Нова техника за атака на страничен канал за възстановяване на ECDSA ключове

Изследователи от университета. Масарик непокрит информация относно уязвимости в различни реализации на алгоритъма за създаване на цифров подпис ECDSA/EdDSA, който ви позволява да възстановите стойността на частен ключ въз основа на анализ на изтичане на информация за отделни битове, които се появяват при използване на методи за анализ на трети страни. Уязвимостите бяха с кодово име Minerva.

Най-известните проекти, които са засегнати от предложения метод за атака, са OpenJDK/OracleJDK (CVE-2019-2894) и библиотеката libgcrypt (CVE-2019-13627), използван в GnuPG. Също така податливи на проблема MatrixSSL, Крипто++, wolfCrypt, елипсовиден, jsrsasign, python-ecdsa, ruby_ecdsa, fastecdsa, лесно-и др и смарт карти Athena IDProtect. Не е тествано, но карти Valid S/A IDflex V, SafeNet eToken 4300 и TecSec Armored Card, които използват стандартен ECDSA модул, също са декларирани като потенциално уязвими.

Проблемът вече е отстранен в изданията на libgcrypt 1.8.5 и wolfCrypt 4.1.0, останалите проекти все още не са генерирали актуализации. Можете да проследите корекцията за уязвимостта в пакета libgcrypt в дистрибуции на тези страници: Debian, Ubuntu, RHEL, Fedora, openSUSE / SUSE, FreeBSD, Арка.

Уязвимости не е податлив OpenSSL, Botan, mbedTLS и BoringSSL. Все още не е тестван Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL в режим FIPS, Microsoft .NET crypto,
libkcapi от ядрото на Linux, Sodium и GnuTLS.

Проблемът е причинен от способността да се определят стойностите на отделните битове по време на скаларно умножение в операции с елиптична крива. За извличане на битова информация се използват непреки методи, като например оценка на изчислителното забавяне. Една атака изисква непривилегирован достъп до хоста, на който е генериран цифровият подпис (не изключени и отдалечена атака, но е много сложна и изисква голямо количество данни за анализ, така че може да се счита за малко вероятна). За зареждане на разположение инструменти, използвани за атака.

Въпреки незначителния размер на теча, за ECDSA откриването дори на няколко бита с информация за вектора за инициализация (nonce) е достатъчно, за да извърши атака за последователно възстановяване на целия частен ключ. Според авторите на метода, за успешното възстановяване на ключ е достатъчен анализ на няколкостотин до няколко хиляди цифрови подписа, генерирани за съобщения, известни на нападателя. Например, 90 хиляди цифрови подписа бяха анализирани с помощта на елиптичната крива secp256r1, за да се определи частният ключ, използван на смарт картата Athena IDProtect, базирана на чипа Inside Secure AT11SC. Общото време за атака беше 30 минути.

Източник: opennet.ru