Investigadores da Universidade. Masaryk información sobre en diversas implementacións do algoritmo de creación de sinatura dixital ECDSA/EdDSA, que permite restaurar o valor dunha clave privada a partir dunha análise das filtracións de información sobre bits individuais que xorden ao utilizar métodos de análise de terceiros. As vulnerabilidades foron denominadas Minerva.
Os proxectos máis coñecidos que se ven afectados polo método de ataque proposto son OpenJDK/OracleJDK (CVE-2019-2894) e a biblioteca (CVE-2019-13627) usado en GnuPG. Tamén susceptible ao problema , , , , , , , , e tarxetas intelixentes Athena IDProtect. Non se proba, pero as tarxetas Valid S/A IDflex V, SafeNet eToken 4300 e TecSec Armored Card, que usan un módulo ECDSA estándar, tamén se declaran potencialmente vulnerables.
O problema xa foi solucionado nas versións de libgcrypt 1.8.5 e wolfCrypt 4.1.0, os proxectos restantes aínda non xeraron actualizacións. Podes rastrexar a corrección da vulnerabilidade no paquete libgcrypt nas distribucións nestas páxinas: , , , , , , .
Vulnerabilidades OpenSSL, Botan, mbedTLS e BoringSSL. Aínda non se probou Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL en modo FIPS, Microsoft .NET crypto,
libkcapi do núcleo Linux, Sodium e GnuTLS.
O problema é causado pola capacidade de determinar os valores de bits individuais durante a multiplicación escalar en operacións de curva elíptica. Os métodos indirectos, como a estimación do retardo computacional, utilízanse para extraer información de bits. Un ataque require un acceso sen privilexios ao host no que se xera a sinatura dixital (non e un ataque remoto, pero é moi complicado e require unha gran cantidade de datos para a súa análise, polo que pode considerarse improbable). Para cargar ferramentas utilizadas para atacar.
A pesar do tamaño insignificante da fuga, para ECDSA a detección de aínda que sexa uns poucos bits con información sobre o vector de inicialización (nonce) é suficiente para levar a cabo un ataque para recuperar secuencialmente toda a clave privada. Segundo os autores do método, para recuperar con éxito unha clave, é suficiente unha análise de varios centos a varios miles de sinaturas dixitais xeradas para as mensaxes coñecidas polo atacante. Por exemplo, analizáronse 90 mil sinaturas dixitais mediante a curva elíptica secp256r1 para determinar a clave privada utilizada na tarxeta intelixente Athena IDProtect baseada no chip Inside Secure AT11SC. O tempo total de ataque foi de 30 minutos.
Fonte: opennet.ru