双子星(Gemini)的首席安全官杰姆•巴耶利于上周五在公司博客中发布了他们遇到的一个漏洞的细节,这次受到攻击的来自SafeNet品牌的硬件安全模块,或者称‘HSMs’。
这些专业的防篡改设备通过一切方式来保护像政府,银行和支付公司的秘钥。他们被人们誉为作为比特币安全的“下一步”。
而SafeNet的Luna G5产品测试将应用在未来交易的冷存储上,巴耶利发现这个软件中存在设计缺陷:尽管公钥和私钥是与设备是紧密绑定在一起的,但是巴耶利发现公钥和私钥仍然可以被任意提取出来。使用Safenet公司的三个HSMs的任何一个客户端都会将使自己的比特币私钥处于危险当中,他说,并且补充道:
“比特币是一个支付技术,使用它的话你的钱将全部依靠加密功能来实现:生成一个ECDSA私钥的签名,这也就是你的钱。如果你弄丢了你的私钥,那么你就没办法花你的钱了,这非常容易理解。”
据SafeNet称,他们在上周四发布了一个补丁,公司称这次漏洞是非常严重的。
从事技术和加密管理的Gemalto公司副总裁克里斯·邓恩称,他们公司在一月份收购了SafeNet,他们告诉 CoinDesk说SafeNet到目前为止都没有做出什么优异的成绩。对此,他补充说,部分原因是由于硬件的特殊性质——只有那些会信任的客户会访问。
“HSM的漏洞是很少遇到的,用户很难去利用给定的硬件来部署他们的HSM。HSM还包含一些用法和访问控制策略来防止这种类型的漏洞发生” 。
通常,HSMs被安放在隐蔽的位置,只有工作人员才知道。某些型号甚至可以在受到攻击的时候,通过编程来自我毁灭。
虽然这家公司保护的加密私钥有7.5亿个之多,但是用户却很少下载使用这些设备来保护他们的比特币,目前为止这些设备的下载次数只有25000次。
“我们目前有一些比特币用户,然而对于我们的HSMs来说这是一个新的用例,”邓恩说。
该设备相对来说较为小众,对于比特币行业来说价格很昂贵。然而,对于传统的安全标准来说应用更加广泛,像双子星和API开发者杰姆都利用这些工具来解决他们线下(冷)存储问题。
“在某些问题上(在比特币上)我们要比 Visa、万事达卡和美国运通做的更好,但是他们对于保管私钥做的很好,他们是怎么做到的?他们是通过 HSMs”,双子星的首席运营官肯·米勒告诉CoinDesk。
SafeNe Luna SA——通过以太网连接的 HSM 服务器
他公司和Thales公司进行了为期八个月的合作,Thales是一家生产军用级别的HSMs制造商,他们需要通过这两家公司来创建一个团队共同解决硬件保护问题。
"我们发现已经有很多知名的公司都走上了比特币发展这条道路,"米勒补充说,如果有很多的人参与进来, 杰姆将会考虑开展他们转售定制机器的服务。
相比之下,巴耶利称双子星在使用SafeNet来提供比特币秘钥存储的时候,还没有遇到过任何比较明显的兼容性问题。“他们的HSMs不但由ECDSA提供算法支持,而且也有特定的比特币曲线,这些都没有出现过问题,”他说,并补充道:
“虽然我不清楚杰姆所遇到的问题,但是我可以说,他的每一款产品都有一套独特的亮点,当然也有缺点。直到最近,我们还在对一些部件能不能支持比特币服务进行评估,另一方面也需要解决操作系统/软件方面的问题。”
由于其稀缺性的特点,巴耶利表示针对这个漏洞目前在做补丁,不过不影响双子星计划使用 HSMs 作为其后端安全性的解决方案,或者尤其是 Safenet 的硬件方面。
“这个漏洞会作为一个警钟,说明要增加一些防御措施,例如使用专用的 HSMs 来管理秘钥,”他说。
不过,他补充说,“HSMs在管理加密秘钥方面仍然保持着最好的实践性”。
双子星的首席运营官也表示赞成。虽然公司对于保护比特币和防止攻击方面也没有高招,他说,但是需要立足于一家多层次安全的公司——包括HSM硬件。
“任何硬件或软件方案都是一样好,所以关键在于后续不断地对这些解决方案进行严谨管理和审查。”
文章来源:互联网
尊敬的用户,因政策受限,中国大陆IP地址将禁止访问本网站,禁止注册和使用。如果您是中国大陆用户,请安全清退退出使用,如继续使用导致的风险和责任将完全由您独立承担,同时平台有权拒绝提供服务,谢谢您的理解,请接受并同意!
钱包管理 
![[阿喀琉斯之踵] Poly Network攻击关键步骤深度解析](/upload/news/202108/16/1629093442556.png)