Недавние жалобы пользователей указывают на то, что шифрование сида Monero уязвимо для любого известного восстановления в обычном режиме. Об этом сообщил Reddit пользователь fierce_uk. Нашлось уязвимость в коде Monero

Ошибка в коде не была очевидна сначала, потому что она была похоронена глубоко внутри кода, на 1100-й строке.

 

Почему эта ошибка является проблемой?

Добавление случайного числа, которое представляет пароль для открытого текста, компрометирует любой другой зашифрованный текст, который имеет один и тот же пароль, если открытый текст будет раскрыт. В криптографическом языке это называется атакой восстановления ключа.

«Сиситема восстановления шифрованого ключа (или восстанавливаемая система шифрования) — это система шифрования с возможностью дешифрования резервных копий, которая позволяет уполномоченным лицам (пользователям, должностным лицам организации и государственным должностным лицам) в определенных установленных условиях получать ключи, необходимые для дешифрования шифр текста.»

Проблема возникает из-за того, что в формате 25 слов, который является старой версией метода защиты shoehorning, недостаточно места, где может быть установлен вектор инициализации. Зашифрованный код seed code должен быть длиннее шести слов.

Это позволит коду включать 64-битный IV, который должен быть защищен с использованием надлежащего алгоритма шифрования. Слова должны быть заменены с помощью Gnu Private Guard. GPG позволяет пользователю шифровать и подписывать свои данные и сообщения. Он также действует как эффективная система управления ключами.

Garlicgambit, пользователь Reddit хотел знать:

«Это отрицательно влияет на правдоподобный метод хранения сида, который мы опубликовали около двух дней назад? Нужны ли ему изменения или дополнительные предупреждения? Или это вообще нужно снять?

«Fierce_uk», пользователь Reddit, который обнаружил уязвимость, ответил:

«Моя рекомендация была бы:

  1. Никогда не используйте повторно пароль между двумя сидами

  2. Никогда не раскрывайте трассирующую клавишу в кошелек, даже если вы использовали ee

Я решил удалить его, так как использование слова «шифрование» в этом контексте может ввести некоторых пользователей в заблуждение, считая, что сид действительно настолько же безопасно, как и в AES-зашифрованном сообщении».

Monero еще не ответил на ошибку в коде, но пользователи ожидают обновления в ближайшее время.

ЧЕРЕЗAmbcrypto
Предыдущая статьяОбзор крипто-платформы Bitflip
Следующая статьяICO FarmaTrust: медицина на блокчейне
Отказаться от желаний. Это концепция происходит от одного из трёх путей мудрости: юмор, парадокс, изменение. Она дублирует понятие парадокса. Именно тогда, когда мы больше не желаем чего-то, это может произойти. Искусство отказа от желаний невозможно перехвалить. Не существует ничего, без чего нельзя обойтись. Никогда человек не становился счастливей, если вдруг получал работу, деньги, любовь, которых желал. Настоящее большое счастье связано с неожиданным событием, которое намного превосходит ожидание человека. Мы ведем себя как вечные Деды морозы. Те, кто просит игрушечную железную дорогу, получают ее. А те, кто не просят ничего, могут получить гораздо больше. Перестаньте просить, и только тогда вас можно будет удолетворить.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here