Ülikooli teadlased. Masaryk kohta teavet ECDSA/EdDSA digitaalallkirja loomise algoritmi erinevates teostustes, mis võimaldab taastada privaatvõtme väärtust, tuginedes kolmandate osapoolte analüüsimeetodite kasutamisel ilmnevate üksikute bittide infolekete analüüsile. Turvaaukud kandsid koodnime Minerva.
Kõige tuntumad projektid, mida pakutud ründemeetod mõjutab, on OpenJDK/OracleJDK (CVE-2019-2894) ja teek (CVE-2019-13627), mida kasutatakse GnuPG-s. Samuti vastuvõtlik probleemile , , , , , , , , ja Athena IDProtect kiipkaardid. Testitud pole, kuid potentsiaalselt haavatavateks on kuulutatud ka kehtivad S/A IDflex V, SafeNet eToken 4300 ja TecSec Armored Card kaardid, mis kasutavad standardset ECDSA moodulit.
Libgcrypt 1.8.5 ja wolfCrypt 4.1.0 väljalasetes on probleem juba parandatud, ülejäänud projektid pole veel värskendusi genereerinud. Saate jälgida libgcrypti paketi haavatavuse parandust järgmistel lehtedel olevates distributsioonides: , , , , , , .
Haavatavused OpenSSL, Botan, mbedTLS ja BoringSSL. Pole veel testitud Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL FIPS režiimis, Microsoft .NET crypto,
libkcapi Linuxi tuumast, Sodiumist ja GnuTLS-ist.
Probleemi põhjustab võimalus määrata üksikute bittide väärtusi skalaarkorrutamise ajal elliptilise kõvera operatsioonides. Bititeabe eraldamiseks kasutatakse kaudseid meetodeid, näiteks arvutusviivituse hindamist. Rünnak nõuab privilegeerimata juurdepääsu hostile, millel digitaalallkiri genereeritakse (mitte ja kaugrünnak, kuid see on väga keeruline ja nõuab analüüsimiseks suurt hulka andmeid, mistõttu võib seda pidada ebatõenäoliseks). Laadimiseks rünnakuks kasutatud tööriistad.
Vaatamata lekke ebaolulisele suurusele piisab ECDSA jaoks isegi mõne biti tuvastamisest initsialiseerimisvektori teabega (nonce), et sooritada rünnak kogu privaatvõtme järjestikuse taastamiseks. Meetodi autorite sõnul piisab võtme edukaks taastamiseks mitmesaja kuni mitme tuhande ründajale teadaolevate sõnumite jaoks genereeritud digitaalallkirja analüüsist. Näiteks analüüsiti 90 tuhat digitaalallkirja secp256r1 elliptilise kõvera abil, et määrata Inside Secure AT11SC kiibil põhineval Athena IDProtect kiipkaardil kasutatav privaatvõti. Rünnakuaeg oli kokku 30 minutit.
Allikas: opennet.ru