WeDPR密碼學(xué)算法專(zhuān)測(cè)活動(dòng)開(kāi)啟，最高2萬(wàn)元獎(jiǎng)勵(lì)等你來(lái)戰(zhàn)

作為數(shù)據(jù)安全的守衛(wèi)者，WeDPR致力于保護(hù)隱私數(shù)據(jù)安全，方案自身的安全性至關(guān)重要。微眾銀行區(qū)塊鏈聯(lián)合微眾銀行安全響應(yīng)中心（WSRC）開(kāi)啟首場(chǎng)專(zhuān)測(cè)活動(dòng)，歡迎大家一起來(lái)“考考”WeDPR密碼學(xué)算法的安全性。參與者可通過(guò)體驗(yàn)專(zhuān)項(xiàng)靶場(chǎng)的方式參與活動(dòng)，成功報(bào)送有效漏洞者，最高可贏取2萬(wàn)元獎(jiǎng)勵(lì)。?

?

本次靶場(chǎng)，針對(duì)WeDPR公開(kāi)可驗(yàn)證密文賬本（Verifiable Confidential Ledger，VCL）場(chǎng)景式解決方案中的3類(lèi)零知識(shí)證明，提供密碼學(xué)算法設(shè)計(jì)漏洞的挑戰(zhàn)環(huán)境。

?

??進(jìn)入靶場(chǎng)

倉(cāng)庫(kù)地址：

https://github.com/WeBankBlockchain/WeDPR-Lab-Core

下載源碼之后，進(jìn)入bounty/src目錄，可以看到如下文件：

• main.rs：靶場(chǎng)挑戰(zhàn)入口

• vcl.rs：VCL方案的靶場(chǎng)流程實(shí)現(xiàn)

• vcl_data.rs：待挑戰(zhàn)的目標(biāo)數(shù)據(jù)

?

??正確性和完備性挑戰(zhàn)

5. 挑戰(zhàn)者獲得其輸入對(duì)應(yīng)的證明驗(yàn)證結(jié)果。

?

密碼學(xué)算法設(shè)計(jì)漏洞判定標(biāo)準(zhǔn)

針對(duì)每一個(gè)待挑戰(zhàn)證明，挑戰(zhàn)者的輸入不滿足證明關(guān)系但仍得到“驗(yàn)證通過(guò)”的結(jié)果；或者挑戰(zhàn)者的輸入滿足證明關(guān)系但得到“驗(yàn)證不通過(guò)”的結(jié)果。具體解釋如下：

• 挑戰(zhàn)者找到一組數(shù)值輸入a，b，c，不滿足a + b = c，但卻通過(guò)了加和證明的驗(yàn)證；
• 挑戰(zhàn)者找到一組數(shù)值輸入a，b，c，滿足a + b == c，但卻未通過(guò)加和證明的驗(yàn)證。

• 挑戰(zhàn)者找到一組數(shù)值輸入a，b，c，不滿足a * b = c，但卻通過(guò)了乘積證明的驗(yàn)證；
• 挑戰(zhàn)者找到一組數(shù)值輸入a，b，c，滿足a * b == c，但卻未通過(guò)乘積證明的驗(yàn)證。

• 挑戰(zhàn)者找到一個(gè)數(shù)值輸入a，不屬于?[0, 2^32)區(qū)間，但卻通過(guò)了范圍證明的驗(yàn)證；

• 挑戰(zhàn)者找到一個(gè)數(shù)值輸入a，屬于[0, 2^32)區(qū)間，但卻未通過(guò)范圍證明的驗(yàn)證。

?

??零知識(shí)性挑戰(zhàn)

以上漏洞挑戰(zhàn)主要針對(duì)零知識(shí)證明的正確性和完備性，對(duì)于最關(guān)鍵的零知識(shí)性，我們提供了另一個(gè)靶場(chǎng)入口：vcl_data.rs

?

該文件中包含了100組滿足加和證明的密文憑證對(duì)，即其包含的金額值滿足V_C1 + V_C2 = V_C3的關(guān)系。

密碼學(xué)算法設(shè)計(jì)漏洞判定標(biāo)準(zhǔn)

通過(guò)零知識(shí)證明中暴露的額外信息（如果可用），還原出各個(gè)密文憑證中的金額明文credit_value和盲化因子secret_blinding。

?

特別注意：由于密文憑證的設(shè)計(jì)滿足完美信息隱藏（information theoretic hiding）特性，在不知道secret_blinding的前提下，每一個(gè)密文憑證中的金額明文credit_value可以是任意值，所以成功發(fā)現(xiàn)零知識(shí)性相關(guān)的漏洞的條件是同時(shí)找出用于生成當(dāng)前密文憑證的金額明文credit_value和盲化因子secret_blinding，單獨(dú)猜一個(gè)金額明文credit_value不算。

?

??提交漏洞

完成挑戰(zhàn)后可以前往微眾銀行安全響應(yīng)中心登錄并提交漏洞，漏洞審核通過(guò)后將發(fā)放獎(jiǎng)勵(lì)到平臺(tái)賬戶。

提交漏洞地址：

https://security.webank.com/report/add

??獎(jiǎng)勵(lì)方式

凡屬于專(zhuān)測(cè)范圍內(nèi)的有效漏洞，可獲對(duì)應(yīng)獎(jiǎng)金獎(jiǎng)勵(lì)

活動(dòng)時(shí)間：2020年12月24日—2021年1月22日

?

此次專(zhuān)測(cè)活動(dòng)漏洞定級(jí)測(cè)試和提交準(zhǔn)則請(qǐng)參照《微眾銀行SRC漏洞處理和評(píng)分標(biāo)準(zhǔn)》，公眾號(hào)對(duì)話框回復(fù)【WeDPR專(zhuān)測(cè)】獲取標(biāo)準(zhǔn)。

?

??活動(dòng)申明

• 在漏洞挖掘過(guò)程中，發(fā)現(xiàn)的相關(guān)漏洞請(qǐng)嚴(yán)格保密，禁止提交到其他眾測(cè)平臺(tái)或?qū)ν獍l(fā)布；禁止利用發(fā)現(xiàn)漏洞實(shí)施非法活動(dòng)；測(cè)試過(guò)程中發(fā)現(xiàn)的所有漏洞都需如實(shí)反饋，寫(xiě)入漏洞報(bào)告；
• 提前對(duì)外公布細(xì)節(jié)、虛假漏洞、已知重復(fù)漏洞等行為不予獎(jiǎng)勵(lì)；
• 參與活動(dòng)則默認(rèn)遵守《微眾銀行SRC用戶服務(wù)協(xié)議》，勿將頁(yè)面截圖、功能模塊詳情等外傳泄露；如違約，或未按照規(guī)定進(jìn)行安全測(cè)試，將扣除所屬漏洞的全部獎(jiǎng)勵(lì)，并嚴(yán)格按照協(xié)議中違約行為進(jìn)行處理；

• 如遇到特殊情況，活動(dòng)內(nèi)容會(huì)及時(shí)進(jìn)行調(diào)整；活動(dòng)最終解釋權(quán)歸微眾銀行SRC所有。