I circadori di l'Università. Masaryk infurmazione circa in diverse implementazioni di l'algoritmu di creazione di signatura digitale ECDSA / EdDSA, chì permette di restaurà u valore di una chjave privata basatu annantu à l'analisi di fughe di informazioni nantu à i pezzi individuali chì emergenu quandu utilizanu metudi di analisi di terzu. E vulnerabilità eranu nome in codice Minerva.
I prughjetti più cunnisciuti chì sò affettati da u metudu di attaccu prupostu sò OpenJDK / OracleJDK (CVE-2019-2894) è a biblioteca. (CVE-2019-13627) usatu in GnuPG. Ancu suscettibile à u prublema , , , , , , , , e carte intelligenti Athena IDProtect. Ùn hè micca pruvatu, ma Valid S/A IDflex V, SafeNet eToken 4300 è e carte TecSec Armored Card, chì utilizanu un modulu ECDSA standard, sò ancu dichjarati cum'è potenzialmente vulnerabili.
U prublema hè stata risolta in i versioni di libgcrypt 1.8.5 è wolfCrypt 4.1.0, i prughjetti rimanenti ùn anu micca ancu generatu aghjurnamenti. Pudete seguità a correzione per a vulnerabilità in u pacchettu libgcrypt in distribuzioni in queste pagine: , , , , , , .
Vulnerabilità OpenSSL, Botan, mbedTLS è BoringSSL. Ùn hè ancu pruvatu Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL in modu FIPS, Microsoft .NET crypto,
libkcapi da u kernel Linux, Sodium è GnuTLS.
U prublema hè causatu da a capacità di determinà i valori di bits individuali durante a multiplicazione scalare in operazioni di curva ellittica. I metudi indiretti, cum'è l'estimazione di u ritardu computazionale, sò usati per estrae l'infurmazioni di bit. Un attaccu richiede un accessu senza privilegiu à l'ospite nantu à quale a firma digitale hè generata (micca è un attaccu remoto, ma hè assai cumplicatu è esige una grande quantità di dati per l'analisi, perchè pò esse cunsideratu improbabile). Per carica Strumenti usati per l'attaccu.
Malgradu a dimensione insignificante di a fuga, per ECDSA a rilevazione di ancu uni pochi di bit cù infurmazione nantu à u vettore di inizializazione (nonce) hè abbastanza per fà un attaccu per ricuperà sequenzialmente a chjave privata sana. Sicondu l'autori di u metudu, per ricuperà cù successu una chjave, un analisi di parechji centu à parechji milla signuri digitale generati per i missaghji cunnisciuti da l'attaccu hè abbastanza. Per esempiu, 90 mila firme digitali sò stati analizati utilizendu a curva ellittica secp256r1 per determinà a chjave privata utilizata nantu à a smart card Athena IDProtect basatu annantu à u chip Inside Secure AT11SC. U tempu tutale di l'attaccu era di 30 minuti.
Source: opennet.ru