區塊鏈安全咨詢公司 曲速未來 表示：最昂貴的黑客是什么？贖金？惡意軟件？不！許多專家認為這是信任基礎設施一個組織的私鑰被泄露的地方。然后，這可能會危及這些密鑰簽名的所有內容，包括文檔和可執行文件。

想象一下微軟的私鑰被黑了，然后就不能相信任何由這些密鑰簽名的軟件(或硬件)。入侵者可以創建自己的軟件(或硬件)，然后用有效的密鑰對其進行簽名。必須大規模撤銷軟件和硬件，幾乎所有與微軟私鑰相關的東西都必須重新安裝。

因此，入侵者可以重新創建由可信私鑰正確簽名的軟件。這些私鑰通常是公司內部人士偷來的，但在有些情況下，草率的編碼為世界打開了鑰匙。這種情況發生在ECDSA的情況下，開發人員沒有檢查他們生成的隨機數。

索尼PS3黑客

2010年，黑客組織Fail0Overflow證明了他們可以破壞索尼PS3的安全方法。他們實現了重新創建索尼的私鑰，然后打破了管理程序和簽名的可執行文件上的簽名。

核心問題與在簽名處理(ECDSA)中使用的隨機因素的產生缺乏隨機性有關。他們通過逆轉簽名的公鑰來提供私鑰來做到這一點。事實上，不涉及實際的隨機化，每次簽名的種子值保持不變。

簽名值(R，S)使用隨機值k，以確保同一私鑰和同一消息的值將有所不同。不幸的是，索尼的開發者并沒有隨機化它。

利用ECDSA，我們為橢圓曲線(a和b)選擇了一個大素數(P)和兩個參數。接下來，我們選擇一個素數(N)，用來限制0到n-1之間的值。首先，我們在橢圓曲線(G)上選取一個點，然后計算：

p，a，b，G，n和Y的參數是公共的，私有部分是x(私鑰)，公鑰是Y。接下來，我們用一個隨機生成值(K)并對電文進行散列(M)：

請注意，?標識x-協調。

然后，消息的簽名對為(r，s)。下面是一個帶有“Hello”消息的示例運行：

然后，就可以用以下方式驗證簽名：

(A)計算消息(M)的散列。

(B)計算w=s{?1}(Mod N)，u1=M·w(Mod N)，u2=r·w(Mod N)

(C)計算曲線上的點(x1，y1)：=U1×G U2×Y

(D)然后我們檢查r≡x1(Mod N)。如果為真，則驗證簽名。

不幸的是，索尼沒有為每個簽名生成k值，總是使用4作為k的值。如果對兩個不同的文檔使用相同的k值，EVE可以找到私鑰，從而產生偽造簽名。

而且，知道了這兩條信息就可以確定k。由此可以計算私鑰(X)。

如果知道M(消息)、r、s和k(所使用的隨機值)，那么就可以從以下位置確定私鑰(X)：

X=(H(M) kr)/s(Mod P)

如果我們知道M，r，s和私鑰(X)，我們可以確定所使用的隨機值(K)：

K=(SX-H(M)/r(Mod P)

比特幣黑客

另一個震驚發生在2012年的比特幣黑客攻擊，這再次打破了ECDSA隨機數發生器的缺陷。在比特幣中，如果Alice(A)將比特幣發送給Bob(B)，則使用Alice的私鑰創建以前交易的數字簽名。然后把Bob的公鑰添加到事務中。然后定義事務的驗證，從上一個事務獲取公鑰并檢查簽名。

Nils Schneider于2013年首次發現了該缺陷，他發現以下r值出現了50倍以上：

并被標識為由同一用戶在兩個事務中使用(因此具有相同的私鑰)。這意味著使用的是相同的隨機數。在Hack[1]中有兩個輸入和一個輸出：

可以注意到，輸入的起始字節是相同的，這些字節標識簽名(r，s)：

可以看出，這兩個簽名值(R1和R2)是相同的。這是因為在Android上JavaSecureRandomclass中的Java bug上，并且它沒有生成安全的隨機數。例如，以下兩個事務具有相同的r值：

然后，2013年12月28日，Nadia Heninger報告說，由于這一漏洞，59 BTC被盜[1 HKywxiL4JziqXrzLKhmB6a74ma6kxbSDj]:

黑客的收益最終在2017年8月左右被轉移。

結論

區塊鏈安全咨詢公司 曲速未來 告誡：要始終使用簽名的隨機數。在ECDSA中的簽名組合中添加了一個隨機值，這將改變簽名。不幸的是，如果不正確地生成隨機數，則會大大削弱簽名，從而暴露私鑰。一種改進的方法是EdDSA(Edwards-曲線數字簽名算法)，并使用扭曲的Edwards曲線增強Schnorr簽名創建數字簽名，它的核心優勢在于它的安全性不是建立在產生強隨機數的基礎上的。