BLS签名中与0相关的漏洞

在密码中最有趣的数字是什么？

当然是0

因为0乘以万物都等于0

本文章主要讨论BLS签名中与0相关的漏洞（PS：本文最后简单回顾下BLS签名和BLS聚合签名）

1. Rogue public key attack

假设Alice的私钥为${}_1$，其公钥为$X_1=x_1\cdot P_1\in G_1$

攻击者Bob可公开他的公钥为$X_2=x_2{P}_1-X_1$ 和其签名消息$\delta =x_{2}H(m)$

尽管Alice没有进行签名，但大家相信这个签名来自Alice和Bob的聚合签名

因为$e(P_1,\delta )=e(P_1,x_{2}H(m))=e(x_1+x_2,H(m))$

3种行之有效的办法阻止这种攻击：

1. 在验证聚合签名的时候，要求签名消息$m_1,...,m_n$不同（个人感觉这个方法比较鸡肋）
2. 签名的时候要求不能单单对消息签名，要对消息和公钥的级联($m_i||X_i$)进行整体签名
3. 要求签名者提供一个证明来证明他知道私钥，即$PopProve(x_i)=Y_i=x_i\cdot H^{\prime }(x_i)$，$H^{\prime }$是另一个哈希函数，验证者首先通过$PopVerify(Y_i)$验证$e(X_i,H^{\prime }(X_i))=?e(P_i,Y_i)$，然后再验证签名$e(P_1,\delta )=?e(X_1+...+X_n,H(m))$

2. Zero bug

如果我们将私钥设为$0$ ,则最后的公钥、签名都为0，且对任何消息的签名都能验证通过

最有效的办法是验证签名的时候校验公钥是不是为0 ，如果公钥是以byte形式出现，那也应该先把它转换成坐标点再校验

3. ”Splitting zero” attack

虽然在签名验证的时候通过校验公钥是不是为0来阻止“Zero Bug”，但有没有一种可能：

$X_1\ne 0,X_2\ne 0,{\delta }_0\ne 0,{\delta }_1\ne 1$，但是$X_1+X_2=0,{\delta }_1+{\delta }_2=0$

以上面为目标，我们来假设一种攻击情景，Alice用它的私钥对消息$m_3$ 进行签名，其签名为${\delta }_3$， 现在攻击者的目标是使验证者相信${\delta }_3$ 是对消息$(m,m,m_3)$的签名，尽管Alice至始至终没有对消息m签名，攻击者构造如下

• 随机选择$x_1$作为私钥，其公钥为$X_1=x_1\cdot P$
• 令$x_2=-x_1$，其公钥为$X_2=x_2\cdot P$

首先$X_1,X_2$均不为0，其次$(x_1,X_1)(x_2,X_2)$是合法公钥，能通过PopVerif校验

最后$x_1+x_2=0$，因此$X_1+X_2=0$ 且${\delta }_1+{\delta }_2=x_{1}H(m)+x_{2}H(m)=0$

因此最后的聚合签名$\delta ={\delta }_1+{\delta }_2+{\delta }_3={\delta }_3$是有效的

BLS签名：

假设Alice的私钥为$x$，其公钥为$X=x\cdot P_1\in G_1$

$H$是哈希函数，能够将消息映射到$G_2$

对消息$m$，Alice的签名为$\delta =x\cdot H(m)$

签名验证为$e(P_1,\delta )=?e(X,H(m))$

BLS聚合签名：

假设有$n$方，其公私钥对为$x_i,X_i=x_i\cdot P_1$

每个用户对其消息$m_i$的签名为${\delta }_i=x_i\cdot H(m_i)$

最后聚合签名为$\delta =\sum {\delta }_i$

聚合验证为$e(P_1,\delta )=?e(X_1,H(m_1))...e(X_n,H(m_n))$

参考：

https://eprint.iacr.org/2021/323.pdf