Forscher der Universität. Masaryk
Die bekanntesten Projekte, die von der vorgeschlagenen Angriffsmethode betroffen sind, sind OpenJDK/OracleJDK (CVE-2019-2894) und die Bibliothek
Das Problem wurde bereits in den Releases von libgcrypt 1.8.5 und wolfCrypt 4.1.0 behoben, die restlichen Projekte haben noch keine Updates generiert. Sie können die Behebung der Schwachstelle im libgcrypt-Paket in Distributionen auf diesen Seiten verfolgen:
Sicherheitslücken
libkcapi vom Linux-Kernel, Sodium und GnuTLS.
Das Problem wird durch die Fähigkeit verursacht, die Werte einzelner Bits während der Skalarmultiplikation bei Operationen mit elliptischen Kurven zu bestimmen. Zur Extraktion von Bitinformationen werden indirekte Methoden wie die Schätzung der Rechenverzögerung verwendet. Ein Angriff erfordert einen unprivilegierten Zugriff auf den Host, auf dem die digitale Signatur generiert wird (nicht).
Trotz der unbedeutenden Größe des Lecks reicht für ECDSA die Erkennung auch nur einiger Bits mit Informationen über den Initialisierungsvektor (Nonce) aus, um einen Angriff durchzuführen, bei dem der gesamte private Schlüssel nacheinander wiederhergestellt wird. Um einen Schlüssel erfolgreich wiederherzustellen, reicht laut den Autoren der Methode eine Analyse von mehreren hundert bis mehreren tausend generierten digitalen Signaturen für dem Angreifer bekannte Nachrichten aus. Beispielsweise wurden 90 digitale Signaturen mithilfe der elliptischen Kurve secp256r1 analysiert, um den privaten Schlüssel zu bestimmen, der auf der Athena IDProtect-Smartcard basierend auf dem Inside Secure AT11SC-Chip verwendet wird. Die gesamte Angriffszeit betrug 30 Minuten.
Source: opennet.ru