Ymchwilwyr o'r Brifysgol. Masaryk gwybodaeth am mewn amrywiol weithrediadau o algorithm creu llofnod digidol ECDSA/EdDSA, sy'n eich galluogi i adfer gwerth allwedd breifat yn seiliedig ar ddadansoddiad o ollyngiadau gwybodaeth am ddarnau unigol sy'n dod i'r amlwg wrth ddefnyddio dulliau dadansoddi trydydd parti. Rhoddwyd yr enw Minerva ar y gwendidau.
Y prosiectau mwyaf adnabyddus y mae'r dull ymosod arfaethedig yn effeithio arnynt yw OpenJDK / OracleJDK (CVE-2019-2894) a'r llyfrgell (CVE-2019-13627) a ddefnyddir yn GnuPG. Hefyd yn agored i'r broblem , , , , , , , , a chardiau smart Athena IDProtect. Heb ei brofi, ond mae cardiau dilys S/A IDflex V, SafeNet eToken 4300 a Cherdyn Arfog TecSec, sy'n defnyddio modiwl safonol ECDSA, hefyd wedi'u datgan fel rhai a allai fod yn agored i niwed.
Mae'r broblem eisoes wedi'i gosod yn y datganiadau o libgcrypt 1.8.5 a wolfCrypt 4.1.0, nid yw'r prosiectau sy'n weddill wedi cynhyrchu diweddariadau eto. Gallwch olrhain yr atgyweiriad ar gyfer y bregusrwydd yn y pecyn libgcrypt mewn dosbarthiadau ar y tudalennau hyn: , , , , , , .
Gwendidau OpenSSL, Botan, mbedTLS a BoringSSL. Heb ei brofi eto Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL yn y modd FIPS, Microsoft .NET crypto,
libkcapi o'r cnewyllyn Linux, Sodiwm a GnuTLS.
Achosir y broblem gan y gallu i bennu gwerthoedd darnau unigol yn ystod lluosi sgalar mewn gweithrediadau cromlin eliptig. Defnyddir dulliau anuniongyrchol, megis amcangyfrif oedi cyfrifiadol, i echdynnu gwybodaeth didau. Mae ymosodiad yn gofyn am fynediad di-freintiedig i'r gwesteiwr y cynhyrchir y llofnod digidol arno (nid ac ymosodiad o bell, ond mae'n gymhleth iawn ac mae angen llawer iawn o ddata i'w ddadansoddi, felly gellir ei ystyried yn annhebygol). Ar gyfer llwytho offer a ddefnyddir ar gyfer ymosodiad.
Er gwaethaf maint di-nod y gollyngiad, ar gyfer ECDSA mae canfod hyd yn oed ychydig o ddarnau gyda gwybodaeth am y fector cychwyn (nonce) yn ddigon i gynnal ymosodiad i adennill yr allwedd breifat gyfan yn olynol. Yn Γ΄l awduron y dull, er mwyn adennill allwedd yn llwyddiannus, mae dadansoddiad o rai cannoedd i filoedd o lofnodion digidol a gynhyrchir ar gyfer negeseuon sy'n hysbys i'r ymosodwr yn ddigonol. Er enghraifft, dadansoddwyd 90 mil o lofnodion digidol gan ddefnyddio cromlin eliptig secp256r1 i bennu'r allwedd breifat a ddefnyddir ar gerdyn smart Athena IDProtect yn seiliedig ar y sglodyn Inside Secure AT11SC. Cyfanswm yr amser ymosod oedd 30 munud.
Ffynhonnell: opennet.ru