Eine neue Angriffstechnik über externe Kanäle, die es ermöglicht, ECDSA-Schlüssel wiederherzustellen.

Forscher der Masaryk-Universität entdeckten Informationen zu anfälligkeiten in unterschiedlichen Implementierungen des ECDSA/EdDSA-Signaturalgorithmus, die es ermöglichen, den privaten Schlüssel durch die Analyse von Informationen, die bei der Anwendung von Kanalanalysen aus einzelnen Bits abgeleitet werden, wiederherzustellen. Die Schwachstellen wurden unter dem Codenamen Minerva zusammengefasst.

Die bekanntesten Projekte, auf die die vorgeschlagene Angriffsmethode abzielt, sind OpenJDK/OracleJDK (CVE-2019-2894) und die Bibliothek Libgcrypt (CVE-2019-13627), die in GnuPG verwendet wird. Auch betroffen sind MatrixSSL, Crypto++, wolfCrypt, elliptisch, jsrsasign, python-ecdsa, ruby_ecdsa, fastecdsa, easy-ecc und die Smartkarten Athena IDProtect. Als potenziell verwundbar gelten auch die Karten Valid S/A IDflex V, SafeNet eToken 4300 und TecSec Armored Card, die den ECDSA-Modultyp verwenden.

Das Problem wurde bereits in den Versionen libgcrypt 1.8.5 und wolfCrypt 4.1.0 behoben; die anderen Projekte haben bislang keine Updates veröffentlicht. Die Behebung der Schwachstelle im libgcrypt-Paket in den Distributionen kann auf den folgenden Seiten verfolgt werden: Debian, Ubuntu, RHEL, , aber bisher ist er noch nicht in, openSUSE/SUSE, FreeBSD, Arch.

Schwachstellen sind nicht betroffen. OpenSSL, Botan, mbedTLS und BoringSSL. Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL im FIPS-Modus, Microsoft .NET crypto,
libkcapi aus dem Linux-Kernel, Sodium und GnuTLS sind noch nicht getestet worden.

Das Problem resultiert aus der Möglichkeit, die Werte einzelner Bits während der Ausführung von Skalaren in elliptischen Kurvenoperationen zu bestimmen. Zur Gewinnung von Informationen über die Bits werden indirekte Methoden verwendet, wie die Bewertung der Verzögerung während der Berechnung. Für den Angriff ist unprivilegierter Zugriff auf den Host erforderlich, auf dem die digitale Signatur generiert wird (nicht ausgeschlossen und ein Remote-Angriff ist möglich, jedoch stark erschwert und erfordert eine große Datenmenge zur Analyse, weshalb er als unwahrscheinlich betrachtet werden kann). Für das Laden ist verfügbar wird das für den Angriff verwendete Werkzeugset benötigt.

Trotz der geringen Größe des Lecks reicht es aus, für die ECDSA-Definition sogar nur einige Bits an Informationen über den Initialisierungsvektor (Nonce) zu haben, um einen Angriff zur sequenziellen Wiederherstellung des gesamten privaten Schlüssels durchzuführen. Laut den Autoren der Methode reicht es aus, mehrere Hundert bis einige Tausend digitale Signaturen zu analysieren, die für dem Angreifer bekannte Nachrichten generiert wurden, um den Schlüssel erfolgreich wiederherzustellen. Zum Beispiel wurden für die Bestimmung des privaten Schlüssels, der auf der Smartcard Athena IDProtect mit dem Chip Inside Secure AT90SC verwendet wird, bei Verwendung der elliptischen Kurve secp256r1 11.000 digitale Signaturen analysiert. Die gesamte Angriffszeit betrug 30 Minuten.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster