Greg Maxwell：CSW再次偽造中本聰簽名

在BCH算力戰爭的第二天，一些密碼貨幣愛好者發現了一條消息，它似乎擁有著比特幣第9個區塊的「有效簽名」，這條消息警告稱比特幣區塊鏈上的隔離見證（Segwit ）協議存在一些問題。此外，Coingeek的所有者Calvin Ayre隨後在推特上發文稱「中本聰活了！」，Ayre還轉發了來自Twitter賬號@Satoshi的消息。

真的是來自中本聰本人嗎？很快比特幣技術大神Greg Maxwell解釋稱，這其實只是Craig Wright第二次偽造的簽名：

「如果有人想要發布一堆神秘的ECDSA簽名，使得公眾認為這些簽名是來自比特幣的創造者，以此破壞比特幣市場，從人們那裡榨取錢財，或以其他方式說服人們聽取他的意見，他們要怎樣才能實現呢？」

Maxwell自答道：

「不幸的是，鑒於公眾對密碼學的理解有限，這顯然是一件容易造成欺詐的事情。

他們的關鍵技巧在於，非技術人員傾向於相信那些看起來很麻煩的東西，而技術人員往往認為他們比實際知道的要多得多，所以他們很容易誤入雜草堆當中。

在密碼系統當中，細節比你想像地要更重要，因此，你所要做的，就是一個製作一個稍有修改的密碼系統偽造品。然後很多自認為理解ECDSA工作原理的人，便會急於宣稱其結果成立。

你能想到的大多數修改，足以使該方案不安全。

因此，例如，幾年前，Craig Wright通過簡單地從區塊鏈中複製一些預先存在的簽名，並在驗證它們時發布了一些混淆的指令來證明自己就是中本聰。然而，很快這件事就被揭穿了，但這個方法仍然愚弄了很多人，這些人陷入了困境，想當然地認為事實就是這樣的。在這種情況下的「修改」，是詐騙者聲稱要簽名的消息，與實際簽名的消息沒有任何關係。

最近，他似乎再次嘗試了，但這次的「簽名」並非來自區塊鏈…導致一些BCH客戶端的開發者向RedHat的一名工程師進行了「驗證」。但事實證明，這個簽名還是偽造的，人們對密碼學的理解不夠深入，這導致他們再次被騙了。

正如比特幣開發者Pieter Wuille所說，「ECDSA簽名消息並非是一個哈希，而由『簽名者』所選擇的是不安全的。」

[同樣的漏洞也被帶到了BCH中的原始操作碼中，它最初沒有對輸入數據進行哈希處理，而是將其留給了用戶。但我上報了它，並且在部署之前，開發者們似乎已修復了它。]

如果驗證者自己不執行哈希，但僅接受簽名者給出的值，則給定公鑰P，選擇隨機非零值a和b。計算R=aG+bP。現在， (R.x, R.x/b)是密鑰P對「消息哈希」 (R.x*a/b)的有效簽名。

這不會危及真實ECDSA的安全性，因為你無法找到哈希至所選（R.x * a / b）值的消息。

人們應該警惕那些模糊或過於技術性的「證明」（那些看起來像「安全系統」的東西，但出於某種原因，人們會使用原始數字或代碼來驗證它）。而精心被設計的加密軟體，因做了大量的工作，其可避免用戶被這樣的特技給愚弄。這些東西很棘手，如果他們確信自己有效地實施定製的密碼系統，任何人都可能會陷入困惑，以至於接受這種虛假證明。一個系統是不安全的，這僅僅是因為，你自己對它不夠了解。

這裡有一個示例Sage腳本來生成偽造簽名，這些腳本會欺騙那些接受ECDSA「簽名」的人，而無需哈希消息。它適用於任何EC密鑰，包括偽造者之前沒有看到過的簽名。

而下面的這段代碼，就生成了最近欺騙人們的偽造簽名：

」

你怎麼看？

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！