Entropy Attacks
a year ago
- #security
- #cryptography
- #randomness
- 传统观点认为将多个熵源进行哈希处理是安全的,但如果其中一个熵源具有恶意且能观测其他熵源,这种安全性假设可能不成立。
- 恶意熵源可以操纵哈希函数输出,例如强制其以特定位开头(如'0000'),从而破坏密码学安全性。
- 这种操纵在DSA和ECDSA等密码协议中尤为危险,因为可预测的随机数可能导致密钥泄露。
- EdDSA通过初始随机性使用后转为确定性算法来缓解该风险,但恶意熵源仍可能影响密钥的少量比特位。
- 随机数生成还可能被攻击者用作隐蔽通信信道来窃取敏感数据。
- 确定性随机数生成方法(如从单个安全密钥派生所有所需随机性)可限制恶意熵源的影响。
- 当前持续添加熵的安全实践反而可能引入漏洞而非增强安全性。
- 文章批评了关于持续添加熵必要性的主张(如Linux的/dev/urandom),认为其缺乏依据。
- 对RNG中'预测抵抗'概念提出质疑,尤其是在长期密钥已泄露的情况下。
- 作者主张转向确定性随机数生成机制,以最小化恶意熵源带来的风险。