Yliopiston tutkijat. Masaryk tietoa ECDSA/EdDSA-digitaalisen allekirjoituksen luontialgoritmin erilaisissa toteutuksissa, joiden avulla voit palauttaa yksityisen avaimen arvon perustuen yksittäisten bittien tietovuotojen analysointiin, kun käytetään kolmannen osapuolen analyysimenetelmiä. Haavoittuvuuksien koodinimi oli Minerva.
Tunnetuimmat projektit, joihin ehdotettu hyökkäysmenetelmä vaikuttaa, ovat OpenJDK/OracleJDK (CVE-2019-2894) ja kirjasto (CVE-2019-13627), jota käytetään GnuPG:ssä. Myös herkkä ongelmalle , , , , , , , , ja Athena IDProtect -älykortit. Ei testattu, mutta voimassa olevat S/A IDflex V-, SafeNet eToken 4300- ja TecSec Armored Card -kortit, jotka käyttävät tavallista ECDSA-moduulia, on myös ilmoitettu mahdollisesti haavoittuviksi.
Ongelma on jo korjattu libgcrypt 1.8.5- ja wolfCrypt 4.1.0 -julkaisuissa, muut projektit eivät ole vielä luoneet päivityksiä. Voit seurata libgcrypt-paketin haavoittuvuuden korjausta jakeluissa näillä sivuilla: , , , , , , .
Haavoittuvuudet OpenSSL, Botan, mbedTLS ja BoringSSL. Ei vielä testattu Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL FIPS-tilassa, Microsoft .NET crypto,
libkcapi Linux-ytimestä, Sodiumista ja GnuTLS:stä.
Ongelma johtuu kyvystä määrittää yksittäisten bittien arvot skalaarikertolaskussa elliptisen käyrän operaatioissa. Bittiinformaation poimimiseen käytetään epäsuoria menetelmiä, kuten laskennallisen viiveen arviointia. Hyökkäys vaatii etuoikeutettoman pääsyn isäntään, jossa digitaalinen allekirjoitus on luotu (ei ja etähyökkäys, mutta se on erittäin monimutkainen ja vaatii suuren määrän dataa analysointiin, joten sitä voidaan pitää epätodennäköisenä). Lataamista varten hyökkäyksissä käytettyjä työkaluja.
Huolimatta vuodon merkityksettömästä koosta, ECDSA:lle riittää jopa muutaman bitin havaitseminen alustusvektoria koskevilla tiedoilla (nonce), jotta voidaan suorittaa hyökkäys koko yksityisen avaimen peräkkäin palauttamiseksi. Menetelmän tekijöiden mukaan avaimen onnistuneeseen palauttamiseen riittää useiden sadojen - useiden tuhansien digitaalisten allekirjoitusten analyysi, jotka on luotu hyökkääjän tuntemille viesteille. Esimerkiksi 90 tuhatta digitaalista allekirjoitusta analysoitiin käyttämällä elliptistä secp256r1-käyrää Inside Secure AT11SC -siruun perustuvassa Athena IDProtect -älykortissa käytetyn yksityisen avaimen määrittämiseksi. Kokonaishyökkäysaika oli 30 minuuttia.
Lähde: opennet.ru