WeDPR密码学算法专测活动开启,最高2万元奖励等你来战

共 2083字,需浏览 5分钟

 ·

2020-12-28 22:58

作为数据安全的守卫者,WeDPR致力于保护隐私数据安全,方案自身的安全性至关重要。微众银行区块链联合微众银行安全响应中心(WSRC)开启首场专测活动,欢迎大家一起来“考考”WeDPR密码学算法的安全性。参与者可通过体验专项靶场的方式参与活动,成功报送有效漏洞者,最高可赢取2万元奖励。 

 

本次靶场,针对WeDPR公开可验证密文账本(Verifiable Confidential Ledger,VCL)场景式解决方案中的3类零知识证明,提供密码学算法设计漏洞的挑战环境。

 

  进入靶场


仓库地址:

https://github.com/WeBankBlockchain/WeDPR-Lab-Core


下载源码之后,进入bounty/src目录,可以看到如下文件:

  • main.rs:靶场挑战入口

  • vcl.rs:VCL方案的靶场流程实现

  • vcl_data.rs:待挑战的目标数据

 

  正确性和完备性挑战


在bounty/src目录中,运行cargo run,开始体验,具体流程如下:
1. 挑战者选择待挑战的证明。
2. 挑战者按指引提供该证明所需的输入。
3. 按照目前开源的VCL零知识证明生成算法,靶场对挑战者输入生成对应证明。
4. 按照目前开源的VCL零知识证明验证算法,靶场对3中证明进行验证。

5. 挑战者获得其输入对应的证明验证结果。

 

密码学算法设计漏洞判定标准


针对每一个待挑战证明,挑战者的输入不满足证明关系但仍得到“验证通过”的结果;或者挑战者的输入满足证明关系但得到“验证不通过”的结果。具体解释如下:

1. 对于加和关系证明,以下情况视为攻破成功:
  • 挑战者找到一组数值输入a,b,c,不满足a + b = c,但却通过了加和证明的验证;
  • 挑战者找到一组数值输入a,b,c,满足a + b == c,但却未通过加和证明的验证。
2. 对于乘积关系证明,以下情况视为攻破成功:
  • 挑战者找到一组数值输入a,b,c,不满足a * b = c,但却通过了乘积证明的验证;
  • 挑战者找到一组数值输入a,b,c,满足a * b == c,但却未通过乘积证明的验证。
3. 对于范围证明,以下情况视为攻破成功:
  • 挑战者找到一个数值输入a,不属于 [0, 2^32)区间,但却通过了范围证明的验证;
  • 挑战者找到一个数值输入a,属于[0, 2^32)区间,但却未通过范围证明的验证。

 

  零知识性挑战


以上漏洞挑战主要针对零知识证明的正确性完备性,对于最关键的零知识性,我们提供了另一个靶场入口:vcl_data.rs

 

该文件中包含了100组满足加和证明的密文凭证对,即其包含的金额值满足V_C1 + V_C2 = V_C3的关系。


密码学算法设计漏洞判定标准


通过零知识证明中暴露的额外信息(如果可用),还原出各个密文凭证中的金额明文credit_value和盲化因子secret_blinding。

 

特别注意:由于密文凭证的设计满足完美信息隐藏(information theoretic hiding)特性,在不知道secret_blinding的前提下,每一个密文凭证中的金额明文credit_value可以是任意值,所以成功发现零知识性相关的漏洞的条件是同时找出用于生成当前密文凭证的金额明文credit_value和盲化因子secret_blinding,单独猜一个金额明文credit_value不算。

 

  提交漏洞


完成挑战后可以前往微众银行安全响应中心登录并提交漏洞,漏洞审核通过后将发放奖励到平台账户。


提交漏洞地址:

https://security.webank.com/report/add



  奖励方式


重点目标:密码学算法设计实现漏洞(单个漏洞最高奖励可得20000元)
一般目标:其他系统安全实现漏洞(单个漏洞最高奖励可得8240元)

凡属于专测范围内的有效漏洞,可获对应奖金奖励


漏洞等级

活动期间奖励

低危

40-340

中危

150-1350

高危

660-8240

严重

10000-20000


活动时间:2020年12月24日—2021年1月22日

 

此次专测活动漏洞定级测试和提交准则请参照《微众银行SRC漏洞处理和评分标准》,公众号对话框回复【WeDPR专测】获取标准。

 

  活动申明


  • 在漏洞挖掘过程中,发现的相关漏洞请严格保密,禁止提交到其他众测平台或对外发布;禁止利用发现漏洞实施非法活动;测试过程中发现的所有漏洞都需如实反馈,写入漏洞报告;
  • 提前对外公布细节、虚假漏洞、已知重复漏洞等行为不予奖励;
  • 参与活动则默认遵守《微众银行SRC用户服务协议》,勿将页面截图、功能模块详情等外传泄露;如违约,或未按照规定进行安全测试,将扣除所属漏洞的全部奖励,并严格按照协议中违约行为进行处理;
  • 如遇到特殊情况,活动内容会及时进行调整;活动最终解释权归微众银行SRC所有。




浏览 12
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报