CVE-2024-4654 Fiat-Shamir transcript malleability vulnerability in cryptography library

漏洞概述 漏洞名称: MultiField32Challenger: transcript malleability and challenge entropy loss CVE ID: CVE-2024-4654 描述: 影响: 攻击者可以通过控制服务器端观察值，构造不同的转录本以产生相同的挑战，从而破坏Fiat-Shamir的绑定属性。 受影响的文件: 和 违反的不变量: Fiat-Shamir sponge 必须将绑定挑战与观察到的字段元素的精确序列绑定。具体来说： - (1) 吸收操作必须注入不同的观察流以产生不同的 sponge 状态。 - (2) 注入不同的 PF 率单元格必须产生不同的 F 挑战序列。 - (3) 吸收的每个 PF 元素的所有位必须影响 sponge 状态。 利用场景: 攻击者可以控制服务器端观察值，构造不同的转录本以产生相同的挑战，破坏Fiat-Shamir的绑定属性。三个独立的观察点存在： - 部分-Chunk 别名 (absorb): 打包输入 通过 (base 2^32) 无长度标记和无零填充。观察到 (padded to ) 后跟一个样本，由于 将缺失的高位视为零，可以扩展或截断任何观察值而不改变未来挑战。 - 非注入挤压 (squeeze): 将每个 PF 率单元格分解为 base 2^64 数字并映射每个通过 ，减少 mod (2^31)。两个不同的 PF 值，其 base 2^64 数字仅在高位 33 位不同，产生相同的 F 挑战序列。这削弱了挑战熵的注入，使攻击者在影响 sponge 状态之前能够选择性地伪造。 - 高位截断 (observe Hash/MerkleCap): 计算每个 PF 元素的 F 限制数。对于 BN254 (254-bit 字段)，这产生 3 个限制覆盖 192 位——每个数字字的高 62 位被静默丢弃。攻击者可以找到两个不同的 BN254 哈希摘要，仅在位 192-253 中不同，并观察它们在不影响挑战的情况下互换使用。 证据: 在 中， 路径 ( 与 base 2^32) 和 路径 ( 与 base 2^64) 使用不兼容的基数，无长度分隔。 是一个简单的霍纳折叠 ，无填充或标签，因此尾部为零。 提取 u64 数字并通过 进行模约简，折叠顶部位。限制边界 是一个地板除法，静默丢弃所有高于 84 的位，对于字段宽度不是 64 的倍数的情况。 影响范围 受影响的版本: < 0.4.3, < 0.5.3 修复版本: 0.4.3, 0.5.3 修复方案 补丁**: 包括在 v0.4.3 和 v0.5.3 中。 POC代码或利用代码 页面中未包含具体的POC代码或利用代码。

目標達成すべての支援者に感謝 — 100%達成しました！

CVE-2024-4654 Fiat-Shamir transcript malleability vulnerability in cryptography library

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

CVE-2024-4654 Fiat-Shamir transcript malleability vulnerability in cryptography library

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！