Կողային ալիքի հարձակման նոր տեխնիկա՝ ECDSA բանալիները վերականգնելու համար

Համալսարանի հետազոտողներ. Մասարիկ բացված մասին տեղեկատվություն խոցելիություններ ECDSA/EdDSA թվային ստորագրության ստեղծման ալգորիթմի տարբեր իրականացումներում, որը թույլ է տալիս վերականգնել մասնավոր բանալու արժեքը՝ հիմնվելով առանձին բիթերի մասին տեղեկատվության արտահոսքի վերլուծության վրա, որոնք առաջանում են երրորդ կողմի վերլուծության մեթոդների օգտագործման ժամանակ: Խոցելի կետերը ստացել են Minerva ծածկագիրը:

Ամենահայտնի նախագծերը, որոնց վրա ազդում է առաջարկվող հարձակման մեթոդը, OpenJDK/OracleJDK (CVE-2019-2894) և գրադարանն են։ libgcrypt (CVE-2019-13627), որն օգտագործվում է GnuPG-ում: Նաև ենթակա է խնդրին MatrixSSL, Crypto++, wolfCrypt, էլիպսաձեւ, jsrsasign, python-ecdsa, ruby_ecdsa, fastecdsa, հեշտ-էկ և Athena IDProtect խելացի քարտերը: Չփորձարկված, բայց վավեր S/A IDflex V, SafeNet eToken 4300 և TecSec Armored Card քարտերը, որոնք օգտագործում են ստանդարտ ECDSA մոդուլ, նույնպես հայտարարված են որպես պոտենցիալ խոցելի:

Խնդիրն արդեն շտկվել է libgcrypt 1.8.5 և wolfCrypt 4.1.0 թողարկումներում, մնացած նախագծերը դեռ թարմացումներ չեն ստեղծել: Դուք կարող եք հետևել libgcrypt փաթեթի խոցելիության շտկմանը այս էջերի բաշխումներում. Debian, Ubuntu, RHEL- ը, Fedora, openSUSE / SUSE, FreeBSD- ը, Կամար.

Խոցելիություններ ենթակա չէ OpenSSL, Botan, mbedTLS և BoringSSL: Դեռ փորձարկված չէ Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL FIPS ռեժիմում, Microsoft .NET կրիպտո,
libkcapi Linux միջուկից, Նատրիումից և GnuTLS-ից:

Խնդիրն առաջանում է էլիպսային կորի գործողություններում սկալային բազմապատկման ժամանակ առանձին բիթերի արժեքները որոշելու ունակությամբ: Անուղղակի մեթոդներ, ինչպիսիք են հաշվողական ուշացման գնահատումը, օգտագործվում են բիթային տեղեկատվության արդյունահանման համար: Հարձակումը պահանջում է ոչ արտոնյալ մուտք դեպի հոսթ, որի վրա ստեղծվում է թվային ստորագրությունը (ոչ բացառված և հեռավոր հարձակում, բայց դա շատ բարդ է և վերլուծության համար պահանջում է մեծ քանակությամբ տվյալներ, ուստի այն կարելի է համարել քիչ հավանական): Բեռնման համար հասանելի է հարձակման համար օգտագործվող գործիքներ.

Չնայած արտահոսքի աննշան չափին, ECDSA-ի համար նույնիսկ մի քանի բիթների հայտնաբերումը սկզբնավորման վեկտորի մասին տեղեկություններով (ոչ մեկ) բավական է գրոհ իրականացնելու համար՝ ամբողջ մասնավոր բանալին հաջորդաբար վերականգնելու համար: Ըստ մեթոդի հեղինակների՝ բանալին հաջողությամբ վերականգնելու համար բավական է հարձակվողին հայտնի հաղորդագրությունների համար ստեղծված մի քանի հարյուրից մի քանի հազար թվային ստորագրությունների վերլուծություն: Օրինակ, 90 հազար թվային ստորագրություն է վերլուծվել՝ օգտագործելով secp256r1 էլիպսային կորը, որպեսզի որոշվի Athena IDProtect խելացի քարտի վրա օգտագործվող մասնավոր բանալին՝ հիմնված Inside Secure AT11SC չիպի վրա: Հարձակման ընդհանուր ժամանակը 30 րոպե էր։

Source: opennet.ru