Forskere fra universitetet. Masaryk information om i forskellige implementeringer af ECDSA/EdDSA-algoritmen til oprettelse af digitale signaturer, som giver dig mulighed for at gendanne værdien af en privat nøgle baseret på en analyse af læk af information om individuelle bits, der opstår ved brug af tredjeparts analysemetoder. Sårbarhederne fik kodenavnet Minerva.
De mest kendte projekter, der er berørt af den foreslåede angrebsmetode, er OpenJDK/OracleJDK (CVE-2019-2894) og biblioteket (CVE-2019-13627) brugt i GnuPG. Også modtagelig for problemet , , , , , , , , og Athena IDProtect-chipkort. Ikke testet, men Valid S/A IDflex V, SafeNet eToken 4300 og TecSec Armored Card-kort, som bruger et standard ECDSA-modul, er også erklæret som potentielt sårbare.
Problemet er allerede blevet rettet i udgivelserne af libgcrypt 1.8.5 og wolfCrypt 4.1.0, de resterende projekter har endnu ikke genereret opdateringer. Du kan spore rettelsen af sårbarheden i libgcrypt-pakken i distributioner på disse sider: , , , , , , .
Sårbarheder OpenSSL, Botan, mbedTLS og BoringSSL. Endnu ikke testet Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL i FIPS-tilstand, Microsoft .NET crypto,
libkcapi fra Linux-kernen, Sodium og GnuTLS.
Problemet er forårsaget af evnen til at bestemme værdierne af individuelle bits under skalar multiplikation i elliptiske kurveoperationer. Indirekte metoder, såsom estimering af beregningsforsinkelse, bruges til at udtrække bitinformation. Et angreb kræver uprivilegeret adgang til værten, som den digitale signatur genereres på (ikke og et fjernangreb, men det er meget kompliceret og kræver en stor mængde data til analyse, så det kan betragtes som usandsynligt). Til lastning værktøjer brugt til angrebet.
På trods af den ubetydelige størrelse af lækagen er for ECDSA detektionen af selv nogle få bits med information om initialiseringsvektoren (nonce) nok til at udføre et angreb for sekventielt at gendanne hele den private nøgle. Ifølge forfatterne af metoden er en analyse af flere hundrede til flere tusinde digitale signaturer genereret for beskeder kendt af angriberen tilstrækkelig for at gendanne en nøgle. For eksempel blev 90 tusinde digitale signaturer analyseret ved hjælp af den secp256r1 elliptiske kurve for at bestemme den private nøgle, der blev brugt på Athena IDProtect-chipkortet baseret på Inside Secure AT11SC-chippen. Den samlede angrebstid var 30 minutter.
Kilde: opennet.ru