Investigadors de la Universitat. Masaryk informació sobre en diverses implementacions de l'algorisme de creació de signatura digital ECDSA/EdDSA, que permet restaurar el valor d'una clau privada a partir d'una anàlisi de filtracions d'informació sobre bits individuals que sorgeixen quan s'utilitzen mètodes d'anàlisi de tercers. Les vulnerabilitats tenien el nom en clau de Minerva.
Els projectes més coneguts que es veuen afectats pel mètode d'atac proposat són OpenJDK/OracleJDK (CVE-2019-2894) i la biblioteca (CVE-2019-13627) utilitzat a GnuPG. També susceptible al problema , , , , , , , , i targetes intel·ligents Athena IDProtect. No s'ha provat, però les targetes Valid S/A IDflex V, SafeNet eToken 4300 i TecSec Armored Card, que utilitzen un mòdul ECDSA estàndard, també es declaren potencialment vulnerables.
El problema ja s'ha solucionat a les versions de libgcrypt 1.8.5 i wolfCrypt 4.1.0, la resta de projectes encara no han generat actualitzacions. Podeu fer un seguiment de la correcció de la vulnerabilitat al paquet libgcrypt a les distribucions d'aquestes pàgines: , , , , , , .
Vulnerabilitats OpenSSL, Botan, mbedTLS i BoringSSL. Encara no s'ha provat Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL en mode FIPS, Microsoft .NET crypto,
libkcapi del nucli Linux, Sodium i GnuTLS.
El problema és causat per la capacitat de determinar els valors de bits individuals durant la multiplicació escalar en operacions de corbes el·líptiques. Per extreure informació de bits s'utilitzen mètodes indirectes, com ara l'estimació del retard computacional. Un atac requereix un accés sense privilegis a l'amfitrió on es genera la signatura digital (no i un atac remot, però és molt complicat i requereix una gran quantitat de dades per a l'anàlisi, per la qual cosa es pot considerar poc probable). Per carregar eines utilitzades per a l'atac.
Malgrat la mida insignificant de la filtració, per a l'ECDSA la detecció d'uns quants bits amb informació sobre el vector d'inicialització (nonce) és suficient per dur a terme un atac per recuperar seqüencialment tota la clau privada. Segons els autors del mètode, per recuperar amb èxit una clau, n'hi ha prou amb una anàlisi de diversos centenars a diversos milers de signatures digitals generades per als missatges coneguts per l'atacant. Per exemple, es van analitzar 90 mil signatures digitals mitjançant la corba el·líptica secp256r1 per determinar la clau privada utilitzada a la targeta intel·ligent Athena IDProtect basada en el xip Inside Secure AT11SC. El temps total d'atac va ser de 30 minuts.
Font: opennet.ru