Даследчыкі з універсітэта ім. Масарыка
Найбольш вядомымі праектамі, якія закранае прапанаваны метад нападу, з'яўляюцца OpenJDK/OracleJDK (CVE-2019-2894) і бібліятэка.
Праблема ўжо ўхіленая ў выпусках libgcrypt 1.8.5 і wolfCrypt 4.1.0, астатнія праекты пакуль не сфармавалі абнаўленні. Прасачыць за выпраўленнем уразлівасці ў пакеце libgcrypt у дыстрыбутывах можна на дадзеных старонках:
ўразлівасці
libkcapi з ядра Linux, Sodium і GnuTLS.
Праблема выклікана магчымасцю вызначэння значэнняў асобных бітаў падчас выканання множання на скаляр пры аперацыях з эліптычнай крывой. Для вылучэння інфармацыі аб бітах выкарыстоўваюцца ўскосныя метады, такія як ацэнка затрымкі пры выкананні вылічэнняў. Для нападу неабходна наяўнасць непрывілеяванага доступу да хаста, на якім выконваецца генерацыя лічбавага подпісу (не
Нягледзячы на малаважны памер уцечкі, для ECDSA вызначэння нават некалькіх бітаў з інфармацыяй аб вектары ініцыялізацыі (nonce) досыць для здзяйснення нападу па паслядоўным узнаўленні ўсяго зачыненага ключа. Па заяве аўтараў метаду, для паспяховага аднаўлення ключа дастаткова аналізу ад некалькіх сотняў да некалькіх тысяч лічбавых подпісаў, згенераваных для вядомых атакаваламу паведамленняў. Напрыклад, для вызначэння закрытага ключа, які выкарыстоўваецца на смарт-карце Athena IDProtect на базе чыпа Inside Secure AT90SC, пры выкарыстанні эліптычнай крывой secp256r1 было прааналізавана 11 тысяч лічбавых подпісаў. Агульны час нападу склаў 30 хвілін.
Крыніца: opennet.ru