Istraživači sa Univerziteta. Masaryk informacije o u različitim implementacijama ECDSA/EdDSA algoritma za kreiranje digitalnog potpisa, koji vam omogućava da vratite vrijednost privatnog ključa na osnovu analize curenja informacija o pojedinačnim bitovima koji se pojavljuju kada se koriste metode analize treće strane. Ranjivosti su bile pod kodnim imenom Minerva.
Najpoznatiji projekti na koje utiče predloženi metod napada su OpenJDK/OracleJDK (CVE-2019-2894) i biblioteka (CVE-2019-13627) koji se koristi u GnuPG. Takođe podložan problemu , , , , , , , , i Athena IDProtect pametne kartice. Nisu testirane, ali Valid S/A IDflex V, SafeNet eToken 4300 i TecSec Armored Card kartice, koje koriste standardni ECDSA modul, također su deklarirane kao potencijalno ranjive.
Problem je već riješen u izdanjima libgcrypt 1.8.5 i wolfCrypt 4.1.0, preostali projekti još nisu generirali ažuriranja. Možete pratiti ispravku ranjivosti u paketu libgcrypt u distribucijama na ovim stranicama: , , , , , , .
Ranjivosti OpenSSL, Botan, mbedTLS i BoringSSL. Još nije testiran Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL u FIPS modu, Microsoft .NET kripto,
libkcapi iz Linux kernela, Sodium i GnuTLS.
Problem je uzrokovan mogućnošću određivanja vrijednosti pojedinačnih bitova tokom skalarnog množenja u operacijama eliptičke krivulje. Indirektne metode, kao što je procjena kašnjenja u računanju, koriste se za izdvajanje bitnih informacija. Napad zahtijeva neprivilegirani pristup hostu na kojem se generira digitalni potpis (ne i daljinski napad, ali je veoma komplikovan i zahteva veliku količinu podataka za analizu, pa se može smatrati malo verovatnim). Za utovar alati koji se koriste za napad.
Unatoč neznatnoj veličini curenja, za ECDSA je detekcija čak i nekoliko bitova s informacijama o vektoru inicijalizacije (nonce) dovoljna za izvođenje napada kako bi se sekvencijalno povratio cijeli privatni ključ. Prema autorima metode, za uspješan oporavak ključa dovoljna je analiza nekoliko stotina do nekoliko hiljada digitalnih potpisa generiranih za poruke koje su poznate napadaču. Na primjer, 90 hiljada digitalnih potpisa analizirano je korištenjem eliptičke krive secp256r1 kako bi se odredio privatni ključ koji se koristi na Athena IDProtect pametnoj kartici zasnovanoj na Inside Secure AT11SC čipu. Ukupno vrijeme napada bilo je 30 minuta.
izvor: opennet.ru