リップル(Ripple)の電子署名アルゴリズムに脆弱性 公式が注意喚起
リップル(ipple)社は、電子署名を行うと自分の秘密鍵が推定できてしまうという脆弱性を公表した。
問題となっているのは2015年8月版以前のrippledあるいはripple-libパッケージに含まれる電子署名に関するソフトウェアsecp256k1だ。
このソフトウェアを利用して自分の秘密鍵で数回電子署名を行うと、その秘密鍵が推定できてしまうという。
問題の影響があるのは一部の人のみ
この問題が影響するのは、secp256k1を用いて電子署名を行ったユーザーに限る。
すなわち、以下の2条件に当てはまる人だ。
- 2015年8月版以前のrippledあるいはripple-libパッケージを利用したことがある人
- 電子署名を行ったことがある人
この両方どちらか一方にでも当てはまらないユーザーには影響がない。そのため、多くのユーザーはそのまま利用し続けられる。
リップル社は、もし心当たりがある方は、秘密鍵あるいは口座の変更をするよう発信している。
secp256k1とは
secp256k1は文字列の暗号化を行う関数。秘密鍵に対して使用した場合、その秘密鍵を変換させた文字列(暗号)が得られる。
そして、電子署名の際には暗号化された秘密鍵をネットワークに提出することになる。
いま問題となっているのは、secp256k1を用いて同じ文字列を複数回暗号化した場合、元の文字列が推定できてしまうという点だ。
もし秘密鍵が推定されてしまうと、ウォレットに悪意ある第三者からのアクセスを許してしまい、資産が盗まれる可能性がある。
リップル価格への影響
(本日のチャート 出典:TradingView)
リップル(XRP)の価格は前日16日21時に37.24円の高値をつけた後反落、そのまま17日午前11時には35.60円まで下落した。
しかしこれは市場の「正常な動き」と見たほうが自然で、脆弱性の一見が影響を与えたものとは考えにくい。
ただし、今後この脆弱性が原因でもっと大きな問題が発生する可能性もあり、注目が必要だ。
