Empat Aturan Dasar Tanda Tangan ECDSA …

May 10 2023
Pada tahun 1999, Don Johnson Alfred Menezes (1999) menerbitkan sebuah makalah klasik tentang “The Elliptic Curve Digital Signature Algorithm (ECDSA)”: Pada dasarnya, dibutuhkan DSA (Digital Signature Algorithm) — dibuat oleh David W. Kravitz — dan mengubahnya menjadi representasi kurva eliptik.
Foto oleh Signature Pro di Unsplash

Pada tahun 1999, Don Johnson Alfred Menezes (1999) menerbitkan makalah klasik tentang “Algoritma Tanda Tangan Digital Kurva Elliptik (ECDSA)”:

Pada dasarnya, dibutuhkan DSA (Digital Signature Algorithm) — dibuat oleh David W. Kravitz — dan mengubahnya menjadi representasi kurva eliptik. Dan, karena log diskrit menjadi lebih besar, metode kurva eliptik jauh lebih efisien.

Kemudian, pada tahun 2007, Satoshi Nakamoto mulai menulis kode untuk implementasi Bitcoinnya, dan memilih ECDSA sebagai metode tanda tangan utama, dan menggunakan kurva secp256k1. Untuk Ethereum juga, pendekatan alami yang digunakan adalah metode tanda tangan ECDSA. Namun, tanda tangan ECDSA rentan terhadap serangan jika tidak diterapkan dengan benar, jadi mari kita lihat empat aturan dasar.

Keajaiban ECDSA yang sebenarnya adalah bahwa kami tidak harus menyimpan kunci publik, tetapi di mana tanda tangannya dapat diperiksa dari versi hash dari kunci privat. Dengan cara ini, blockchain tidak perlu menyimpan kunci publik dari mereka yang menggunakannya, dan ini adalah pertama kalinya kami membuat infrastruktur informasi yang benar-benar terdesentralisasi.

Jika Anda ingin memahami cara kerja tanda tangan ECDSA, coba di sini .

Jangan Pernah Membocorkan Nonce

Contoh : Crack ECDSA dari kebocoran nonce (SECP256k1) . ECDSA dengan nonce . Ini menguraikan ECDSA bagaimana kunci privat dapat dipulihkan dengan bocoran nilai nonce untuk SECP256k1.

Dengan tanda tangan ECDSA, kami menandatangani pesan dengan kunci pribadi ( priv ) dan membuktikan tanda tangan dengan kunci publik ( pub ). Nilai acak (a nonce) kemudian digunakan untuk mengacak tanda tangan. Setiap kali kami menandatangani, kami membuat nilai nonce acak dan itu akan menghasilkan tanda tangan yang berbeda (namun dapat diverifikasi). Secara keseluruhan, penanda tangan hanya perlu mengungkapkan elemen tanda tangan dan kunci publiknya, bukan nilai nonce. Jika penanda tangan mengungkapkan hanya satu nilai nonce secara tidak sengaja, penyusup dapat menemukan kunci privat. Dalam hal ini kita akan mengungkapkan nilai nonce, dan menentukan kunci privat, dan menggunakan kurva secp256k1 (seperti yang digunakan dengan Bitcoin).

Di ECDSA, Bob membuat kunci privat acak ( priv ), lalu kunci publik dari:

pub = pribadi × G

Selanjutnya, untuk membuat tanda tangan untuk pesan M , dia membuat nomor acak ( k ) dan menghasilkan tanda tangan dari:

r = kG

s = k ^{−1}( H ( M )+ rpriv )

Tanda tangannya adalah ( r , s ) dan di mana r adalah koordinat x dari titik kG . H ( M ) adalah hash SHA-256 dari pesan ( M ), dan diubah menjadi nilai bilangan bulat. Jika nilai k terungkap untuk salah satu tanda tangan, penyusup dapat menentukan kunci privat menggunakan:

priv = r ^{−1}×(( ks )− H ( M ))

Ini berfungsi karena:

sk = H ( M )+ rpriv

dan sebagainya:

rpriv = skH ( M )

dan untuk pribadi :

priv = r −1( skH ( M ))

Berikut adalah beberapa kode yang menemukan kunci privat, jika nonce ( k ) terungkap [ here ]:

import ecdsa
import random
import libnum
import hashlib
import sys

G = ecdsa.SECP256k1.generator
order = G.order()
print ("Curve detail")
print (G.curve())
print ("Order:",order)
print ("Gx:",G.x())
print ("Gy:",G.y())

priv = random.randrange(1,order)
 
Public_key = ecdsa.ecdsa.Public_key(G, G * priv)
Private_key = ecdsa.ecdsa.Private_key(Public_key, priv)
 
k1 = random.randrange(1, 2**127)
msg1="Hello"
if (len(sys.argv)>1):
 msg1=(sys.argv[1])
m1 = int(hashlib.sha256(msg1.encode()).hexdigest(),base=16)
 
sig1 = Private_key.sign(m1, k1)

print ("\nMessage 1: ",msg1)
print ("Sig 1 r,s: ",sig1.r,sig1.s)
r1_inv = libnum.invmod(sig1.r, order)
s1 = sig1.s
 
try_private_key = (r1_inv * ((k1 * s1) - m1)) % order
print ()
print ("Found Key: ",try_private_key)
print ()
print ("Key: ",priv)
if (ecdsa.ecdsa.Public_key(G, G * try_private_key) == Public_key):
 print("\nThe private key has been found")
 print (try_private_key)

Curve detail
CurveFp(p=115792089237316195423570985008687907853269984665640564039457584007908834671663, a=0, b=7, h=1)
Order: 115792089237316195423570985008687907852837564279074904382605163141518161494337
Gx: 55066263022277343669578718895168534326250603453777594175500187360389116729240
Gy: 32670510020758816978083085130507043184471273380659243275938904335757337482424

Message 1:  hello
Sig 1 r,s:  31110256322898237264490243973699731757547476866639597679936653478826981616940 39826373609221276498318363598911660764943881869513002749160966300292770474312
Found Key:  95525957745036960168874600860927089941985475618074755510253043724286299804190
Key:  95525957745036960168874600860927089941985475618074755510253043724286299804190
The private key has been found
95525957745036960168874600860927089941985475618074755510253043724286299804190

Contoh: Crack ECDSA dengan nonces lemah (sepc256k1) . ECDSA: Mengungkap kunci privat dari nonce yang sama . Ini menguraikan ECDSA bagaimana kunci privat dapat dipulihkan dengan nilai nonce yang lemah.

Dengan tanda tangan ECDSA, kami menandatangani pesan dengan kunci pribadi ( priv ) dan membuktikan tanda tangan dengan kunci publik ( pub ). Nilai acak (a nonce) kemudian digunakan untuk mengacak tanda tangan. Setiap kali kami menandatangani, kami membuat nilai nonce acak dan itu akan menghasilkan tanda tangan yang berbeda (namun dapat diverifikasi). Namun, kunci privat dapat ditemukan jika Alice menandatangani dua pesan berbeda dengan nonce yang sama [1].

Di ECDSA, Bob membuat kunci privat acak ( priv ), lalu kunci publik dari:

pub = pribadi × G

Selanjutnya, untuk membuat tanda tangan untuk pesan M , dia membuat nomor acak ( k ) dan menghasilkan tanda tangan dari:

r = kG

s = k ^{−1}( H ( M )+ rpriv )

Tanda tangannya adalah ( r , s ) dan di mana r adalah koordinat x dari titik kG . H ( M ) adalah hash SHA-256 dari pesan ( M ), dan diubah menjadi nilai bilangan bulat.

Sekarang katakanlah kita memiliki dua pesan ( m 1 dan m 2) dan memiliki hash dari:

h 1= H ( m 1)

h 2= H ( m 2)

Sekarang misalkan Alice menandatangani pesan dengan kunci pribadi yang sama ( priv) dan nonce ( k) yang sama , kita kemudian dapat memulihkan kunci pribadi dengan:

Kami juga dapat memulihkan nonce dengan:

Berikut adalah beberapa kode yang menemukan kunci privat, dan nonce ( k ) jika kita menggunakan nilai nonce yang sama [ di sini ]:

import ecdsa
import random
import libnum
import hashlib
import sys

G = ecdsa.SECP256k1.generator
order = G.order()
priv1 = random.randrange(1,order)
 
Public_key = ecdsa.ecdsa.Public_key(G, G * priv1)
x1 = ecdsa.ecdsa.Private_key(Public_key, priv1)
k = random.randrange(1, 2**127)
msg1="Hello"
msg2="Hello1"
if (len(sys.argv)>1):
 msg1=(sys.argv[1])
if (len(sys.argv)>2):
 msg2=(sys.argv[2]) 

h1 = int(hashlib.sha256(msg1.encode()).hexdigest(),base=16)
h2 = int(hashlib.sha256(msg2.encode()).hexdigest(),base=16)
 
sig1 = x1.sign(h1, k)
sig2 = x1.sign(h2, k)
r1,s1 = sig1.r,sig1.s
r2,s2 = sig2.r,sig2.s
valinv = libnum.invmod( r1*(s1-s2),order)
x1rec = (   (s2*h1-s1*h2) * (valinv)) % order
print ("Message 1: ",msg1)
print (f"Signature r={r1}, s={s1}")
print ("\nMessage 2: ",msg2)
print (f"Signature r={r2}, s={s2}")

print ("\nPrivate key",priv1)
print ("\nPrivate recovered ",x1rec)
valinv = libnum.invmod( (s1-s2),order)
k1rec = (   (h1-h2) * valinv) % order
print ("\nK: ",k)
print ("\nK recovered ",k1rec)

Message 1:  hello
Signature r=16163824871702315365636544754327339671279830383115616072776286071644348532176, s=78942102071383249892109282228339664393041099900407940222266026023142592864884
Message 2:  hello1
Signature r=16163824871702315365636544754327339671279830383115616072776286071644348532176, s=83502523167965149244641473202679268630845178075816922294718909855670078364206
Private key 6542179820561127199468453109220159836323733777364616770035873205004743487369
Private recovered  6542179820561127199468453109220159836323733777364616770035873205004743487369
K:  109308891778201478280270581205739604663
K recovered  109308891778201478280270581205739604663

Contoh: Mengungkap kunci privat, dari dua kunci dan berbagi nonces (SECP256k1) . ECDSA: Mengungkap kunci privat, dari dua kunci dan berbagi nonces (SECP256k1) . Ini menguraikan ECDSA bagaimana kami dapat mengungkapkan dua kunci pribadi dari empat pesan yang ditandatangani.

Dengan tanda tangan ECDSA, kami menandatangani pesan dengan kunci pribadi ( priv ) dan membuktikan tanda tangan dengan kunci publik ( pub ). Nilai acak (a nonce) kemudian digunakan untuk mengacak tanda tangan. Setiap kali kami menandatangani, kami membuat nilai nonce acak dan itu akan menghasilkan tanda tangan yang berbeda (namun dapat diverifikasi). Namun, kunci privat dapat ditemukan jika Alice menandatangani empat pesan dengan dua kunci dan dua nonce [2]. Dalam hal ini, dia akan menandatangani pesan 1 dengan kunci pribadi pertama ( x 1), menandatangani pesan 2 dengan kunci pribadi kedua ( x 2), menandatangani pesan 3 dengan kunci pribadi pertama ( x 1) dan menandatangani pesan 4 dengan kunci pribadi kedua ( x 2) Angka yang sama ( k1) digunakan dalam penandatanganan pesan 1 dan 2, dan nonce lainnya ( k 2) digunakan dalam penandatanganan pesan 3 dan 4.

Di ECDSA, Bob membuat kunci privat acak ( priv ), lalu kunci publik dari:

pub = pribadi × G

Selanjutnya, untuk membuat tanda tangan untuk pesan M , dia membuat nomor acak ( k ) dan menghasilkan tanda tangan dari:

r = kG

s = k −1( H ( M )+ rpriv )

Tanda tangannya adalah ( r , s ) dan di mana r adalah koordinat x dari titik kG . H ( M ) adalah hash SHA-256 dari pesan ( M ), dan diubah menjadi nilai bilangan bulat.

Dalam hal ini, Alice akan memiliki dua pasangan kunci, dan dengan dua kunci privat ( x 1 dan x 2). Dia akan menandatangani pesan 1 ( m 1) dengan kunci pribadi pertama ( x 1), menandatangani pesan 2 ( m 2) dengan kunci pribadi kedua ( x 2), menandatangani pesan 3 ( m 3) dengan kunci pribadi pertama ( x 1), dan tandatangani pesan 4 ( m 4) dengan kunci privat kedua ( x 2). Nonce yang sama ( k 1) digunakan untuk menandatangani pesan 1 dan 2, dan nonce lainnya ( k 2) digunakan untuk menandatangani pesan 3 dan 4. Sekarang katakanlah kita memiliki empat pesan ( m 1 .. m4) dan memiliki hash dari:

h 1= H ( m 1)

h 2= H ( m 2)

h 3= H ( m 3)

h 4= H ( m 4)

Tanda tangan untuk pesan kemudian akan menjadi ( s 1, r 1), ( s 2, r 1), ( s 3, r 2), dan ( s 4, r 2):

s 1= k 1−1( h 1+ r 1⋅ x 1)(mod p )

s 2= k 1−1( h 2+ r 1⋅ x 2)(mod p )

s 3= k 2−1( h 3+ r 2⋅ x 1)(mod p )

s 4= k 2−1( h 4+ r 2⋅ x 2)(mod p )

Menggunakan eliminasi Gaussian, kami juga dapat memulihkan kunci privat dengan:

Dan:

Berikut adalah beberapa kode yang menemukan kunci pribadi [ di sini ]:

import ecdsa
import random
import libnum
import hashlib
import sys
G = ecdsa.SECP256k1.generator
order = G.order()
priv1 = random.randrange(1,order)
Public_key = ecdsa.ecdsa.Public_key(G, G * priv1)
x1 = ecdsa.ecdsa.Private_key(Public_key, priv1)
priv2 = random.randrange(1,order)
Public_key2 = ecdsa.ecdsa.Public_key(G, G * priv2)
x2 = ecdsa.ecdsa.Private_key(Public_key2, priv2)
k1 = random.randrange(1, 2**127)
k2 = random.randrange(1, 2**127)
msg1="Hello"
msg2="Hello1"
msg3="Hello3"
msg4="Hello4"
if (len(sys.argv)>1):
 msg1=(sys.argv[1])
if (len(sys.argv)>2):
 msg2=(sys.argv[2]) 
if (len(sys.argv)>3):
 msg3=(sys.argv[3]) 
if (len(sys.argv)>4):
 msg4=(sys.argv[4]) 

h1 = int(hashlib.sha256(msg1.encode()).hexdigest(),base=16)
h2 = int(hashlib.sha256(msg2.encode()).hexdigest(),base=16)
h3 = int(hashlib.sha256(msg3.encode()).hexdigest(),base=16)
h4 = int(hashlib.sha256(msg4.encode()).hexdigest(),base=16)
 
sig1 = x1.sign(h1, k1)
sig2 = x2.sign(h2, k1)
sig3 = x1.sign(h3, k2)
sig4 = x2.sign(h4, k2)
r1,s1 = sig1.r,sig1.s
r1_1,s2 = sig2.r,sig2.s
r2,s3 = sig3.r,sig3.s
r2_1,s4 = sig4.r,sig4.s
valinv = libnum.invmod( r1*r2*(s1*s4-s2*s3),order)
x1rec = ((h1*r2*s2*s3-h2*r2*s1*s3-h3*r1*s1*s4+h4*r1*s1*s3    ) * valinv)  % order
x2rec = ((h1*r2*s2*s4-h2*r2*s1*s4-h3*r1*s2*s4+h4*r1*s2*s3    ) * valinv)  % order

print ("Message 1: ",msg1)
print (f"Signature r={r1}, s={s1}")
print ("\nMessage 2: ",msg2)
print (f"Signature r={r1_1}, s={s2}")
print ("\nMessage 3: ",msg3)
print (f"Signature r={r2}, s={s3}")
print ("\nMessage 4: ",msg4)
print (f"Signature r={r2_1}, s={s4}")
print ("\nPrivate key (x1):",priv1)
print ("\nPrivate recovered (x1): ",x1rec)
print ("\nPrivate key (x2):",priv2)
print ("\nPrivate recovered (x2):",x2rec)

Message 1:  hello
Signature r=96094994597103916506348675161520648758285225187589783433159767384063221853577, s=11930786632149881397940019723063699895405239832076777367931993614016265847425
Message 2:  hello1
Signature r=96094994597103916506348675161520648758285225187589783433159767384063221853577, s=86716405197525298580208026914311340731533780839926210284720464080897845438167
Message 3:  hello2
Signature r=12047241901687561506156261203581292367663176900884185151523104379030284412704, s=42453302255950972549884862083375617752595228510622859389343928824741407916152
Message 4:  hello3
Signature r=12047241901687561506156261203581292367663176900884185151523104379030284412704, s=64279036158699242111613174757286438038132181593159757823380636958768174455517
Private key (x1): 82160419381684073393977402015108188969157550419795710258656483526045067388858
Private recovered (x1):  82160419381684073393977402015108188969157550419795710258656483526045067388858
Private key (x2): 114347697544140976184770951847100304992433696701232754239964044576164337336942
Private recovered (x2): 114347697544140976184770951847100304992433696701232754239964044576164337336942

Contoh: Serangan Kesalahan . ECDSA: Serangan Kesalahan . Dalam serangan kesalahan di ECDSA kami hanya membutuhkan dua tanda tangan . Satu diproduksi tanpa kesalahan ( r , s ), dan yang lainnya memiliki kesalahan ( rf , sf ). Dari sini kita dapat menghasilkan kunci privat.

Dalam serangan kesalahan di ECDSA kami hanya membutuhkan dua tanda tangan . Satu diproduksi tanpa kesalahan ( r , s ), dan yang lainnya memiliki kesalahan ( rf , sf ). Dari sini, kita dapat menghasilkan kunci privat [3,4].

Di ECDSA, Bob membuat kunci privat acak ( priv ), lalu kunci publik dari:

pub = pribadi × G

Selanjutnya, untuk membuat tanda tangan untuk pesan M , dia membuat nomor acak ( k ) dan menghasilkan tanda tangan dari:

r = kG

s = k ^{−1}( h + rd )

dan di mana d adalah kunci privat dan h = H ( M ) Tanda tangannya adalah ( r , s ) dan di mana r adalah koordinat x dari titik kG . h adalah hash SHA-256 dari pesan ( M ), dan diubah menjadi nilai bilangan bulat.

Sekarang, katakanlah kita memiliki dua tanda tangan. Yang satu memiliki kesalahan dan yang lainnya valid. Kami kemudian memiliki ( r , s ) untuk yang valid, dan ( rf , sf ) untuk kesalahannya. Ini akan menjadi:

sf = k^{ −1}.( h + d .rf ) (mod p )

s = k ^{−1}.( h + d . r )(mod p )

dan dimana h

adalah hash dari pesan. Sekarang jika kita kurangi dua s

nilai yang kami dapatkan:

ssf = k ^{−1}.( h + d .r )− k ^{ −1 }.( h + d .rf )

Kemudian:

Ini kemudian dapat diganti di:

s = k^{ −1}( h + r . d )(mod p )

Ini memberi:

Kami kemudian dapat mengatur ulang ini untuk mendapatkan kunci privat ( d ) dari:

Berikut adalah kode untuk mengimplementasikan ini [ di sini ]:

import ecdsa
import random
import libnum
import hashlib
import sys

G = ecdsa.SECP256k1.generator
order = G.order()
priv1 = random.randrange(1,order)
 
Public_key = ecdsa.ecdsa.Public_key(G, G * priv1)
d = ecdsa.ecdsa.Private_key(Public_key, priv1)
k = random.randrange(1, 2**127)
msg="Hello"
if (len(sys.argv)>1):
 msg=(sys.argv[1])

h = int(hashlib.sha256(msg.encode()).hexdigest(),base=16)
sig = d.sign(h, k)

r,s = sig.r,sig.s
# Now generate a fault
rf = sig.r+1
sf=(libnum.invmod(k,order)*(h+priv1*rf)) % order
k = h*(s-sf) * libnum.invmod(sf*r-s*rf,order)

valinv = libnum.invmod( (sf*r-s*rf),order)
dx =(h*(s-sf)* valinv) % order
print(f"Message: {msg}")
print(f"k: {k}")
print(f"Sig 1 (Good): r={r}, s={s}")
print(f"Sig 2 (Faulty): r={rf}, s={sf}")
print (f"\nGenerated private key: {priv1}")
print (f"\nRecovered private key: {dx}")

Message: hello
k: 15613459045461464441268016329920647751876410646419944753875923461028663912505625338208127533545920850138128660754322530221814353295370007218638086487275174473446354362246611811506735710487039390917643920660108528521515014507889120
Sig 1 (Good): r=84456595696494933440514821180730426741490222897895228578549018195243892414625, s=68818602365739991134541263302679449117335025608295087929401907013433000993001
Sig 2 (Faulty): r=84456595696494933440514821180730426741490222897895228578549018195243892414626, s=58598513613070973829759520121438538694005185742306423466103492198584643742545
Generated private key: 15195234419506006831576867959209365250058907799872905479943949602323611654898
Recovered private key: 15195234419506006831576867959209365250058907799872905479943949602323611654898

ECDSA memang bagus, tetapi perlu ditangani dengan hati-hati!

Referensi

[1] Brengel, M., & Rossow, C. (2018, September). Mengidentifikasi kebocoran kunci dari pengguna bitcoin. Dalam International Symposium on Research in Attacks, Intrusions, and Defenses (hlm. 623–643). Springer, Cham [ di sini ].

[2] Brengel, M., & Rossow, C. (2018, September). Mengidentifikasi kebocoran kunci dari pengguna bitcoin. Dalam International Symposium on Research in Attacks, Intrusions, and Defenses (hlm. 623–643). Springer, Cham [ di sini ].

[3] Sullivan, GA, Sippe, J., Heninger, N., & Wustrow, E. (2022). Terbuka untuk kesalahan: Pada kompromi pasif kunci {TLS} melalui kesalahan sementara. Dalam Simposium Keamanan USENIX ke-31 (Keamanan USENIX 22) (hlm. 233–250).

[4] Poddebniak, D., Somorovsky, J., Schinzel, S., Lochter, M., & Rösler, P. (2018, April). Menyerang skema tanda tangan deterministik menggunakan serangan kesalahan. Pada tahun 2018 IEEE European Symposium on Security and Privacy (EuroS&P) (hlm. 338–352). IEEE.