Cốt lõi của ví tính toán đa bên (Multi-Party Computation - MPC) hiện đại và giải pháp lưu ký tài sản số của các chuỗi khối chính là một giao thức mật mã có tên là lược đồ chữ ký số ngưỡng (Threshold Signature Scheme - TSS).
Ngày nay, nhiều tổ chức bao gồm ngân hàng, sàn giao dịch và ví đều dựa vào TSS để cho phép các bên ủy quyền giao dịch bằng cách tạo chữ ký mà không tiết lộ khóa bí mật cá nhân của mỗi bên. Do đó, tính an toàn của TSS là vô cùng quan trọng đối với nhiều hệ sinh thái tài chính tài sản số.
TSS là một lược đồ chữ ký số mà cho phép nhiều bên (tức người ký) có thể thiết lập các nhóm sao cho chỉ một tập hợp con nào đó của nhóm mới có thể tạo chữ ký thay mặt cho nhóm. Cụ thể hơn, một lược đồ chữ ký ngưỡng sử dụng để ký một thông điệp là một lược đồ chữ ký số trong đó bất kỳ (ngưỡng) (hoặc nhiều hơn) người ký nào trong một nhóm gồm người ký có thể tạo chữ ký thay mặt cho nhóm. Vì mỗi bên chỉ giữ một phần khóa bí mật trong việc sinh khóa bí mật TSS, nên chữ ký ngưỡng không tiết lộ các thành viên nhóm thực sự đã hợp tác để sinh khóa và tạo chữ ký số trên thông điệp.
Trong chuỗi khối, lược đồ chữ ký số đường cong elliptic (Elliptic Curve Digital Signature Algorithm - ECDSA) thường được sử dụng để ký và xác minh giao dịch. Một giao thức cho TSS sử dụng ECDSA mà dựa trên mã hóa đồng cấu (homomorphic) và chứng minh không tiết lộ tri thức (zero-knowledge proof), đã được đề xuất bởi Gennaro & Goldfeder vào năm 2018 [3] và được cập nhật trong [4], [5]. Kể từ lần công bố đầu tiên, nhiều cài đặt của giao thức đã được phát triển và hiện đang được nhiều sản phẩm sử dụng để mang đến sự tin tưởng giữa các thành viên. Trong bài viết này, thuật ngữ t-ECDSA đề cập đến lược đồ chữ ký ngưỡng ECDSA do Gennaro và Goldfeder đề xuất.
Thật không may, mặc dù đã trải qua nhiều kiểm định an toàn, nhưng các cài đặt này, bao gồm các khung TSS mã nguồn mở thực tế trong Golang và Rust vẫn dễ bị tấn công bởi 3 tấn công trích xuất khóa mới mà nhóm nghiên cứu tại công ty Verichains đã phát hiện ra. Chúng được đặt tên là TSSHOCK.
TSSHOCK là tấn công lên giao thức chữ ký ngưỡng (Threshold Signature Scheme) được sử dụng rộng rãi trong các ví tiền điện tử dùng MPC (Multi-Party Computation), cross-chain bridge và các giải pháp quản lý tài sản kỹ thuật số.
Verichains đã phát hiện ra tấn công TSSHOCK sau khi tiến hành kiểm tra diện rộng một loạt các cài đặt t-ECDSA mã nguồn mở. Hầu hết các cài đặt có thể bị tấn công chỉ với một thành viên để khôi phục khóa bí mật ECDSA. TSSHOCK phá vỡ hoàn toàn tính an toàn của TSS, với việc khai thác bằng chứng về khái niệm thể hiện toàn bộ quá trình trích xuất khóa bí mật bởi một kẻ tấn công sau - chữ ký trên nhiều ví phổ biến, cơ sở hạ tầng khóa không lưu ký (non-custodial, tức cho phép người dùng có toàn quyền kiểm soát tài sản của mình bằng khóa bí mật được liên kết với ví) và giao thức quản lý tài sản chuỗi chéo (cross-chain).
Kẻ tấn công có thể khai thác TSSHOCK để đánh cắp tiền số có giá trị lên đến hàng tỉ USD từ cả người dùng cá nhân và các tổ chức/doanh nghiệp, đồng thời không để lại dấu vết và có vẻ không liên quan đối với các bên tham gia khác.
Phép biến đổi Fiat-Shamir là một kỹ thuật nổi tiếng nhằm loại bỏ tính tương tác khỏi các hệ chứng minh tương tác. Các hệ chứng minh tương tác thường có cấu trúc 3 bước như sau:
Bước 1: Người chứng minh sinh ra một giá trị cam kết và gửi tới người xác minh.
Bước 2: Người xác minh sinh ngẫu nhiên đều một giá trị thách thức và gửi tới người chứng minh.
Bước 3: Người chứng minh tính toán bằng chứng dựa trên cả giá trị cam kết và thách thức.
Ý tưởng đằng sau phép biến đổi Fiat-Shamir là thay vì yêu cầu người xác minh gửi một giá trị thách thức ngẫu nhiên cho người chứng minh, người chứng minh có thể tự tính toán giá trị này bằng cách sử dụng hàm ngẫu nhiên, chẳng hạn như hàm băm mật mã. Điều này giúp hệ chứng minh trở thành không tương tác.
|
Tài liệu tham khảo 1. Duy Hieu Nguyen, Anh Khoa Nguyen, Huu Giap Nguyen, Thanh Nguyen, Anh Quynh Nguyen. “New Key Extraction Attacks on Threshold ECDSA Implementations”. Blackhat USA August 5-10, 2023. 2. Verichains. “TSSHOCK: Breaking MPC Wallets and Digital Custodians for $BILLION$ Profit”. Availaible at here. 3. Rosario Gennaro and Steven Goldfeder. Fast Multiparty Threshold ECDSA with Fast Trustless Setup. Cryptology ePrint Archive, Paper 2019/114, 2019. 4. Rosario Gennaro and Steven Goldfeder. One Round Threshold ECDSA with Identifiable Abort. Cryptology ePrint Archive, Paper 2020/540, 2020. 5. Ran Canetti, Rosario Gennaro, Steven Goldfeder, Nikolaos Makriyannis, and Udi Peled. UC Non-Interactive, Proactive, Threshold ECDSA with Identifiable Aborts. Cryptology ePrint Archive, Paper 2021/060, 2021 |
Đỗ Đại Chí (dịch)
09:00 | 16/01/2018
12:00 | 03/03/2023
14:00 | 06/09/2023
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
12:00 | 16/03/2023
Metaverse (vũ trụ ảo) là một mạng lưới rộng lớn gồm các thế giới ảo 3D đang được phát triển mà mọi người có thể tương tác bằng cách sử dụng thực tế ảo (VR), hay thực tế tăng cường (AR). Công nghệ này hứa hẹn mang lại sự trải nghiệm mới mẻ, thú vị cho người dùng cũng như mang đến những cơ hội kinh doanh cho các doanh nghiệp trong việc chuyển đổi cách thức hoạt động. Tuy nhiên, bên cạnh những lợi ích thì Metaverse cũng đặt ra những thách thức và nguy cơ về vấn đề bảo mật trong không gian kỹ thuật số này.
10:00 | 21/02/2023
Khi khối lượng và sự đa dạng của dữ liệu có thể được thu thập thì việc lưu trữ và phân tích đã tăng vọt trong hơn một thập kỷ qua. Cùng với đó, những vấn đề về bảo mật ngày càng trở nên quan trọng, đặc biệt là việc bảo vệ dữ liệu cá nhân của người dùng.
10:00 | 19/08/2022
Giao thức 5G AKA (5G Authentication and Key Agreement) [1] tiêu chuẩn được biết đến là bảo mật hơn giao thức xác thực của các hệ thống di động thế hệ trước (3G, 4G). Tuy nhiên, nó vẫn còn tồn tại những điểm yếu như vi phạm quyền riêng tư, rò rỉ thông tin từ tham số SQN (Sequence Number), giả mạo mạng dịch vụ. Bài báo này sẽ phân tích những điểm yếu trong giao thức 5G AKA. Từ đó, tìm hiểu cách khắc phục các điểm yếu đó bằng cách cải tiến giao thức xác thực và thỏa thuận khóa 5G AKA tiêu chuẩn.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
09:00 | 06/12/2023
