Forscher der Universität. Masaryk Information über in verschiedenen Implementierungen des ECDSA/EdDSA-Algorithmus zur Erstellung digitaler Signaturen, der es Ihnen ermöglicht, den Wert eines privaten Schlüssels auf der Grundlage einer Analyse von Informationslecks über einzelne Bits wiederherzustellen, die bei der Verwendung von Analysemethoden Dritter entstehen. Die Sicherheitslücken trugen den Codenamen Minerva.
Die bekanntesten Projekte, die von der vorgeschlagenen Angriffsmethode betroffen sind, sind OpenJDK/OracleJDK (CVE-2019-2894) und die Bibliothek (CVE-2019-13627) wird in GnuPG verwendet. Auch anfällig für das Problem , , , , , , , , und Athena IDProtect-Smartcards. Nicht getestet, aber auch gültige S/A IDflex V-, SafeNet eToken 4300- und TecSec Armored Card-Karten, die ein Standard-ECDSA-Modul verwenden, werden als potenziell anfällig deklariert.
Das Problem wurde bereits in den Releases von libgcrypt 1.8.5 und wolfCrypt 4.1.0 behoben, die restlichen Projekte haben noch keine Updates generiert. Sie können die Behebung der Schwachstelle im libgcrypt-Paket in Distributionen auf diesen Seiten verfolgen: , , , , , , .
Sicherheitslücken OpenSSL, Botan, mbedTLS und BoringSSL. Noch nicht getestet: Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL im FIPS-Modus, Microsoft .NET crypto,
libkcapi vom Linux-Kernel, Sodium und GnuTLS.
Das Problem wird durch die Fähigkeit verursacht, die Werte einzelner Bits während der Skalarmultiplikation bei Operationen mit elliptischen Kurven zu bestimmen. Zur Extraktion von Bitinformationen werden indirekte Methoden wie die Schätzung der Rechenverzögerung verwendet. Ein Angriff erfordert einen unprivilegierten Zugriff auf den Host, auf dem die digitale Signatur generiert wird (nicht). und ein Remote-Angriff, der jedoch sehr kompliziert ist und eine große Datenmenge für die Analyse erfordert, sodass er als unwahrscheinlich angesehen werden kann. Zum Laden Werkzeuge, die für Angriffe verwendet werden.
Trotz der unbedeutenden Größe des Lecks reicht für ECDSA die Erkennung auch nur einiger Bits mit Informationen über den Initialisierungsvektor (Nonce) aus, um einen Angriff durchzuführen, bei dem der gesamte private Schlüssel nacheinander wiederhergestellt wird. Um einen Schlüssel erfolgreich wiederherzustellen, reicht laut den Autoren der Methode eine Analyse von mehreren hundert bis mehreren tausend generierten digitalen Signaturen für dem Angreifer bekannte Nachrichten aus. Beispielsweise wurden 90 digitale Signaturen mithilfe der elliptischen Kurve secp256r1 analysiert, um den privaten Schlüssel zu bestimmen, der auf der Athena IDProtect-Smartcard basierend auf dem Inside Secure AT11SC-Chip verwendet wird. Die gesamte Angriffszeit betrug 30 Minuten.
Source: opennet.ru