Investigadors de la Universitat. Masaryk
Els projectes més coneguts que es veuen afectats pel mètode d'atac proposat són OpenJDK/OracleJDK (CVE-2019-2894) i la biblioteca
El problema ja s'ha solucionat a les versions de libgcrypt 1.8.5 i wolfCrypt 4.1.0, la resta de projectes encara no han generat actualitzacions. Podeu fer un seguiment de la correcció de la vulnerabilitat al paquet libgcrypt a les distribucions d'aquestes pàgines:
Vulnerabilitats
libkcapi del nucli Linux, Sodium i GnuTLS.
El problema és causat per la capacitat de determinar els valors de bits individuals durant la multiplicació escalar en operacions de corbes el·líptiques. Per extreure informació de bits s'utilitzen mètodes indirectes, com ara l'estimació del retard computacional. Un atac requereix un accés sense privilegis a l'amfitrió on es genera la signatura digital (no
Malgrat la mida insignificant de la filtració, per a l'ECDSA la detecció d'uns quants bits amb informació sobre el vector d'inicialització (nonce) és suficient per dur a terme un atac per recuperar seqüencialment tota la clau privada. Segons els autors del mètode, per recuperar amb èxit una clau, n'hi ha prou amb una anàlisi de diversos centenars a diversos milers de signatures digitals generades per als missatges coneguts per l'atacant. Per exemple, es van analitzar 90 mil signatures digitals mitjançant la corba el·líptica secp256r1 per determinar la clau privada utilitzada a la targeta intel·ligent Athena IDProtect basada en el xip Inside Secure AT11SC. El temps total d'atac va ser de 30 minuts.
Font: opennet.ru