N_A$ 最多只有两个素因子，且每个素因子满足特定特性。

第二个零知识证明是无小因子证明，保证了同态公钥 $N_A$ 中没有小的素因子。

这两个零知识证明实现可以参考 CMP20 和 CGGMP21（6.3 节 和 C.5 节)，该证明可保证Paillier 公钥 $N$ 不存在小于 $2^{256}$ 的因子。

在完成 MPC 协议安全升级之后，为了安全起见，可以检测历史数据进行验证是否曾经受到针对该漏洞的攻击。由于该漏洞的利用依赖于构造不安全的 Paillier 密钥，如果曾经受到过此类攻击，在攻击方的 Paillier 公钥 $N$ 中一定存在小因子，因此我们可以通过分析 MPC 参与方的 Paillier 公钥 $N$ 中是否存在小因子来检测是否存在过攻击。

具体的检测方式可以利用成熟的大整数分解算法工具检查 Paillier 模数 $N$ 是否具有小因子。如果存在小因子，则有被攻击的可能，建议尽快转移资产并创建新的 MPC 钱包。