Új oldalsó csatorna támadási technika az ECDSA kulcsok helyreállításához

Az egyetem kutatói. Masaryk fedetlen információ valamiről sebezhetőségek az ECDSA/EdDSA digitális aláírás-létrehozó algoritmus különböző megvalósításaiban, amely lehetővé teszi a privát kulcs értékének visszaállítását az egyes bitekre vonatkozó információszivárgások elemzése alapján, amelyek harmadik féltől származó elemzési módszerek alkalmazásakor merülnek fel. A sérülékenységek kódneve Minerva volt.

A javasolt támadási módszer által érintett legismertebb projektek az OpenJDK/OracleJDK (CVE-2019-2894) és a könyvtár libgcrypt (CVE-2019-13627) a GnuPG-ben használt. Szintén érzékeny a problémára MatrixSSL, Crypto++, wolfCrypt, elliptikus, jsrsasign, python-ecdsa, ruby_ecdsa, fastecdsa, könnyű-ecc és Athena IDProtect intelligens kártyák. Nem tesztelték, de a szabványos ECDSA modult használó Valid S/A IDflex V, SafeNet eToken 4300 és TecSec Armored Card kártyák szintén potenciálisan sebezhetőek.

A problémát a libgcrypt 1.8.5 és a wolfCrypt 4.1.0 kiadásaiban már javították, a többi projekt még nem generált frissítést. A következő oldalakon található disztribúciókban nyomon követheti a libgcrypt csomag biztonsági résének javítását: Debian, Ubuntu, RHEL, Fedora, openSUSE / SUSE, FreeBSD, Bolthajtás.

Sebezhetőségek nem fogékony OpenSSL, Botan, mbedTLS és BoringSSL. Még nem tesztelt Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL FIPS módban, Microsoft .NET crypto,
libkcapi a Linux kernelből, a Sodium és a GnuTLS.

A problémát az okozza, hogy az elliptikus görbe műveletek során skaláris szorzás során meg lehet határozni az egyes bitek értékét. A bitinformáció kinyerésére közvetett módszereket használnak, mint például a számítási késleltetés becslését. A támadás privilegizált hozzáférést igényel ahhoz a gazdagéphez, amelyen a digitális aláírás létrejön (nem kizárva és egy távoli támadás, de ez nagyon bonyolult és nagy mennyiségű adatot igényel az elemzéshez, ezért valószínűtlennek tekinthető). A betöltéshez elérhető támadáshoz használt eszközök.

A szivárgás jelentéktelen mérete ellenére az ECDSA számára az inicializálási vektorral kapcsolatos információkkal rendelkező bitek (nonce) észlelése is elegendő a teljes privát kulcs szekvenciális visszanyerésére irányuló támadás végrehajtásához. A módszer készítői szerint egy kulcs sikeres visszaszerzéséhez elegendő a támadó által ismert üzenetekhez generált több száz-több ezer digitális aláírás elemzése. Például 90 ​​ezer digitális aláírást elemeztek a secp256r1 elliptikus görbe segítségével, hogy meghatározzák az Inside Secure AT11SC chipen alapuló Athena IDProtect intelligens kártyán használt privát kulcsot. A teljes támadási idő 30 perc volt.

Forrás: opennet.ru