Navorsers van die Universiteit. Masaryk inligting oor in verskeie implementerings van die ECDSA/EdDSA-algoritme vir die skep van digitale handtekeninge, wat jou toelaat om die waarde van 'n private sleutel te herstel gebaseer op 'n ontleding van lekkasies van inligting oor individuele stukkies wat na vore kom wanneer derdeparty-ontledingsmetodes gebruik word. Die kwesbaarhede was kodenaam Minerva.
Die bekendste projekte wat deur die voorgestelde aanvalsmetode geraak word, is OpenJDK/OracleJDK (CVE-2019-2894) en die biblioteek (CVE-2019-13627) gebruik in GnuPG. Ook vatbaar vir die probleem , , , , , , , , en Athena IDProtect-slimkaarte. Nie getoets nie, maar Geldige S/A IDflex V, SafeNet eToken 4300 en TecSec Armored Card-kaarte, wat 'n standaard ECDSA-module gebruik, word ook as potensieel kwesbaar verklaar.
Die probleem is reeds reggestel in die vrystellings van libgcrypt 1.8.5 en wolfCrypt 4.1.0, die oorblywende projekte het nog nie opdaterings gegenereer nie. U kan die oplossing vir die kwesbaarheid in die libgcrypt-pakket in verspreidings op hierdie bladsye opspoor: , , , , , , .
Kwesbaarhede OpenSSL, Botan, mbedTLS en BoringSSL. Nog nie getoets nie Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL in FIPS-modus, Microsoft .NET crypto,
libkcapi vanaf die Linux-kern, Natrium en GnuTLS.
Die probleem word veroorsaak deur die vermoΓ« om die waardes van individuele bisse tydens skalΓͺre vermenigvuldiging in elliptiese kromme-bewerkings te bepaal. Indirekte metodes, soos die skatting van berekeningsvertraging, word gebruik om bietjie inligting te onttrek. 'n Aanval vereis onbevoorregte toegang tot die gasheer waarop die digitale handtekening gegenereer word (nie en 'n afgeleΓ« aanval, maar dit is baie ingewikkeld en vereis 'n groot hoeveelheid data vir ontleding, so dit kan as onwaarskynlik beskou word). Vir laai gereedskap wat vir aanval gebruik word.
Ten spyte van die onbeduidende grootte van die lekkasie, is vir ECDSA die opsporing van selfs 'n paar stukkies met inligting oor die inisialiseringsvektor (nonce) genoeg om 'n aanval uit te voer om die hele private sleutel opeenvolgend te herstel. Volgens die skrywers van die metode, om 'n sleutel suksesvol te herstel, is 'n ontleding van 'n paar honderd tot 'n paar duisend digitale handtekeninge wat gegenereer word vir boodskappe wat aan die aanvaller bekend is, voldoende. Byvoorbeeld, 90 duisend digitale handtekeninge is ontleed met behulp van die secp256r1 elliptiese kurwe om die private sleutel wat op die Athena IDProtect-slimkaart gebruik word, te bepaal, gebaseer op die Inside Secure AT11SC-skyfie. Die totale aanvaltyd was 30 minute.
Bron: opennet.ru