BSV 上的私钥谜题

最新推荐文章于 2022-12-08 11:12:26 发布
最新推荐文章于 2022-12-08 11:12:26 发布
阅读量405 收藏
点赞数
分类专栏: 智能合约
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freedomhero/article/details/126306991
版权

我们引入了一种称为私钥谜题的新型 BSV 智能合约,它只能通过提供给定公钥的对应私钥来解锁。

在以前的合约中,只需要以数字签名的形式证明拥有私钥。私钥保密,不会暴露。私钥谜题合约则相反,私钥是被公开的。

对 ECDSA 的 Nonce 重用攻击

为了生成签名,ECDSA 需要一个私钥 d、一个随机数 k(称为 nonce)和消息的散列 hr 是点 k * Gx 坐标,其中 G 是生成器。

在这里插入图片描述

(r, s) 就是签名。

当使用相同的私钥和相同随机数 k 的对不同消息进行签名时,就会出现问题。我们将有两个签名 (r, s1) 和 (r, s2)。 r 相同,因为 k 相同。
在这里插入图片描述

在这里插入图片描述

我们可以通过以下方式恢复随机数:

在这里插入图片描述

我们还可以通过以下方式恢复私钥:

在这里插入图片描述

索尼 PlayStation 3 因为暴露了此漏洞被黑客入侵。因此,为不同的签名选择不同的 k 至关重要。

私钥谜题

我们将利用漏洞来间接曝光私钥。我们有意要求对使用相同私钥和随机数签名的两条不同消息的两个有效签名,如下所示。

contract PrivateKeyPuzzle {
    PubKey pubKey;

    // extract r from DER-encoded signature
    static function extractRFromSig(Sig sig) : bytes {
        int rlen = unpack(sig[3 : 4]);
        return sig[4 : 4 + rlen];
    }

    public function unlock(Sig sig1, Sig sig2) {
        require(checkSig(sig1, this.pubKey));
        // ensure signed messages are different option (1): insert CODESEPERATOR in between two checkSigs
        ***
        require(checkSig(sig2, this.pubKey));

        // sign with same r, thus same ephemeral key k
        require(extractRFromSig(sig1) == extractRFromSig(sig2));
    }
}
PrivateKeyPuzzle 合约

我们在第 11 行和第 14 行验证两个签名使用了相同的公钥和私钥。 第 5 行的函数 extraRFromSig() 允许我们从签名中提取 r,DER 编码如下。

在这里插入图片描述

17 行确保 r 相同,因此在两个签名中相同的 k 使用。

签名的消息称为 sighash 原像。请注意,我们在第 13 行插入了一个 OP_CODESEPARATOR 以确保两个签名的消息是不同的,因为它们具有不同的 scriptCode(sighash 原像的第 5 部分)。

还有其他方法可以确保签名消息不同。例如,我们可以在签名时使用不同的 sighash 标志(sighash 原像的第 10 部分)。


// extract SIGHASH flag from DER-encoded signature
static function extractSighashFlagFromSig(Sig sig) : SigHashType {
    int len = len(sig);
    return SigHashType(sig[len - 2 : ]);
}

public function unlock(Sig sig1, Sig sig2) {
    require(checkSig(sig1, this.pubKey));
    require(checkSig(sig2, this.pubKey));

    // ensure signed messages are different option (2): use different sighash flags
    require(extractSighashFlagFromSig(sig1) == (SigHash.NONE | SigHash.FORKID));
    require(extractSighashFlagFromSig(sig2) != (SigHash.NONE | SigHash.FORKID));

    // sign with same r, thus same ephemeral key k
    require(extractRFromSig(sig1) == extractRFromSig(sig2));
}
PrivateKeyPuzzle 合约

sig1 使用 NONE ,将交易输出的从签名的消息中排除,而 sig2 包含了交易输出,因此不同。

替代实现

还有其他方法可以强制公开私钥:

私钥谜题比它们更紧凑和高效。

致谢

本文改编自论文比特币私钥锁定交易的想法。

sCrypt Web3应用开发
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Bluespec (BSV-by-example)
11-04
学习高级硬件编程语言BSV的朋友必看!!! 可以大量减少设计者的开发工作
BSV上进行构建
BSV区块链的博客
07-10 3115
信息来源:BitcoinSV.com 在BSV上进行构建——开始入门 Bitcoin SV是众多区块链中,唯一一个致力于实现大规模扩容以支持全球使用和各类企业级应用的平台。BSV正在将比特币协议恢复如初,并使其保持稳定,从而让开发者和企业放心地构建自己的应用,而无需担心未来的不测。 Bitcoin SV支持以下三种独特的价值主张:微支付、区块链新型数据市场以及能为用户数据赋予价值的、更先进的互联网愿景。凭借这些独特的功能,BSV将使前所未有的实用范例和商业模型成为可能。 请访问BuildonBSV.co
BSV上的委托合约
sCrypt Web3 应用开发
06-17 2776
我们为 Alice 引入了一种新颖的方式,允许 Bob 使用她的 UTXO/硬币,而无需向 Bob 提供她的私钥
BSV 上的 Graftroot
sCrypt Web3 应用开发
12-08 1712
我们已经演示了如何使用无合约的合约在 BSV 上实现 Taproot。我们将展示了其后续提案 Graftroot 可以以类似的方式实施。
BSV 上的 PLONK
sCrypt Web3 应用开发
11-21 1637
我们之前已经实现了 Groth16,这是最小且最高效的 SNARK 构造。但是,它需要为每个电路进行可信设置。通过消除对每条电路的可信设置的需要,PLONK 既减轻了对该过程安全性的担忧,又确保如果电路在未来发生变化,则不再需要安全的多方计算 (MPC) 设置仪式,由于, 例如,关键错误修复。通用和可更新的设置仪式,例如 Perpetual Powers of Tau,可以重复用于 PLONK 中的任何电路。它使部署新电路和升级现有电路变得更加容易和安全。
BSV52LT1G的技术参数
12-10
产品型号:BSV52LT1G类型:NPN集电极-发射集最小雪崩电压VCEO(V):12集电极最大持续电流IC(Max)(A):0.100直流电流增益hFE最小值(dB):40直流电流增益hFE最大值(dB):120最小电流增益带宽乘积Ft(MHz):400功率耗散PD(W)@...
bsv3.6.0.550.CN
10-23
bsv,版本3.6.0.550.纯正中文版,需要winrar或者winzip解压,无解压密码。
BSV By Examples
03-22
Bluespec SystemVerilog 说明文档,Bluespec 是一种新型的HLS系统
BSv2.0gb.rar
04-11
BS在线文件管理系统
BSV 区块链上的计算外包示例
sCrypt Web3 应用开发
02-11 8206
我们提出一种新的范例,用 sCrypt 智能合约来外包密集型计算。这种方法适合解决大量的计算密集型问题。作为示例,我们把该方法应用到旅行推销员问题上。 旅行圣诞老人/推销员问题 在平安夜,圣诞老人需要遍历每个家庭给孩子们送礼物。在准备雪橇之前,他想要找到来往于所有烟囱之间的最短路线。由于烟囱数量庞大,这需要大量计算[1]。因为 BSV 区块链具备超强的智能合约能力,他决定用该能力来应对这个挑战。 他部署了下面的合约,并将1个 BSV 锁定在合约 UTXO 中。任何人如果发现了比给定的阈值更短的路径,就可以
使用 Merklized 抽象语法树压缩智能合约
sCrypt Web3 应用开发
08-01 5982
Merklized 抽象语法树 MAST(又名 Merklized 替代脚本树)是一种使用 Merkle 树压缩比特币智能合约的技术。我们在比特币 SV 上实施了 MAST。与所有其他实现不同,我们利用原始比特币协议,没有任何共识更改。 问题 通常有不止一种方法可以解锁锁定在比特币智能合约中的硬币。在 sCrypt 中,每种方式都被建模为一个公有函数,代表一种条件的解锁分支。例如,在 TimedCommit 合约中,可以通过 Alice 的原像和她的签名,或者通过 Alice 和 Bob 的签名来解锁合约。
BSV 上构建机器学习竞赛市场
sCrypt Web3 应用开发
07-29 5046
我们提出了一种在 BSV 上实现去中心化机器学习 (ML) 市场的新方法。任何人都可以通过发布附带奖励的智能合约来外包机器学习任务。任何提交表现最佳模型的人都将通过区块链交易获得奖励,而无需通过中心化机构。
使用 sCrypt 实现数独游戏合约
sCrypt Web3 应用开发
01-17 4397
我们在 Bitcoin SV 上实现了一个数独游戏的合约,利用之前介绍过的一种合约范式可以将游戏中寻找解题方案的过程外包上链。因为求解数独问题的计算工作量会随着其行列数快速增长,实际上它也是一个 NP-完全 问题。不过我们可以借由比特币智能合约巧妙地寻求答案,只需要验证答案提供者所给出的解答是否满足要求即可,这样可以将复杂的求解过程计算在链下进行实现。 sCrypt 合约代码如下: import "util.scrypt"; import "array.scrypt"; contract Sudoku
从 sCrypt 智能合约中访问区块链数据(无需预言机)
sCrypt Web3 应用开发
11-27 4230
智能合约对外部世界一无所知,一般必须依靠预言机来导入外部数据。我们之前已经展示了两种基于 Rabin 签名和 ECDSA 从预言机导入数据的方法。在本文中,我们将展示如何在没有预言机的情况下访问特定类型的外部数据,即区块链上的数据(例如区块头和交易),同时仍然保持数据完整性。通过允许智能合约以最少信任原则访问链上数据,将为所有新的比特币智能合约提供无限的机会。 访问区块头 顾名思义,比特币区块链由很多个区块链接而成。一个区块有两部分数据:区块头和交易。 一个块和它的头 区块头包含区块的元数据,有六个字段,
BSV 上的双线性配对(2)- BLS 签名
sCrypt Web3 应用开发
06-09 3320
BSV 上实现基于双线性配对的 Boneh-Lynn-Shacham 签名方案。
BSV 上的 zk-SNARKs
sCrypt Web3 应用开发
07-04 3316
zk-SNARK(零知识简洁非交互式知识论证)是一种旨在为任何数学函数生成零知识证明的协议,克服了这些限制。生成的证明是“简洁的”和“非交互的”:一个证明只有几百字节,可以在恒定时间内,甚至在几毫秒内得到验证,无需向证明者提出额外的问题。...
BSV上的委托合约(3)
sCrypt Web3 应用开发
06-20 3241
不局限于指定公钥的泛化委托合约方案
BSV上的委托合约(2)
sCrypt Web3 应用开发
06-20 3212
我们引入了一种简单而通用的委托机制,它是我们开发的脚本级委托的替代方案。
给我一个Go和php 通讯的 RSA加密源码
最新发布
04-30
4B0L0oZJAkEAxKfmyr1Y5Dn0nW5p5GmzA7l0Kt5hZ2QgJ1xKjV7MzjB8bsV7yCtP Ej3pCtGZfVwZuA5r5FhE0zCt5HR5VLB9pQJBAKLOJj0Q0zxZ1x2L2LLcQOHPdYV7 8Pv9u3qfEi5hL1LZ8a0L+3qg3zEYrsHcJ8zv9XQg/2bFmTqwZj8vZiDmOCMCQG4n QzC6...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sCrypt Web3应用开发

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值