基于 GG18/20 实现 MPC 门限签名攻击预警
2021-12-18
最后更新于
2021-12-18
最后更新于
By Max
据 Safeheron 旗下弦冰实验室首席科学家何剑虹介绍,一种针对门限签名算法的攻击方式刚刚被 Dmytro 和 Omer 所发现 [DO21]。
该攻击方式主要是针对 [GG18] 和 [GG20] 两篇论文所提出的门限签名算法。由于 [GG18] 和 [GG20] 的安全性,自论文发表以来,就成为了最广泛使用的私钥签名算法,Zengo、Binance、ING、PayPal/Curv、Fireblocks、Safeheron 等众多知名 MPC 科技公司都基于该论文实现了自己的多方签名算法库。因此,该攻击漏洞造成的影响范围非常广泛,甚至可能出现资产损失。
弦冰实验室会在近期详细介绍此漏洞的攻击原理、攻击效果和修复方案。
新的攻击方式主要针对 [GG18] 和 [GG20] 中的所使用的 multiplicative-to-additive 子协议(简称 MtA 子协议)。MtA 子协议是一种在两方计算中常常使用的、将乘法转换为加法的协议工具。在执行 MtA 子协议的过程中,攻击者选择合适的 k 值,利用协议的正常结果,分析猜测直接关系到用户私钥的 w 的取值范围。通过多次攻击,即便安全多方签名协议会失败,攻击也会逐步逼近和缩小 w 的取值范围。当取值范围缩小到一定范围,不需要很大算力就能暴力计算出 w 的值,从而得到用户的私钥分片。
在执行安全多方签名协议时,单人即可发起有效攻击,获取参与各方的私钥分片。通过多次签名,每次都选择 MtA 子协议中合适的 k 值,并记录好被攻击方的返回值。当攻击累计到一定次数(论文中实验是16次),则可通过 k 值和被攻击方的返回值计算出参与各方私钥分片。
弦冰实验室通过研究确定,Safeheron 不会受到该攻击的影响,后续会继续跟踪该问题,并详细介绍该漏洞的理论原理和攻击效果和修复方案。
参考文献:
[DO21] Alpha-Rays: Key Extraction Attacks on Threshold ECDSA Implementations
[GG18] Rosario Gennaro and Steven Goldfeder. Fast multiparty threshold ecdsa with fast trustless setup. In Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security, pages 1179–1194, 2018
[GG20] Rosario Gennaro and Steven Goldfeder. One round threshold ecdsa with identifiable abort. IACR Cryptol. ePrint Arch., 2020:540, 2020