破解NIST椭圆曲线seeds可获取1.2万美元奖励

10月5日，密码学专家Filippo Valsorda发布漏洞奖励计划，对首个破解NIST 椭圆曲线seeds（随机数种子）和用来生成seeds的原始短语的人给予12288美元（约合8.97万元人民币）的奖励，如果奖励接受者决定将奖励捐献给501(c)(3)慈善机构，那么奖励将增加到36864美元（约合26.9万元人民币）。

该挑战赛的其他发起人包括Johns Hopkins大学教授Matt Green、PKI和Chromium贡献者 Ryan Sleevi、浏览器安卓专家Chris Palmer、"Logjam attack"发现者David Adrian和AWS密码学工程师Colm MacCárthaigh。

在椭圆曲线密码学（ECC）中，seeds（随机数种子）是用作加密算法或生成密码学密钥的初始输入的值，ECC依赖定义在有限域上的椭圆曲线的数学概念来生成相对短的安全密钥。2000年NIST FIPS 186-2数字签名标准中引入的NIST椭圆曲线（P-192, P-224, P-256, P-384和 P-521）对现代密码学来说非常重要。其中使用了NSA（美国国家安全局）1997年生成的seeds。

该曲线是由其系数和随机seed值确定的，派生密钥的确定性过程是透明和可验证的，以减少可能的隐藏漏洞，终端用户和开发者无需直接与这些seeds进行交互，而是使用选定的密码学协议的椭圆参数。

但关注系统安全性和完整性的研究人员比较关注seeds的源。没有人知道这些seeds是如何生成的，有谣言和研究表明这些seeds是由NSA Jerry Solinas提供的英语句子哈希而成的，Solinas使用了哈希算法（可能是SHA-1）来生成seeds，并永久忘记了该原始短语。有谣言称，选择Jerry Solinas原始英语句子的Jerry Solinas已于2023年去世，留下了这个密码学谜题。

Filippo Valsorda相信拥有足够的GPU算力和 passphrase暴力破解经验就可以破解SHA-1哈希值，并计算出用来生成seeds的原始句子，首个提交至少1个椭圆曲线pro-seed的研究人员可以获得6144美元的奖励，其他一半奖金将奖励给完整提交5个椭圆曲线（P-192, P-224, P-256, P-384和 P-521）pro-seed的研究人员。

参考及来源：https://www.bleepingcomputer.com/news/security/bounty-offered-for-secret-nsa-seeds-behind-nist-elliptic-curves-algo/