Výzkumníci z univerzity. Masaryka informace o v různých implementacích algoritmu vytváření digitálního podpisu ECDSA/EdDSA, který umožňuje obnovit hodnotu soukromého klíče na základě analýzy úniků informací o jednotlivých bitech, které se objeví při použití analytických metod třetích stran. Chyby byly označeny kódovým označením Minerva.
Nejznámějšími projekty, které jsou ovlivněny navrhovanou metodou útoku, jsou OpenJDK/OracleJDK (CVE-2019-2894) a knihovna (CVE-2019-13627) používané v GnuPG. Také náchylné k problému , , , , , , , , a čipové karty Athena IDProtect. Netestováno, ale karty Valid S/A IDflex V, SafeNet eToken 4300 a TecSec Armored Card, které používají standardní modul ECDSA, jsou také deklarovány jako potenciálně zranitelné.
Problém byl již opraven ve vydáních libgcrypt 1.8.5 a wolfCrypt 4.1.0, zbývající projekty ještě nevygenerovaly aktualizace. Opravu chyby zabezpečení v balíčku libgcrypt v distribucích můžete sledovat na těchto stránkách: , , , , , , .
Zranitelnosti OpenSSL, Botan, mbedTLS a BoringSSL. Dosud netestováno Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL v režimu FIPS, Microsoft .NET crypto,
libkcapi z linuxového jádra, Sodium a GnuTLS.
Problém je způsoben schopností určit hodnoty jednotlivých bitů při skalárním násobení v operacích s eliptickými křivkami. K extrakci bitové informace se používají nepřímé metody, jako je odhadování výpočetního zpoždění. Útok vyžaduje neprivilegovaný přístup k hostiteli, na kterém je generován digitální podpis (ne a vzdálený útok, ale je velmi komplikovaný a vyžaduje velké množství dat pro analýzu, takže jej lze považovat za nepravděpodobný). Pro načítání nástroje používané k útoku.
Navzdory nevýznamné velikosti úniku stačí pro ECDSA detekce i několika bitů s informací o inicializačním vektoru (nonce) k provedení útoku k postupnému obnovení celého soukromého klíče. Podle autorů metody k úspěšné obnově klíče stačí analýza několika set až několika tisíc digitálních podpisů generovaných pro zprávy, které útočník zná. Například bylo analyzováno 90 tisíc digitálních podpisů pomocí eliptické křivky secp256r1 k určení soukromého klíče použitého na čipové kartě Athena IDProtect založené na čipu Inside Secure AT11SC. Celková doba útoku byla 30 minut.
Zdroj: opennet.ru