見出し画像

Part 2:秘密鍵とデジタル資産への不正アクセスのより洗練されたベクトル、HSMで保護

SEYMOUR
SEYMOUR INSTITUTEは、暗号資産管理HSMアプライアンスを提供するスイス企業 Securosysと提携しています。

暗号資産を保護するための様々なアプローチを探る一連の記事の第2回目です。最初の記事では、最も一般的な攻撃ベクトルである物理的なアクセスを見てみました。この記事では秘密鍵とそれが保持する資産への不正アクセスを取得するために使用される他の、より洗練されたベクトルに入ります。また、記憶媒体の故障に対する保護を提供する様々なシステムについても検討します。

マルチシグネチャ、マルチパーティ計算、およびハードウェア・セキュリティ・モジュールを比較し、運用、ビジネス、規制の要件を満たしつつ、暗号通貨と資産を保護するのに最適なのはどれかを探りました。

他にどのような攻撃のベクターがあるか?

サイドチャンネル攻撃
最近公開されたPlundervoltは、安全と思われていたenclave(メモリーの隔離領域)内でもサイドチャネル攻撃が健在であることを示しています。このようなソフトウェアの脆弱性を利用して、攻撃者はハードウェアの物理的特性を操作したり、観察したりして、安全に保存されているはずのデータを取り出すことができます。

マルチシグネチャは、これらのタイプの攻撃を複雑にします。ハッカーは、異なるタイプのマシンを複数台、異なる場所に置かれたと思われる複数のマシン上で攻撃を成功させる必要があります。物理的に分離された場所で認証デバイスの少なくとも 1 つをオフラインにしておけば、リスクは実質的にゼロになりますが、スケーリングとトランザクション速度の犠牲になります。

これは安全なマルチパーティ計算(SMPC)ソリューションについても同じことが言えますが、これにはさらなる利点があります。

もちろん、ハードウェア・セキュリティ・モジュール(HSM)は、このような攻撃を正確に防ぐために構築されています。特にSecurosys社のPrimus HSMはそのような攻撃を防ぐことができます。Securosys社はHSR社と提携して、サイドチャネル攻撃の調査を行いました。数年に及ぶ努力の結果、当社のHSMは、このような攻撃に対して効果的な対策を実施できるようになりました。

ランダム化の弱点

暗号通貨の鍵を生成するのに必要なバイトサイズは、統計的には同じ鍵を 2 つ生成することは不可能ですが、コンピュータは真のエントロピー(ランダム性)を生成することができないことで有名です。適切な攻撃者は、このソフトウェアのランダム性の弱点を利用して秘密鍵の複製を成功させることができるかもしれません。

マルチシグネチャやマルチパーティ計算に基づく他のエンタープライズ・ソフトウェア・ソリューションでは、 鍵生成のためのよりスケーラブルなエントロピー源を統合することで、この問題を克服することができます。しかし、中間者攻撃を防ぐためには、鍵生成元と鍵を生成するソフトウェアとの間の統合チャネルを 安全に保つ必要があります。

これは、"シンプルな"レガシー HSM でさえ、その設計で際立っている分野です。業界のベストプラクティスや認証要件で要求されるように、モジュールの鍵生成部内に安全に統合された複数のハードウェア・エントロピーのソースを含んでいるため、HSMは統合アーキテクチャへの攻撃を防ぐこともできます。

量子コンピューティング

現在の暗号アルゴリズムのもう一つの潜在的な危険性は、量子コンピューティングの可能性からきています。公開鍵から秘密鍵を計算することがすぐに可能になるかもしれません。

暗号通貨ウォレットのソフトウェアは、ビットコインで確立された運用と発明者の意図に従うことで、自然にこの問題に対処しています。このようなソフトウェアは通常、すべてのマルチシグネチャや SMPC アプリケーションに含まれているため、他のアプリケーションへの 脆弱性が継続しているにもかかわらず、このような攻撃ベクトルに対しては当然ロバストです。

レガシーな HSM は、物理的、サイドチャネル、およびランダム化の脆弱性から保護されています。しかし、これらのHSMはオペレータをこのタイプの攻撃に晒しています。これは、量子的な脆弱性を持つ可能性のある公開鍵の取得をオペレータに要求するからです。この公開鍵を使用すると、ビジネス・アプリケーションは資産鍵に関連付けられたアドレスを生成して使用することができます。

SecurosysのHSMは、開発者が秘密鍵による最初の署名の後にのみアドレスをエクスポートできるようにすることで、この潜在的な脆弱性に対処しています。このようにして、HSMで作成され保持されている鍵の公開鍵は、資産が引き出されるまで公開されず、鍵の価値がなくなります。

保護の失敗

自分の鍵へのアクセスを失うことは、鍵が盗まれたり漏洩したりするのと同じくらい悲惨なことです。

従来のマルチシグネチャベースのソリューションでは、鍵の紛失を防ぐために様々な方法が導入されています。Glacierプロトコルや類似の概念では、物理的に保護された場所に保管されたgeo冗長性のペーパーウォレットを使用して、十分に低いクォーラム対グループ比(例えば、2/5)を使用することを推奨しています。これは、物理的な損傷からの保護としては議論の余地なく受け入れられますが、これもまた、規模を拡大することが非常に困難であり、個々の保有者にとってのみ有用です。他のアプローチとしては、鍵をより自動化されたデジタル・バックアップを行うことも考えられます。しかし、これらの方法には共通して、同じ鍵のコピーや複数の署名鍵が保管されている場所の数に比例して、 鍵の漏洩リスクが増加するという点があります。

複数のパーティの計算では単一の鍵が分割されるため、必要な定足数が失われた場合に備えて、 鍵のバックアップを取るだけで十分です。この場合もまた、物理的に保護しなければならない鍵要素が露出してしまうという問題が発生します。

最高グレードのHSMは、従来のサーバーやPCよりもはるかに高い信頼性基準のデータストレージを使用していますが、その潜在的な障害を排除することはできません。冗長性や定期的なバックアップによって保護する必要がありますが、非常に複雑な冗長性のセットアップが必要で、拡張できないことでも知られています。SecurosysのHSMは、シームレスな冗長セットアッププロセスを導入することで、この問題に対処しています。これには、最大64台のデバイスを使用したマスタースレーブモデルを使用した安全性の高い物理的な初期ペアリングと、リアルタイムのエンドツーエンドの暗号化された同期が含まれています。

次の記事 Part3では?

次の記事では、トランザクション認証の様々な方法を探っていきます。また、ビジネスや規制上の考慮事項、これらのアプローチに関連するトレードオフ、そしてそれぞれの開発者の経験についても触れていきます。

元記事:https://www.securosys.com/en/blog/protecting-the-crypto-stash-with-multi-signature-multi-party-computation-and-hsms-part-ii

SEYMOUR INSTITUTE(シーモア インスティテュート)は、スイスと日本の産学連携/共同研究、スイス事業進出に関連した機密性の高い活動を行います。スイス連邦工科大学チューリッヒ校ETHとチューリッヒ大学UZHの研究グループ、スイスのデータホスティング・サイバーセキュリティー企業、フィンテック企業、産業ロボティクス企業と提携・協力をしています。