SlowMist: Phát hiện lỗ hổng bảo mật nghiêm trọng trong thư viện mật mã Elliptic

Foresight News báo cáo rằng SlowMist Technology đã tuyên bố rằng một lỗ hổng bảo mật nghiêm trọng (GHSA-vjh7-7g9h-fjfh) đã được phát hiện trong thư viện mật mã elliptic, được sử dụng rộng rãi trong hệ sinh thái JavaScript. Kẻ tấn công có thể trích xuất khóa riêng tư chỉ với một chữ ký bằng cách tạo ra các đầu vào cụ thể, từ đó giành quyền kiểm soát hoàn toàn tài sản kỹ thuật số hoặc thông tin xác thực danh tính của nạn nhân. Nguyên nhân gốc rễ của lỗ hổng này nằm ở các khiếm khuyết xử lý đầu vào không chuẩn của thư viện elliptic, dẫn đến khả năng lặp lại số ngẫu nhiên k trong các chữ ký ECDSA. Vì tính bảo mật của thuật toán ECDSA phụ thuộc nhiều vào tính duy nhất của k, một khi k bị lặp lại, khóa riêng tư có thể được suy ra trực tiếp, dẫn đến các rủi ro bảo mật không thể đảo ngược.