Az egyetem kutatói. Masaryk
A javasolt támadási módszer által érintett legismertebb projektek az OpenJDK/OracleJDK (CVE-2019-2894) és a könyvtár
A problémát a libgcrypt 1.8.5 és a wolfCrypt 4.1.0 kiadásaiban már javították, a többi projekt még nem generált frissítést. A következő oldalakon található disztribúciókban nyomon követheti a libgcrypt csomag biztonsági résének javítását:
Sebezhetőségek
libkcapi a Linux kernelből, a Sodium és a GnuTLS.
A problémát az okozza, hogy az elliptikus görbe műveletek során skaláris szorzás során meg lehet határozni az egyes bitek értékét. A bitinformáció kinyerésére közvetett módszereket használnak, mint például a számítási késleltetés becslését. A támadás privilegizált hozzáférést igényel ahhoz a gazdagéphez, amelyen a digitális aláírás létrejön (nem
A szivárgás jelentéktelen mérete ellenére az ECDSA számára az inicializálási vektorral kapcsolatos információkkal rendelkező bitek (nonce) észlelése is elegendő a teljes privát kulcs szekvenciális visszanyerésére irányuló támadás végrehajtásához. A módszer készítői szerint egy kulcs sikeres visszaszerzéséhez elegendő a támadó által ismert üzenetekhez generált több száz-több ezer digitális aláírás elemzése. Például 90 ezer digitális aláírást elemeztek a secp256r1 elliptikus görbe segítségével, hogy meghatározzák az Inside Secure AT11SC chipen alapuló Athena IDProtect intelligens kártyán használt privát kulcsot. A teljes támadási idő 30 perc volt.
Forrás: opennet.ru