Ερευνητές από το Πανεπιστήμιο. Masaryk πληροφορίες για σε διάφορες υλοποιήσεις του αλγόριθμου δημιουργίας ψηφιακής υπογραφής ECDSA/EdDSA, ο οποίος σας επιτρέπει να επαναφέρετε την τιμή ενός ιδιωτικού κλειδιού με βάση την ανάλυση των διαρροών πληροφοριών για μεμονωμένα bit που εμφανίζονται όταν χρησιμοποιείτε μεθόδους ανάλυσης τρίτων. Τα τρωτά σημεία είχαν την κωδική ονομασία Minerva.
Τα πιο γνωστά έργα που επηρεάζονται από την προτεινόμενη μέθοδο επίθεσης είναι το OpenJDK/OracleJDK (CVE-2019-2894) και η βιβλιοθήκη (CVE-2019-13627) που χρησιμοποιείται στο GnuPG. Επίσης επιρρεπής στο πρόβλημα , , , , , , , , και έξυπνες κάρτες Athena IDProtect. Δεν έχει δοκιμαστεί, αλλά οι έγκυρες κάρτες S/A IDflex V, SafeNet eToken 4300 και TecSec Armored Card, οι οποίες χρησιμοποιούν τυπική μονάδα ECDSA, δηλώνονται επίσης ως δυνητικά ευάλωτες.
Το πρόβλημα έχει ήδη επιδιορθωθεί στις εκδόσεις libgcrypt 1.8.5 και wolfCrypt 4.1.0, τα υπόλοιπα έργα δεν έχουν δημιουργήσει ακόμη ενημερώσεις. Μπορείτε να παρακολουθήσετε την επιδιόρθωση για την ευπάθεια στο πακέτο libgcrypt σε διανομές σε αυτές τις σελίδες: , , , , , , .
Ευπάθειες OpenSSL, Botan, mbedTLS και BoringSSL. Δεν έχει δοκιμαστεί ακόμη Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL σε λειτουργία FIPS, Microsoft .NET crypto,
libkcapi από τον πυρήνα Linux, το Sodium και το GnuTLS.
Το πρόβλημα προκαλείται από την ικανότητα προσδιορισμού των τιμών των μεμονωμένων bit κατά τη διάρκεια του βαθμωτού πολλαπλασιασμού σε πράξεις ελλειπτικής καμπύλης. Έμμεσες μέθοδοι, όπως η εκτίμηση της υπολογιστικής καθυστέρησης, χρησιμοποιούνται για την εξαγωγή πληροφοριών bit. Μια επίθεση απαιτεί μη προνομιακή πρόσβαση στον κεντρικό υπολογιστή στον οποίο δημιουργείται η ψηφιακή υπογραφή (όχι και μια απομακρυσμένη επίθεση, αλλά είναι πολύ περίπλοκο και απαιτεί μεγάλο όγκο δεδομένων για ανάλυση, επομένως μπορεί να θεωρηθεί απίθανο). Για φόρτωση εργαλεία που χρησιμοποιούνται για επίθεση.
Παρά το ασήμαντο μέγεθος της διαρροής, για το ECDSA η ανίχνευση έστω και μερικών bit με πληροφορίες σχετικά με το διάνυσμα αρχικοποίησης (nonce) είναι αρκετή για να πραγματοποιηθεί μια επίθεση για τη διαδοχική ανάκτηση ολόκληρου του ιδιωτικού κλειδιού. Σύμφωνα με τους συντάκτες της μεθόδου, για την επιτυχή ανάκτηση ενός κλειδιού, αρκεί μια ανάλυση πολλών εκατοντάδων έως αρκετών χιλιάδων ψηφιακών υπογραφών που δημιουργούνται για μηνύματα που είναι γνωστά στον εισβολέα. Για παράδειγμα, 90 χιλιάδες ψηφιακές υπογραφές αναλύθηκαν χρησιμοποιώντας την ελλειπτική καμπύλη secp256r1 για τον προσδιορισμό του ιδιωτικού κλειδιού που χρησιμοποιείται στην έξυπνη κάρτα Athena IDProtect που βασίζεται στο τσιπ Inside Secure AT11SC. Ο συνολικός χρόνος επίθεσης ήταν 30 λεπτά.
Πηγή: opennet.ru