Un protocollo Anti-Exfil è una misura di sicurezza progettata per proteggere le chiavi private utilizzate nei protocolli di firma digitale, come quelle basate su schemi di firma Schnorr o ECDSA (Elliptic Curve Digital Signature Algorithm). L'obiettivo principale di un protocollo Anti-Exfil è impedire a un attaccante che ha accesso limitato a un dispositivo contenente la chiave privata di estrarre o esfiltrare informazioni sufficienti per compromettere la chiave stessa.

Come funziona un protocollo Anti-Exfil? Il protocollo Anti-Exfil introduce meccanismi che assicurano che la chiave privata non possa essere utilizzata in modo non autorizzato o non possa essere esfiltrata, anche se un attaccante riesce a ottenere l'accesso al dispositivo.

Un attacco quale Dark Skippy può essere sventato con un protocollo di tipo anti-exfil (usato appunto da bitbox02 e jade) limitando la capacità dell'HW (hardware wallet) di scegliere in autonomia il nonce. Per farlo, l'app SW (software del wallet) che viene eseguita sul device dell'utente (pc, cell) interagisce con l'HW e chiede all'HW di scegliere un suo nonce, ma impone che venga aggiunto un nonce scelto dal SW. L'hw ha il compito di firmare con le chiavi private che non sono note al SW, mentre il SW che ha il compito di fare il broadcast della transazione, potrà verificare che il suo contributo al nonce sia stato effettivamente utilizzato e sia presente nella chiave pubblica nonce finale. In questo modo l'attacco potrà essere portato a termine solo se sia HW che SW sono compromessi. È necessario che l'HW non conosca il nonce del SW prima di rivelare il suo nonce originale, altrimenti ha di nuovo piena libertà nella scelta del nonce finale. Questo deve essere garantito dal SW. E l'HW non deve utilizzare lo stesso nonce per due diversi nonce host, altrimenti la chiave privata viene divulgata all'host. Ciò si ottiene inviando in anticipo un hash commitment del nonce del SW.

Controllo delle firme: Quando un dispositivo genera una firma digitale, il protocollo Anti-Exfil garantisce che la firma sia generata in modo sicuro e che non possa rivelare informazioni che potrebbero essere utilizzate per dedurre la chiave privata. Ad esempio, l'attaccante non può indurre il dispositivo a generare firme multiple con lo stesso nonce (numero casuale utilizzato una sola volta), una vulnerabilità che potrebbe compromettere la sicurezza della chiave.

Verifica dell'integrità: Prima di consentire la firma di un messaggio, il dispositivo potrebbe verificare l'integrità e l'origine del messaggio per assicurarsi che non sia stato manipolato da un attaccante. Questo meccanismo protegge contro attacchi in cui un attaccante tenta di manipolare i dati da firmare per estrarre informazioni sulla chiave privata.

Limitazioni operative: Il protocollo può introdurre limiti sul numero di operazioni crittografiche che possono essere eseguite con la chiave privata, riducendo le opportunità per un attaccante di ottenere informazioni utili attraverso un attacco iterativo.

Tecniche di blinding: In alcuni casi, il protocollo può utilizzare tecniche di blinding (oscuramento) dei dati da firmare, in modo che l'attaccante non possa correlare le firme ottenute con i dati reali o con la chiave privata.

Applicazioni nel contesto Bitcoin Nell'ambito delle criptovalute come Bitcoin, dove la sicurezza delle chiavi private è cruciale, un protocollo Anti-Exfil può essere utilizzato per proteggere i wallet hardware, i server che gestiscono chiavi private e altri dispositivi critici. In questi casi, l'Anti-Exfil è particolarmente importante per proteggere contro attacchi avanzati in cui l'attaccante ha accesso temporaneo o limitato al dispositivo.

In sintesi: Un protocollo Anti-Exfil è un sistema di sicurezza progettato per impedire che le chiavi private vengano esfiltrate o utilizzate in modo non autorizzato, garantendo la protezione delle firme digitali e mantenendo l'integrità delle operazioni crittografiche, specialmente in ambienti ad alto rischio come quelli legati alle criptovalute.