Esploristoj de la Universitato. Masaryk informoj pri en diversaj efektivigoj de la algoritmo de kreado de cifereca subskribo ECDSA/EdDSA, kiu ebligas restarigi la valoron de privata ŝlosilo surbaze de analizo de likoj de informoj pri individuaj bitoj, kiuj aperas kiam vi uzas triajn analizmetodojn. La vundeblecoj estis kodita Minerva.
La plej konataj projektoj, kiuj estas trafitaj de la proponita atakmetodo, estas OpenJDK/OracleJDK (CVE-2019-2894) kaj la biblioteko (CVE-2019-13627) uzata en GnuPG. Ankaŭ susceptible al la problemo , , , , , , , , kaj Athena IDProtect inteligentaj kartoj. Ne provitaj, sed Valid S/A IDflex V, SafeNet eToken 4300 kaj TecSec Armored Card-kartoj, kiuj uzas norman ECDSA-modulon, ankaŭ estas deklaritaj kiel eble vundeblaj.
La problemo jam estis riparita en la eldonoj de libgcrypt 1.8.5 kaj wolfCrypt 4.1.0, la ceteraj projektoj ankoraŭ ne generis ĝisdatigojn. Vi povas spuri la solvon por la vundebleco en la pako libgcrypt en distribuoj sur ĉi tiuj paĝoj: , , , , , , .
Vundeblecoj OpenSSL, Botan, mbedTLS kaj BoringSSL. Ankoraŭ ne provita Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL en FIPS-reĝimo, Microsoft .NET crypto,
libkcapi el la Linukso-kerno, Natrio kaj GnuTLS.
La problemo estas kaŭzita de la kapablo determini la valorojn de individuaj bitoj dum skalara multipliko en elipsaj kurbaj operacioj. Nerektaj metodoj, kiel taksado de komputila prokrasto, estas uzataj por eltiri bitinformojn. Atako postulas senprivilegian aliron al la gastiganto sur kiu la cifereca subskribo estas generita (ne kaj fora atako, sed ĝi estas tre komplika kaj postulas grandan kvanton da datumoj por analizo, do ĝi povas esti konsiderata neprobabla). Por ŝarĝo iloj uzataj por atako.
Malgraŭ la sensignifa grandeco de la liko, por ECDSA la detekto de eĉ kelkaj bitoj kun informoj pri la inicialiga vektoro (nonce) sufiĉas por efektivigi atakon por sinsekve reakiri la tutan privatan ŝlosilon. Laŭ la aŭtoroj de la metodo, por sukcese reakiri ŝlosilon, sufiĉas analizo de kelkcent ĝis kelkmil ciferecaj subskriboj generitaj por mesaĝoj konataj de la atakanto. Ekzemple, 90 mil ciferecaj subskriboj estis analizitaj uzante la elipsan kurbon secp256r1 por determini la privatan ŝlosilon uzatan sur la inteligenta karto Athena IDProtect bazita sur la blato Inside Secure AT11SC. La totala ataktempo estis 30 minutoj.
fonto: opennet.ru