BIP32 non-hardened なノードからシードの秘密鍵を逆算する

Table of Contents

はじめに

BIP32 に従ってあるシードから派生させた鍵があるとき、たとえばそれが non-hardened なノードだった場合に、元のシードの情報をどれくらい知りえるでしょうか？
ここでは以下を仮定して、シードの秘密鍵を得ることができないか検討してみます。

シードの xpub を知っている
ノード m/0 の秘密鍵を知っている

BIP32 を見てみる

BIP32 によると、秘密鍵は以下のように作られるとされています。

Check whether i ≥ 2³¹ (whether the child is a hardened key).

If so (hardened child): let I = HMAC-SHA512(Key = c_par, Data = 0x00 || ser₂₅₆(k_par) || ser₃₂(i)). (Note: The 0x00 pads the private key to make it 33 bytes long.)

If not (normal child): let I = HMAC-SHA512(Key = c_par, Data = ser_P(point(k_par)) || ser₃₂(i)).

Split I into two 32-byte sequences, I_L and I_R.

The returned child key k_i is parse₂₅₆(I_L) + k_par (mod n).

最後の

k_i is parse₂₅₆(I_L) + k_par (mod n)

に注目してみましょう。ここで parse₂₅₆ はバイト列を256ビット整数に変換する関数、 n は楕円曲線のオーダー¹ です。 l_L の元になっている l ですが non-hardened の場合

I = HMAC-SHA512(Key = c_par, Data = ser_P(point(k_par)) || ser₃₂(i))

であるとされています。ここでser_P は公開鍵のシリアライズ、 ser₃₂ は256ビット整数のシリアライズを表しています。 c_par はシード xpub の chain-code 、 k_par は公開鍵です。 i はノードのインデックス (m/0 の 0 の部分) で、これらは仮定から既知です。つまり、 l_L は既知の情報で計算が可能ということになります。
parse₂₅₆(l_L) を L とおくと、秘密鍵の導出は

 $k_i = L + k_{par} \mod n\ ...\ (式1)$

となります。
仮定から k_i は既知ですから、式1を満たす k_par を見つければシードの秘密鍵がわかるということになります。

やってみた

bitcoinrb を使って² 、実際に計算してみました。

require 'bitcoin'

idx = 0

# ランダムにシードを作る
xprv = Bitcoin::ExtKey.generate_master(rand(1<<256).to_s(16))
puts "ppriv: #{xprv.priv}"

# 秘密鍵、xpubを生成
priv = xprv.derive(idx, false).priv
xpub = xprv.ext_pubkey

puts "xpub: #{xpub.to_base58}"
puts "priv: #{priv}"

data = xpub.pub.htb << [idx].pack('N')
l = Bitcoin.hmac_sha512(xpub.chain_code, data)
left = l[0..31].bth.to_i(16)

# privから逆算
pp = priv.to_i(16) - left
if pp < 0
  pp += Bitcoin::CURVE_ORDER
end
ppriv = pp.to_s(16)

puts "ppriv: #{ppriv}"

式1は加法のみからなる式なので、 k_par を求めるには引き算をすればよさそうです。ただし、 (mod n) をしているため、答えが 0 ~ (n-1) の範囲でなければ n を足すという処理をしています。³
実際に実行すると

$ ruby main.rb 
ppriv: b1c7055860d84de5e34e031e309864948f842d451133acf3ac16a7624b09bb4a
xpub: xpub661MyMwAqRbcFi1XViMXFQM3RyASbwHg58RxiTLEB7EhnmuUdtQpcoMviDsdg3LcmWMhk4218kyFzzxdsSEifVgW42peizDd4QLEcVXn2Pr
priv: bd1a7de876cb012a1b554cbd5717e885761dcf931d017d859451c971a4dd031b
ppriv: b1c7055860d84de5e34e031e309864948f842d451133acf3ac16a7624b09bb4a

という具合に、シードの秘密鍵が逆算できました✌️

まとめ

ある仮定のもとに、 non-hardened なノードからシードの秘密鍵が逆算できることがわかりました。つまり、そのシード下のすべての秘密鍵が計算できることになります。
鍵の管理には十分気をつけましょう！

※ アイキャッチ画像は BIP32 の図より

楕円曲線上の点が一巡する数で、 Bitcoin で使われている secp256k1 では 115792089237316195423570985008687907852837564279074904382605163141518161494337 という巨大な素数が使われています ↩
使うどころか、16~18行目は bitcoinrb/ext_key.rb のパクリです ↩
数学的には、秘密鍵は有限体 $\mathbb{Z}/n\mathbb{Z}$ 上に定義されている、体は加法に閉じていて逆元が存在する、という前提があります ↩