Peneliti dari Universitas. masaryk informasi tentang dalam berbagai implementasi algoritme pembuatan tanda tangan digital ECDSA/EdDSA, yang memungkinkan Anda memulihkan nilai kunci pribadi berdasarkan analisis kebocoran informasi tentang bit individual yang muncul saat menggunakan metode analisis pihak ketiga. Kerentanan tersebut diberi nama kode Minerva.
Proyek paling terkenal yang terpengaruh oleh metode serangan yang diusulkan adalah OpenJDK/OracleJDK (CVE-2019-2894) dan perpustakaan (CVE-2019-13627) digunakan di GnuPG. Juga rentan terhadap masalah tersebut , , , , , , , , dan kartu pintar Athena IDProtect. Tidak diuji, namun kartu Valid S/A IDflex V, SafeNet eToken 4300 dan TecSec Armored Card, yang menggunakan modul ECDSA standar, juga dinyatakan berpotensi rentan.
Masalahnya telah diperbaiki pada rilis libgcrypt 1.8.5 dan wolfCrypt 4.1.0, proyek lainnya belum menghasilkan pembaruan. Anda dapat melacak perbaikan kerentanan dalam paket libgcrypt dalam distribusi di halaman ini: , , , , , , .
Kerentanan OpenSSL, Botan, mbedTLS dan BoringSSL. Belum diuji Mozilla NSS, LibreSSL, Nettle, BearSSL, cryptlib, OpenSSL dalam mode FIPS, Microsoft .NET crypto,
libkcapi dari kernel Linux, Sodium dan GnuTLS.
Masalahnya disebabkan oleh kemampuan untuk menentukan nilai bit individual selama perkalian skalar dalam operasi kurva elips. Metode tidak langsung, seperti memperkirakan penundaan komputasi, digunakan untuk mengekstrak informasi bit. Sebuah serangan memerlukan akses tanpa hak istimewa ke host tempat tanda tangan digital dibuat (bukan dan serangan jarak jauh, namun sangat rumit dan memerlukan sejumlah besar data untuk dianalisis, sehingga dianggap tidak mungkin). Untuk memuat alat yang digunakan untuk menyerang.
Meskipun ukuran kebocorannya kecil, bagi ECDSA, deteksi beberapa bit saja dengan informasi tentang vektor inisialisasi (nonce) sudah cukup untuk melakukan serangan guna memulihkan seluruh kunci privat secara berurutan. Menurut penulis metode ini, agar berhasil memulihkan kunci, analisis beberapa ratus hingga beberapa ribu tanda tangan digital yang dihasilkan untuk pesan yang diketahui penyerang sudah cukup. Misalnya, 90 ribu tanda tangan digital dianalisis menggunakan kurva elips secp256r1 untuk menentukan kunci pribadi yang digunakan pada kartu pintar Athena IDProtect berbasis chip Inside Secure AT11SC. Total waktu serangan adalah 30 menit.
Sumber: opennet.ru