Bir grup araştırmacı, JavaScript tabanlı cüzdan uygulamaları ile oluşturulan eski Bitcoin adreslerinin güvenlik tehlikeleri hakkında bir uyarı yayınladı.
Araştırmacılara göre, bilgisayar korsanları, bu adreslerde depolanmış Bitcoin'i çalmak için eski bir JavaScript şifreleme kusurundan yararlanabilirler. Brute-force hacking (kaba kuvvet ile korsanlık) kullanarak, bu adreslerin anahtarları siber suçlular tarafından elde edilebilir. Böylece cüzdanların ve bunların içinde saklanan Bitcoin'lerin sahipliğini alabilir.
JavaScript SecureRandom() İşlevinde Yetersiz Entropi
Hata, Bitcoin adresleri ve özel anahtarlar oluşturmak için kullanılabilecek JavaScript SecureRandom() işlevinden kaynaklanıyor. Bitcoin adresi, '1' veya '3' ile başlayan alfanümerik bir koddur ve bir Bitcoin ödemesinin hedefini belirtir. Bir e-posta adresine benzer. Özel anahtar ise bir parola gibidir ve bir Bitcoin adresiyle matematiksel bir ilişki taşır.
Linux Foundation posta listesindeki anonim bir katılımcıya göre, JavaScript SecureRandom() işlevi ismine rağmen gerçekten rastgele değildir. Aynı iddia, Birleşik Krallık'ta bulunan bir Unix sistem uzmanı olan David Gerard tarafından da yapıldı. Birçok online kripto para mesaj panosunda tartışma konusu haline geldi.
JavaScript kullanımı ile SecureRandom() işlevinin gerçekten rastgele olmadığı genel fikir birliği, oluşturduğu şifreleme anahtarlarının düşük entropi düzeyine dayanır. Entropi, bir sistemin rastgelelik derecesine atıfta bulunur. Entropi ne kadar yüksek olursa, brute-force korsancılığının başarılı olması o kadar zor olur.
Gerard'a göre, fonksiyon seed'in entropi seviyesine bakılmaksızın 48 bit entropiden daha az olan şifreleme anahtarları üretir. JavaScript işlevi daha sonra, genel olarak tahmin edilebilir olduğu düşünülen eski RC4 algoritmasından alfanümerik anahtarı çalıştırır. Tahmin edilebilirlik, özel anahtarı brute-force korsanlığına karşı savunmasız kılmaktadır.
Daha Güvenli Bitcoin Adresleri Alma
Bu bilgiler tamamen yeni değil, Gerard, Bitcointalk forumunda 2013 yılının başlarında bu konuyla ilgili tartışma konularını keşfettiğini ortaya koymuştu. O zamanlar, bazı web tabanlı Bitcoin cüzdanları özel anahtarlar oluşturmak için SecureRandom() işlevini kullanmıştı.
Gerard'a göre 2013 öncesi BitAddress ve 2014 öncesi Bitcoinjs cüzdanları tarafından üretilen birçok Bitcoin adresi büyük olasılıkla aynı güvenlik açığından etkileniyor.
Konuyla ilgili bir yorum da Mustafa Al-Bassam tarafından yapıldı. Al-Bassam, Londra Üniversitesi Akademisi, Bilgisayar Bilimleri bölümünde Ph.D araştırmacısıdır. Al-Bassam, birçok eski Bitcoin cüzdan uygulamasının, Bitcoin adreslerini oluşturmak için jsbn.js şifreleme kitaplıklarından yararlandığını söyledi. Bu tür kitaplıkların 2013 öncesi sürümlerinin güvenlik açığından etkilenen SecureRandom() işlevini kullanmış olma olasılığının yüksek olduğundan bahsetti. Gerard, bu adreslerin özel anahtarlarının kırılmasının yaklaşık bir hafta kadar bir süreyi bulacağını tahmin ediyor.
- Bu adreslere sahip olan Bitcoin sahiplerine daha yeni araçlar kullanarak yeni cüzdanlar oluşturmaları tavsiye ediliyor.
Son haberimize ulaşmak için tıklayın!
Kaynak: btcmanager
Posted from my blog with SteemPress : https://kriptorehberim.com/javascript-islevinde-guvenlik-acigi/