پروتکل Nonce Blinding چیست؟

ایمنی در دنیای بلاک چین همیشه پیشرفته است و گواه آن ایجاد پروتکل Nonce Blinding است.

این پروتکلی است که توسط جامعه پروژه بیت کوین ایجاد شده است، که در آن به نظر می رسد هیچ چیز برای تضمین امنیت کامل بلاک چین و کیف پول کاربران کافی نیست.

پروتکل Nonce Blinding سرانجام در ۲۸ فوریه ۲۰۲۰ در لیست توسعه بیت کوین به جامعه ارائه شد.

در واقع، اولین کشش آزمایشی شما (کد منبع ارسال شده به پروژه) در ۱۵ فوریه ۲۰۱۹ انجام شد.

به عنوان بهبودی در طرح امضا و کاربرد آن در کیف پول های سخت افزاری و سایر دستگاه های ثانویه ارائه شد.

ایده اصلی پروتکل این است؛ سپری ایجاد کنید که از نقض داده ها و حملات کانال جانبی به بیت کوین و سایر طرح های امضای ارزهای دیجیتال جلوگیری می کند.

همه اینها از ایده ای شروع شد که خود ساتوشی ناکاموتو در سال ۲۰۱۰ در انجمن بیت کوین تاک به اشتراک گذاشت و در آن گفت:

کریپتو ممکن است راهی برای انجام “کور کردن کلید” ارائه دهد. من کمی تحقیق کردم و مبهم بود، اما ممکن است چیزی در آنجا وجود داشته باشد.

“امضای گروه” ممکن است مرتبط باشد.

ارزهای رمزنگاری شده می‌توانند راهی برای انجام «کور کلید» ارائه دهند.

من کمی تحقیق کردم و مشخص نبود، اما ممکن است چیزی وجود داشته باشد.

“امضای گروه” ممکن است مرتبط باشد.

اما حمله کانال جانبی چیست و چرا تهدیدی برای امنیت ما هستند؟

پروتکل Nonce Blinding دقیقا چه کاری انجام می دهد؟

بیایید کمی بیشتر در مورد این موضوعات و موضوعات دیگر بیاموزیم.

حملات کانال جانبی(side channel attack)

کابوس امنیت بلاک چین

حمله غیر جانبی یا حمله کانال جانبی، نوعی حمله سایبری است که امکان انتقال کلیه مکانیسم‌های امنیتی یک نرم‌افزار یا سخت‌افزار را با استفاده از همان عملکردهای سخت‌افزار، نرم‌افزار مذکور فراهم می‌کند.

شما حتی می توانید از توابع شخص ثالث مرتبط برای انجام یک تجزیه و تحلیل پزشکی قانونی از آنها و به دست آوردن اطلاعات مورد نظر خود استفاده کنید.

به بیان ساده تر، یک حمله کانال جانبی از همان نرم افزار، سخت افزار یا سایر ابزارهای مرتبط استفاده می کند تا عیوب آن نرم افزار یا سخت افزار را پیدا کند و از آن نقص ها سوء استفاده کند. تعجب آور است، نه؟

به نظر می رسد چیزی از یک فیلم علمی تخیلی باشد، اما واقعی است.

در واقع، این چیزی است که برای سالیان متمادی وجود داشته و به ما این امکان را می دهد که چیزهای بسیار دیوانه کننده ای خلق کنیم.

به عنوان مثال، یک خراش دهنده صدا برای صفحه کلید شما که به فردی در اتاق دیگر اجازه می دهد متوجه شود که در حال تایپ کردن در رایانه خود هستید.

و اگر این شما را نگران نمی‌کند، نظر شما درباره کوکی (نوعی که وب‌سایت‌ها از آن استفاده می‌کنند) چیست که می‌تواند برنامه‌ای را در حافظه رایانه شخصی شما بارگیری کند و از آنجا داده‌ها را از کلیدهای خصوصی بیت‌کوین شما یا هر چیز دیگری استخراج کند.

از رمزنگاری استفاده کنید حتی یک تجزیه و تحلیل الکتریکی یا الکترومغناطیسی می تواند امنیت شما را با استفاده از حملات کانال های جانبی به خطر بیندازد.

ممکن است فکر کنید که این حملات بسیار پیچیده، پرهزینه و تنها در شرایط بسیار خاص امکان پذیر است.

اما حقیقت این است که در همین لحظه، کامپیوتر شما ممکن است در برابر این حملات آسیب پذیر باشد بدون اینکه شما بدانید.

به عنوان مثال، اکثر پردازنده‌های رایانه‌های Intel، AMD و ARM (که مخصوص گوشی‌های هوشمند هستند) در برابر حملات کانال جانبی (مانند Spectre یا Meltdown) آسیب‌پذیر هستند و آن مشکلات امنیتی به طور کامل اصلاح نمی‌شوند و سایرین را نمی‌توان اصلاح کرد.

مطمئناً از خود می‌پرسید، آیا چنین چیزی از پیش طراحی شده است؟

آیا شرکت ها این نقص ها را ایجاد کرده اند تا در صورت نیاز، امنیت سیستم های ما را نقض کنند؟

ما به طور قطع نمی دانیم، اما ممکن است،

به خصوص زمانی که سابقه بسیاری از شرکت ها را در ایجاد این مشکلات و فروش آنها به قیمت های بالا به دولت ها و سازمان های جاسوسی آنها در نظر بگیریم.

در این صورت، از آنجایی که ما روزانه به این فناوری وابسته هستیم،

باید مکانیسم هایی ایجاد کنیم که به ما کمک کند دستیابی به اطلاعات مورد نظر را برای آنها دشوارتر یا غیرممکن کنیم.

اینجاست که پروتکل Nonce Blinding وارد عمل می شود و اکنون توضیح خواهیم داد که چگونه از امنیت ما در برابر این نوع حمله محافظت می کند.

پروتکل Nonce Blinding چگونه کار می کند؟

هدف پروتکل Nonce Blinding جلوگیری یا پیچیده تر کردن حملات کانال جانبی به کیف پول های ارزهای دیجیتال،

به ویژه کیف پول های سخت افزاری است.

برای رسیدن به این هدف، پروتکل یک سری شرایط را ایجاد می کند که از فیلتر شدن کلیدهای کیف پول جلوگیری می کند.

اول، تصادفی بیشتر در دستگاه امضا ایجاد می شود،

که سطح امنیت بالاتری را به نرم افزار کیف پول می دهد. با این حال، برای اینکه چنین تصادفی واقعاً غیرقابل پیش بینی باشد،

میزبان (کیف پول سخت افزاری) و مشتری (یک رایانه یا دستگاه دیگری که به هاست متصل است) باید از یک کانال ارتباطی امن (پروتکل تأیید- افشا) اطمینان حاصل کنند که به روش زیر عمل می کند:

میزبان یک مخزن تصادفی تولید می کند،

یک هش از آن را محاسبه می کند و هش گفته شده را به مشتری ارسال می کند (به طور کلی از SHA-256 استفاده می شود) همراه با یک تعهد رمزنگاری مبنی بر اینکه این تصادفی است که برای فرآیند امضا استفاده می شود.

مشتری اطلاعات را از میزبان دریافت می کند و موافقت می کند که از این تنظیمات برای ایجاد سیستم امضا استفاده کند.

علاوه بر این، مشتری همچنین دارای یک استخر تصادفی است که از آن برای امضای دیجیتال استفاده خواهد کرد.

تمام این اطلاعات برای آگاهی میزبان به آن ارسال می شود. میزبان با تصادفی بودن ایجاد شده در مرحله ۱ پاسخ می دهد و دریافت اطلاعات را تایید می کند.

سپس مشتری با استفاده از تصادفی بودن ارائه شده توسط میزبان، امضایی را انجام می دهد.

پس از این مرحله مشتری اطلاعات امضا را برای هاست ارسال می کند.

میزبان اطلاعات را دریافت می کند و آن را تأیید می کند.

اگر اطلاعات دریافتی صحیح باشد، میزبان تصادفی بودن تولید شده توسط هر دو طرف را می گیرد و از آن یک امضای معتبر برای تراکنش ایجاد می کند.

اگر برعکس، تأیید ناموفق باشد، پروتکل در مورد شکست هشدار می دهد.

این پروتکل ساده موارد زیر را فعال می کند:

ایجاد یک محیط امن برای تولید امضا و اعتبار سنجی.

یک امضای معتبر برای یک تراکنش با استفاده از دو استخر تصادفی مختلف ایجاد کنید.

به این ترتیب از پردازش اطلاعات امضا توسط یک طرف که ممکن است به خطر بیفتد یا نباشد جلوگیری می شود.

به بیان ساده، این روش تولید امضاها را به دو بخش مجزا تقسیم می‌کند

، که سپس به یکدیگر متصل می‌شوند تا در نهایت امضای معتبر معامله ایجاد شود.

تنها راه برای فساد چنین سیستمی این است که هر دو طرف به طور همزمان تحت تأثیر قرار گیرند.

علاوه بر این، مکانیسم توسعه پذیر است،

یعنی طرحی که بیش از دو طرف در آن شرکت می کنند می تواند استفاده شود، که امنیت پروتکل را بیشتر افزایش می دهد.