Undersikers fan 'e Universiteit. Masaryk Ynformaasje oer yn ferskate ymplemintaasjes fan de ECDSA / EdDSA digitale hantekening oanmeitsjen algoritme, wêrmei jo te herstellen de wearde fan in privee kaai basearre op in analyze fan lekken fan ynformaasje oer yndividuele bits dy't ûntsteane by it brûken fan tredden analyse metoaden. De kwetsberens waarden koadenamme Minerva.
De meast bekende projekten dy't wurde beynfloede troch de foarstelde oanfalmetoade binne OpenJDK / OracleJDK (CVE-2019-2894) en de bibleteek (CVE-2019-13627) brûkt yn GnuPG. Ek gefoelich foar it probleem , , , , , , , , en Athena IDProtect smart cards. Net hifke, mar jildich S/A IDflex V, SafeNet eToken 4300 en TecSec Armored Card-kaarten, dy't in standert ECDSA-module brûke, wurde ek ferklearre as potinsjeel kwetsber.
It probleem is al fêst yn 'e releases fan libgcrypt 1.8.5 en wolfCrypt 4.1.0, de oerbleaune projekten hawwe noch gjin updates generearre. Jo kinne de fix foar de kwetsberens folgje yn it pakket libgcrypt yn distribúsjes op dizze siden: , , , , , , .
Kwetsberheden OpenSSL, Botan, mbedTLS en BoringSSL. Noch net hifke Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL yn FIPS-modus, Microsoft .NET crypto,
libkcapi fan de Linux kernel, Sodium en GnuTLS.
It probleem wurdt feroarsake troch de mooglikheid om de wearden fan yndividuele bits te bepalen tidens skalêre fermannichfâldigje yn elliptyske kromme operaasjes. Yndirekte metoaden, lykas it skatten fan berekkeningsfertraging, wurde brûkt om bitynformaasje te ekstrahearjen. In oanfal fereasket unprivileged tagong ta de host wêrop de digitale hantekening wurdt oanmakke (net en in oanfal op ôfstân, mar it is hiel yngewikkeld en fereasket in grutte hoemannichte gegevens foar analyze, dus it kin wurde beskôge ûnwierskynlik). Foar it laden ark brûkt foar oanfal.
Nettsjinsteande de ûnbelangrike grutte fan it lek, foar ECDSA is de detectie fan sels in pear bits mei ynformaasje oer de initialisaasjevektor (nonce) genôch om in oanfal út te fieren om de folsleine priveekaai sequentieel werom te heljen. Neffens de auteurs fan 'e metoade, om in kaai mei súkses te herstellen, is in analyze fan ferskate hûnderten oant ferskate tûzen digitale hantekeningen generearre foar berjochten dy't bekend binne oan' e oanfaller genôch. Bygelyks, 90 tûzen digitale hantekeningen waarden analysearre mei help fan de secp256r1 elliptyske kromme te bepalen de privee kaai brûkt op de Athena IDProtect smart card basearre op de Inside Secure AT11SC chip. De totale oanfaltiid wie 30 minuten.
Boarne: opennet.ru