Compass Investments

Подобным образом:

Специалисты из разработчика браузера Brave, нацеленного на приватность, заявляют: широко используемый метод аутентификации с нулевым разглашением (zero-knowledge) может содержать серьезные угрозы безопасности и конфиденциальности, хотя его преподносят как передовое решение для идентификации в блокчейне.

В недавно опубликованной работе и сопутствующем блог-посте исследователь безопасности Brave София Сели с коллегами проанализировали “zkLogin” систему авторизации на основе ZK, задействованную в блокчейн-экосистеме Sui.

Ученые Brave выявили недочеты в zkLogin, распространенном способе подтверждения транзакций в блокчейне.

Наши открытия показывают более общие проблемы, свойственные решениям с доказательством нулевого знания.

Анализ показал, что надежность системы во многом обусловлена внешними допущениями, которые сам протокол не гарантирует.

Коллектив также отметил, что их результаты дают более широкие выводы для растущего сегмента инструментов идентификации и доступа на базе ZK, предлагаемых для криптокошельков, цифровых удостоверений и децентрализованных приложений.

Доказательства с нулевым разглашением позволяют лицу подтвердить истинность некоего утверждения, не раскрывая при этом исходные данные. Применительно к идентификации это значит, что пользователь может доказать наличие легитимного полномочия, не раскрывая само это полномочие.

В контексте zkLogin пользователь входит в систему через стандартного провайдера OpenID Connect (OIDC), такого как Google или иной веб-сервис удостоверения. Провайдер генерирует подписанный JSON Web Token (JWT), после чего пользователь создает ZK-доказательство, подтверждающее, что токен содержит определенные сведения и действующую подпись. Проверяющий орган принимает доказательство, не видя при этом всего токена.

На первый взгляд, такая структура кажется защищенной: если ZK-доказательство корректно, а подпись эмитента действительна, авторизация должна быть надежной. Однако эксперты Brave утверждают, что такой подход игнорирует критически важные допущения о поведении реальных систем проверки подлинности.

Как и другие системы ZK-доказательств, zkLogin может удостовериться, что вы являетесь валидным пользователем, не идентифицируя вас лично.

Тем не менее, в процессе авторизации zkLogin принимает ряд допущений, делающих ее уязвимой для атак.

Согласно исследованию, zkLogin зависит от внешних файлов и сервисов, чья корректность и достоверность не гарантируются самим протоколом. Это создает риски, которые невозможно устранить исключительно криптографическими методами.

Исследователи сгруппировали три основные категории проблем в текущей архитектуре zkLogin.

Первая касается способа, которым система обрабатывает JWT. Вместо использования синтаксического анализатора JSON, соответствующего стандартам, ZK-схема ищет определенные текстовые фрагменты сведений, такие как эмитент, получатель, субъект и nonce. По мнению исследователей, она не контролирует каноническое JSON-форматирование, уникальность ключей или точное соответствие типов данных.

Такой подход может привести к тому, что неоднозначные или некорректно сформированные токены будут трактоваться по-разному разными узлами. Например, токен может содержать повторяющиеся или конфликтующие сведения: одно значение будет извлечено системой доказательства, а другое интерпретируется кошельками или внутренними сервисами. Так как верификатор не видит всего содержимого, подобные расхождения могут остаться незамеченными.

Второй набор уязвимостей связан с отсутствием четкой связи между аутентификацией и авторизацией. Специалисты утверждают, что zkLogin превращает временные токены входа в долгосрочные учетные данные для доступа, не обеспечивая тесной привязки к исходной сессии или контексту приложения.

В ряде случаев злоумышленники могут воспользоваться слабым контролем эмитента, похитить API-ключи из браузерных приложений и запросить доказательства для любых заданных идентификаторов или программ. Команда описала сценарий полной подмены личности, который не нарушает криптографические основы, но использует пробелы в том, как система связывает эмитентов, пользователей и доверяющие стороны между собой.