Istraživači sa Sveučilišta. Masaryk informacije o u različitim implementacijama algoritma za stvaranje digitalnog potpisa ECDSA/EdDSA, koji vam omogućuje vraćanje vrijednosti privatnog ključa na temelju analize curenja informacija o pojedinačnim bitovima koji se pojavljuju pri korištenju metoda analize trećih strana. Ranjivosti su dobile kodno ime Minerva.
Najpoznatiji projekti na koje utječe predložena metoda napada su OpenJDK/OracleJDK (CVE-2019-2894) i biblioteka (CVE-2019-13627) koji se koristi u GnuPG-u. Također osjetljiv na problem , , , , , , , , i Athena IDProtect pametne kartice. Nije testirano, ali Valid S/A IDflex V, SafeNet eToken 4300 i TecSec Armored Card kartice, koje koriste standardni ECDSA modul, također su proglašene potencijalno ranjivima.
Problem je već riješen u izdanjima libgcrypt 1.8.5 i wolfCrypt 4.1.0, preostali projekti još nisu generirali ažuriranja. Možete pratiti popravak za ranjivost u paketu libgcrypt u distribucijama na ovim stranicama: , , , , , , .
Ranjivosti OpenSSL, Botan, mbedTLS i BoringSSL. Još nisu testirani Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL u FIPS modu, Microsoft .NET crypto,
libkcapi iz Linux kernela, Sodium i GnuTLS.
Problem je uzrokovan sposobnošću određivanja vrijednosti pojedinačnih bitova tijekom skalarnog množenja u operacijama eliptičke krivulje. Neizravne metode, kao što je procjena kašnjenja računanja, koriste se za izdvajanje informacija o bitovima. Napad zahtijeva neprivilegirani pristup hostu na kojem se generira digitalni potpis (ne i daljinski napad, ali je vrlo kompliciran i zahtijeva veliku količinu podataka za analizu, pa se može smatrati malo vjerojatnim). Za utovar alate koji se koriste za napad.
Unatoč beznačajnoj veličini curenja, za ECDSA je detekcija čak i nekoliko bitova s informacijama o inicijalizacijskom vektoru (nonce) dovoljna za izvođenje napada za sekvencijalno vraćanje cijelog privatnog ključa. Prema autorima metode, za uspješan oporavak ključa dovoljna je analiza nekoliko stotina do nekoliko tisuća digitalnih potpisa generiranih za poruke poznate napadaču. Na primjer, 90 tisuća digitalnih potpisa analizirano je korištenjem eliptičke krivulje secp256r1 kako bi se odredio privatni ključ koji se koristi na pametnoj kartici Athena IDProtect baziranoj na Inside Secure AT11SC čipu. Ukupno vrijeme napada bilo je 30 minuta.
Izvor: opennet.ru