최근 사용자 불만 사항은 Monero의 종자 암호화가 알려진 모든 일반 텍스트 복구에 취약하다는 사실을 지적했습니다. 문제는 Reddit 사용자 'fierce_uk'에 의해보고되었습니다.
코드의 버그는 1100 번째 줄의 코드 안에 깊게 묻혀 있었기 때문에 처음에는 분명하지 않았습니다.
이 버그가 왜 문제가됩니까?
일반 텍스트에 암호를 나타내는 임의의 숫자를 추가하면 일반 텍스트가 공개 된 경우 동일한 암호를 공유하는 다른 암호 텍스트가 손상됩니다. 암호화 언어에서이를 키 복구 공격이라고합니다.
"키 복구 암호화 시스템 (또는 복구 가능한 암호화 시스템)은 특정 규정 조건 하에서 권한이 부여 된 사람 (사용자, 조직 임원 및 정부 공무원)이 해독에 필요한 키를 얻을 수있는 백업 암호 해독 기능이있는 암호화 시스템입니다 암호문. "
이 문제는 shoehorning 보안 방법의 구버전 인 25 단어 형식에 초기화 벡터가 들어갈 수있는 공간이 충분하지 않기 때문에 발생합니다. 암호화 된 시드 코드는 6 단어 이상 있어야합니다.
이렇게하면 코드에 적절한 암호화 알고리즘을 사용하여 보호해야하는 64 비트 IV가 포함될 수 있습니다. 단어는 Gnu 사설 경비원을 사용하여 대체해야합니다. GPG를 사용하면 데이터와 통신을 암호화하고 서명 할 수 있습니다. 또한 효율적인 키 관리 시스템의 역할을합니다.
Reddit 사용자 인 Garlicgambit은 다음을 알고 싶어했습니다.
"이것은 며칠 전에 우리가 게시 한 그럴듯한 부인할 수없는 종자 저장 방법에 부정적인 영향을 미치나요? 수정이나 추가 경고가 필요합니까? 아니면 모두 내려야합니까? "
'fierce_uk', 취약점을 발견 한 Reddit 사용자는 다음과 같이 대답했습니다.
"내 추천은
a) 두 종자간에 암호를 다시 사용하지 마십시오.
b) 지갑을 비운 후에도 지갑에 돈을 공개하지 마십시오.
이 컨텍스트에서 "암호화"라는 단어를 사용하면 일부 사용자가 AES 암호화 메시지 에서처럼 시드가 실제로 안전하다고 생각하게 될 수 있기 때문에이를 삭제하기로 결정했습니다. "
Moreno는 아직 씨드 코드의 오류에 대해서는 응답하지 않았지만 사용자들은 곧 업데이트를 기대하고있다. |