Trail of Bits 的文章

TA的文章 TA购买的 TA喜欢的 TA收藏的

本文介绍了PyPI（Python Package Index）上新的、更安全的身份验证方法——“可信发布”。它基于OpenID Connect (OIDC) 构建，无需长期存在的APIToken和密码，降低了供应链攻击和凭据泄露的风险，简化了发布工作流程，允许CI/CD系统安全地发布包而无需共享密钥。文章还探讨了可信发布的安全模型、潜在威胁及应对措施。

PyPI 可信发布 OpenID Connect OIDC 供应链安全身份验证

发布于 2023-05-24 22:42 阅读(94) 点赞(0)

cURL审计：一个玩笑如何促成重大发现

Trail of Bits 团队通过对 cURL 命令行接口（CLI）进行模糊测试，发现了多个内存损坏漏洞，包括 use-after-free、double-free 和内存泄漏。

cURL libcurl 模糊测试 AFL++ 内存损坏漏洞

发布于 2023-02-15 12:21 阅读(114) 点赞(0)

我们现在签署代码

Sigstore 是一种免费且与生态系统无关的软件签名服务，它使开发者能够签署、验证和保护他们的软件项目及其依赖项。

Sigstore 软件签名 Fulcio Rekor 代码签名供应链安全

发布于 2022-11-09 22:23 阅读(111) 点赞(0)

PlonK 中的冰封之心漏洞

本文是关于 PlonK 零知识证明系统中 Frozen Heart 漏洞的分析。该漏洞源于 Fiat-Shamir 转换的不安全实现，允许恶意用户伪造随机语句的证明。文章详细介绍了 PlonK 协议以及该漏洞的原理和利用方式，强调了在 Fiat-Shamir 哈希计算中包含所有公共值的重要性。最后讨论了此漏洞的影响，并指出其严重性和广泛性。

PLONK 零知识证明 Fiat-Shamir转换 Frozen Heart 密码学 SNARKs

发布于 2022-04-19 20:14 阅读(38) 点赞(0)

Bulletproofs 中的“冰冻之心”漏洞

本文深入分析了 Bulletproofs 零知识证明系统中存在的 Frozen Heart 漏洞，该漏洞源于 Fiat-Shamir 转换的不安全实现，允许恶意用户伪造超出预定义范围的值的证明。文章详细解释了该漏洞的原理以及如何利用它来生成虚假证明，并讨论了该漏洞对依赖 Bulletproofs 的应用程序的潜在影响。

Bulletproofs 零知识证明 Fiat-Shamir转换 Frozen Heart 漏洞 Pedersen承诺

发布于 2022-04-16 11:28 阅读(38) 点赞(0)

Girault知识证明中的“冰冻之心”漏洞

本文揭示了Girault知识证明中的一个名为“冰冻之心”的漏洞，该漏洞源于Fiat-Shamir转换的不安全实现，允许恶意用户伪造随机声明的证明。

零知识证明 Fiat-Shamir转换 Girault知识证明冰冻之心漏洞离散对数密码学

发布于 2022-04-15 17:49 阅读(45) 点赞(0)

影响 Girault、Bulletproofs 和 PlonK 的漏洞的协同披露

Trail of Bits 公开披露了多个零知识证明系统（包括 PlonK 和 Bulletproofs）实现中的严重漏洞，这些漏洞由 Fiat-Shamir 转换的不安全实现引起，允许恶意用户伪造随机语句的证明。

零知识证明 Fiat-Shamir变换 Frozen Heart PLONK Bulletproofs 密码学

发布于 2022-04-14 15:41 阅读(240) 点赞(0)